Un año más, desde GEOGRAMA publicamos el Anuario sobre el estado de la ciberseguridad en el sector SIG. Como ya es costumbre cada inicio de año, nos detenemos a reflexionar sobre la seguridad y los sistemas de información geográfica, plasmando en un documento nuestra visión sobre la relación entre ambos conceptos y compartiendo reflexiones sobre tendencias, preocupaciones y la forma en que se está gestionando la seguridad de las infraestructuras digitales que soportan los servicios de información geográfica. Además, como siempre, lanzamos algunas ideas y propuestas para focalizar y seguir avanzando hacia el objetivo de ofrecer servicios SIG cada vez más seguros.
La ciberseguridad debe ser un elemento central y transversal en la organización, no accesorio, para quienes trabajamos en este sector. Con frecuencia hablamos de la producción (como es lógico) y nos olvidamos de la seguridad; y cuando se menciona, suele ser por malas noticias, porque ha ocurrido algún incidente que paraliza el trabajo o el servicio en cuestión. En nuestro sector también debemos hablar de ciberseguridad: de lo que hacemos; de lo que no hacemos, pero sabemos que deberíamos hacer; y, ¿por qué no?, de lo que no nos está funcionando.
En nuestra opinión, tanto las empresas desarrolladoras como las entidades privadas y públicas que contratan estos servicios debemos tener presente que, si no consideramos la seguridad en el día a día de nuestros sistemas, además de incumplir normativas y requisitos legales, incurrimos en una dejación de funciones y ponemos en riesgo, en primer lugar, el servicio que se presta —que en ocasiones puede ser crítico incluso para la integridad física de las personas—, así como datos confidenciales o personales de ciudadanos, clientes o cualquier otro colectivo. Y, por qué no decirlo, también comprometemos la continuidad de nuestra actividad y, en última instancia, nuestros propios puestos de trabajo. Por lo tanto, poner excusas o mirar para otro lado no puede ser una opción.
La financiación del programa mundial CVE estuvo a punto de expirar el 16 de abril de 2025, poniendo en riesgo su continuidad y el seguimiento global de vulnerabilidades, aunque finalmente se obtuvo una prórroga temporal. Este evento fue una evidencia más de la dependencia europea. Fuente: Forbes.
SafeGIS 2026 se centra específicamente en la gestión de la seguridad de la cadena de suministro de software, que en resumen es el conjunto de componentes tecnológicos sobre los que se basa un servicio digital, en nuestro caso un servicio de información geográfica. La cadena de suministro de software se ve afectada por múltiples variables y eventos de seguridad a lo largo del tiempo: desde su propio ciclo de vida y la obsolescencia de versiones hasta dependencias y vulnerabilidades. Una gestión adecuada de este tipo de eventos es fundamental para mantener un mayor control sobre la seguridad de un sistema y, en consecuencia, poder vivir más tranquilos.
Desde luego, nadie ha dicho que sea fácil gestionar la cadena de suministro de software, más allá de las herramientas concretas disponibles. Las dependencias y la complejidad crecen cada día, y las amenazas son cada vez más sofisticadas. Pero hay que empezar por algún sitio y, como casi siempre, la clave está en buscar un equilibrio: minimizar los riesgos optimizando los recursos dedicados a ello. Por un lado, se trata de centrar los esfuerzos allí donde realmente existe un riesgo relevante, para ser eficientes en la mitigación; por otro, de reducir al mínimo los dolores de cabeza asociados a aplicar parches, actualizar versiones, migrar sistemas o convencer a los mandos de la necesidad de invertir o interrumpir un servicio que funciona, precisamente para que siga funcionando igual, pero de forma más segura.
Cuando antes decíamos que la ciberseguridad debe ser un elemento transversal, no era una afirmación vacía. Esto significa que la mentalidad de ofrecer servicios seguros debe extenderse tanto horizontal como verticalmente en las organizaciones e instituciones, de modo que se entienda como una inversión rentable y no como un gasto.
