Las licitaciones públicas representan uno de los pilares fundamentales de la contratación del sector público. Sin embargo, el proceso implica una gran cantidad de información sensible: ofertas técnicas y económicas, datos identificativos de empresas, criterios de adjudicación y comunicaciones estratégicas. Todo ello convierte a los expedientes de contratación en un objetivo frecuente de accesos no autorizados, ciberataques y fugas de información. En este contexto, surge una preocupación crítica: cómo proteger los datos de licitaciones públicas frente a accesos no autorizados, especialmente en un entorno digital cada vez más complejo. El riesgo no solo afecta la seguridad jurídica de las entidades, sino también la transparencia y confianza del proceso licitatorio. Este artículo analiza de forma práctica cómo evitar accesos indebidos a la información de contratación pública, qué exige la normativa vigente y cómo aplicar el Esquema Nacional de Seguridad para garantizar una protección eficaz, realista y conforme a la ley. Por qué es tan importante proteger la información de las licitaciones públicas Durante una licitación, las entidades contratantes gestionan documentación crítica, tanto propia como de terceros. Si esta información cae en manos equivocadas o es alterada de forma maliciosa, las consecuencias pueden ser graves: Ventaja competitiva desleal Manipulación o filtración de datos Impugnación del procedimiento Pérdida de reputación institucional Sanciones administrativas o legales La Ley 9/2017, de Contratos del Sector Público, establece la obligatoriedad de garantizar la integridad, confidencialidad y disponibilidad de la información a lo largo de todo el proceso. Esto incluye desde la publicación de los pliegos hasta la formalización del contrato. En este sentido, el marco normativo obliga a adoptar medidas de seguridad adecuadas, adaptadas al nivel de riesgo y tipo de información gestionada. Una de las referencias clave es precisamente el Esquema Nacional de Seguridad, aplicable a todas las entidades públicas y sus medios tecnológicos. Principales amenazas a la información de licitaciones Te contamos cuáles son los riesgos más habituales que afectan a los datos de contratación pública: 1. Accesos no autorizados a plataformas Muchas entidades utilizan plataformas electrónicas para la gestión de licitaciones. Sin embargo, si no cuentan con controles robustos de autenticación, gestión de sesiones y trazabilidad, se exponen a: Inicios de sesión fraudulentos Suplantación de identidad Acceso indebido a expedientes y ofertas 2. Filtraciones internas o errores humanos El personal con acceso legítimo puede, por desconocimiento o negligencia, compartir información sin las debidas garantías: Correos electrónicos mal enviados Archivos sin cifrar Uso de dispositivos personales inseguros 3. Ciberataques dirigidos Las licitaciones de alto valor económico o estratégico son especialmente atractivas para: Grupos de ciberdelincuencia organizada Competidores desleales Ataques de ransomware o phishing dirigidos a empleados clave 4. Pérdida o manipulación de datos Errores técnicos, fallos de infraestructura o mala gestión documental pueden provocar: Pérdida de ofertas presentadas Alteración involuntaria de criterios de adjudicación Imposibilidad de justificar resoluciones ¿Qué exige la normativa actual en materia de seguridad? La protección de los datos en procedimientos de contratación pública se rige por varias normativas complementarias: Ley 9/2017, de Contratos del Sector Público: establece principios de integridad y confidencialidad. Reglamento General de Protección de Datos (RGPD): obliga a tratar los datos de empresas con base en principios de minimización y seguridad. Ley 39/2015 y 40/2015: regulan el funcionamiento electrónico del sector público. Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad: determina los requisitos de seguridad que deben cumplir los sistemas tecnológicos públicos. El cumplimiento del ENS se vuelve clave para prevenir accesos no autorizados y garantizar la trazabilidad y control de la información crítica. Cómo aplicar el ENS para proteger datos de licitaciones Te mostramos a continuación cómo el Esquema Nacional de Seguridad se convierte en una herramienta esencial para reducir los riesgos asociados a los procesos de licitación pública. 