La Factura Electrónica ya es obligatoria en España tras el Real Decreto 238/2026

Deja un comentario

El 31 de marzo de 2026 se publicó en el BOE el Real Decreto 238/2026, de 25 de marzo, que desarrolla el sistema de facturación electrónica obligatoria entre empresarios y profesionales (B2B).

Esta norma representa, por fin, la concreción reglamentaria de una obligación que ya se esbozaba en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Lamentablemente, han tenido que pasar casi veinte años desde que aquella ley anunciara la regulación sobre factura electrónica —con el objetivo de impulsar la digitalización y reducir la morosidad— hasta que el Real Decreto 238/2026 la hace efectiva y operativa para todo el tejido empresarial español. Y el resultado no justifica la demora, porque la norma es mejorable.

Es un retraso injustificable que ha privado durante dos décadas a pymes y autónomos de los beneficios de la trazabilidad digital, la agilidad en los cobros y la reducción drástica de costes administrativos.

Como autor del Manual de Factura Electrónica (la edición 2010, fue la tercera versión y estuvo influenciada por la Ley 56/2007), anticipaba con entusiasmo los enormes avances que traería la factura electrónica.

En sus páginas ya analizaba los primeros pasos en el sector público y defendía su extensión al ámbito privado como herramienta clave de modernización. Hoy, casi dos décadas después, celebro que el RD 238/2026 cierre por fin ese círculo, aunque con un retraso que ha lastrado la competitividad de nuestras empresas.

Veamos algunos aspectos del Real Decreto 238/2026 con una visión sesgada por mi experiencia de más de 15 años en el ámbito de la factura electrónia.

Contexto y objetivos del Real Decreto 238/2026

Culminación (tardía) de aspectos previstos en la Ley 56/2007 (Preámbulo y Artículo 1). El decreto desarrolla expresamente el artículo 2 bis de la Ley 56/2007 (modificado por la Ley 18/2022, de creación y crecimiento de empresas) y su disposición adicional vigesimoprimera (introducida por la Ley 7/2024). Esta vinculación directa es el núcleo de la norma: lo que en 2007 se planteó como un marco general de impulso a la sociedad de la información se convierte ahora en obligación concreta para todas las operaciones B2B. Sus objetivos principales siguen siendo los mismos que inspiraron la Ley 56/2007 hace casi veinte años:

  • Reducir la morosidad comercial mediante la trazabilidad real de plazos de pago.
  • Digitalizar procesos y ahorrar costes administrativos.
  • Mejorar la información tributaria y luchar contra el fraude.
  • Garantizar interoperabilidad entre plataformas privadas y la solución pública de la AEAT.

Se alinea además con directivas europeas sobre morosidad y facturación electrónica.

El decreto consta de 15 artículos, 7 disposiciones adicionales, 3 transitorias y 4 finales, y entrará en vigor el 20 de abril de 2026.

Su aplicación efectiva, sin embargo, queda supeditada a la futura orden ministerial que desarrolle la solución pública de la AEAT.

Lamentar el retraso no es solo una cuestión histórica: durante estos casi veinte años, miles de empresas han seguido gestionando facturas en papel o PDF no estructurados, con los consiguientes costes, errores y retrasos en cobros que la Ley 56/2007 ya pretendía evitar.

Ámbito de aplicación y excepciones (Artículos 3 y 4)

La obligación afecta a todos los empresarios y profesionales que deban expedir facturas conforme al Reglamento de facturación (RD 1619/2012), cuando el destinatario sea otro empresario/profesional establecido en España.

Excepciones principales: facturas simplificadas (salvo cualificadas), exclusiones sectoriales justificadas y determinados sectores regulados (operadores energéticos e IATA).

En el País Vasco y Navarra se aplicarán acuerdos con las Haciendas Forales.

El “Sistema Español de Factura Electrónica” (Artículos 5 y 6)

Se compone de plataformas privadas y la solución pública de la AEAT (gratuita y voluntaria).

Las empresas podrán elegir entre ellas, pero siempre con copia fiel a la plataforma pública cuando se use una privada.

Si no hay acuerdo, se aplica la solución pública.

Requisitos técnicos de la factura electrónica (Artículo 7)

Factura en formato estructurado conforme a la norma europea EN 16931 (sintaxis CII, UBL, EDIFACT o Facturae), con firma electrónica avanzada o cualificada y código único identificador.

Interoperabilidad e interconexión entre plataformas privadas (Artículos 8 y 9)

Obligación de interconexión gratuita en un plazo máximo de un mes cuando lo solicite el cliente.

Obligaciones de información sobre estados de las facturas y pagos (Artículos 10 y 12)

El destinatario debe comunicar en 4 días naturales la aceptación/rechazo y el pago completo. Estos datos se remiten a la AEAT para elaborar indicadores de morosidad.

La solución pública de facturación electrónica de la AEAT (Artículo 11)

Plataforma gratuita que actúa como canal universal, repositorio y sistema de seguimiento. Usa formato UBL y garantiza confidencialidad (RGPD)

Requisitos de las plataformas privadas (Artículo 13)

Certificación ISO/IEC 27001, protocolos AS2/AS4, firma electrónica, plan de continuidad y cumplimiento de UNE 0080.

Calendario de implantación y régimen transitorio (Disposiciones finales y transitorias)

  • Entrada en vigor: 20 de abril de 2026.
  • Aplicación efectiva: a partir de la orden ministerial de la solución pública.
  • Fases: 12 meses para empresas con volumen > 8 millones de euros; 24 meses para el resto.
    Transitorios: subcontratistas del sector público, periodo de adaptación con PDF opcional en los primeros meses y entornos de pruebas de la AEAT.

