Isabel González Hervás, socia responsable de Seguridad y Defensa en el sector público de EY, será una de las voces principales del VIII Congreso Internacional de Inteligencia Artificial organizado por El Independiente. Con una trayectoria de más de dos décadas en la transformación digital de las administraciones públicas, especialmente en defensa y ciberseguridad, González Hervás es una de las voces más autorizadas para radiografiar su nivel de protección y los riesgos a los que nos exponemos.

Pregunta. El sector público suele ser percibido como más lento o burocrático: ¿cómo se puede innovar en defensa desde lo público?

Respuesta. España dispone de una arquitectura de innovación pública en defensa basada en la Ley de Contratos del Sector Público, con instrumentos como la Compra Pública de Innovación (CPI), la Asociación para la Innovación y el programa COINCIDENTE, que capta tecnología civil para usos militares. Sin embargo, la CPI nacional apenas moviliza ~55 M€ anuales (dato agregado de todas las AAPP 2017-22), lo que supondría menos del 0,5 % del presupuesto del Ministerio de Defensa.

Frente a un presupuesto de defensa 2025 que supera los 33 mil millones y un Plan Industrial y Tecnológico para la Seguridad y la Defensa que añade 10.471 M€, el peso de la innovación abierta es aún reducido. Pese a ello, España cuenta con fortalezas: un ecosistema industrial dual sólido (Indra, Telefónica Tech, GMV, S2, Navantia digital), marcos normativos maduros en ciberseguridad (ENS, CCN-CERT) y capacidad de aprovechar programas europeos (EDF, EDIS/EDIP, DIANA) y de alta computación (EuroHPC) para IA y simulación.

Nuestro marco incluye CPI, Asociación para la Innovación y COINCIDENTE; usados bien, permiten pasar de reto a demostrador en 18–24 meses. Son comparables a mecanismos internacionales como DARPA (BAA plurianuales) y DIU (OTAs rápidas), aunque estos miden tiempos y transiciones con rigor. Integrar innovación abierta en el Ciclo de Planeamiento de la Defensa es viable: encaja en fases de definición y programación de capacidades, y permitiría introducir IA, datos y ciber desde el diseño. El mayor obstáculo está en la ejecución presupuestaria anual: la LCSP limita compromisos más allá del ejercicio salvo autorización; el reciente Plan Industrial ya ha usado autorizaciones plurianuales y préstamos blandos para sortear esta rigidez, pero conviene sistematizarlo y medir KPIs como time-to-award o tasa de transición a despliegue.

España tiene las herramientas legales y un ecosistema dual competitivo, pero debe multiplicar la escala y rapidez de su innovación abierta: hoy representa <0,5 % del gasto de defensa. El nuevo Plan Industrial moviliza recursos suficientes y un bloque claramente digital/IA (≈3.262 M€), pero necesita ejecución mediante CPI y contratos por retos, no solo grandes programas de plataformas. Adoptar métricas de plazos y transición como hace DIU, integrar estas dinámicas en el planeamiento de capacidades y habilitar compromisos plurianuales estables permitiría acelerar la adopción de IA y tecnologías duales sin reformar todo el marco legal, pero con más transparencia y orientación a resultados.

P. ¿Qué nota le pondría al sector público español en cuanto a preparación digital en seguridad y defensa?

R. Yo daría al sector público español un 6 sobre 10 en preparación digital para seguridad y defensa. Tiene fortalezas: marco normativo sólido (ENS, RD 311/2022), CCN-CERT y Red Nacional de SOC como columna vertebral ciber, y un salto presupuestario con el Plan Industrial y Tecnológico para la Seguridad y la Defensa, que moviliza más de 10.000 millones de euros y dedica un bloque significativo (≈3.262 M€) a digitalización, ciber y tecnologías habilitadoras como la IA. España participa además en programas europeos (EDF, EDIS/EDIP y DIANA) clave para tecnologías duales.

