Este martes 17/02/2026 desde las 09:00 tendrá lugar reunión de la Comisión de Digitalización de la Asamblea de Madrid contando en su orden del día , entre otros puntos, con:
- la pregunta (nº expediente PCOP 75/26) a petición del Grupo Parlamentario Socialist sobre "Qué planes tiene el Gobierno para prevenir ciberataques en los
centros públicos de la Comunidad de Madrid" - la pregunta (nº expediente PCOP 3125/25) a petición del Grupo Parlamentario de Más Madrid sobre "Qué mecanismos está empleando el Gobierno para la detección de posibles riesgos sobre los derechos de la ciudadanía derivados del uso de algoritmos de inteligencia artificial por parte de la administración pública de la Comunidad de Madrid"
[ADDENDUM 17/02/2026] Se ha publicado en el Diario de Sesiones de la Asamblea la contestación que dio el consejero delegado de la Agencia de Ciberseguridad, Alejandro las Heras a la pregunta (nº expediente PCOP 75/26) a petición del Grupo Parlamentario Socialisat sobre "Qué planes tiene el Gobierno para prevenir ciberataques en los centros públicos de la Comunidad de Madrid":
"El Gobierno de la Comunidad de Madrid tiene un plan para prevenir los ataques en los centros públicos adaptado según el nivel de impacto. Siguiendo la Directiva NIS2, los centros están clasificados con criterios críticos, esenciales o importantes. Durante el pasado ejercicio registramos 77.410 amenazas, un 50 por ciento más que el año anterior; 488 requirieron intervención de nuestro equipo de respuesta, el CSIRT, y luego 126 fueron de severidad muy alta o alta. El dato relevante es que 1 de cada 4 ataques significativos se dirige al sector sanitario, lo que confirma su carácter estratégico. Por lo tanto, nuestra estrategia preventiva se basa en cinco pilares: el primero es la gobernanza de la ciberseguridad. Las entidades públicas están clasificadas, como hemos comentado, en críticas, como en nuestro ámbito sería la sanidad o emergencias; esenciales, que son los servicios sociales clave o grandes ayuntamientos; e importantes, que son las que tienen un impacto más medio, como el resto de entidades locales. Por eso en 2025 creamos el Comité de Seguridad de Información para gestionar la seguridad regional, analizar los riesgos y los incidentes, y asegurar ese cumplimiento normativo en todos los centros públicos de la región.
El segundo pilar que hemos comentado, la parte más técnica, es el escudo digital, que opera 24 horas al día; está basado en inteligencia artificial para detectar en segundos y responder en minutos, incluye también los puestos de trabajo, que hemos denominado puestos de trabajo ciberseguros, y medidas de protección proactiva en los dispositivos de los empleados públicos, con herramientas como la autentificación multifactor, detección proactiva, análisis continuo de vulnerabilidades y pruebas
automáticas de intrusión.
Luego, tenemos el tercer pilar, que es el propio centro de respuesta, el CSIRT regional, que durante 2025, como comentamos, neutralizamos 77.412 amenazas; casi todas fueron de manera automática. Un dato muy positivo es que ningún incidente fue catalogado como crítico, esto valida la eficacia que estamos consiguiendo de nuestro modelo preventivo.
El cuarto pilar consiste en lograr un cumplimiento normativo de una manera progresiva, es decir, tenemos que incorporar el esquema nacional -ENS- alto para las infraestructuras críticas e importantes, y el esquema de nivel medio para las esenciales. La agencia también está adquiriendo el rol de organismo auditor técnico o AT, lo que nos va a permitir certificar los organismos regionales. Esta es una acción que también nos demuestra en este momento preventivo la estrecha cooperación que estamos manteniendo con el Centro Criptológico Nacional. En el ámbito privado hemos creado el distintivo Madrid Excelente Lugar Ciberseguro, que ya ha sido otorgado a más de treinta organizaciones.
Y el quinto pilar consiste en ofrecer formación de manera diferenciada. Estamos haciendo capacitación en riesgo y NIS2 para la alta dirección de los empleados públicos, ciberejercicios para cargos selectos y equipos técnicos y, además, cursos específicos para el personal informático; también para la ciudadanía en la actualidad contamos con un canal de WhatsApp, que está dirigido para advertirles de manera preventiva; ya contamos con más de 8.000 seguidores. En síntesis, esta es la estrategia que tenemos; una estrategia estructurada en niveles de criticidad, utilizando barreras de protección y un cumplimiento normativo de manera progresiva."
En su turno de réplica el representante del PSOE preguntó por las medidas de prevención.
La respuesta del Consejero Delegado fue_
" Estoy totalmente de acuerdo con lo que ha comentado; de hecho, yo creo que el mejor incidente o el mejor gestionado es el que ha evitado que se produzca. En ese sentido, la prevención es fundamental, además de que económicamente es más óptima; siempre nos cuesta mucho más remediar que proteger o incluso evtar desde el principio, por lo tanto, estoy totalmente alineado con sus comentarios.
Un dato que he resaltado también es que hemos conseguido mitigar todo este tipo de ataques, pese a que en este año hemos tenido el doble de ataques que el año anterior; con lo cual, también puedo decir en ese sentido que estamos en un entorno que, además -según los datos que he comentado-, cada año es más hostil, incluso se duplica el número de ataques que estamos recibiendo.
