Lo que la agenda del juez Calama dice sobre el riesgo jurídico del Estado

La imputación de un expresidente del Gobierno acapara los titulares. Pero, para un jurista, el dato más revelador del caso Plus Ultra no es quién está investigado, sino quién investiga.

José Luis Calama es magistrado instructor de la Audiencia Nacional. Su función no es declarar a nadie culpable –eso corresponde al tribunal que juzga–, sino investigar los hechos y decidir si estos revisten la entidad penal suficiente para llevarlos a juicio. Conviene aclararlo cuanto antes: citar a Calama no es elogiarlo ni reprocharle nada. Lo que importa es el tipo de causas que llegan a su mesa.

Y ese tipo de causas dibuja un patrón. Antes del caso Plus Ultra, Calama instruyó el espionaje con el programa Pegasus a miembros del Gobierno; el caso Alcasec –la intrusión que dejó al descubierto datos reservados de cientos de miles de contribuyentes a través de sistemas de intercambio de información judicial y tributaria–; y el fraude masivo de la plataforma de criptoactivos Arbistar. Espionaje, ciberataque, estafa tecnológica. Un mismo juzgado, una causa tras otra.

La conclusión es sencilla: las investigaciones de mayor impacto del país se concentran cada vez más en el terreno digital. El juez no padece la enfermedad: la detecta. La enfermedad son los delitos que llegan, uno tras otro, a su mesa.

Qué se investiga en Plus Ultra

Conviene precisar el contorno jurídico. La causa –Diligencias Previas 597/2021, del Juzgado de Instrucción n.º 15 de Madrid– arranca de una querella presentada a través de la acción popular. Atribuye, como presuntos delitos y, a falta de calificación definitiva, los de malversación de caudales públicos, tráfico de influencias y fraude en la obtención de subvenciones.

En el centro está el rescate de 53 millones de euros concedido a Plus Ultra Líneas Aéreas por acuerdo del Consejo de Ministros de 9 de marzo de 2021, canalizado a través del Fondo de apoyo a la solvencia de Empresas Estratégicas, adscrito a la SEPI. La querella sostiene que no concurrían las condiciones que exigía el Real Decreto-ley 25/2020, cifra el perjuicio para la Hacienda Pública en esos 53 millones y se dirige también contra los responsables de la SEPI que autorizaron la ayuda.

Un matiz imprescindible: se trata de una calificación de parte y de hechos aún bajo investigación. Rige la presunción de inocencia.

¿Qué tiene que ver Plus Ultra con un ciberataque?

A primera vista, nada. Plus Ultra es una causa sobre dinero público; Pegasus, Alcasec o Arbistar son causas tecnológicas. Pero todas han llegado a la misma mesa y comparten algo más profundo que el titular: en todas se discute si los controles que la ley impone al Estado –sobre su dinero, sus datos, sus sistemas– funcionan de verdad o solo existen sobre el papel.

Esa es la pregunta que recorre la agenda de Calama. Y la respuesta, una y otra vez, apunta al mismo punto débil: no la falta de normas, sino la distancia entre la norma y su aplicación. En Plus Ultra se ventila, presuntamente, un control financiero que no operó como debía. El resto de su agenda muestra ese mismo fallo, pero trasladado al lugar al que se ha mudado el Estado: lo digital.

Del dinero a los datos: el caso Alcasec

El ejemplo más nítido es Alcasec. Una intrusión dejó al descubierto datos reservados de cientos de miles de personas a través de sistemas públicos de intercambio de información. Y no eran datos cualesquiera: el Reglamento General de Protección de Datos protege de forma reforzada las categorías más sensibles y obliga a evaluar por adelantado los tratamientos de alto riesgo.

España no carecía de defensas. Tiene un Esquema Nacional de Seguridad, cuya aplicación en el sector público coordina el Centro Criptológico Nacional; un Centro de Operaciones de Ciberseguridad de la Administración General del Estado; capacidades específicas en la Administración de Justicia y equipos de respuesta como el CCN-CERT y el INCIBE-CERT. El marco existía. Lo que falló, igual que en Plus Ultra, no fue la norma: fue su aplicación real.

