Un ciberataque contra una administración local no es solo un incidente informático. Es un ayuntamiento que ya no puede expedir certificados de estado civil, una nómina bloqueada, un servicio de urbanismo paralizado, funcionarios obligados a volver al papel, ciudadanos que pierden la paciencia… y la confianza. En cuestión de horas, lo digital deja de ser una herramienta invisible para convertirse en el punto de ruptura del servicio público. ¿Por qué deben los representantes electos ocuparse de ello? ¿Y cómo reforzar la resiliencia digital? Respuestas de los expertos de Cyberwings Academy.
Durante mucho tiempo, la ciberseguridad se ha considerado un asunto de especialistas: competencia del responsable de informática o del responsable de seguridad, cuando existía, o una partida presupuestaria difícil de defender en el pleno municipal. Esa época ya ha quedado atrás. Para las administraciones locales, la ciberseguridad es ahora una cuestión de gobernanza, de continuidad de las actividades y de responsabilidad de los cargos electos.
Ayuntamientos, mancomunidades, departamentos, regiones o organismos públicos locales: todos ellos pueden verse afectados por una ralentización de sus servicios, la filtración de sus datos o el desvío de sus comunicaciones.
La pregunta que se plantea ahora a cada entidad es sencilla: ¿podréis seguir funcionando mañana por la mañana si vuestro sistema de información no está disponible o si alguno de vuestros proveedores de servicios digitales os falla y os corta el acceso?
Un riesgo cibernético que paraliza… literalmente
Las cifras de la ANSSI correspondientes a 2024 confirman la realidad de este fenómeno: la agencia ha gestionado 218 incidentes cibernéticos solo en las administraciones locales, lo que supone una media de 18 al mes.
Estos incidentes representan el 14 % del total de incidentes gestionados a nivel nacional, de los cuales el 15 % se han calificado como de «alta criticidad». La amenaza es una realidad cotidiana que pone en juego la continuidad de los servicios públicos, la confianza de los ciudadanos y la responsabilidad directa de los representantes electos.
Según el barómetro de 2024 de Cybermalveillance.gouv.fr, una de cada diez administraciones locales ha sufrido un ciberataque en los últimos doce meses: interrupción de los servicios públicos en el 37 % de los casos, y robo o destrucción de datos en el 24 % de los casos.
Detrás de estas cifras hay situaciones muy concretas.
En La Rochelle, un ciberataque impidió el uso de los aparcamientos subterráneos en plena temporada estival, paralizó el registro civil, bloqueó los servicios de recursos humanos e impidió durante una semana el entierro de los difuntos en los cementerios de la ciudad. La administración local funcionó en modo reducido, es decir, «con lápiz y papel», durante cuatro semanas.
En Angers, los funcionarios tuvieron que sacar de los almacenes los directorios en papel y los faxes. El 31 de diciembre de 2024, un ataque de denegación de servicio reivindicado por el grupo prorruso NoName057(16) dejó fuera de servicio simultáneamente las páginas web de varias ciudades, entre ellas Niza, Pau y Marsella.
Estos ejemplos ponen de manifiesto algo muy sencillo: un ciberataque puede provocar una interrupción del servicio público.
Afecta a los funcionarios, a los ciudadanos, a los proveedores de servicios y a los representantes electos. Desorganiza los servicios, pone en riesgo los datos personales, socava la confianza local y obliga a la administración local a dar una respuesta pública, a veces con carácter de urgencia y, a menudo, bajo presión.
Una responsabilidad que ya no se puede delegar
Un ciberataque implica la responsabilidad del representante electo, al igual que un corte de agua o el cierre de un colegio.
La gestión de este riesgo debe situarse al más alto nivel del ejecutivo territorial, incluirse en las deliberaciones, presupuestarse en los mandatos e integrarse en los planes de mandato al mismo nivel que los proyectos de inversión estructurantes.
El riesgo cibernético ya no puede quedar relegado exclusivamente al departamento de informática. Por supuesto, los equipos técnicos desempeñan un papel fundamental. Pero no pueden asumir por sí solos decisiones que son competencia de la administración territorial: decisiones presupuestarias, elección de proveedores, nivel de exigencia contractual, organización en caso de crisis, priorización de los servicios esenciales y comunicación con los ciudadanos.
La responsabilidad de un representante electo no es la de un técnico, sino la de un responsable de la toma de decisiones públicas.
No se trata de pedirle a un alcalde, a un presidente de mancomunidad o a un vicepresidente que comprenda todas las sutilezas del cifrado, de un cortafuegos o de una vulnerabilidad de software. Se trata de permitirle plantear las preguntas adecuadas:
- ¿Qué servicios deben seguir funcionando sin falta?