También hay debilidades: innovación abierta marginal (CPI <0,5 % del presupuesto anual de Defensa), IA aún piloto, transposición NIS2 retrasada, sin métricas públicas de time-to-award o transición a despliegue comparables a DIU. El marco de gasto anual limita escalar prototipos sin autorizaciones específicas.

Por todo ello, hay una serie de retos clave: activar capital privado nacional (venture/PE, incentivos fiscales) para escalar tecnologías duales y desarrollar talento digital y técnico clásico que permita absorber inversión y ejecutar programas complejos. La conclusión es que tenemos base sólida y recursos, pero se debe profesionalizar la innovación digital/IA con KPIs, atraer inversión privada y potenciar talento especializado para acelerar la madurez digital de la defensa.

P. ¿En qué áreas públicas estamos más avanzados, dentro de estos sectores, y en cuáles tenemos más carencias?

R. Las principales fortalezas son:

• Ciberseguridad del sector público: ENS (RD 311/2022), CCN-CERT, perfiles ENS-SSG 2025 y Red Nacional de SOC (incluyendo SAT-SARA) que profesionalizan la defensa cibernética pública.
• Capacidad de cómputo y datos: supercomputador MareNostrum 5 (BSC) dentro de EuroHPC (~215 PFLOPS) y acceso a JUPITER (exascala 2025) para entrenar y validar IA y gemelos digitales
• Tecnologías cuánticas: Quantum Spain con primer ordenador cuántico europeo en España y Estrategia Española de Tecnologías Cuánticas 2025-2030 (~800 M€); liderazgo en EuroQCI y pilotos QKD satelitales
• Impulso presupuestario industrial: Plan Industrial y Tecnológico para la Seguridad y la Defensa 2025 (10.471 M€) con bloque telecom & ciber ≈31 % (~3.262 M€) y préstamos blandos de 7.334 M€ para modernización digital e IA en plataformas.

Por contra, las carencias más importantes son:

• Escala reducida de innovación abierta: CPI nacional 327,9 M€ (2017-22) ≈55 M€/año → <0,5 % del presupuesto de Defensa; sin KPIs de adjudicación ni transición a producción.
• Adopción operativa de IA: potencia de cálculo existe, pero faltan datos federados, MLOps seguro y casos de uso IA escalados en defensa/seguridad.
• Cumplimiento regulatorio pendiente: retraso transposición NIS2 y necesidad de adaptación temprana al AI Act (robustez y validación de IA en AAPP)
• Cripto-resiliencia post-cuántica: migración a criptografía PQC en fase incipiente; urge hoja de ruta ligada al ENS/CCN y operadores críticos
• Talento y capital privado: déficit de perfiles IA/ciber/ingeniería de sistemas y ausencia de mecanismos robustos para atraer inversión privada nacional a tecnologías duales.

P. En ciberseguridad, ¿qué tanto dependen nuestras instituciones de proveedores externos? Y en concreto, ¿la tecnología israelí juega un papel importante, como sucedía con el material militar?

R. En ciberseguridad, España mantiene una dependencia tecnológica relevante de proveedores externos, aunque con una capa de operación e integración cada vez más nacional. A nivel de servicios gestionados y operación de SOC, el ecosistema español es sólido: Indra/SIA, Telefónica Tech, GMV, S2 Grupo, Izertis o el CCN-CERT operan infraestructuras críticas, y la Red Nacional de SOC se apoya en normativa ENS y perfiles de servicio 2025 para profesionalizar la defensa ciber pública.

Sin embargo, en productos clave —plataformas EDR/XDR, gestión de identidades, SIEM, firewalls, hardware criptográfico y chips— seguimos dependiendo en gran medida de fabricantes globales: estadounidenses (Microsoft, Palo Alto, Cisco, Splunk, CrowdStrike), europeos (Atos/Eviden, Airbus Cyber) y también israelíes.

La tecnología israelí sigue presente especialmente en EDR y analítica avanzada de amenazas (Check Point, SentinelOne, Cybereason, Armis) y en soluciones OT/IoT, aunque su peso en Defensa se modera frente a grandes proveedores US. La UE y España impulsan soberanía y diversificación: el ENS obliga a control de portabilidad y gobernanza de terceros; la NIS2 refuerza la cadena de suministro; y programas como el Plan Industrial 2025 financian desarrollo nacional de ciber y plataformas IA para detección y respuesta.

