jueves, julio 2, 2026
Publicidad

Publicidad

Agencias de ciberseguridad en España: quién puede ayudarte y quién no cuando sufres un ciberdelito

Angel Bahamontes
Angel Bahamonteshttps://antpji.org/
Presidente de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos
Las opiniones expresadas en esta publicación son responsabilidad exclusiva de quien lo firma y no reflejan necesariamente la postura de TecFuturo. Asimismo, Tec Futuro no se hace responsable del contenido de las imágenes o materiales gráficos aportados por los autores.
Publicidad

Cada vez que una persona es víctima de una estafa digital, un robo de identidad o un ataque informático, surge la misma pregunta: ¿a quién debo acudir? La respuesta parece sencilla hasta que se descubre que España cuenta con un amplio ecosistema de organismos relacionados con la ciberseguridad, pero no todos cumplen la misma función. Mientras algunos prestan asesoramiento directo a ciudadanos y empresas, otros protegen infraestructuras críticas, coordinan la respuesta institucional o investigan delitos. Conocer estas diferencias puede marcar la diferencia entre contener un incidente a tiempo o perder un tiempo valioso recorriendo una auténtica carrera de obstáculos administrativa.

El mapa de la ciberseguridad pública española es más complejo de lo que parece

España ha construido durante la última década una de las redes institucionales de ciberseguridad más completas de Europa. Sin embargo, esa fortaleza organizativa también ha generado una percepción errónea: la de pensar que cualquier organismo cuyo nombre incluya la palabra «ciberseguridad» está preparado para atender a un ciudadano que acaba de sufrir una estafa o un ciberataque.

La realidad es distinta. El ecosistema está compuesto por organismos con competencias muy diferentes. El Instituto Nacional de Ciberseguridad (INCIBE) constituye el principal punto de referencia para ciudadanos, empresas y menores, mientras que el Centro Criptológico Nacional (CCN-CERT) centra buena parte de su actividad en la protección del sector público y de las Administraciones. Paralelamente, las Fuerzas y Cuerpos de Seguridad del Estado investigan los delitos, la Agencia Española de Protección de Datos (AEPD) interviene cuando existe una vulneración de datos personales y las distintas agencias autonómicas desarrollan labores de prevención, coordinación y fortalecimiento de la resiliencia digital de sus respectivos territorios.

Publicidad

Esta diferenciación resulta especialmente relevante tras la entrada en vigor del nuevo marco europeo derivado de la Directiva NIS2, cuya transposición continúa reforzando las obligaciones de coordinación entre organismos públicos y operadores esenciales durante 2025. Al mismo tiempo, el Reglamento DORA, plenamente aplicable al sector financiero desde enero de 2025, ha elevado el nivel de exigencia sobre la gestión de incidentes tecnológicos en entidades financieras, consolidando una tendencia clara: la ciberseguridad deja de ser únicamente una cuestión técnica para convertirse en una responsabilidad estratégica y regulatoria.

Precisamente ahí aparece uno de los mayores problemas de comunicación institucional. Desde la perspectiva del ciudadano, todas estas entidades parecen formar parte del mismo sistema. Desde la perspectiva jurídica y operativa, cada una responde a una misión completamente distinta.

El error que más se repite: pensar que cualquier agencia resolverá una estafa

En el ámbito pericial este malentendido aparece con mucha más frecuencia de lo que suele imaginarse. Durante la elaboración de informes sobre fraudes tecnológicos es habitual encontrar víctimas que, antes de presentar una denuncia, han dedicado varios días a contactar con organismos que únicamente podían ofrecer información preventiva o derivarlas hacia otro servicio.

- Advertisement -

Ese tiempo perdido tiene consecuencias. En muchas estafas bancarias las primeras horas son determinantes para intentar bloquear transferencias, cancelar credenciales comprometidas o activar mecanismos de retrocesión de operaciones cuando todavía existe margen técnico para ello.

Aquí conviene desmontar un mito que rara vez aparece explicado en los medios generalistas: de las numerosas entidades públicas relacionadas con la ciberseguridad, únicamente un reducido grupo presta atención directa al ciudadano afectado por un incidente concreto.

El primer bloque lo forman los servicios de INCIBE, especialmente la línea gratuita 017, la Oficina de Seguridad del Internauta (OSI), INCIBE-CERT y IS4K, este último especializado en menores de edad. Su función consiste en orientar, asesorar y ayudar a limitar los daños. Pueden explicar cómo actuar, identificar el tipo de fraude sufrido o indicar los siguientes pasos, pero no recuperan dinero ni sustituyen la actuación judicial.

El segundo bloque corresponde a la investigación penal. Tanto el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil como la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional reciben denuncias e investigan los ciberdelitos dentro del marco establecido por la Ley de Enjuiciamiento Criminal. Son ellos quienes pueden iniciar diligencias y poner en marcha la investigación judicial.

Existe además un tercer escenario que suele confundirse con los anteriores. Cuando el incidente implica una filtración de datos personales, la difusión no autorizada de imágenes íntimas o un tratamiento ilícito de información, entra en juego la Agencia Española de Protección de Datos, especialmente mediante su Canal Prioritario, creado precisamente para responder con rapidez ante situaciones especialmente sensibles.

Comprender esta división funcional evita expectativas irreales y acelera la respuesta durante las primeras horas del incidente.

Las agencias autonómicas fortalecen la prevención, pero no sustituyen la denuncia

Otro de los aspectos menos conocidos del sistema español es el papel desempeñado por las comunidades autónomas. Cataluña, País Vasco, Andalucía, Madrid, Comunidad Valenciana, Galicia o Baleares cuentan actualmente con organismos especializados en ciberseguridad, aunque su nivel de desarrollo resulta muy desigual.