1. Clasificación de la información El ENS establece que toda la información debe ser clasificada en función de su criticidad. En el caso de las licitaciones, esto incluye: Nivel de confidencialidad (por ejemplo, ofertas económicas) Nivel de integridad (datos que no deben ser manipulados) Nivel de disponibilidad (plazos críticos de presentación) A partir de esa clasificación, se determina el nivel de seguridad exigido: básico, medio o alto. 2. Control de accesos Una de las medidas clave es el control de acceso físico y lógico, que garantiza que solo las personas autorizadas pueden acceder a cada tipo de información: Autenticación multifactor Gestión de perfiles y permisos Registro de accesos (logs) 3. Cifrado y firma electrónica El uso de técnicas criptográficas protege tanto la transmisión como el almacenamiento de la información: Cifrado de documentos y correos Firmas electrónicas reconocidas Sellado de tiempo para garantizar la no alteración de datos 4. Trazabilidad y auditoría Todos los sistemas que gestionen licitaciones deben registrar de forma automatizada: Quién accedió Qué documento consultó Cuándo y desde qué ubicación Estos registros permiten detectar incidentes, errores o accesos no autorizados. 5. Evaluación y gestión de riesgos El ENS obliga a realizar una evaluación de riesgos periódica que identifique las amenazas y defina medidas proporcionales: Análisis de impacto Planes de mejora Priorización de sistemas críticos Buenas prácticas complementarias para proteger los expedientes de contratación Además de cumplir con los requisitos del ENS, hay prácticas adicionales que refuerzan la seguridad: Capacitación del personal en protección de datos y ciberseguridad Limitación de acceso a documentos según rol Gestión documental segura, evitando compartir archivos por canales no cifrados Revisión legal de los pliegos para garantizar que no se publica información innecesaria Uso de plataformas oficiales que cumplan estándares de seguridad reconocidos Consecuencias de una brecha de seguridad en una licitación Las implicaciones de un acceso no autorizado a datos licitatorios pueden ser muy graves: Anulación del procedimiento Reclamaciones de licitadores Investigaciones por parte del Tribunal de Cuentas Daños reputacionales a la entidad Posibles responsabilidades disciplinarias o penales Además, en caso de afectación a datos personales, podría ser necesario notificar la brecha a la AEPD y a los afectados, conforme al artículo 33 del RGPD. Ejemplo real de incidente: filtración anticipada de ofertas En 2023, una entidad pública fue objeto de una filtración por la cual se accedió

En los sistemas de gestión de tráfico aéreo, la seguridad de la información es mucho más que una exigencia normativa: es un componente vital para garantizar operaciones seguras, eficientes y resilientes. Sin embargo, asegurar esa protección frente a ciberamenazas, errores humanos y vulnerabilidades tecnológicas sigue siendo uno de los mayores desafíos para el sector. ¿Qué sucede cuando la integridad de un sistema que coordina vuelos civiles y militares a nivel nacional se ve comprometida por una brecha de seguridad? ¿Cómo puede una infraestructura crítica como esta alinear sus sistemas con las exigencias legales actuales? Aquí es donde entra en juego la implementación del ENS en sistemas de gestión de tráfico aéreo. Un proceso que, aunque complejo, ofrece beneficios tangibles a nivel operativo y normativo, si se ejecuta con planificación y experiencia. En este artículo verás cómo aplicar de forma efectiva el Esquema Nacional de Seguridad en el entorno del tráfico aéreo, sus ventajas más destacadas, los principales obstáculos a superar y por qué su correcta aplicación resulta crucial para proteger la infraestructura crítica del país. Una de las referencias clave para alcanzar este nivel de cumplimiento es el propio Esquema Nacional de Seguridad, que establece los principios básicos y requisitos mínimos para una adecuada protección de la información en el sector público y entidades colaboradoras. ¿Por qué es tan relevante el ENS en el contexto del tráfico aéreo? Los sistemas de gestión de tráfico aéreo (ATM) manejan grandes volúmenes de datos sensibles, en tiempo real, relacionados con vuelos, rutas, autorizaciones, comunicaciones aeronáuticas, meteorología y más. Además, coordinan a múltiples actores: controladores aéreos, operadores, fuerzas del orden, servicios de emergencia y organismos reguladores. Esta complejidad operativa hace que cualquier fallo de seguridad pueda tener consecuencias críticas: Retrasos masivos Pérdida de comunicaciones Compromiso de datos clasificados Interrupciones del servicio aéreo Riesgos para la seguridad nacional Por ello, la implantación del Esquema Nacional de Seguridad no solo es una obligación legal para muchas entidades públicas o colaboradoras, sino una medida estratégica de autoprotección frente a ciberataques cada vez más sofisticados. Ventajas clave de implementar el ENS en entornos ATM Implementar el ENS en el contexto del tráfico aéreo ofrece beneficios técnicos, organizativos y normativos que impactan directamente en la resiliencia y eficiencia del sistema. A continuación, te mostramos los más relevantes: 1. Refuerzo de la ciberseguridad operacional El ENS impone controles de acceso, trazabilidad, gestión de incidentes y otros mecanismos esenciales para proteger la información