Ya no se trata de incidentes aislados. Estas son alertas repetidas. En apenas unos meses, varios servicios públicos franceses se han visto afectados por ciberataques a gran escala, que en ocasiones han dejado al descubierto volúmenes considerables de datos personales, especialmente en el ámbito de la salud. Los ataques contra el Seguro de Salud y la CAF afectaron a cientos de miles de personas. El incidente contra la Agencia Nacional de Seguridad de los Valores (ANTS) en abril de 2026, aunque su alcance exacto sigue siendo debatido, nos recordó una vez más la vulnerabilidad de los sistemas en el corazón de la vida cotidiana de los franceses. Los defectos no son neutrales. Son peligrosos, tanto para los individuos como para la confianza digital entre los servicios públicos y los usuarios.
Estos ataques afectan ahora a algunos de los datos más sensibles, como la identidad, los datos de contacto, la información fiscal, pero también los datos de salud. Su explotación maliciosa puede tener consecuencias directas (suplantación de identidad, fraude, chantaje, etc.), pero también consecuencias indirectas, al alimentar un clima duradero de desconfianza.
Al mismo tiempo, la relación entre los usuarios y los servicios públicos se ha vuelto masivamente digital: declaración de impuestos en línea, seguimiento de los reembolsos sanitarios, solicitudes de documentos de identidad, trámites sociales o incluso seguimiento escolar mediante herramientas como Pronote. Estos usos implican flujos constantes de datos personales y se están convirtiendo en la norma. Sin embargo, esta desmaterialización suele ir acompañada de una percepción mixta, asociada a viajes complejos e interfaces poco intuitivas. Cuando los viajes se perciben como difíciles, cuando el usuario debe proporcionar repetidamente información sensible, la promesa implícita es clara: estos datos estarán protegidos. Si se incumple esta promesa, toda la relación digital con los servicios públicos fracasará.
Por eso ya no se puede abordar la ciberseguridad como un tema técnico o regulatorio. Ciertamente, el GDPR regula estrictamente la protección de datos personales y la directiva europea NIS2 (seguridad de redes y sistemas de información) exige un refuerzo de las medidas de seguridad para las entidades esenciales. Pero estos marcos legales no son suficientes para responder a la magnitud del desafío.
Los servicios públicos están en primera línea. Como tal, la protección de datos no es un tema periférico. Es un pilar de la transformación pública, al igual que la modernización de los servicios o su accesibilidad.
Esta exigencia se ve hoy reforzada por el auge de la inteligencia artificial (IA) generativa en las administraciones. Si estas herramientas abren perspectivas considerables como la automatización, la asistencia a los agentes y la mejora de los servicios, también introducen nuevos riesgos como la reutilización incontrolada de datos, la opacidad del procesamiento y la dependencia de proveedores externos. Las llamadas soluciones “agentes”, capaces de actuar de forma autónoma movilizando datos y encadenando acciones, acentúan aún más estos riesgos. Pueden manipular información sensible y tomar decisiones sin supervisión humana directa, complejizando el control de los flujos de datos y la trazabilidad de los usos.
A esto se suma el conocido fenómeno de la “TI en la sombra”. Ante herramientas que a veces se consideran insuficientes, los agentes pueden recurrir a soluciones no validadas, incluidas herramientas de inteligencia artificial accesibles en línea. Los riesgos inmediatos son la fuga involuntaria de datos, la pérdida de control sobre el procesamiento y la transferencia a entornos fuera de cualquier control público.
En este contexto, la cuestión de la soberanía de los datos se vuelve central. ¿Dónde se almacenan los datos de los ciudadanos? ¿Con qué garantías de acceso, seguridad y no explotación? Los servicios públicos no pueden delegar estas cuestiones sin exigir fuertes exigencias a los operadores digitales con los que trabajan. Transparencia de usos, auditoría de sistemas, control de cadenas de procesamiento, estas condiciones deben volverse innegociables.
La respuesta no puede ser parcial y requiere un esfuerzo global mediante la protección de las infraestructuras, el aumento de las habilidades de los agentes, una gobernanza rigurosa de las herramientas digitales y la clarificación de responsabilidades. También implica reforzar la educación entre los funcionarios públicos, porque cada uso puede convertirse en un punto de entrada.
Por supuesto, esto tiene un costo. Pero la cuestión ya no es sólo presupuestaria. Es estratégico. Porque a medida que los ataques se multiplican, la satisfacción del usuario está en juego. Una acumulación de incidentes, incluso los aparentemente menores, puede ser suficiente para crear una desconfianza duradera.
La transformación digital de los servicios públicos se basa en un contrato implícito: simplicidad, eficiencia, seguridad. Si no hay seguridad, este contrato se desmoronará. Y con ello, la confianza que sustenta la acción pública.
Este artículo es una columna, escrita por un autor ajeno al periódico y cuyo punto de vista no compromete a la redacción.