Modificaciones al Reglamento de facturación (Disposición final primera)

Ajustes puntuales en el RD 1619/2012 para adaptarlo al nuevo régimen.Implicaciones prácticas para las empresas o despachos

El retraso de casi veinte años desde la Ley 56/2007 ha hecho que muchas empresas lleguen tarde a la digitalización.

La elección del formato UBL es muy oportuna. Una satisfacción para mi, que colaboré en la definición de la firma electrónica asociada a este formato.

Para cumplir desde el primer día con los exigentes requisitos de sello electrónico avanzado o cualificado que, te invito a que acudas ya a EADTrust a solicitar tu certificado o el servicio de sello electrónico remoto que incluye el software para integrar en tu aplicación de facturación. Llama al 91 7160555 o al 902 365 612.

Publicado el nuevo Reglamento de Ejecución (UE) 2026/798 para el desarrollo de la Cartera IDUE

Deja un comentario

Ayer, 8 de abril de 2026, se publicó en el Diario Oficial de la Unión Europea el REGLAMENTO DE EJECUCIÓN (UE) 2026/798 DE LA COMISIÓN de 7 de abril de 2026 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia y especificaciones para la incorporación a distancia de usuarios a las carteras europeas de identidad digital por medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia cuando la combinación cumpla los requisitos del nivel de seguridad alto.

Este acto de ejecución se basa en el artículo 5 bis, apartado 24, del Reglamento eIDAS (UE) 910/2014.

Su objetivo es fijar normas técnicas y especificaciones armonizadas para permitir la incorporación remota (onboarding) segura de usuarios a las carteras europeas de identidad digital (EUDI Wallets), utilizando medios de identificación electrónica (eID) de nivel de seguridad sustancial, y procedimientos adicionales para alcanzar el nivel alto. Esto garantiza confianza, seguridad y coherencia en toda la UE.

Los «Considerandos» principales:

  • La incorporación remota es esencial para verificar la identidad del usuario y vincularla a la cartera y al dispositivo.
  • Se utilizan normas ya consolidadas (basadas en ETSI) adaptadas al contexto de las carteras europeas.
  • Cuando el eID ya tiene nivel alto, no es necesario repetir verificaciones.
  • Para eID no notificados, se exige evaluación por organismos acreditados.
  • Se aplican plenamente las normas de protección de datos (RGPD, Reglamento 2018/1725 y Directiva 2002/58/CE).

Incluye 2 artículos:

  • Artículo 1: Establece que las normas de referencia y especificaciones aplicables figuran en el Anexo.
  • Artículo 2: Entrada en vigor y aplicabilidad (ver abajo).

El Anexo remite a la norma ETSI TS 119 461 V2.1.1 (febrero 2025) y selecciona/adapta sus cláusulas para dos escenarios:

  1. Incorporación remota con eID de nivel sustancial (Baseline LoIP).
  2. Procedimientos adicionales para alcanzar nivel alto (Extended LoIP).

Sección 1 – Cláusulas aplicables (selección de la ETSI TS 119 461):

  • Gestión de riesgos operativos, políticas y prácticas, gestión del servicio de verificación de identidad, requisitos del servicio, casos de uso concretos (con documento de identidad atendido/no atendido, por autenticación con eID, y refuerzo de nivel).

Sección 2 – Adaptaciones específicas (modificaciones importantes):

  • Evaluación de riesgos y políticas de prácticas.
  • Gestión del servicio (notificaciones, conservación de pruebas, gestión de crisis, acuerdos de cese).
  • Protección de datos por diseño y por defecto (limitación de datos biométricos).
  • Requisitos de verificación de identidad: uso de eID notificados o certificados por organismo acreditado, captura de imagen facial segura (comunicación de campo cercano con chip), tasas de falsa aceptación/rechazo (FAR/FRR).
  • Refuerzo de nivel: procedimientos para pasar de Baseline a Extended LoIP (solo cuando no se usó comparación facial automatizada).

Todo el proceso debe cumplir los requisitos de los Reglamentos de Ejecución (UE) 2015/1502 y ETSI EN 319 401.

Disposiciones finales

  • Entrada en vigor: a los veinte días de su publicación en el DOUE (es decir, el 28 de abril de 2026).
  • Aplicabilidad: obligatorio en todos sus elementos y directamente aplicable en todos los Estados miembros.

Con este acto de ejecución se confirma que decae (pierde aplicabilidad efectiva) la Orden ETD/465/2021 en el contexto de la incorporación remota a las carteras europeas de identidad digital (EUDI Wallets) y en las evaluaciones de conformidad de sistemas de verificación de identidad remota.

Por esta razón:

  • El Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183) y especialmente el Reglamento de Ejecución (UE) 2026/798 establecen un marco armonizado a nivel europeo.
  • Ambos remiten directamente a la norma ETSI TS 119 461 (versión 2.1.1 o posterior) como estándar único para la verificación de identidad remota.
  • La Orden ETD/465/2021 era una norma aplicable en España antes de la publicación del EIDAS2 (Reglamento UE 2024/1183) que detallaba cómo realizar la identificación remota y pierde sentido una vez publicada la norma europea armonizada ETSI TS 119 461.

