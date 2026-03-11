El sistema de ciberseguridad de la Moncloa estuvo obsoleto durante casi 100 días, periodo en el que ocurrieron las filtraciones más graves.

España lidera el ranking de incumplimientos de directivas europeas, con 101 pendientes y un 3,19% de déficit de transposición, el más alto de la UE.

Entre febrero y marzo se expusieron datos sensibles de altos cargos, incluido el presidente Pedro Sánchez y varios ministros, debido a brechas de seguridad cibernética.

La UE investiga al Gobierno español por no trasponer la directiva NIS2 de ciberseguridad, tras varios hackeos a altas instituciones como la Fiscalía, Policía Nacional y el Consejo de Seguridad Nacional.

Las recientes quiebras de la ciberseguridad en la Fiscalía, la Policía Nacional, la Guardia Civil y el Consejo de Seguridad Nacional, todos en menos de una semana, han hecho saltar las alarmas en Bruselas.

El Gobierno de España lleva desde 2023 sin trasponer la directiva de ciberseguridad. La Comisión ya le abrió un procedimiento de infracción en 2025. Y ahora tendrá que revisar qué relación hay entre esa debilidad legislativa y los hackeos al Gobierno, las policías y la Fiscalía.

El eurodiputado del PP Juan Ignacio Zoido ha llevado ante el Ejecutivo Comunitario los ataques que, entre el 26 de febrero y el 1 de marzo expusieron datos sensibles de altos funcionarios del Estado. Entre ellos, la fiscal general, los miembros del Consejo de Seguridad Nacional (CSN), incluidos el presidente Pedro Sánchez, varios ministros y el Jemad.

En una pregunta parlamentaria registrada este lunes, el exministro del Interior denuncia que los mismos ciberdelincuentes accedieron a las credenciales de cientos de agentes de la Policía Nacional y la Guardia Civil. Esta brecha se había abierto el 28 de febrero, y dos días antes, la de la Fiscalía.

Zoido plantea dos preguntas a la Comisión, que está obligada a responder. Primera: si este tipo de brechas "podrían suponer un riesgo para la seguridad de la UE" y qué medidas prevé implementar.

Segunda: si la no aplicación de la directiva NIS2 "deja a España y sus empresas en una situación de vulnerabilidad" y si el Gobierno debería hacer efectiva su trasposición.

"Pagamos los españoles"

Estos incidentes se producen en un contexto alarmante. Según el Instituto Nacional de Ciberseguridad (INCIBE), en 2025 se registraron más de 122.000 ciberataques contra empresas e instituciones españolas. La cifra supone un incremento del 26% respecto al año anterior.

Y sin embargo, España sigue sin trasponer la directiva NIS2, aprobada por la UE en 2022 precisamente para reforzar la ciberseguridad de infraestructuras críticas y administraciones públicas.

Tras entrar en vigor el 1 de enero de 2023, el plazo de trasposición venció en octubre de 2024.

El Consejo de Ministros aprobó un Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en enero de 2025, pero 15 meses después la norma sigue estancada en las Cortes, por la incapacidad del Gobierno para armar mayorías parlamentarias.

La Comisión Europea no se ha quedado de brazos cruzados. En noviembre de 2024 envió a España una carta de emplazamiento. En mayo de 2025 dio un paso más con un dictamen motivado. El siguiente movimiento es la remisión al Tribunal de Justicia de la UE, que puede imponer sanciones económicas.

"Si no transponemos las leyes europeas de ciberseguridad, la Comisión nos denunciará ante el TJUE y corremos el riesgo de ser sancionados, con la consiguiente pérdida de fondos europeos", advierte Zoido en declaraciones a EL ESPAÑOL. "Sánchez incumple, y pagamos todos los españoles".

Récord de incumplimientos

El problema va más allá de la directiva NIS2. España es el Estado miembro de la UE más incumplidor. Tenemos 101 directivas europeas pendientes de trasponer, de las cuales 50 ya han superado el plazo de fecha límite.