clasificada o sensible. Esto se traduce en: Reducción de vulnerabilidades Mejora de la prevención frente a amenazas internas y externas Capacidad de detección y respuesta ante incidentes 2. Cumplimiento normativo integral El ENS permite cumplir con diversas exigencias legales y reglamentarias del sector: Ley 40/2015, de Régimen Jurídico del Sector Público Ley 39/2015, del Procedimiento Administrativo Común Ley 11/2007 de acceso electrónico Normativa de protección de infraestructuras críticas Regulación de la Agencia Estatal de Seguridad Aérea (AESA) 3. Mejora continua y madurez organizativa El modelo de implementación promueve una cultura de seguridad a través de: Evaluaciones periódicas de riesgos Implantación de medidas proporcionales y eficaces Adaptación tecnológica continua Coordinación interdepartamental 4. Confianza institucional y operativa Un sistema de tráfico aéreo alineado con el ENS refuerza la confianza de los usuarios, operadores y administraciones, al demostrar: Transparencia en la gestión de riesgos Profesionalidad en el tratamiento de incidentes Compromiso con la mejora continua Principales desafíos en la implementación del ENS en sistemas de tráfico aéreo Aplicar correctamente el ENS en entornos tan técnicos y críticos como los sistemas ATM no está exento de dificultades. Estas son algunas de las más frecuentes: 1. Alta complejidad tecnológica Los sistemas ATM integran múltiples plataformas heredadas, software propietario y componentes industriales (ICS/SCADA) que dificultan: La evaluación de riesgos unificada La implementación de medidas homogéneas La interoperabilidad segura entre sistemas 2. Necesidad de personal especializado El cumplimiento del ENS requiere perfiles con conocimientos avanzados en: Seguridad de redes y sistemas Legislación TIC pública Gestión de incidentes Análisis forense y respuesta a ciberataques 3. Resistencia al cambio En organizaciones donde las operaciones en tiempo real son prioritarias, cualquier cambio puede generar resistencia. Esto incluye: Falta de cultura de ciberseguridad Temor a interrupciones Priorización de objetivos operativos frente a los de seguridad 4. Coordinación institucional Dado que la gestión del tráfico aéreo involucra a múltiples agentes públicos y privados, es necesario coordinar: Reparto de responsabilidades Estándares comunes de actuación Protocolos de comunicación ante incidentes Buenas prácticas para una implementación efectiva del ENS Te contamos cómo se puede afrontar este proceso de forma segura y eficiente: 1. Diagnóstico inicial exhaustivo Antes de iniciar cualquier acción, es clave realizar un análisis detallado del estado actual de cumplimiento ENS. Este diagnóstico permite: Identificar brechas normativas y técnicas Establecer prioridades de actuación Definir el nivel de adecuación requerido 2. Elaboración del plan de adecuación Este documento debe detallar: Objetivos de cumplimiento Medidas técnicas y organizativas Recursos necesarios Calendario de ejecución 3. Formación y concienciación Es imprescindible que todos los niveles organizativos comprendan la importancia del ENS. Esto incluye: Sesiones formativas Simulacros de incidentes Manuales de buenas prácticas 4. Acompañamiento experto Contar con especialistas en normativas como el Esquema Nacional de Seguridad permite una implementación más fluida, alineada con los estándares del sector público y las exigencias del entorno aeronáutico. Impacto regulador y exigencias legales vinculadas al ENS La aplicación del ENS en el tráfico aéreo no es una opción: es una obligación legal cuando las entidades implicadas tienen carácter público o gestionan servicios esenciales. El marco jurídico establece que: Todas las entidades que presten servicios electrónicos a las Administraciones Públicas deben cumplir con el ENS. Los proveedores tecnológicos también deben garantizar que sus productos y servicios permiten el cumplimiento del ENS. El nivel de seguridad exigido dependerá del impacto que un fallo pueda tener en la organización, usuarios o seguridad nacional. En este contexto, los sistemas de gestión de tráfico aéreo suelen clasificarse como de nivel alto, lo que exige medidas de seguridad reforzadas. Sectores donde el ENS ya se aplica con éxito Aunque el tráfico aéreo presenta desafíos