Todavía podría utilizarse la Orden ETD/465/2021 en España para la expedición de certificados cualificados “tradicionales” (no para gestionar la identidad en «wallets»). Pero para esa funcionalidad también es posible optar por aplicar la norma ETSI TS 119 461.

Mejoras del algoritmo TLS 1.3 para resistir la amenaza de la computación cuántica

Deja un comentario

«Criptocalipsis» o «Q-day»

En el sector de la ciberseguridad a menudo preferimos anticiparnos a las amenazas. Por eso se ha acuñado el término «Criptocalipsis» —ese momento teórico en el que un ordenador cuántico sea lo suficientemente potente como para romper en poco tiempo la criptografía asimétrica que protege Internet (la base de los algoritmos de cifrado asimétrico y de firma electrónica como RSA y ECC)— .

A ello ha contribuido las recomendaciones de los organismos de estandarización (IETF, NIST, ETSI, ISO) y los grandes proveedores de infraestructura que se toman en serio los riesgos detectados .

Y el riesgo actual tiene un nombre técnico bastante inquietante: «Harvest Now, Decrypt Later» (Recolectar ahora, descifrar después).

Cabe pensar que el tráfico cifrado que circula hoy por las redes podría estar siendo recogido y almacenado masivamente por organismos de algunos estados o por grandes organizaciones delictivas con recursos económicos a su disposición.

La información que se guarda cifrada, sin conocer la clave de descifrado, parece poco útil, pero dentro de 5, 10 o 15 años, cuando llegue el llamado «Q-Day» (el día que un ordenador cuántico relevante esté operativo), esa «caja fuerte» de datos grabados hoy podría abrirse en espacios de tiempo cortos usando el algoritmo de Shor.

Si la confidencialidad de los datos de las empresas y organismos (secretos industriales, comunicaciones diplomáticas, datos médicos a largo plazo) debe durar más de una década, la criptografía convencional podría no ser suficiente.

Uno de los usos del cifrado se da en las comunicaciones seguras de los browsers o navegadores con los sitios web que tendrán instalado un certificado para que se pieda activar esa comunicación cifrada.

El protocolo utilizado se llamaba antiguamente SSL pero ya no se usa esa denominación porque ese protocolo incluía importantes vulnerabilidades, que se han resuelto posteriormente.

Ahora se emplea el protocolo TLS , la evolución del SSL, pero tampoco vale cualquier versión. No valen la versiones anteriores a la 1.2 y pronto dejará de utilizarse esta, conforme se generalice la versión TLS 1.3.

Y en el protocolo se usa un certificado X.509 en el servidor en base al cual se gestiona el intercambio de claves

  1. Si un ataque en base a computación cuántica desvelara la clave privada del certificado, el atacante podría suplantar el servidor (lo que requeriría más operaciones para la suplantación como atacar los DNS). Incluso si eso sucede, habría indicios que permitirían al propietario del servidor web legítimo detectarlo y reaccionar.
  2. La Confidencialidad de las comunicaciones se basa en el intercambio de claves de cifrado: Si un ataque en base a computación cuántica desvelara la clave de cifrado, de un intercambio de información del pasado (preservada por el atacante), podría descifrar todo el intercambio de información.

Por eso, la prioridad del IETF en su actualización del protocolo ha sido blindar el intercambio de claves. Y ya está publicado como estándar.

Enfoque híbrido del intercambio de claves: compatibilidad y reforzamiento

El reto en el intercambio de claves en TLS es que el objetivo de usar nuevos algoritmos postcuánticos (PQC) como Kyber (ahora estandarizado por NIST como ML-KEM), debería ser compatible con el uso de algoritmos muy probados como RSA o las Curvas Elípticas (ECC). ¿Qué pasa si al profundizar en los nuevos algoritmos se descubre una vulnerabilidad matemática no detectada en los análisis previos?

La respuesta del IETF en el reciente estándar para TLS 1.3 es el pragmatismo puro: el Intercambio de Claves Híbrido.

La idea es simple y práctica: no sustituir lo viejo por lo nuevo, sino usar ambos simultáneamente. Es una estrategia de «compatibilidad y refuerzo». Para que un atacante rompa la sesión, tendría que romper a la vez la criptografía clásica (X25519, híper probada) Y la nueva criptografía postcuántica (Kyber). Si el ordenador cuántico no da con la clave, nos protege la criptografía clásica. Si el ordenador cuántico expone la clave basada en criptografía clásica, nos protege la basada en criptografía postcuántica.

3. Cómo funciona el nuevo «Handshake» TLS 1.3 Híbrido

¿Cómo se modifica un protocolo tan establecido como TLS 1.3 para negociar dos tipos de criptografía radicalmente distintos en una sola ida y vuelta, sin perder eficiencia?

El cambio ocurre en las extensiones clave del handshake inicial:

A. El Cliente propone (ClientHello)

En un TLS 1.3 normal, el cliente usa la extensión supported_groups para decir «soporte la curva elíptica X25519» y la extensión key_share para enviar «aquí tienes mi mitad de la clave pública X25519».

En el nuevo TLS híbrido, el cliente da un paso más:

  1. En supported_groups, indica soporte para nuevos identificadores «compuestos», por ejemplo, uno que significa específicamente «X25519 combinado con Kyber768».
  2. En el key_share, el cliente no envía solo una clave. Envía un paquete concatenado: [Su clave pública X25519] + [Su clave pública Kyber].