No es un matiz menor. El Tribunal Constitucional, en su sentencia 142/2018, situó la ciberseguridad dentro de la seguridad pública del Estado: no es una imagen retórica, sino una categoría jurídica con consecuencias sobre quién es competente y quién responde. Por eso los expertos no hablan de un riesgo único, sino de ciberriesgo: software malicioso, hardware o firmware manipulado, robo de credenciales, amenazas internas, ataques a proveedores externos. La pregunta de fondo no es solo quién atacó, sino por qué el ataque fue posible.

Más normas no cierran la brecha

Podría pensarse que la solución es regular más. España ya lo ha hecho y por capas. La Ley 8/2011 trasladó a nuestro Derecho la protección europea de las infraestructuras críticas: aquellas cuyo funcionamiento es indispensable y cuyo sabotaje tendría un grave impacto en los servicios esenciales. Después llegaron la primera Directiva NIS, la Estrategia de Ciberseguridad Nacional de 2019 y, ahora, la Directiva NIS 2, que amplía las obligaciones a más sectores y obliga a actualizar el propio Esquema Nacional de Seguridad.

Cada capa se suma a la anterior; ninguna la sustituye. Pero acumular normas no cierra la brecha que revelan Plus Ultra o Alcasec: lo que la cierra es aplicarlas. Para quien decide –en una empresa o en la Administración–, cumplir ha dejado de ser rellenar papeles: es una cadena de responsabilidad que no se rompe ni siquiera cuando se externaliza un servicio crítico.

El 5G, el próximo gran examen

Todo lo anterior tiene un escenario futuro y de mayor escala: las redes 5G. No es un cambio de tema, sino el mismo problema en su versión más exigente. Sobre esa infraestructura –que recorre el núcleo de la red, la red de acceso y los elementos de transmisión y gestión– van a circular casi todos los servicios esenciales del país; también el dinero público y los datos reservados cuya protección está hoy en cuestión en los juzgados.

La normativa española de ciberseguridad 5G y su Esquema Nacional de Seguridad específico han creado un régimen especial. Incluye una herramienta delicada: la calificación de un proveedor como suministrador de alto riesgo. El Gobierno la decide valorando, entre otras cosas, los vínculos del proveedor con gobiernos extranjeros, la capacidad de un tercer Estado para presionarlo o la solidez de su normativa de protección de datos.

Detrás de esos criterios hay una palabra que no es retórica: soberanía. No la soberanía sobre un territorio, sino la capacidad real del Estado de controlar las infraestructuras de las que dependen sus funciones. Cuando se vulnera un nodo de datos judicial –como en Alcasec– o cuando una pieza crítica de la red depende de un proveedor sujeto a un país tercero, el problema deja de ser un caso concreto: es la autonomía estratégica del Estado.

La lección para quien decide

El ruido sobre la imputación de un expresidente pasará. El problema de fondo que la agenda de Calama deja a la vista, no. Operadores de telecomunicaciones, Administración y empresas comparten la misma realidad: la línea que separa el cumplimiento de la negligencia es cada vez más fina y estos conflictos acaban ya en macrocausas de enorme complejidad técnica.

Para un operador, su análisis de riesgos y su estrategia de proveedores no son trámites: son la prueba de su diligencia. Para la Administración, el Esquema Nacional de Seguridad no se cumple aprobando una política, sino aplicándola y vigilándola cada día. Para una empresa, tratar datos sensibles o poner en marcha cualquier operativa sin evaluar antes su impacto es hoy una exposición jurídica de primer orden.

La frontera del Estado digital no se defiende con titulares, sino con una arquitectura jurídica bien construida y, sobre todo, bien aplicada. Por eso, esta vez, valía la pena mirar al juez y no al titular: su agenda de instrucción es el mejor indicador de dónde está hoy el riesgo jurídico del Estado.