Los 7 retos más complejos de cumplir el ENS en PYMEs Los 7 retos más complejos de cumplir el ENS en PYMEs Puede que pienses que cumplir con el Esquema Nacional de Seguridad (ENS) es algo que solo deben hacer las grandes tecnológicas o las administraciones públicas. Pero si tu PYME presta servicios a la Administración o trata información de carácter sensible, ya estás dentro del marco de exigencia. Y aquí es donde empiezan los problemas: la mayoría de pequeñas empresas no está preparada. Cumplir con el ENS no es solo un requisito más. Es un proceso exigente, técnico y altamente normativo que impacta directamente en la viabilidad operativa y reputacional de tu empresa. Y lo más preocupante es que muchas organizaciones creen estar alineadas… cuando en realidad están lejos de cumplir. Desde nuestra experiencia ayudando a decenas de empresas a implementar el servicio de Esquema Nacional de Seguridad, hemos identificado los siete retos más críticos que frenan —o complican seriamente— el cumplimiento del ENS en PYMEs. 1. Creer que el ENS es solo un trámite tecnológico Uno de los errores más extendidos es pensar que basta con tener antivirus, cortafuegos o backups. El ENS no es solo ciberseguridad: es gestión, gobernanza y responsabilidad. Exige estructuras, roles definidos, políticas formales y trazabilidad documental. 2. Falta de una política de seguridad real y operativa ¿Tienes una política de seguridad aprobada por dirección, comunicada a todo el personal y revisada periódicamente? Si la respuesta es no (o “no lo sé”), ya estás incumpliendo uno de los pilares esenciales del ENS. 3. Dificultad para identificar y clasificar activos Este paso parece simple, pero es de los más complejos: inventariar todos los activos que intervienen en el tratamiento de información. Muchas PYMEs subestiman este punto y acaban con inventarios incompletos, mal clasificados o directamente inservibles. 4. Análisis de riesgos deficientes o genéricos Este error lo hemos visto decenas de veces: se encargan análisis “plantilla”, descontextualizados, sin conexión con la realidad de la empresa. ¿El problema? El ENS exige que cada medida esté justificada y alineada con los riesgos específicos identificados. 5. Falta de personal cualificado y recursos Muchas PYMEs asignan la responsabilidad del ENS a perfiles técnicos sin formación normativa, o incluso a personal administrativo. ¿El resultado? Documentación errónea, medidas mal implantadas y plazos incumplidos. 6. Desconexión entre la teoría y la práctica Puede que tengas los documentos. Pero ¿se aplican? ¿Se revisan? ¿Están vivos? El ENS requiere evidencia constante de aplicación y mejora continua. Tener papeles firmados no es cumplir: es aparentar. Y eso no protege frente a una auditoría ni a un incidente. 7. Enfoque sin acompañamiento experto Intentar cumplir el ENS por cuenta propia suele derivar en dos cosas: o una implementación superficial que no resiste una revisión, o un bloqueo técnico que paraliza el proceso. Por eso, el acompañamiento profesional es tan decisivo como la tecnología que uses. Todas estas barreras pueden abordarse de forma efectiva si se actúa con planificación, criterio y apoyo especializado. El servicio de Esquema Nacional de Seguridad está precisamente diseñado para ayudar a las PYMEs a cumplir sin desviarse del foco operativo y evitando costes ocultos que muchas veces no se detectan hasta que ya es tarde. No es solo por cumplir: es por competir (y seguir operando) ¿Estás seguro de que podrás renovar ese contrato público sin alinearte con el ENS? ¿Sabes qué impacto tendría una exclusión por no cumplir los requisitos técnicos de seguridad? La realidad es que el ENS ya está siendo una barrera de entrada en concursos, licitaciones y colaboraciones estratégicas. Y lo será aún más. Además, no cumplir expone a tu empresa a incidentes de seguridad, sanciones administrativas y pérdida de confianza del mercado. En Audidat, convertimos un cumplimiento complejo en un proceso claro, guiado y adaptado a tu PYME. Evaluamos tu nivel actual, definimos el plan exacto que necesitas y lo ejecutamos contigo, sin fricciones, sin ambigüedades y sin desbordar tus recursos internos. Habla con un consultor y descubre cómo cumplir con el Esquema Nacional de Seguridad sin frenar tu negocio. Lo que no veas hoy, puede costarte mañana. Preguntas frecuentes sobre el ENS en PYMEs ¿Qué es exactamente el ENS y por qué debo cumplirlo? Es un marco normativo que establece medidas de seguridad para proteger la información tratada por entidades públicas y sus proveedores. Si prestas servicios a la Administración o tratas datos sensibles, debes cumplirlo total o parcialmente. ¿Qué nivel del ENS aplica a una PYME? Normalmente, el nivel básico, pero depende del tipo de información y servicios. Un análisis inicial permite determinar el nivel aplicable. ¿Puedo cumplir el ENS sin certificarme? Sí. La certificación no siempre es obligatoria. Algunas Administraciones aceptan una declaración responsable, pero el cumplimiento real debe poder demostrarse. ¿Cuánto tarda una empresa en adecuarse al ENS? Varía según el punto de partida. Con apoyo profesional, muchas PYMEs pueden lograrlo en 2 a 4 meses, sin interrumpir su operativa. ¿Qué pasa si no cumplo el ENS y trabajo con administraciones? Puedes quedar fuera de licitaciones, perder contratos vigentes o recibir sanciones por incumplimiento contractual. Es un riesgo real que muchas empresas no están viendo.