B. El Servidor elige (ServerHello)

El servidor recibe la propuesta. Si soporta ese grupo híbrido y decide usarlo:

  1. Selecciona el grupo compuesto.
  2. Genera sus propias claves para ambos algoritmos.
  3. Realiza la operación clásica Diffie-Hellman con la parte X25519.
  4. Utiliza el mecanismo de Encapsulación de Clave (KEM) de Kyber para generar un «secreto compartido» y encapsularlo para el cliente.
  5. Devuelve en su ServerHello el paquete: [Su clave pública X25519] + [El criptograma encapsulado de Kyber].

C. La Magia: La Derivación de la Clave Maestra

Este es el punto crítico. Al final de este intercambio, tanto cliente como servidor tienen en sus manos dos secretos compartidos distintos:

  • El secreto resultante del intercambio clásico (ECDH).
  • El secreto compartido desencapsulado del intercambio postcuántico (KEM).

El estándar dicta que el key schedule de TLS 1.3 (la «coctelera» criptográfica que deriva las claves finales de cifrado simétrico AES o ChaCha20) debe combinar ambos secretos. Se introducen los dos ingredientes en la función de derivación.

El resultado matemático es fundamental: la clave de sesión final resultante depende criptográficamente de ambos secretos. Si un atacante cuántico logra romper la parte de X25519 en el futuro, no le servirá de nada, porque le falta el ingrediente de Kyber para poder reconstruir la clave de sesión. La confidencialidad futura queda asegurada hoy.

4. Una nota sobre el futuro de la Autenticación (Firmas y Certificados)

Los lectores más atentos notarán que solo hemos hablado del intercambio de claves. ¿Qué pasa con el certificado que presenta el servidor para autenticarse?

A día de hoy, ese certificado (el que emiten prestadores como EADTrust o Google) sigue utilizando firmas clásicas RSA o ECDSA. Como se ha indicado al principio, esto se considera un riesgo aceptable temporalmente, ya que romper esto solo permite ataques en tiempo real, no descifrado retroactivo.

La migración a certificados con firmas postcuánticas es un desafío logístico mucho mayor que implicará actualizar todas las raíces de confianza en navegadores y sistemas operativos.

Cuando llegue ese momento, la industria se debate entre varios candidatos del NIST. Mientras que Dilithium (ML-DSA) parece el estándar para propósito general, para casos de uso específicos como la firma de documentos y PDF, FALCON se perfila como una opción técnicamente superior debido a su eficiencia y al tamaño extremadamente compacto de sus firmas, algo crítico para no engordar innecesariamente los documentos electrónicos a largo plazo.

ENISA anticipa el borrador de la norma de evaluación de las Carteras de Identidad Digital de la UE

Deja un comentario

La Agencia europea ENISA acaba de lanzar una consulta pública sobre el borrador del esquema candidato de certificación para la Cartera de Identidad Digital Europea (EUDI Wallet), tras su desarrollo por el Grupo de Trabajo Ad Hoc (Ad Hoc Working Group) auspiciado por ENISA y del que me honro en formar parte.

Tras la adopción del Reglamento que establece el Marco Europeo de Identidad Digital (EIDAS2), la Comisión Europea solicitó a ENISA que apoyara la certificación de las Carteras de Identidad Digital Europea, incluyendo el desarrollo de un esquema europeo de certificación de ciberseguridad conforme al Cybersecurity Act.

Ahora, la Agencia europea ENISA publica el borrador de la norma y lo somete a una consulta pública.

La consulta pública tiene como objetivo validar los principios y la organización general del esquema propuesto, así como recopilar comentarios sobre los elementos del borrador y sus anexos. El plazo para enviar respuestas finaliza el 30 de abril de 2026.

Próximo seminario web

ENISA organizará un webinar para presentar el borrador del esquema candidato de la EUDI Wallet y responder preguntas: el Miércoles 8 de abril, de 15:00 a 16:30 CEST.

Esquemas nacionales de certificación de la EUDI Wallet

En febrero de 2026, ENISA firmó un Acuerdo de Contribución por 1,6 millones de euros con la Comisión Europea, con una duración de dos años, para apoyar el desarrollo, despliegue e implementación de esquemas nacionales de certificación de la Cartera de Identidad Digital Europea.

Financiado por el Programa Europa Digital (DEP) 2025–2027, el acuerdo establece los siguientes ámbitos de actividad:

  • Desarrollo de esquemas nacionales de certificación por parte de los Estados miembros
  • Aumento del conocimiento, capacidades y confianza mutua entre los Estados miembros y el ecosistema de certificación
  • Incremento de la capacidad y eficacia operativa para los Estados miembros y el ecosistema
  • Inicio de la alineación y transición efectiva desde los esquemas nacionales hacia un esquema europeo de certificación de ciberseguridad

Los Estados miembros deberán proporcionar al menos una Cartera de Identidad Digital Europea certificada antes de finales de 2026.

ENISA apoyará a la Comisión Europea y a los Estados miembros en la definición de controles de ciberseguridad en el ámbito de la identificación digital, facilitando su adopción oportuna en toda la UE.

¿Qué es la EUDI Wallet?

El uso de carteras digitales (EUDI Wallet, European Union Digital Identity Wallet) es un paso clave hacia una identificación fluida y segura tanto en el mundo físico como en el digital. Garantiza la seguridad y la protección de la privacidad de los usuarios y de sus datos personales.

El esquema de certificación verificará que cada cartera cumple altos requisitos de seguridad.