La dependencia externa existe, sobre todo en software y hardware crítico; la oportunidad está en consolidar servicios y plataformas soberanas y en incentivar que el bloque de 3.262 M€ del Plan Industrial dedicado a digital/ciber financie producto nacional y atraiga capital privado para reducirla gradualmente.

P. ¿Cómo de fuerte es nuestra industria nacional en el desarrollo de este tipo de productos o soluciones?

R. Nuestra industria nacional es fuerte como integradora y operadora de soluciones digitales y ciber, y cuenta con algunos nichos de producto competitivo, pero aún es limitada como fabricante de tecnología base de alcance global. En ciberseguridad, compañías como Indra/SIA, Telefónica Tech, GMV, S2 Grupo e Izertis gestionan SOC críticos y desarrollan plataformas propias, pero la mayor parte del software de núcleo —EDR/XDR, SIEM, identidad— sigue siendo extranjero.

En IA aplicada a defensa y seguridad, hay avances en simulación, mando y control, mantenimiento predictivo y visión por computador (Indra, Aicox, Keyland), pero aún no tenemos grandes fabricantes de plataformas IA comparables a Palantir, Anduril o ClearML. Donde España sí es competitiva es en sistemas duales de mando y sensores, espacio/observación (Hisdesat, Satlantis, GMV) y en naval/aéreo digitalizado (Navantia, Airbus España).

En cuántica estamos arrancando con Quantum Spain y la Estrategia Española de Tecnologías Cuánticas (~800 M€), aunque el producto es incipiente frente a EEUU, China o Israel. En conclusión, somos fuertes en integración y nichos, pero débiles en producto base; para revertirlo hay que destinar parte del bloque digital/ciber del Plan Industrial 2025 (3.262 M€) a crear producto nacional, usar CPI y Asociación para la Innovación con KPIs de transición, atraer capital privado y formar talento en IA/ciber y microelectrónica para escalar soluciones duales propias.

P. ¿Quién corre más en digitalización de la defensa: Francia, Alemania, Reino Unido o España? ¿Dónde nos situaría en ese ranking?

R. En digitalización de la defensa, el país que va claramente por delante es el Reino Unido, seguido de Francia, luego Alemania y finalmente España. Reino Unido cuenta con una estrategia digital integral: la Digital Backbone y la Data Strategy for Defence, un Defence AI Centre operativo desde 2022 y la Defence AI Strategy para IA en mando, logística y mantenimiento; ha invertido más de 6.600 M£ en modernización digital y ciber desde 2021.

Francia tiene la Agence du Numérique de Défense y la DGA con unidad IA, así como el plan Ambition Numérique (>1.600 M€) para cloud, big data y ciber, integrando IA en programas como SCORPION y SCAF/FCAS.

Alemania creó la CIR (Cyber- und Informationsraum) como cuarta rama militar e invierte >20.000 M€ en digitalización y ciber dentro de su Sondervermögen de 100.000 M€, aunque con ejecución lenta y fragmentada.

España cuenta con ENS y CCN-CERT de referencia OTAN/UE, una Red Nacional de SOC y el Plan Industrial y Tecnológico 2025 con >10.000 M€ y un bloque digital/ciber de 3.262 M€, pero la innovación abierta (CPI <0,5 % del presupuesto) y la adopción de IA siguen en fase piloto; además hay escasez de talento y capital privado. España parte de una base ciber sólida pero aún está por detrás de Reino Unido y Francia en IA y datos y de Alemania en volumen inversor, aunque el Plan 2025 ofrece la oportunidad de acortar distancias si se convierte inversión en producto y despliegue efectivo.

