28 de mayo de 2026

La llamada de atención

En el espacio de un solo año, los incidentes cibernéticos de importancia nacional dirigidos contra el sector público del Reino Unido se duplicaron con creces, pasando de 89 a 204. El ataque a Synnovis interrumpió los análisis de sangre en los hospitales de Londres, obligó a cancelar más de 10 000 citas y 1 700 intervenciones programadas, y contribuyó a la muerte de un paciente. La violación de la Agencia de Asistencia Jurídica puso en peligro datos personales sensibles. El ataque de ransomware a la Biblioteca Británica devastó una de las instituciones culturales más importantes del país. Una actualización de software de CrowdStrike, que no tenía fines maliciosos, dejó fuera de servicio miles de servicios de la noche a la mañana.

No se trataba de riesgos abstractos, sino de fallos con consecuencias inmediatas para los ciudadanos. La propia evaluación del Gobierno británico es sincera al respecto: un enfoque fragmentado de la ciberseguridad que requería una reforma fundamental y medidas inmediatas.

Qué cambia realmente el Plan Cibernético del Reino Unido

El Gobierno del Reino Unido publicó el Plan de Acción Cibernética del Gobierno, respaldado por una inversión central de 210 millones de libras esterlinas. Elaborado por el Departamento de Ciencia, Innovación y Tecnología (DSIT), sustituye un modelo vagamente federado y basado en orientaciones por otro mucho más centralizado y directivo.

En el centro de todo ello se encuentra una nueva Unidad Cibernética del Gobierno (GCU) encargada de establecer normas, coordinar la gestión de riesgos y garantizar un progreso cuantificable en todos los departamentos. El Informe sobre el estado del gobierno digital ya había dejado clara la situación: el riesgo cibernético para el gobierno es extremadamente alto, el 28 % del patrimonio digital funciona con tecnología obsoleta y el objetivo de resiliencia original para 2030 ya no es alcanzable.

El plan se desarrollará en tres fases:

  • La fase 1 (para abril de 2027) sienta las bases: se crea la GCU, se implementan marcos de rendición de cuentas y se publica un plan de respuesta ante incidentes.
  • La fase 2 (2027-2029) amplía el modelo mediante la toma de decisiones basada en datos y servicios de apoyo centralizados.
  • La fase 3 (a partir de abril de 2029) se centra en la mejora continua y en la gestión proactiva de la cadena de suministro.

Los departamentos y sus proveedores deberán ahora demostrar el cumplimiento de marcos de garantía estructurados, principalmente GovAssure y el Marco de Evaluación Cibernética (CAF) del NCSC — y adoptar el Secure by Design .

El papel de la verificación de identidad

El prólogo ministerial marca la pauta al incluir la verificación de la identidad, junto con la asistencia sanitaria y las prestaciones sociales, como parte de la «infraestructura esencial de la vida británica moderna». Pero lo que más importa a los proveedores de servicios de identificación es lo que se expone en los capítulos operativos.

En primer lugar, el control de identidades y accesos es un resultado fundamental del Marco de Evaluación Cibernética , la norma según la cual se evaluará ahora a todos los departamentos a través de GovAssure. El principio B2 exige a los departamentos demostrar que los usuarios que acceden a los servicios están «debidamente verificados, autenticados y autorizados». No hay duda: se trata de un requisito de garantía cuantificable con supervisión centralizada.

En segundo lugar, el plan identifica explícitamente la autenticación heredada como una vulnerabilidad sistémica. El parque de sistemas heredados no se limita a los servidores antiguos, sino que incluye contraseñas, los tokens de hardware y los métodos de verificación basados en el conocimiento que aún sustentan gran parte de la infraestructura de identidad del Gobierno. La obligación de sustituir los sistemas frágiles se aplica directamente en este caso.

En tercer lugar, el nuevo modelo de responsabilidad de la cadena de suministro implica que los proveedores de identidad que prestan servicios al Gobierno se enfrentarán a un escrutinio cada vez mayor. Los proveedores que presten servicios a gran escala podrán ser designados como «estratégicos», lo que los someterá a colaboraciones formales con la GCU y a expectativas de garantía directa.