- ¿Dónde están nuestros datos confidenciales?
- ¿Quién puede acceder a nuestros sistemas?
- ¿Se comprueban nuestras copias de seguridad?
- ¿Qué proveedores son fundamentales?
- ¿Qué hacemos si se cae nuestro correo electrónico?
- ¿Cuánto tiempo podemos aguantar sin un sistema de información?
Estas cuestiones son políticas antes que técnicas.
Entrenarse, formarse, corregir, anticiparse a la crisis
La resiliencia no se improvisa. Hay que prepararla y ponerla a prueba.
Los Juegos Olímpicos de París 2024 lo han demostrado: a pesar de que se registraron 12 veces más ciberataques que durante los Juegos de Tokio, ningún incidente grave alteró su desarrollo. Este resultado se debe a meses de simulacros, pruebas de continuidad, identificación de vulnerabilidades y formación de los equipos en gestión de crisis.
Las administraciones locales pueden inspirarse en esta lógica, a su escala. Un simulacro de crisis no tiene por qué ser espectacular para resultar útil. Puede empezar de forma sencilla: simular la indisponibilidad del correo electrónico, la pérdida de acceso a un programa informático específico, el ataque a un proveedor de servicios o la difusión de un comunicado municipal falso.
El objetivo no es predecir con exactitud el próximo ataque, sino asegurarse de que todo el mundo sepa qué hacer cuando los sistemas digitales dejen de funcionar.
La IA acelera la amenaza
La inteligencia artificial generativa está transformando el ritmo de las amenazas al aumentar la credibilidad de los intentos de phishing, generar a gran escala sitios web maliciosos con apariencia legítima y facilitar la ejecución de ataques en un ámbito definido. Según un estudio publicado por la ANSSI en febrero de 2026, más de 40 modalidades de ataque vinculadas a Estados utilizaron la IA para perfeccionar sus ciberataques entre 2023 y 2024. Por lo tanto, es fundamental formar a todos los equipos sobre estas amenazas.
Pero la urgencia no se limita únicamente al phishing. Hoy en día, se centra en la corrección de las fallas de software. La IA acelera la detección automatizada de vulnerabilidades que pueden ser explotadas.
En junio de 2025, el sistema XBOW envió cientos de informes sobre vulnerabilidades críticas a programas de recompensas por errores sin ninguna intervención humana. Ante esta aceleración, el plazo para corregir las vulnerabilidades, que en las administraciones públicas suele medirse en semanas o meses, se ha vuelto insostenible.
La prioridad está clara: acortar drásticamente los ciclos de implementación de parches, formar a los equipos en el uso de herramientas de desarrollo seguras, realizar simulacros periódicos de explotación de vulnerabilidades y designar a los responsables de gestión de crisis antes de que se produzca el incidente. Durante el incidente, ya es demasiado tarde para averiguar quién toma las decisiones.
Guerra híbrida: la desinformación también se dirige contra los territorios
La amenaza digital incorpora ahora una dimensión informativa que los profesionales de la ciberseguridad consideran un vector en toda regla.
Una cuenta falsa de un cargo electo, un comunicado falso del ayuntamiento, una página web que imita la de una administración local, un rumor sobre la calidad del agua, un anuncio falso sobre el cierre de un colegio, un vídeo manipulado o un mensaje alarmista difundido en el momento oportuno pueden bastar para provocar una crisis local.
Viginum, el servicio de vigilancia y protección contra las injerencias digitales extranjeras, documentó en 2024 y 2025 un aumento estructural de la amenaza informacional dirigida contra Francia: campañas prorrusas que aprovechaban la guerra en Ucrania, operaciones de desestabilización durante los disturbios en Nueva Caledonia e intentos de manipulación del debate público durante las elecciones europeas y los Juegos Olímpicos. El informe «Portal Kombat» puso de manifiesto una red coordinada de desinformación dirigida contra los medios de comunicación y las instituciones francesas.
La ANSSI registró en mayo de 2023 varias decenas de páginas web de ayuntamientos franceses que habían sido alteradas con mensajes prorrusos. Estos ataques, que no presentan una gran sofisticación técnica, socavan directamente la confianza de los ciudadanos en sus instituciones locales.
El riesgo alcanza su máxima intensidad durante las grandes citas electorales o los eventos deportivos y culturales de gran envergadura. La vigilancia de la información debe integrarse en el dispositivo de gestión de crisis territorial, al igual que la continuidad de los sistemas informáticos.
La adicción a las tecnologías digitales se está convirtiendo en un riesgo
Las administraciones locales dependen cada vez más de herramientas digitales que no siempre saben manejar : programas de registro civil, nóminas, urbanismo, servicios sociales, mensajería, herramientas colaborativas, alojamiento en la nube, telefonía, archivo, ciberseguridad e inteligencia artificial.