Hasta 2026, las implementaciones de carteras digitales rara vez habían pasado por procesos formales de certificación. El desarrollo de esquemas de certificación responde a la necesidad de un marco coherente de ciberseguridad que facilite el cumplimiento para los fabricantes, mejore la transparencia y apoye el uso seguro de productos y servicios digitales.

Las Carteras de Identidad Digital Europea también se debatirán en la Conferencia Europea de Certificación de Ciberseguridad 2026, titulada “Construir confianza mediante la certificación: las afirmaciones de seguridad deben demostrarse, no prometerse”, el 15 de abril de 2026 en Chipre.

Esquema de Certificación propuesto (EUDIW v0.4.614) para Revisión Pública

Esta publicación es una versión preliminar del esquema candidato de certificación de EUDIW (Esquema Europeo de Certificación de Ciberseguridad para las Carteras de Identidad Digital Europeas —EUDI Wallets— y los sistemas de identidad electrónica bajo los cuales se proporcionan).

El documento es el resultado del trabajo conjunto de los expertos del Ad Hoc Working Group (creado según lo previsto en el Artículo 48.2 del Reglamento (UE) 2019/881 «Ley de Ciberseguridad») y se presenta como base para una revisión pública, cuyo objetivo es:

  • Validar los principios y la organización general del esquema propuesto.
  • Recoger comentarios y observaciones sobre los elementos del borrador y sus anexos.

El esquema aborda la certificación de la ciberseguridad de los servicios en la nube relacionados con:

  • Las Carteras de Identidad Digital Europea (EUDI Wallets).
  • Los sistemas de identidad electrónica que las sustentan.

El borrador se acompaña de una versión preliminar del documento:

  • Requisitos de Seguridad para Proveedores de Servicios Relacionados con la Cartera (Wallet-Related Service Provider Security Requirements), v0.5.614

Este documento se incluye solo como referencia y para obtener una opinión temprana sobre el enfoque seguido.

Está abierta una revisión pública mediante el siguiente formulario (EUDIW Public Review) con Fecha límite: jueves 30 de abril de 2026 (incluido)

Archivos disponibles

Referencias en inglés:

¡Nueva edición del Curso de Computación Cuántica y Criptografía Postcuántica de EADTrust! 22 y 23 de abril de 2026 – Madrid (Hotel Zenith Conde Orgaz)

Deja un comentario

La computación cuántica ya no es ciencia ficción. Los avances recientes (como el chip Majorana 1 de Microsoft o los estándares NIST ya publicados) están acelerando el llamado “criptocalipsis”: el momento en que los algoritmos actuales de cifrado (RSA, ECC…) podrán ser rotos por un ordenador cuántico. ¿Está preparada tu organización para proteger sus datos, firmas electrónicas, transacciones y sistemas críticos frente a esta amenaza real?

EADTrust, como Qualified Trust Service Provider (QTSP) líder en España, organiza la nueva edición presencial de su curso “Introducción a la Computación Cuántica y a la Criptografía Postcuántica”, los días 22 y 23 de abril de 2026 (de 9:30 a 17:30 h) en el Hotel Zenith Conde Orgaz de Madrid.

¿A quién está especialmente dirigido este curso?

Este curso está pensado para quienes toman decisiones estratégicas en ciberseguridad, tecnología, cumplimiento normativo y protección de activos críticos. No requiere conocimientos previos de física ni criptografía: está diseñado para perfiles directivos y técnicos que necesitan entender el riesgo y planificar la migración.

Empresas e instituciones a las que más interesa:

  • Entidades financieras, bancarias y aseguradoras (bancos, fintech, medios de pago, seguros): para proteger transacciones, identidades digitales y activos financieros.
  • Administraciones públicas y organismos de defensa, seguridad e infraestructuras críticas: para cumplir con EIDAS 2.0, recomendaciones del CCN, ENISA y ETSI.
  • Empresas tecnológicas, telecomunicaciones y proveedores de servicios estratégicos: que gestionan PKI, firmas electrónicas o datos sensibles.
  • Sectores regulados como salud, energía, industria 4.0 y legaltech: donde la confidencialidad y la integridad a largo plazo son esenciales.
  • Responsables de ciberseguridad, CIOs, CTOs, DPOs y equipos de cumplimiento: que deben diseñar hojas de ruta de criptoagilidad y migración a PQC.

Si tu organización maneja información sensible, certificados digitales, firmas electrónicas o sistemas que deben seguir siendo seguros durante décadas, este curso es para ti.

¿Qué vas a aprender en dos días intensivos?

  • Día 1 (nivel introductorio): Historia de la física cuántica, qubits, superposición, entrelazamiento, puertas cuánticas y circuitos. Práctica real con el IBM Quantum Composer.
  • Día 2 (nivel avanzado y aplicado): Algoritmos cuánticos (Shor, Grover…), impacto en la criptografía actual, “criptocalipsis”, estándares NIST (ML-KEM, ML-DSA, etc.), hoja de ruta europea y del CCN, estrategias de migración híbrida y criptoagilidad.

Todo con la metodología ENSAR (Experience, Name, Speak, Apply & Repeat), material didáctico completo (incluido el IQC Kit), ejercicios prácticos, casos reales y ponentes expertos: Jorge Christen, Julián Inza, Ainhoa Inza y Antonio Peris.Incluye: certificado oficial de asistencia, comidas y pausas-café durante las dos jornadas.

