En la Bonilista del pasado 9 de noviembre, titulada «La Administración en llamas», David reflexionaba sobre el incidente ocurrido en Corea del Sur —donde un incendio afectó a los sistemas que almacenaban información crítica de los ciudadanos y no existían copias de seguridad adecuadas— y se preguntaba qué pasaría si sucediera algo así en España.

Escribí a David para explicarle que, en España y sus comunidades autónomas, aunque tenemos muchos puntos de mejora, hay soluciones e infraestructuras robustas que protegen los datos y los servicios que se prestan a los ciudadanos ante incidentes similares. Me propuso contar mi punto de vista para que pudierais opinar sobre el mismo sin ninguna interferencia... y aquí estamos.

Imaginemos un escenario extremo: un ataque físico grave contra el datacenter principal de una comunidad autónoma. ¿Desaparecerían los datos de los ciudadanos? ¿Se paralizarían los servicios? ¿Tendríamos que volver al papel? ¿Deberíamos irnos a Estonia para tener una copia segura?

Al menos en el caso de la Región de Murcia, la respuesta es no. Los datos seguirían disponibles y los servicios continuarían funcionando con normalidad. Antes de que empecéis a hacer memes del flipado del responsable de IT de la Región, que sostiene que Murcia tiene una infraestructura tecnológica mejor que la de Corea, dejadme explicaros por qué.

En 2014 se puso en marcha el proyecto CRISOL —ampliado en 2019— que dotó a la Región de dos datacenters en configuración activo-activo, uno de ellos con certificación Tier IV, la más alta tanto en construcción como en operación. Si uno dejara de funcionar, el otro podría seguir prestando servicios en producción sin interrupciones significativas (aunque, lógicamente, los entornos de pruebas y desarrollo sí se verían afectados). Además, las copias de seguridad se almacenan en otro centro de datos, fuera de la Región.

Esto nos protege frente a ataques físicos, catástrofes naturales y ciberataques como el ransomware. Siempre existiría una copia desde la que recuperar la información. Otra cuestión distinta sería el RTO o tiempo de recuperación, en caso de que el segundo datacenter también se viera afectado, pero ese es un debate técnico que daría para otro artículo.

Aun así, el análisis de riesgos nos llevó a detectar un escenario extremo pero posible: un sabotaje interno por parte de personal con acceso privilegiado del proveedor de servicios, que pudiera afectar incluso a los backups. Para mitigar ese riesgo, este año hemos puesto en marcha el proyecto ARKEO, que consiste en desplegar cabinas de almacenamiento inmutables en un datacenter completamente ajeno a nuestro proveedor, garantizando una copia adicional protegida frente a manipulaciones internas.

Gracias a toda esa infraestructura redundante, lo ocurrido en Corea del Sur no habría tenido consecuencias críticas en Murcia. Pero esto no es un publirreportaje. No todo es positivo, ni mucho menos. Porque, a pesar de toda esa infraestructura, la impresión de la ciudadanía es que su Administración electrónica es mediocre, cara y lenta. Y es importante reconocerlo.

En charlas y congresos sobre transformación digital suelo mostrar comentarios reales de redes sociales que reflejan la frustración de ciudadanos y profesionales con los servicios digitales públicos.

No hay nada que excuse un mal servicio o una experiencia de uso deficiente, pero permitidme compartir el contexto histórico en el que surgen estos problemas.

No busco justificarme sino compartir con otros colegas los retos a los que nos enfrentamos en nuestro día a día.

A veces hablo con CIOs de grandes empresas privadas y la mayoría gestiona entre 40 y 80 aplicaciones. En las comunidades autónomas gestionamos miles. Solo en la Región de Murcia, más de 1.500. Gobernar ese ecosistema es extraordinariamente complicado.

Esto tiene una explicación histórica. A finales de los 80 y principios de los 90, cada consejería o ministerio creó su propio servicio de informática. Durante años, cada uno creció asilvestrado de forma independiente. Más adelante se intentó centralizar las infraestructuras y las comunicaciones, pero en muchos casos se dejaron fuera las aplicaciones, lo que hizo que el problema se perpetuara.

«Pero hay otros países y regiones que cuentan con una Administración electrónica tan compleja o más que la española y mucho más eficiente, mira Estonia, por ejemplo». Completamente de acuerdo, pero no olvidemos que Estonia es un estado que se creó en los 90, donde hablar de ordenadores ya era algo habitual. Pudieron diseñar su Administración teniendo en cuenta la tecnología. En nuestro caso, digamos que «hemos tenido que cambiar los motores mientras el avión está volando».

Así que la mayoría de los problemas actuales tienen que ver con la obsolescencia de esas aplicaciones, con la falta de recursos económicos y humanos para actualizarlas, la ausencia histórica de una estrategia tecnológica clara, plantillas envejecidas y la dispersión tecnológica. Son esas aplicaciones —no la infraestructura en la que se ejecutan— la Administración electrónica que perciben los ciudadanos.

Y, a pesar de todo, soy razonablemente optimista. Hoy, varias comunidades autónomas han centralizado el ámbito IT y la combinación de una mayor madurez organizativa con el uso adecuado de tecnologías como la inteligencia artificial puede ayudarnos a cerrar parte de esa brecha en los próximos años.

No será inmediato ni mágico, pero creo que en un horizonte de unos tres años las administraciones públicas se parecerán bastante más a lo que la ciudadanía espera de ellas.

¿Por qué me aventuro a dar ese plazo? Por un lado, porque las inversiones realizadas tras la COVID (especialmente entre 2022 y 2023) han acelerado procesos de modernización que ya empiezan a dar resultados y que deberían consolidarse hacia 2028-2029 (las cosas de palacio, desgraciadamente, van despacio). Por otro, porque el impacto de la IA ya se está notando: hoy en proyectos pequeños, acotados y experimentales, pero con un potencial claro para escalar y transformar de verdad cómo prestamos servicios públicos.

Soy razonablemente optimista porque, aunque queda mucho por hacer, por fin estamos abordando lo que durante demasiado tiempo se dejó para después.

La deuda técnica siempre es carísima de devolver. En Corea, en Murcia y en cualquier otro lado.

¿Quieres ayudarme a difundir este texto?