El Consejo de Ministros autorizó el 8 de noviembre de 2022 una transferencia de 1.272.727 euros del Ministerio de Asuntos Económicos y Transformación Digital al Ministerio de Defensa, con destino al Centro Nacional de Inteligencia (CNI). Es la primera anualidad de un convenio de 28 millones que se ejecuta hasta 2024, orientado a construir una nube segura con información clasificada, reforzar la ciberseguridad de la Administración General del Estado (AGE) y desplegar criptografía post-cuántica (PQC).
El acuerdo se firmó el 3 de agosto entre la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) y el propio CNI. Se encuadra en el Plan de Recuperación, Transformación y Resiliencia (PRTR), Componente 11 «Modernización de las Administraciones Públicas», Inversión 1, con vigencia inicial de tres años y opción a prórroga.
Qué incluye el convenio
El paquete articula tres ejes técnicos fijados en el propio acuerdo:
- Nube segura con información clasificada para los organismos de la AGE que la necesiten. Es el bloque de Infraestructuras Digitales y Ciberseguridad del PRTR llevado al ámbito de seguridad nacional.
- Escalado sostenible de datos, etiquetado como Operaciones Inteligentes y Gobierno del Dato. La finalidad es procesar y mover información clasificada sin disparar el coste energético ni romper la trazabilidad.
- Criptografía post-cuántica y equipos de ciberseguridad pensados para resistir a un ordenador cuántico capaz de romper RSA o ECC. Protege información que un atacante puede capturar hoy y guardar para descifrarla cuando la tecnología madure, el modelo conocido como «harvest now, decrypt later».
El reparto de los 28 millones
El convenio prevé tres anualidades, con la transferencia recién aprobada como arranque:
| Año | Importe (€) |
|---|---|
| 2022 | 1.272.727 |
| 2023 | 12.090.909 |
| 2024 | 14.636.364 |
| Total | 28.000.000 |
El grueso se concentra en 2023 y 2024, así que los 1,27 M€ de 2022 funcionan más como arranque administrativo que como despliegue real. Para que el CNI pudiera comprometer ya esos 26,7 M€ de los dos ejercicios siguientes, el Consejo de Ministros también tuvo que modificar los límites del Real Decreto-ley 36/2020, la norma que ordena los compromisos plurianuales del PRTR, y autorizarlos expresamente.
La criptografía post-cuántica, el frente más sensible
La PQC ya no es ciencia ficción. El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) cerró en 2022 la primera tanda de algoritmos estándar (CRYSTALS-Kyber para intercambio de claves, CRYSTALS-Dilithium para firma) y los grandes proveedores empiezan a integrarlos. Palo Alto Networks ha presentado Quantum Safe Security en esa línea, y NVIDIA ha entrado de lleno en simulación cuántica con su plataforma Ising.
La amenaza real está en el modelo «harvest now, decrypt later». Un atacante con paciencia puede capturar hoy tráfico cifrado y guardarlo para descifrarlo dentro de cinco o diez años, cuando la computación cuántica lo permita. Para datos clasificados con vida útil larga (planes operativos, identidades de fuentes, protocolos de seguridad nacional), ese riesgo ya justifica la inversión.
Nube soberana y encaje europeo
El frente de la nube clasificada para la AGE sigue la misma tendencia que el resto de gobiernos europeos. Microsoft trabaja en su nube soberana con modo desconectado para administraciones. A nivel europeo, organismos como CISPE desarrollan marcos auditables para ese mismo tipo de despliegues, y el marco que CISPE acaba de publicar para medir la nube soberana apunta exactamente a infraestructuras con datos sensibles.
El Componente 11 del PRTR es el paraguas bajo el que España canaliza fondos europeos para digitalizar la AGE. Que parte de ese dinero acabe en el CNI no es lo habitual (la inmensa mayoría va a sistemas de ventanilla electrónica, interoperabilidad o infraestructura genérica), pero encaja con el discurso europeo sobre soberanía digital y resiliencia frente a ciberamenazas. La disputa ya ha ido más allá del ransomware y las filtraciones, y ha llegado al uso ofensivo de la IA, con avisos como el de Anthropic, que ha presentado Mythos advirtiendo de que la IA ya puede cambiar la ciberseguridad. Apuntalar la capa criptográfica antes de ese salto es lo que el convenio intenta cubrir.
Preguntas frecuentes
¿Quién financia estos 28 millones?
Salen del presupuesto del Ministerio de Asuntos Económicos y Transformación Digital y se transfieren al Ministerio de Defensa para que los ejecute el CNI. Toda la operación está dentro del Plan de Recuperación, así que el origen último son los fondos Next Generation EU.
¿Es una nube nueva o una versión clasificada de algo ya existente?
El convenio habla de adquirir y desplegar una nube segura con información clasificada para los organismos de la AGE que la necesiten. No menciona proveedor ni arquitectura, solo que debe poder alojar información con clasificación de seguridad.
¿Qué es la criptografía post-cuántica?
Es la familia de algoritmos diseñados para resistir ataques de un ordenador cuántico de gran escala, capaz de romper en horas la criptografía asimétrica actual (RSA, ECC). El NIST estandarizó los primeros en 2022, entre ellos Kyber, Dilithium, Falcon y SPHINCS+. Los equipos que despliegue el CNI deberían incluir soporte para esos algoritmos o ser actualizables a ellos.
¿Por qué fue necesario modificar el RDL 36/2020?
El Real Decreto-ley 36/2020 fija los topes de gasto plurianual que cada organismo del PRTR puede comprometer. Sin esa modificación, el CNI no podía firmar contratos con cargo a 2023 y 2024 por importe de 26,7 M€. El acuerdo del Consejo de Ministros elevó esos límites para esta partida concreta.
¿Habrá concursos públicos para estos contratos?
Sí. El dinero ejecutado por el CNI debe materializarse en contratos. Buena parte irá por procedimientos restringidos o negociados sin publicidad, por la naturaleza clasificada del material, pero las cifras agregadas aparecerán en el portal de contratación del Estado y en el seguimiento del PRTR.