Precio y descuentos

  • Precio general: 900 € + IVA
  • Descuento especial (hasta 25 %) para clientes de EADTrust o referenciados → hasta el 18 de abril de 2026.
    Solicita tu oferta personalizada.

¿Cómo inscribirte?

Plazas limitadas.
→ Rellena el formulario oficial aquí:
https://www.eadtrust.eu/formulario-curso-computacion/

O llama al 917 160 555 para más información.

No esperes al último momento. La transición a criptografía postcuántica es un proceso que lleva años y los plazos regulatorios (2026-2030-2035) ya están encima.

¿Quieres que tu organización esté preparada antes que la competencia?
Reserva tu plaza ahora y da el primer paso hacia la criptoagilidad real.

¿Tienes dudas o quieres que tu equipo asista en grupo? Escríbenos a contacto@eadtrust.eu (mailto:contacto@eadtrust.eu) o comenta abajo.

#ComputacionCuantica #CriptografiaPostCuantic #Ciberseguridad #CriptoAgilidad #EADTrust #PQC #QuantumSafe

Congreso del Observatorio de Derechos Digitales: Una mirada multidisciplinar a los derechos digitales

Deja un comentario

La Universidad Pontificia Comillas (ICADE) organiza los días 22 y 23 de abril de 2026 el Congreso del Observatorio de Derechos Digitales, bajo el título “Una mirada multidisciplinar a los Derechos Digitales”, en el que me han invitado a participar.

El evento se celebrará de forma presencial en el Auditorio del Espacio de Investigación y Transferencia de la universidad, ubicado en la calle Rey Francisco 4, Madrid.

El congreso, dirigido por los profesores Íñigo A. Navarro Mendizábal (Codirector del Observatorio Legaltech Garrigues-ICADE) y Ricardo Pazos Castro (Director del Centro Internacional de Investigación Jurídica Comillas-ICADE), tiene como objetivo principal analizar desde una perspectiva interdisciplinar los principales desafíos jurídicos y sociales que plantean las tecnologías digitales en la actualidad. Se abordarán cuestiones relacionadas con los derechos fundamentales en el entorno digital, con especial atención a su dimensión multidisciplinar.

Información práctica

  • Fechas y horario: 22 de abril de 2026 (inicio a las 09:00 h) y 23 de abril de 2026 (cierre a las 13:15 h).
  • Lugar: Auditorio del Espacio de Investigación y Transferencia, Universidad Pontificia Comillas, C/ Rey Francisco 4, Madrid.
  • Formato: Exclusivamente presencial.

La inscripción estará abierta desde el 27 de marzo de 2026 a las 08:00 h hasta el 21 de abril de 2026 a las 14:00 h.

Se recomienda formalizar la inscripción a través del formulario disponible en la página oficial del evento, accesible en el siguiente enlace:
https://eventos.comillas.edu/151346/detail/congreso-del-observatorio-de-derechos-digitales-una-mirada-multidisciplinar-a-los-derechos-digitale.html

Este congreso representa una oportunidad para académicos, profesionales del derecho, responsables de políticas públicas y expertos en tecnología interesados en el análisis riguroso de los derechos digitales. La organización corresponde a la Facultad de Derecho de la Universidad Pontificia Comillas en el marco del Observatorio de Derechos Digitales.

Para más detalles sobre el programa definitivo, ponentes y agenda, se recomienda consultar la página web del evento, donde se publicará la información actualizada a medida que se acerque la fecha de celebración.

Si su actividad profesional o académica está relacionada con el derecho digital, la protección de datos, la ciberseguridad o la regulación de las tecnologías emergentes, este congreso constituye un espacio relevante para el intercambio de conocimiento y la reflexión conjunta.

El Programa (sujeto a cambios), es el siguiente:

22 de abril – mañana

09:00-09:15. Recepción de los participantes

09:15-09:30. Bienvenida

Abel Veiga Copo, Decano de la Facultad de Derecho, Universidad Pontificia Comillas (ICADE)
Pendiente de determinar, Red.es
Íñigo A. Navarro Mendizábal, Profesor Propio Ordinario, Universidad Pontificia Comillas. Codirector del Observatorio Legaltech Garrigues-ICADE

Primer bloque. LegalTech: identidad digital, privacidad y ciberseguridad
Modera Íñigo A. Navarro Mendizábal
Codirector del Observatorio Legaltech Garrigues-ICADE

09:30-09:55. Derechos del ciudadano frente a la IA generativa: El Reglamento de Inteligencia Artificial y el Reglamento General de Protección de Datos.
Alejandro Padín, Socio de Garrigues, responsable del área de Economía del Dato, Privacidad y Ciberseguridad

09:55-10:20.   Arquitectura y Servicios de Confianza para una Identidad Digital Europea Centrada en el Usuario.
Julián Inza, Presidente de EADTrust

10:20-10:45.Debate

10:45-11:10.   Pausa café

Segundo bloque
Modera Andrés Chomczyk Penedo
Investigador posdoctoral, Universidad Pontificia Comillas

11:10-11:35.   Título por determinar
Edoardo Celeste, Associate Professor, Dublin City University

11:35-12:00. La responsabilidad civil por daños causados por productos defectuosos. En especial, la inteligencia artificial.
Ana I. Berrocal Lanzarot, Profesora Contratada Doctora (acred. a Profesora Titular) de Derecho Civil, Universidad Complutense de Madrid