Esta dependencia no es necesariamente un problema en sí misma. Se convierte en un problema cuando no se conoce, no se mide, no se establece por contrato ni es reversible.
Un proveedor puede sufrir un ciberataque. Un editor puede modificar sus condiciones comerciales. Un servicio puede suspenderse. Los datos pueden alojarse en un entorno jurídico poco controlado. Una solución puede llegar a ser imprescindible sin que se haya identificado ninguna alternativa.
Las administraciones locales suelen subestimar una realidad: Un servicio digital extranjero puede dejar de estar disponible por motivos económicos, normativos o geopolíticos.. Este riesgo ya no es solo una hipótesis.
La actualidad acaba de ofrecernos una demostración contundente de ello. El 12 de junio de 2026, Anthropic (uno de los líderes mundiales en inteligencia artificial) suspendió el acceso a sus modelos más avanzados para todos los usuarios no estadounidenses, por orden de la administración Trump en nombre de la «seguridad nacional». Las organizaciones francesas que incorporaban estas herramientas en sus flujos de trabajo de ciberseguridad o análisis se vieron privadas de estas capacidades de la noche a la mañana, sin haber previsto ni identificado previamente alternativas europeas o de código abierto fiables.
Una comisión de investigación parlamentaria creada en enero de 2026, presidida por el diputado Philippe Latombe, se ha propuesto precisamente cuantificar este riesgo. Su misión consiste, en particular, en evaluar en qué medida las administraciones públicas francesas dependen de soluciones digitales no europeas, identificar las vulnerabilidades que ello conlleva y examinar las alternativas. Se espera que las conclusiones estén listas en el verano de 2026.
Para las administraciones locales, la primera respuesta ante este riesgo consiste en identificar sus adicciones digitales.
Cada comunidad debe poder responder a cuatro preguntas sencillas:
- ¿Qué programas informáticos especializados se alojan fuera de Europa?
- ¿Qué procesos críticos dependen de un único proveedor sin alternativa?
- ¿Qué datos sensibles pasan por servidores sujetos a leyes extraterritoriales, como la Ley Cloud de EE. UU.?
- ¿Qué contratos de licencia obligan a la administración local sin cláusula de reversibilidad?
Este mapa constituye la base para una gestión estratégica del riesgo digital y el punto de partida de un plan de autonomía progresiva.
También es una cuestión presupuestaria: demasiadas administraciones locales financian año tras año licencias recurrentes a editores no europeos, sin aprovechar activos duraderos. Reducir estas dependencias supone reorientar progresivamente el gasto público hacia inversiones duraderas (equipos propios, competencias internas y formación de los equipos, soluciones cualificadas), en lugar de hacia una renovación automática de contratos que debilitan la soberanía operativa del territorio.
Formar para gobernar
La formación es el eje que une todos estos temas: ciberseguridad, continuidad del negocio, gestión de crisis, cumplimiento normativo, soberanía digital y confianza pública.
Formar a los representantes electos no consiste en pedirles que se conviertan en expertos técnicos, sino en dotarles de los medios necesarios para comprender el riesgo, plantear las preguntas adecuadas, gestionar los presupuestos, organizar la gestión de la crisis y exigir garantías a sus proveedores.
Formar a los directores generales de servicios y a los directivos locales significa permitirles integrar la ciberseguridad en la organización diaria de los servicios: continuidad de las actividades, procedimientos, responsabilidades, comunicación, protección de datos y gestión de incidentes.
Formar a los equipos técnicos significa reforzar su capacidad para anticiparse, detectar, corregir y reaccionar.
Por último, formar a los empleados mediante cursos de sensibilización sobre ciberseguridad supone reducir la exposición diaria de la administración local a los errores humanos, los intentos de phishing y los usos digitales de riesgo.
ORSYS y Cyberwings ofrecen cursos de formación especializados para responsables públicos, directivos territoriales y equipos técnicos: sensibilización de los representantes electos sobre los riesgos cibernéticos, gestión de crisis y ejercicios de simulación, cumplimiento de la Directiva NIS 2 y el RGPD, mapeo de las dependencias digitales, estrategia de resiliencia territorial, seguridad de los proveedores y preparación para el funcionamiento en modo degradado.
Una administración local nunca será invulnerable. Pero puede estar preparada. Puede saber qué hacer, a quién movilizar, cómo comunicarse y cómo seguir prestando servicio a los ciudadanos cuando el sistema digital falle.
Eso es, a partir de ahora, la responsabilidad digital de los cargos electos.