Por lo tanto, la prevención y esa estrategia que está comentando es fundamental. De hecho, yo estoy abierto a todas las propuestas que haya hecho, y, si se han rechazado, las vuelven a pasar y las vuelvo a estudiar, porque seguro que tendremos que volver a revisarlas.
Adicionalmente, en todo el tema de coordinación -he comentado anteriormente los datos-estamos intentando siempre coordinarnos con CCN y con Incibe, porque al final nosotros pensamos que en este tema de ciberseguridad es la unión lo que hace la fuerza; entonces, como usted misma ha explicado, la mejor manera de conseguir que seamos eficientes en seguridad es que estemos coordinados. Por lo tanto, la coordinación también es un activo, aparte de todas las medidas tecnológicas que estamos montando. Por eso nosotros hemos montado el comité de seguridad, que eslo primero que montamos para poder organizar a todos los responsables de seguridad, que sean las personas o los responsables los que la dirijan y la implementen en sus ámbitos.
Por cerrar, nuestra meta es conseguir que la comunidad adopte el esquema nacional y la normativa NIS2, que nos daría una posición de riesgo bastante adecuada para los momentos actuales."
También se ha publicado la sesión correspondiente a la pregunta (nº expediente PCOP 3125/25) a petición del Grupo Parlamentario de Más Madrid sobre "Qué mecanismos está empleando el Gobierno para la detección de posibles riesgos sobre los derechos de la ciudadanía derivados del uso de algoritmos de inteligencia artificial por parte de la administración pública de la Comunidad de Madrid"
Contestó la Consejera delegada de la Agencia para la Administración Digital, doña Elena Liria Fernández
" El Gobierno de la Comunidad de Madrid emplea múltiples mecanismos jurídicos,
metodológicos y organizativos para la detección preventiva y la gestión de posibles riesgos sobre los derechos de la ciudadanía; al final, todos estos mecanismos se basan en el marco de la inteligencia artificial responsable de la Comunidad de Madrid, que está alineado con el Reglamento Europeo de Inteligencia Artificial, con el Reglamento General de Protección de Datos y con todos los estándares de referencia internacional que se aplican a lo largo de la vida de todos los sistemas, desde la fase de su diseño hasta el despliegue, pruebas, supervisión continuada y el uso de los mismos. Al final, en primer lugar, hemos establecido un marco vinculante de principios, principios que están también recogidos en el Anteproyecto de Ley de Administración Digital e Inteligencia Artificial de la Comunidad de Madrid; entre ellos, figuran principios como la explicabilidad, equidad, fiabilidad, proporcionalidad,
transparencia, supervisión humana, rendición de cuentas, seguridad, precisión, minimización y protección de datos. Todos estos principios ya actúan como criterios preventivos dentro de lo que es la identificación de riesgos.
En segundo lugar, el Gobierno autonómico también mantiene un mecanismo explícito de exclusión para impedir el uso de prácticas consideradas como alto riesgo o directamente prácticas inadmisibles, como consideramos que son los sistemas de puntuación social o scoring de ciudadano,estos no los vamos a utilizar; tampoco modelos que explotan vulnerabilidades emocionales ni predicción delictiva automatizada ni captación masiva e indiscriminada de datos biométricos ni categorización biométrica con potencial discriminatorio. Toda esta exclusión previa de este tipo de prácticas constituye una primera barrera de protección para garantizar la dignidad, la igualdad y la no discriminación.
En tercer lugar, hacemos un análisis de impacto y clasificación por niveles de riesgo de todos los sistemas previamente a ponerlos en marcha. Se analiza la finalidad del sistema, las decisiones que automatiza, la naturaleza y sensibilidad de los datos, los colectivos afectados, todo lo que es el contexto sectorial -Justicia, Sanidad, Educación y demás-. Este análisis, al final, integra un modelo reglado por clasificación de niveles de impacto y determina obligaciones reforzadas de trazabilidad y de supervisión
en los usos de mayor sensibilidad.
En cuarto lugar, pero no menos importante y obligatorio, está la supervisión humana. Durante el desarrollo y uso de cualquier sistema siempre vamos a mantener la supervisión humana -es un principio irrenunciable y ningún sistema va a operar de manera autónoma si afecta a derechos e intereses legítimos de la ciudadanía-, también todo lo que es seguridad, protección de datos y monitorización de todos los sistemas, y, por último, la estructura organizativa de control con la Oficina Técnica de Impulso de la IA, Consejo para la Inteligencia Artificial y el Comité de Ética de Inteligencia Artificial. Todo este enfoque integral permite desplegar la inteligencia artificial en la Administración de la Comunidad de Madrid de manera responsable y plenamente garantista.
En el turno de réplica la portavoz de Más Madrid pregunto si están haciendo algún análisis de algoritmos.
La Consejera-Delegada contestó:
" Yo creo que ya se lo he comentado. De entrada, hacemos auditoría continua, tenemos supervisión humana y en el análisis de impacto no utilizamos sesgos, hacemos una exclusión preventiva de todo lo que son modelos que puedan suponer cualquier tipo de riesgo, con lo cual es imposible que lo hagamos.
En cuanto a propuestas de transparencia y trazabilidad, cumplimos la normativa europea en todo lo que es la evaluación de impacto en el tiempo que se determina dentro de la normativa para, periódicamente, analizar el impacto de los algoritmos. Entonces, es que no utilizamos algoritmos que directamente utilicen ese tipo de sesgos, con lo cual es bastante improbable que lo podamos aplicar"
Entradas
No hay comentarios:
Publicar un comentario