Las licitaciones públicas representan uno de los pilares fundamentales de la contratación del sector público. Sin embargo, el proceso implica una gran cantidad de información sensible: ofertas técnicas y económicas, datos identificativos de empresas, criterios de adjudicación y comunicaciones estratégicas. Todo ello convierte a los expedientes de contratación en un objetivo frecuente de accesos no autorizados, ciberataques y fugas de información.
En este contexto, surge una preocupación crítica: cómo proteger los datos de licitaciones públicas frente a accesos no autorizados, especialmente en un entorno digital cada vez más complejo. El riesgo no solo afecta la seguridad jurídica de las entidades, sino también la transparencia y confianza del proceso licitatorio.
Este artículo analiza de forma práctica cómo evitar accesos indebidos a la información de contratación pública, qué exige la normativa vigente y cómo aplicar el Esquema Nacional de Seguridad para garantizar una protección eficaz, realista y conforme a la ley.
Por qué es tan importante proteger la información de las licitaciones públicas
Durante una licitación, las entidades contratantes gestionan documentación crítica, tanto propia como de terceros. Si esta información cae en manos equivocadas o es alterada de forma maliciosa, las consecuencias pueden ser graves:
Ventaja competitiva desleal
Manipulación o filtración de datos
Impugnación del procedimiento
Pérdida de reputación institucional
Sanciones administrativas o legales
La Ley 9/2017, de Contratos del Sector Público, establece la obligatoriedad de garantizar la integridad, confidencialidad y disponibilidad de la información a lo largo de todo el proceso. Esto incluye desde la publicación de los pliegos hasta la formalización del contrato.
En este sentido, el marco normativo obliga a adoptar medidas de seguridad adecuadas, adaptadas al nivel de riesgo y tipo de información gestionada. Una de las referencias clave es precisamente el Esquema Nacional de Seguridad, aplicable a todas las entidades públicas y sus medios tecnológicos.
Principales amenazas a la información de licitaciones
Te contamos cuáles son los riesgos más habituales que afectan a los datos de contratación pública:
1. Accesos no autorizados a plataformas
Muchas entidades utilizan plataformas electrónicas para la gestión de licitaciones. Sin embargo, si no cuentan con controles robustos de autenticación, gestión de sesiones y trazabilidad, se exponen a:
Inicios de sesión fraudulentos
Suplantación de identidad
Acceso indebido a expedientes y ofertas
2. Filtraciones internas o errores humanos
El personal con acceso legítimo puede, por desconocimiento o negligencia, compartir información sin las debidas garantías:
Correos electrónicos mal enviados
Archivos sin cifrar
Uso de dispositivos personales inseguros
3. Ciberataques dirigidos
Las licitaciones de alto valor económico o estratégico son especialmente atractivas para:
Grupos de ciberdelincuencia organizada
Competidores desleales
Ataques de ransomware o phishing dirigidos a empleados clave
4. Pérdida o manipulación de datos
Errores técnicos, fallos de infraestructura o mala gestión documental pueden provocar:
Pérdida de ofertas presentadas
Alteración involuntaria de criterios de adjudicación
Imposibilidad de justificar resoluciones
¿Qué exige la normativa actual en materia de seguridad?
La protección de los datos en procedimientos de contratación pública se rige por varias normativas complementarias:
Ley 9/2017, de Contratos del Sector Público: establece principios de integridad y confidencialidad.
Reglamento General de Protección de Datos (RGPD): obliga a tratar los datos de empresas con base en principios de minimización y seguridad.
Ley 39/2015 y 40/2015: regulan el funcionamiento electrónico del sector público.
Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad: determina los requisitos de seguridad que deben cumplir los sistemas tecnológicos públicos.
El cumplimiento del ENS se vuelve clave para prevenir accesos no autorizados y garantizar la trazabilidad y control de la información crítica.
Cómo aplicar el ENS para proteger datos de licitaciones
Te mostramos a continuación cómo el Esquema Nacional de Seguridad se convierte en una herramienta esencial para reducir los riesgos asociados a los procesos de licitación pública.
1. Clasificación de la información
El ENS establece que toda la información debe ser clasificada en función de su criticidad. En el caso de las licitaciones, esto incluye:
Nivel de confidencialidad (por ejemplo, ofertas económicas)
Nivel de integridad (datos que no deben ser manipulados)
Nivel de disponibilidad (plazos críticos de presentación)
A partir de esa clasificación, se determina el nivel de seguridad exigido: básico, medio o alto.