El efecto combinado es significativo: el marco de garantía y contratación pública hace ahora más difícil justificar soluciones de identidad poco seguras y más fácil defender el uso de soluciones modernas y resistentes al phishing. Para los proveedores de identidad, ese es un cambio más significativo que cualquier cita aislada en un prólogo.

Resiliencia + Seguridad: mantenerse al día frente a unas amenazas que no se detienen

El plan define sistemáticamente su objetivo como «ciberseguridad y resiliencia», considerándolas de igual importancia. Sin embargo, el énfasis en la resiliencia es notable y representa lo que el propio plan denomina «un cambio cultural y operativo en la forma en que el Gobierno concibe la resiliencia». En la práctica, esto significa que el Gobierno ya no se limita a preguntarse «¿podemos detener el ataque?», sino que también se pregunta «¿podemos mantener los servicios en funcionamiento y garantizar su fiabilidad cuando algo sale mal?».

Esto tiene implicaciones específicas para la identidad. Consideremos dos situaciones:

  • El primero es el fallo del servicio. Incidentes no maliciosos, como la interrupción de CrowdStrike, se mencionan junto con el ransomware y los ataques de Estados-nación porque el resultado final para los ciudadanos es el mismo: los servicios se interrumpen y la confianza se erosiona. Los sistemas de identidad que no pueden demostrar una arquitectura distribuida, redundancia y una rápida recuperación constituyen ahora un punto único de fallo al que el plan se dirige explícitamente.
  • El segundo es el robo de identidad. Cada vez más, los ataques se dirigen a la confianza humana en lugar de a la infraestructura directamente. Por ejemplo, un responsable financiero puede recibir una videollamada convincente que parece provenir de un alto cargo solicitando una autorización de pago de emergencia. Las comprobaciones basadas en el conocimiento, el reconocimiento de la persona que llama y la autenticación tradicional pueden parecer válidas. El fallo aquí no es la seguridad perimetral, sino la incapacidad de verificar que la persona detrás de la interacción es realmente quien dice ser. Se trata de una brecha de resiliencia, no solo de seguridad.

Para los equipos de compras, esto replantea los criterios de evaluación. La pregunta ya no es solo «¿es seguro?», sino «¿qué ocurre si algo falla? ¿Podemos seguir confiando en nuestro socio?». Los sistemas de identidad que puedan demostrar una supervisión activa de las amenazas y una rápida recuperación estarán en mejores condiciones de cumplir las expectativas del plan que las herramientas heredadas que este identifica explícitamente como vulnerables.

Lo que no hace el Plan Cibernético del Reino Unido

Conviene ser realistas en cuanto a su alcance. Este plan es del Gobierno, para el Gobierno. No establece directamente nuevos requisitos para el sector privado ni para las infraestructuras críticas nacionales; esa es la función del Proyecto de Ley de Ciberseguridad y Resiliencia, presentada en el Parlamento ese mismo día. El proyecto de ley amplía las obligaciones de resiliencia a los proveedores que prestan servicios al Gobierno en los sectores de la energía, el agua, la sanidad y los centros de datos, pero sus implicaciones completas solo quedarán claras a medida que avance su tramitación.

Varios analistas del sector también han cuestionado si 210 millones de libras son suficientes, dada la magnitud del reto. La estrategia de 2021 destinó 2.600 millones de libras, y siguen existiendo problemas.

En la práctica: ¿qué implica para ti el Plan Cibernético del Reino Unido?

A pesar de esas salvedades, la tendencia es innegable, y no solo para los organismos públicos. Cualquier organización que forme parte de la cadena de suministro del sector público notará los efectos. Destacan tres cambios.

Las normas centralizadas transforman el modelo de adquisición. Una unidad cibernética gubernamental encargada de establecer normas comunes para toda la administración pública sienta las bases para la creación de servicios compartidos y una infraestructura de identidad basada en el principio de «crear una vez, utilizar muchas veces». Los días de las adquisiciones fragmentadas, departamento por departamento, están contados.