12:00-12:25.Debate

12:25-12:30.   Pausa

Tercer bloque. La disrupción tecnológica en el ámbito laboral.
Modera Ana Belén Muñoz Ruiz.
Profesora Titular (acred. a Catedrática) de Derecho del Trabajo y de la Seguridad Social, Universidad Carlos III de Madrid

12:30-12:55.   ¿Neuroderechos laborales o Derechos Fundamentales aumentados?
Jesús Mercader Uguina, Catedrático de Derecho del Trabajo y la Seguridad Social, Universidad Carlos III de Madrid

12:55-13:20.   La irrupción de la IA en el ámbito retributivo.
Ana Matorras Díaz-Caneja, Profesora Propia Ordinaria, Universidad Pontificia Comillas

13:20-13:45.Debate

13:45.              Comida

22 de abril – tarde

Primer bloque. Autoprotección, y protección de los vulnerables.
Modera Myriam Cabrera Martín
Directora de la Cátedra de Derechos del Niño

16:00-16:25.   Nuevos hábitos y cultura en la época de la IA
Jaime García Chaparro, Senior AI Engineer, Devoteam

16:25-16:50.   Derechos de la infancia en el entorno digital
Laura Barroso Gonzalo, Investigadora predoctoral, Universidad Pontificia Comillas

17:15-17:40.Debate

17:40-17:45.   Pausa

Segundo bloque. Protección penal de la identidad y la intimidad en el entorno digital
Modera María Quintas Pérez
Profesora Ayudante Doctora, Universidad Pontificia Comillas

17:45-18:10.   La suplantación de identidad digital.
M.ª Eugenia Sanmartín, Magistrada del Tribunal de Instancia de Navalcarnero

18:10-18:35.   Delitos contra la intimidad en el entorno laboral ligados a la vigilancia del uso de dispositivos digitales facilitados por el empleador.
Javier Gómez Lanz, Profesor Propio Ordinario, Universidad Pontificia Comillas

18:35-19:00.Debate

19:00.             Fin de la primera jornada

23 de abril – mañana

Primer bloque: Transformación digital y fiscalidad
Modera Francisco Javier Alonso Madrigal
Codirector de la Cátedra Deloitte Legal de Tributación Empresarial

09:30-09:55.   La digitalización y el papel de la inteligencia artificial en la AEAT
Javier Hurtado, Inspector de Hacienda en AEAT
Carlos Serrano, Socio de Deloitte Legal

09:55-10:20.   Desafíos futuros. La inteligencia artificial y el principio de buena administración “digital”
Elena Martínez Pastor, Counsel Deloitte Legal

10:20-10:45.Debate

10:45-11:15.   Pausa café

Segundo bloque. Investigación digital y cooperación judicial en el ciberespacio: una perspectiva procesal
Modera Marta Gisbert Pomata
Profesora Propia Ordinaria, Universidad Pontificia Comillas

11:15-11:40.   El ciberpatrullaje en el ciberespacio y la externalización del law enforcement
Juan Carlos Ortiz Pradillo, Profesor Titular, Universidad Complutense de Madrid

11:40-12:05.   Cooperación judicial y acceso transfronterizo a prueba electrónica
Elisabet Cueto Santa Eugenia, Profesora Colaboradora Asistente, Universidad Pontificia Comillas

12:05-12:30.Debate

Tercer bloque. Una mirada prospectiva desde la filosofía
Presenta M.ª Ángeles Bengoechea Gil
Profesora Propia Adjunta, Universidad Pontificia Comillas

12:30-12:55.   La persona en el Estado digital. ¿Sujeto de derechos sin circunstancias?
Vanesa Morente Parra, Profesora Colaboradora Asistente, Universidad Pontificia Comillas

12:55-13:15.Debate

13:15.             Clausura del congreso

Congreso del Observatorio de Derechos Digitales: Una mirada multidisciplinar a los Derechos Digitales

CSC Trust without Borders Summit 2026: la cumbre de la confianza digital sin fronteras en Bogotá

Deja un comentario

En mayo de 2026, Bogotá acogerá una de las citas más relevantes del año en el ámbito de la identidad digital y los servicios de confianza interoperables: el CSC Trust without Borders Summit 2026, organizado por el Cloud Signature Consortium (CSC).

El lema “Trust without Borders” capta muy bien el espíritu del evento: tender puentes entre marcos regulatorios, infraestructuras y servicios de confianza en Europa y América, con foco especial en la interoperabilidad de la firma electrónica, la identidad digital y las wallets de identidad.

Datos prácticos del evento

  • Nombre: CSC Trust without Borders Summit 2026.
  • Fechas: 13 y 14 de mayo de 2026.
  • Lugar: Bogotá, Colombia. El 13 de mayo en el Hilton Bogotá Corferias y el 14 de mayo en la Universidad de los Andes, Edificio Mario Laserna
  • Organización: Cloud Signature Consortium (CSC).
  • Inscripción:
    • Página oficial en español: https://cscsummit.com/es (desde ahí se accede al registro de asistentes, condiciones para expositores y, si procede, a la convocatoria de ponentes).

Tema central: confianza digital sin fronteras

La cumbre se plantea como un punto de encuentro entre reguladores, autoridades de identidad, proveedores de servicios de confianza, fabricantes de infraestructuras de seguridad, academia y estándares, con el objetivo común de avanzar hacia un ecosistema de confianza globalmente interoperable.