2. Control de accesos
Una de las medidas clave es el control de acceso físico y lógico, que garantiza que solo las personas autorizadas pueden acceder a cada tipo de información:
Autenticación multifactor
Gestión de perfiles y permisos
Registro de accesos (logs)
3. Cifrado y firma electrónica
El uso de técnicas criptográficas protege tanto la transmisión como el almacenamiento de la información:
Cifrado de documentos y correos
Firmas electrónicas reconocidas
Sellado de tiempo para garantizar la no alteración de datos
4. Trazabilidad y auditoría
Todos los sistemas que gestionen licitaciones deben registrar de forma automatizada:
Quién accedió
Qué documento consultó
Cuándo y desde qué ubicación
Estos registros permiten detectar incidentes, errores o accesos no autorizados.
5. Evaluación y gestión de riesgos
El ENS obliga a realizar una evaluación de riesgos periódica que identifique las amenazas y defina medidas proporcionales:
Análisis de impacto
Planes de mejora
Priorización de sistemas críticos
Buenas prácticas complementarias para proteger los expedientes de contratación
Además de cumplir con los requisitos del ENS, hay prácticas adicionales que refuerzan la seguridad:
Capacitación del personal en protección de datos y ciberseguridad
Limitación de acceso a documentos según rol
Gestión documental segura, evitando compartir archivos por canales no cifrados
Revisión legal de los pliegos para garantizar que no se publica información innecesaria
Uso de plataformas oficiales que cumplan estándares de seguridad reconocidos
Consecuencias de una brecha de seguridad en una licitación
Las implicaciones de un acceso no autorizado a datos licitatorios pueden ser muy graves:
Anulación del procedimiento
Reclamaciones de licitadores
Investigaciones por parte del Tribunal de Cuentas
Daños reputacionales a la entidad
Posibles responsabilidades disciplinarias o penales
Además, en caso de afectación a datos personales, podría ser necesario notificar la brecha a la AEPD y a los afectados, conforme al artículo 33 del RGPD.
Ejemplo real de incidente: filtración anticipada de ofertas
En 2023, una entidad pública fue objeto de una filtración por la cual se accedió antes de tiempo a los sobres electrónicos con las ofertas económicas de varios licitadores. El incidente fue posible por una mala configuración de permisos en la plataforma. El procedimiento fue impugnado y anulado, con consecuencias legales y reputacionales para la administración convocante.
Este tipo de casos refuerzan la necesidad de aplicar marcos como el Esquema Nacional de Seguridad para evitar vulnerabilidades de configuración y garantizar entornos tecnológicos controlados.
Cómo puede ayudarte Audidat a proteger tus procesos de contratación
Asegurar la confidencialidad y trazabilidad de los datos en los procedimientos de contratación pública no es una opción, sino una necesidad. En Audidat contamos con experiencia especializada en ayudar a entidades públicas y mixtas a cumplir con los requisitos del Esquema Nacional de Seguridad, adaptando las medidas a su realidad operativa, sus sistemas de licitación y sus niveles de exposición. Nuestro enfoque combina diagnóstico, planificación, formación y acompañamiento técnico-jurídico, sin compromiso y con plena orientación al cumplimiento normativo.
Preguntas frecuentes sobre seguridad en licitaciones públicas
¿Qué tipo de información se considera crítica en una licitación?
Principalmente las ofertas económicas, criterios de adjudicación y cualquier dato que pueda influir en el resultado o dar ventaja a un licitador.
¿El ENS es obligatorio para todas las plataformas de contratación pública?
Sí. Todas las plataformas que gestionen relaciones con la administración deben adecuarse al ENS, ya sea desarrolladas internamente o contratadas a terceros.
¿Puede una brecha de seguridad anular una licitación?
Sí. Si se demuestra que hubo acceso indebido a información sensible, el procedimiento puede ser impugnado y anulado por vulnerar los principios de transparencia e igualdad.
¿Es necesario cifrar los documentos presentados por los licitadores?
No es obligatorio, pero sí altamente recomendable. El cifrado garantiza la confidencialidad y evita manipulaciones.