Tabla de países incumplidores de la legislación de la UE. European Commssion

También lidera el ranking de procedimientos de infracción abiertos por la Comisión, con 92 expedientes activos. Dos de ellos ya han derivado en sanciones económicas efectivas.

España ha sido tradicionalmente uno de los países más lentos en las trasposiciones. El último informe anual de la Comisión sobre aplicación del Derecho de la UE, correspondiente a 2023, ya señalaba a España entre los Estados miembros con peor desempeño.

Desde entonces, la brecha no ha hecho más que crecer: el déficit de transposición español se sitúa en el 3,19%, el más alto de la UE, triplicando la media europea del 1,1%.

Y la situación se ha agravado de forma notable desde noviembre de 2023. El bloqueo de la legislatura, sin mayorías estables, ha paralizado la tramitación de decenas de normas europeas.

"Comprometer a toda la UE"

Zoido también alerta del "hartazgo" que hay en Bruselas con España a cuenta de la ciberseguridad. "Conscientes de que una brecha de seguridad cibernética en un país como el nuestro podría ser la puerta de entrada que comprometa la seguridad de otros Estados miembros", señala el eurodiputado.

España tampoco aplica el denominado Toolbox del 5G, el conjunto de medidas acordadas por los 27 para limitar la presencia de proveedores de alto riesgo como Huawei y ZTE en las redes de telecomunicaciones.

Y la Comisión ya se pronunció sobre los contratos de Interior con Huawei, advirtiendo del peligro de "generar una dependencia de un proveedor de alto riesgo en un sector crítico y aumentar el peligro de injerencia extranjera".

"A nivel político, éste es el Gobierno de España más despreocupado por la seguridad del Estado", asegura Zoido. "Sánchez actúa de manera muy irresponsable en lo más básico: la ciberseguridad de las más altas esferas del país, como el CSN y los sistemas de nuestras Fuerzas y Cuerpos de Seguridad del Estado".

Merz no da con Sánchez

El incidente diplomático de la semana pasada ilustra hasta qué punto la ciberseguridad es un problema real en Moncloa. Cuando Donald Trump arremetió contra España desde la Casa Blanca, sentado junto al canciller alemán Friedrich Merz, este intentó después contactar con el presidente español.

Le llamó dos veces al teléfono y le dejó un mensaje de audio dándole explicaciones. Nunca recibió respuesta.

Según reveló Politico.eu, cuando el equipo de Merz se comunicó con el Ministerio de Exteriores preguntando si había algún problema –en Berlín no podían concebir tal descortesía–, descubrieron que Sánchez ya no tenía ese número.

Exteriores explicó que el presidente "cambia de teléfono periódicamente por seguridad"... como hizo tras otras gravísima brecha de seguridad, al ser espiado con el software Pegasus.

Pero la explicación podría tener una lectura más inmediata. Porque el incidente con Merz se produjo apenas 48 horas después de que el domingo 1 de marzo se hiciera público el hackeo al Consejo de Seguridad Nacional.

Aquella brecha de seguridad expuso datos personales de Sánchez, incluidas direcciones de dos inmuebles y cuentas de correo, de varios ministros –como Yolanda Díaz, María Jesús Montero y Félix Bolaños– y del jefe de los ejércitos.

De hecho, el sistema anti-APT de ciberseguridad de Moncloa quedó obsoleto en noviembre de 2025, cuando el fabricante dejó de proporcionar actualizaciones, según reveló The Objective. El contrato de sustitución no se formalizó hasta tres meses después, mediados de febrero de 2026.

Eso significa que la Presidencia del Gobierno estuvo con un sistema de ciberseguridad sin soporte frente a amenazas avanzadas casi 100 días, justo en el periodo en que se produjeron las filtraciones más graves.

"La lucha contra la ciberdelincuencia es mucho más que proteger datos", concluye Zoido. "Sus efectos se traducen en millones de euros y miles de empleos que se pierden cada año por estos ataques", y un "riesgo cierto para la seguridad nacional".