Las pruebas de garantía se convierten en un requisito previo para la contratación pública. El cambio hacia el cumplimiento de GovAssure y CAF implica que los equipos de contratación esperarán cada vez más que los proveedores presenten documentación de garantía preconfigurada que demuestre la conformidad con normas de certificación reconocidas internacionalmente. Conviene tener esto en cuenta en las primeras fases de la planificación, y no esperar a la fase de contratación.

Los plazos para la sustitución de los sistemas heredados se están acortando. Dado que los métodos de autenticación poco seguros se han identificado explícitamente como vulnerabilidades sistémicas, las organizaciones que aún dependen de contraseñas, tokens de hardware o verificación basada en el conocimiento deberían estar planificando ya sus hojas de ruta de transición, en lugar de esperar a que entren en vigor las obligaciones de la Fase 2. La sustitución de los sistemas heredados es ahora inevitable, no solo recomendable. Los departamentos que sustituyan los métodos de autenticación poco seguros buscarán cada vez más socios capaces de acelerar las transiciones seguras y reducir al mismo tiempo el riesgo operativo. Los sistemas de identidad que puedan demostrar resistencia al phishing, resiliencia operativa y supervisión activa de amenazas se ajustarán mejor a estos requisitos de migración.

De cara al futuro

El Plan de Acción Cibernética del Gobierno hace algo que las estrategias anteriores no hacían: integra la verificación de la identidad en el marco básico de garantía del Gobierno, vincula el rendimiento cibernético a la resiliencia en lugar de limitarse al mero cumplimiento normativo, y crea un mecanismo de aplicación centralizado con una responsabilidad real.

El plan refleja un cambio más amplio en la forma de pensar del Gobierno: la resiliencia cibernética ya no se mide únicamente por la capacidad de mantener a raya a los atacantes, sino por la capacidad de los servicios críticos para seguir siendo fiables durante las interrupciones. En ese contexto, los sistemas de identidad se convierten en infraestructura operativa, y no solo en capas de autenticación.

Para cualquiera que esté planificando su próximo ciclo de contratación pública —ya sea dentro de la administración pública o en su cadena de suministro—, la cuestión ya no es si se debe modernizar la autenticación, sino con qué rapidez.

Las iniciativas políticas seguirán adelante, sobre todo con el avance del proyecto de ley sobre ciberseguridad y resiliencia y la creación de la propia GCU. Seguiremos de cerca ambos procesos.

Descubre nuestro último Informe de inteligencia sobre amenazas 2026 para conocer el panorama cambiante de las amenazas, o póngase en contacto para analizar cómo su organización puede adaptarse a los nuevos marcos de garantía.

Preguntas frecuentes sobre el Plan Cibernético del Reino Unido

P: ¿Qué implica el Plan de Acción Cibernética del Reino Unido para la verificación de la identidad?
R: El plan convierte el control de identidad y acceso en un resultado clave de garantía dentro del Marco de Evaluación Cibernética (CAF). Los departamentos deben demostrar ahora que los usuarios están «debidamente verificados, autenticados y autorizados» a través de las evaluaciones de GovAssure, y los métodos de autenticación tradicionales, como las contraseñas y los tokens de hardware, se identifican explícitamente como vulnerabilidades sistémicas que deben sustituirse.

P: ¿Qué es GovAssure y cómo afecta a los proveedores del Gobierno?
R: GovAssure es el marco de garantía cibernética del Gobierno del Reino Unido, utilizado para evaluar a los departamentos con arreglo al Marco de Evaluación Cibernética del NCSC. En virtud del Plan de Acción Cibernética 2026, el 90 % de los departamentos gubernamentales principales deben garantizar que sus cadenas de suministro cumplen estas normas para la Fase 2 (2027-2029). Los proveedores que prestan servicios de identidad a gran escala pueden ser designados como «estratégicos», siempre que mantengan colaboraciones formales con la Unidad Cibernética del Gobierno.