P. ¿Qué riesgos hay en no acelerar la transformación digital?

R. Los principales riesgos de no acelerar la transformación digital en defensa son:

• Mayor exposición a ciberataques complejos y ransomware, con impactos operativos prolongados (ENISA sitúa disponibilidad y ransomware como amenazas clave 2024–2025).
• Pérdida de interoperabilidad OTAN/UE y capacidad de compartir inteligencia y datos operacionales en tiempo real, quedando fuera de estándares y ejercicios digitales OTAN.
• Riesgos regulatorios: retrasos en cumplir ENS y NIS2, así como en validar IA según AI Act, con sanciones y problemas reputacionales.
• Impacto económico-industrial: perder la ventana de oportunidad para desarrollar producto nacional y quedarse dependiente de terceros pese al impulso inversor europeo.

P. Los millones que el Gobierno está movilizando en España para el plan de rearme, ¿cómo repercutirán en la transformación digital y la renovación tecnológica?

R. El Plan Industrial y Tecnológico para la Seguridad y la Defensa (2025) moviliza 10.471 M€, con un bloque digital/ciber ≈31 % (~3.262 M€). Además, Hacienda ha flexibilizado límites plurianuales para acelerar la ejecución y se han habilitado préstamos a tipo 0 por 7.334 M€ a industria (Navantia, Airbus, Indra, PAZ II…).

Esto puede transformar la defensa española en tres ejes: reforzar el backbone digital y ciber (SOC, Zero Trust, satcom seguras), habilitar datos e IA operativas (data lakes, MLOps seguro, gemelos digitales) y modernizar cadenas de suministro integrando software embarcado y ciber por diseño. Para que el impacto sea real, es clave destinar parte del bloque digital a innovación abierta dual con KPIs de adjudicación y transición, alinear con ENS/NIS2 y atraer capital privado y talento especializado.

P. Si mañana hubiera un gran ciberataque contra la Administración pública, con servicios críticos paralizados, ¿cree que estamos preparados para responder?

R. España está hoy mejor preparada que hace 3–4 años para responder a un gran ciberataque que paralice servicios críticos, pero no es inmune a impactos significativos en las primeras 24–48 horas. Existe una columna vertebral de ciberseguridad sólida: ENS (RD 311/2022) en vigor, CCN-CERT con guías STIC y coordinación centralizada, y la Red Nacional de SOC y SAT-SARA para vigilancia y alerta temprana.

En contención y recuperación, la capacidad es razonable para limitar el alcance de un incidente y restaurar servicios prioritarios, pero persisten debilidades: heterogeneidad de madurez entre organismos, dependencia de proveedores críticos comunes, deuda técnica y déficit de talento especializado.

Estamos preparados para contener y recuperar, sí; preparados para evitar disrupción visible en un escenario complejo, no siempre. La clave es reducir el tiempo de degradación controlada y acortar MTTD/MTTR con más automatización/IA y ejercicios realistas.

P. Recientemente hemos visto cómo distintos aeropuertos de Europa han sido hackeados. ¿Cree que podríamos ser víctima de algo parecido? ¿Está España bien protegida en general contra este tipo de ataques?

R. España podría sufrir incidentes similares a los recientes hackeos en aeropuertos europeos, pero cuenta con una infraestructura de ciberseguridad razonablemente robusta y en evolución.

Los aeropuertos están clasificados como operadores de servicios esenciales bajo el ENS (RD 311/2022) y la Ley 8/2011 PIC/CNPIC, lo que obliga a planes de protección, SOC y continuidad. ENAIRE y AENA disponen de SOC propios supervisados por CCN-CERT y apoyados por INCIBE, y participan en la red europea EATM-CERT (Eurocontrol).

Sin embargo, persisten retos: sistemas OT legados (BHS, SCADA, climatización, pasarelas), heterogeneidad entre aeropuertos regionales y grandes hubs, y dependencia de proveedores tecnológicos globales para identidad, comunicaciones y nube. Hay buena base normativa y operativa, pero se necesita seguir modernizando OT, exigir telemetría y conmutación rápida a proveedores, practicar ejercicios integrados y desplegar detección/respuesta con IA cumpliendo AI Act.