Queda todavía camino por recorrer, y así se percibe en el muestreo que publicamos en el anuario. Muchos de los Servicios de Información Geográfica analizados presentan una cadena de suministro vulnerable, en la que el conjunto de tecnologías empleadas incluye vulnerabilidades conocidas. Algunas de ellas, incluso, cuentan con evidencias de estar siendo explotadas en ciberataques de tipo ransomware en el mundo real. En otros casos, se trata directamente de tecnologías obsoletas, de las cuales ya no existen análisis actualizados, lo que puede dejar abiertos numerosos puntos débiles en los sistemas.
En GEOGRAMA somos conscientes de esta realidad y hemos integrado la ciberseguridad de la cadena de suministro de software como un servicio más para nuestros clientes. Hoy en día, creemos que no es posible ofrecer servicios SIG sin tener en cuenta esta variable.
Existen múltiples opciones en el mercado, más o menos complejas, para abordar este reto. En GEOGRAMA, con nuestra métrica SafeGIS Risk Score, los servicios de nuestros clientes cuentan con una monitorización periódica de las tecnologías que los componen y un análisis continuo de los eventos de seguridad que los afectan. Gracias a la alimentación del análisis con diversas fuentes de datos de calidad, somos capaces de ofrecer conclusiones y recomendaciones periódicas para mantener la cadena de suministro de software lo más segura posible y de manera eficiente.
En todo caso, la herramienta no es lo importante; lo relevante es que la mentalidad y la estrategia alcancen a toda la organización, especialmente a los cargos intermedios y ejecutivos.
Y cuando hablamos de «diversas fuentes de datos», también debemos tener en cuenta quién nos surte esos datos. La independencia estratégica de Europa en este ámbito debe fortalecerse, evitando depender de acontecimientos fuera de nuestro control. Ejemplos recientes ilustran esta necesidad: las incertidumbres sobre la financiación de MITRE a comienzos de año en EE. UU., o el cierre del gobierno federal a finales del mismo, que provocó que el Instituto Nacional de Estándares y Tecnología (NIST) —encargado de complementar los datos sobre vulnerabilidades publicadas— dejara en el aire la continuidad de su servicio.
Un ciberataque histórico al registro de tierras de Eslovaquia (que podría equivaler a una combinación de nuestros Catastros y Registros de la Propiedad) paralizó los sistemas de propiedad y generó interrupciones en los servicios durante semanas. Se cree que fue un ransomware, con exigencias millonarias y de posible origen extranjero. Esto demuestra que los Servicios de Información Geográfica son objetivo de ciberataques. Fuente: The Record.
En todo caso, SafeGIS se alimenta también de fuentes de datos europeas para proporcionar cada trimestre un resumen ejecutivo a nuestros clientes, con un valor cuantitativo de riesgo —donde de 0 a 60 el riesgo es aceptable, de 60 a 80 se recomiendan tareas de mitigación y de 80 a 100 la mitigación es urgente—, junto con recomendaciones cualitativas que pueden complementar otro tipo de informes.
Como dato curioso, desde la implantación de este servicio, el primer análisis realizado a los sistemas de nuestros clientes suele situar su nivel de riesgo entre 60 y 70 sobre 100, lo que implica la necesidad de ejecutar tareas de mitigación. Una vez completadas dichas acciones, el riesgo se reduce a una media de 15–20 sobre 100 y se mantiene por debajo de 60 durante aproximadamente seis meses. Esto significa que, mientras el riesgo permanezca por debajo de 60/100, el sistema se apoya en un conjunto de tecnologías en un estado saludable, sin vulnerabilidades relevantes, no obsoleto y en una fase adecuada de su ciclo de vida, entre otros parámetros.
Si algo tenemos claro, independientemente de la herramienta empleada, es que ya resulta imprescindible contar con estrategias que prioricen el mantenimiento de servicios de calidad a lo largo de su ciclo de vida y adoptar un enfoque proactivo para mantener infraestructuras digitales seguras.
Os animamos a consultar el Anuario SafeGIS sobre ciberseguridad en servicios SIG y a seguir profundizando en la protección de infraestructuras geoespaciales.
Publicado por Iker Zaldívar López, responsable de sistemas de GEOGRAMA.
