El Consejo de Ministros ha autorizado una transferencia de crédito de 1.272.727 euros del Ministerio de Asuntos Económicos y Transformación Digital al Ministerio de Defensa, con destino al presupuesto del Centro Nacional de Inteligencia (CNI). El movimiento es la primera anualidad de un convenio de 28 millones que se ejecuta hasta 2024 para construir una nube segura clasificada, reforzar la ciberseguridad de la Administración General del Estado y desplegar criptografía post-cuántica.
El acuerdo se firmó el 3 de agosto entre la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) y el propio CNI. Encaja en el Plan de Recuperación, Transformación y Resiliencia (PRTR), Componente 11 «Modernización de las Administraciones Públicas», Inversión 1, y tiene una vigencia inicial de tres años con opción a prórroga.
Qué entra en el convenio
El paquete tiene tres ejes técnicos definidos en el propio acuerdo:
- Nube segura con información clasificada para los organismos de la Administración General del Estado que la necesiten. Es el bloque de Infraestructuras Digitales y Ciberseguridad del PRTR llevado al ámbito de seguridad nacional.
- Escalado sostenible de datos, etiquetado en el convenio como Operaciones Inteligentes y Gobierno del Dato. Esto se traduce en capacidad para procesar y mover información clasificada sin disparar el coste energético ni romper la trazabilidad.
- Criptografía post-cuántica y equipos de ciberseguridad pensados para resistir a un ordenador cuántico capaz de romper RSA o ECC. La pieza más sensible del paquete: protege información que hoy se cifra y que un atacante puede guardar para descifrarla cuando la cuántica madure (modelo «harvest now, decrypt later»).
El reparto de los 28 millones
El convenio prevé tres anualidades, con la transferencia recién aprobada como pistoletazo de salida:
| Año | Importe (€) |
|---|---|
| 2022 | 1.272.727 |
| 2023 | 12.090.909 |
| 2024 | 14.636.364 |
| Total | 28.000.000 |
El grueso se concentra en 2023 y 2024, así que la transferencia de 1,27 M€ funciona más como arranque administrativo que como gasto real de despliegue. Para que el CNI pueda comprometer ya esos 26,7 M€ de los dos próximos ejercicios, el Consejo de Ministros ha tenido que tocar también los límites del Real Decreto-ley 36/2020, la norma que ordena los compromisos plurianuales del PRTR, y autorizarlos expresamente.
Por qué la pieza post-cuántica importa
La criptografía post-cuántica (PQC) ya no es ciencia ficción. El NIST cerró en 2022 la primera tanda de algoritmos estándar (CRYSTALS-Kyber para intercambio de claves, CRYSTALS-Dilithium para firma) y los grandes proveedores empiezan a integrarlos. Palo Alto Networks ha presentado Quantum Safe Security en esa línea, y NVIDIA ha entrado de lleno en simulación cuántica con su plataforma Ising. La amenaza no es que mañana haya una máquina cuántica rompiendo claves; es que un atacante con paciencia capture tráfico cifrado hoy y lo descifre dentro de cinco o diez años. Para datos clasificados con vida útil larga (planes operativos, identidades de fuentes, protocolos), eso es un agujero crítico.
El otro frente, la nube clasificada para uso de la AGE, va en la misma dirección que el resto de gobiernos europeos. Microsoft está empujando su nube soberana con modo desconectado para administraciones, y a nivel europeo organismos como CISPE trabajan en marcos auditables para certificarlas: el marco que CISPE acaba de publicar para medir la nube soberana apunta justo a ese tipo de despliegues con datos sensibles.
Encaje con el resto del PRTR
El Componente 11 del PRTR, «Modernización de las Administraciones Públicas», es el paraguas bajo el que España canaliza fondos europeos para digitalizar la AGE. Que parte de ese dinero acabe en el CNI no es habitual (la inmensa mayoría va a sistemas de ventanilla electrónica, interoperabilidad o infraestructura genérica), pero encaja con el discurso de la Comisión Europea sobre soberanía digital y resiliencia frente a ciberamenazas.
La pelea por la ciberseguridad nacional ya no se libra solo contra ransomware o filtraciones; el debate público se ha movido al uso ofensivo de IA, con avisos como el de Anthropic, que ha presentado Mythos advirtiendo de que la IA ya puede cambiar la ciberseguridad. Apuntalar la capa criptográfica antes de que llegue el siguiente salto, sea cuántica o IA ofensiva, es justo lo que el convenio intenta cubrir.
Preguntas frecuentes
¿Quién paga estos 28 millones?
Salen del presupuesto del Ministerio de Asuntos Económicos y Transformación Digital y se transfieren al Ministerio de Defensa para que los ejecute el Centro Nacional de Inteligencia. Toda la operación está dentro del Plan de Recuperación, así que el origen último es el fondo Next Generation EU.
¿Es una nube nueva o una versión clasificada de algo ya existente?
El convenio habla de adquirir y desplegar una nube segura con información clasificada para los organismos de la AGE que la necesiten. No menciona proveedor ni si será totalmente on-premise o híbrida: solo que tiene que poder alojar información con clasificación de seguridad.
¿Qué quiere decir «criptografía post-cuántica»?
Es la familia de algoritmos diseñados para resistir ataques de un ordenador cuántico de gran escala, capaz de romper en horas la criptografía asimétrica actual (RSA, ECC). El NIST está estandarizando los primeros: Kyber, Dilithium, Falcon y SPHINCS+. Los equipos que despliegue el CNI con este convenio deberían incluir ya soporte para esos algoritmos o ser actualizables a ellos.
¿Por qué hubo que modificar el RDL 36/2020?
El Real Decreto-ley 36/2020 fija los topes de gasto plurianual que cada organismo del PRTR puede comprometer. Sin tocarlo, el CNI no podía firmar contratos con cargo a 2023 y 2024 por importe de 26,7 M€. El acuerdo del Consejo de Ministros eleva esos límites para esta partida concreta.
¿Habrá concursos públicos asociados?
Sí, el dinero ejecutado por el CNI tiene que materializarse en contratos. Buena parte irá previsiblemente por procedimientos restringidos o negociados sin publicidad por la naturaleza clasificada del material, pero las cifras agregadas aparecerán en el portal de contratación y en el seguimiento del PRTR.