Esta diferencia responde a una realidad administrativa. Algunas comunidades disponen de agencias plenamente consolidadas, mientras otras operan mediante CERT, SOC o estructuras dependientes de sus servicios tecnológicos. Además, comunidades con cuerpos policiales propios, como los Mossos d’Esquadra o la Ertzaintza, mantienen unidades especializadas en investigación de ciberdelitos con competencias específicas.

Sin embargo, conviene evitar otra confusión habitual. Estas agencias autonómicas no funcionan como un servicio de asistencia individual para víctimas de estafas digitales. Su misión principal consiste en proteger las infraestructuras tecnológicas de la Administración, impulsar la cultura de ciberseguridad, coordinar la respuesta institucional y mejorar la resiliencia digital del territorio.

Desde una perspectiva estratégica, su importancia es enorme. Son actores esenciales para la aplicación territorial de políticas derivadas de la Directiva NIS2, del Esquema Nacional de Seguridad (ENS) y de los distintos planes autonómicos de transformación digital. Pero cuando un ciudadano pierde dinero mediante una estafa de phishing, un falso soporte técnico o una inversión fraudulenta en criptomonedas, el recorrido administrativo continúa siendo otro.

Este matiz resulta especialmente importante porque numerosos buscadores muestran estas agencias entre los primeros resultados cuando alguien escribe «ayuda ciberseguridad». La consecuencia es que muchas víctimas terminan llamando a organismos cuya función nunca fue atender incidentes individuales.

Qué hacer realmente durante las primeras horas tras un ciberdelito

En materia de respuesta a incidentes existe una máxima compartida tanto por investigadores como por peritos: las primeras decisiones suelen ser las más importantes.

Cuando el fraude implica movimientos económicos, la prioridad debe situarse en la entidad bancaria. El bloqueo inmediato de tarjetas, cuentas o transferencias puede resultar decisivo para minimizar pérdidas. Ningún organismo público dispone de capacidad para detener una operación bancaria con la rapidez con la que puede hacerlo la propia entidad financiera.

Una vez adoptadas esas medidas urgentes, la denuncia ante Guardia Civil o Policía Nacional permite iniciar la investigación penal. Aunque ambos cuerpos ofrecen formularios electrónicos para agilizar determinados trámites, la identificación formal del denunciante sigue requiriendo, con carácter general, la comparecencia presencial, tal y como recuerdan especialistas jurídicos y la propia práctica procesal.

Paralelamente, contactar con el servicio 017 de INCIBE permite recibir orientación técnica, jurídica y psicosocial sobre cómo contener el incidente, preservar evidencias y reducir el impacto del ataque. Cuando además existe una exposición ilícita de datos personales o contenido íntimo, la intervención de la Agencia Española de Protección de Datos añade una vía administrativa complementaria especialmente eficaz.

Desde la perspectiva pericial existe otra recomendación que pocas veces recibe suficiente atención: conservar todas las evidencias digitales antes de modificar dispositivos o eliminar mensajes. Correos electrónicos, registros de llamadas, conversaciones, capturas de pantalla, justificantes bancarios y registros técnicos pueden convertirse posteriormente en elementos probatorios de enorme valor.

La norma internacional ISO 27037, utilizada como referencia para la identificación y preservación de evidencias digitales, compara este proceso con el trabajo realizado en una escena del crimen tradicional: alterar el escenario antes de documentarlo puede dificultar o incluso impedir la reconstrucción posterior de los hechos.

El verdadero desafío ya no es crear más organismos, sino hacerlos comprensibles

España no necesita necesariamente más instituciones dedicadas a la ciberseguridad. Necesita que los ciudadanos comprendan mejor cómo funciona el sistema que ya existe.

La sofisticación del ecosistema institucional ha aumentado considerablemente durante los últimos años. Organismos especializados, CERT nacionales, agencias autonómicas, unidades policiales, autoridades de protección de datos y reguladores sectoriales forman hoy una arquitectura robusta que sitúa al país entre los referentes europeos en coordinación institucional.

Sin embargo, desde la experiencia acumulada en investigaciones periciales aparece siempre la misma conclusión: la mayoría de las víctimas desconoce quién puede resolver realmente su problema. Esa falta de claridad genera retrasos, frustración y, en ocasiones, pérdidas económicas que podrían haberse reducido actuando por el canal adecuado desde el primer momento.

La evolución normativa de los próximos años reforzará todavía más este ecosistema. La consolidación de la Directiva NIS2, la aplicación del Reglamento DORA, el crecimiento de los centros de operaciones de seguridad públicos y el incremento de la cooperación europea exigirán estructuras cada vez más coordinadas. Pero esa evolución también obliga a mejorar la comunicación institucional hacia el ciudadano.

La ciberseguridad no se mide únicamente por el número de organismos existentes ni por la cantidad de normas aprobadas. También se mide por la capacidad de una persona para saber, en los primeros minutos tras sufrir un ataque, quién puede ayudarle realmente.

Porque cuando una víctima pierde sus ahorros en una estafa digital, descubre que no todas las puertas conducen al mismo lugar. Algunas informan, otras investigan, otras protegen los datos personales y otras fortalecen el sistema desde la administración. Entender esa diferencia puede ahorrar tiempo, reducir daños y aumentar las posibilidades de éxito de una investigación.

La pregunta que queda abierta es tan sencilla como incómoda: si mañana cualquier ciudadano sufriera un ciberdelito, ¿sabría realmente cuál es la primera puerta a la que debe llamar?

 

Publicidad

Publicidad

Publicidad
Publicidad
Publicidad


Lo más leido