Entre los temas clave que se abordarán:

  • Interoperabilidad de la firma electrónica y servicios de confianza en el contexto de eIDAS 2.0 europeo y marcos latinoamericanos.
  • Identidad digital, wallets y cómo alinear infraestructuras europeas (EUDI Wallet, eID de base eIDAS) con ecosistemas de identidad en Colombia y en la región.
  • Criptografía Post‑cuántica, infraestructuras de confianza resilientes y estándares abiertos (CSC, ETSI, W3C, FIDO, etc.).
  • Regulación, reciprocidad jurídica y comercio internacional seguro, con especial atención a la interoperabilidad entre la UE y las Américas.

Algunos ponentes de referencia

El programa reúne un panel muy sólido de expertos internacionales, con figuras conocidas en el ámbito de la identidad digital, eIDAS, servicios de confianza y estándares de firma. A continuación una selección orientativa (la lista completa está disponible en la web oficial de ponentes: https://cscsummit.com/speakers).

  • Viky Manaila – Presidenta del Cloud Signature Consortium y experta en eIDAS/eIDAS 2.0, mercados digitales seguros y servicios de confianza.
  • Borja Carreras – Presidente de GSE y fundador de bemyself ID, con décadas de experiencia en identidad digital, autosoberanía y ciberseguridad en Europa y Latinoamérica.
  • Kim Nguyen – Senior VP de Innovación en Bundesdruckerei, trabajando en identidad digital, IA de confianza, post‑cuántica y soberanía digital.
  • Jean Everson Martina – Profesor asociado de Ciencia de la Computación (UFSC, Brasil), especializado en identidad digital, documentos electrónicos y proyectos de interoperabilidad en América Latina.
  • Sebastian Elfors – CTO/CSO en IDnow, experto en eIDAS 2.0, QTSP, wallets de identidad y estándares internacionales (ETSI, CEN, W3C, FIDO, CSC).
  • Sven Prinsloo – Presidente del Comité Técnico del CSC y CTO de Ascertia, con fuerte experiencia en estándares de firma y API CSC para interoperabilidad.
  • Guillaume Forget – EVP de innovación en Cryptomathic, trabajando en firmas digitales, identidades, gestión de claves, pagos y seguridad móvil.
  • Arno Fiedler – Vicepresidente de ETSI Working Group ESI, con amplia experiencia en infraestructuras de confianza, eIDAS, PSD2, GDPR y CA/B Forum.
  • Daniel Rendon – EVP de Strategic Partnerships & Business Development en SSL.com, contribuyendo al ecosistema de certificados y servicios de identidad.
  • Igor Marcolongo – Head of Business Evolution en Tinexta InfoCert, miembro de la Junta del CSC y experto en eIDAS y servicios de confianza europeos.

Es especialmente interesante el enfoque de muchas sesiones en arquitecturas de identidad, interoperabilidad entre frameworks y adopción práctica de estándares como CSC.

Temas de las sesiones y talleres (enfoque técnico‑regulatorio)

En el Summit se combinarán mesas de alto nivel, sesiones técnicas y talleres prácticos, con un enfoque híbrido entre regulación, estándares y despliegue en el mundo real. Entre los bloques que más podrían interesar a tu audiencia:

  • Regulación e interoperabilidad
    • Armonización de la firma electrónica y la identidad digital en el marco de eIDAS 2.0 y de iniciativas latinoamericanas.
    • Reciprocidad jurídica y reconocimiento de servicios de confianza para el comercio transfronterizo en la UE y América.
  • Tecnología, estándares y arquitecturas
    • Infraestructuras de identidad y PKI alineadas con eIDAS 2.0, API CSC y estándares de interoperabilidad.
    • Criptografía Post‑cuántica, wallets de identidad europea y latinoamericana, y modelos de autosoberanía compatible con marcos regulatorios existentes.
  • Casos de uso y adopción en Latinoamérica
    • Proyectos de gobierno digital, e‑administración y servicios financieros electrónicos en Colombia y otros países de la región.
    • Lecciones aprendidas de despliegues de identidad digital y firmas interoperables en distintos contextos regulatorios.
  • Negocio y ecosistema de servicios de confianza
    • Cómo los frameworks de CSC y la estandarización abierta fortalecen el “business case” de proveedores, autoridades de identidad y fintech.
    • Nuevas iniciativas de CSC LATAM y alianzas público‑privadas para impulsar la confianza digital en la región.

Por qué asistir a CSC Trust without Borders Summit 2026

Para los expertos en identidad digital, servicios de confianza, eIDAS y gobierno digital, el Summit de Bogotá es una oportunidad privilegiada para:

  • Conectar con los actores clave que están definiendo la interoperabilidad de la firma electrónica y la identidad digital en el Atlántico.
  • Contrastar la evolución de marcos europeos (eIDAS 2.0, EUDI Wallet) con la realidad de la adopción en Latinoamérica, y entender cómo se pueden articular ambos mundos.
  • Participar en debates muy concretos sobre estándares CSC, API de firma, adaptación a la criptografía post‑cuántica y arquitecturas de identidad que ya están en pruebas de campo.

Cómo registrarse

Si te interesa seguir de cerca la evolución de los servicios de confianza interoperables entre la UE y América Latina, el CSC Trust without Borders Summit 2026 en Bogotá es una cita imprescindible.

Más información y registro en español:
https://cscsummit.com/es

EUCC y FITCEM, sistemas de certificación de seguridad, similitudes y diferencias

Deja un comentario

EUCC y FITCEM son dos enfoques europeos para evaluar y certificar la ciberseguridad de productos TIC: EUCC es el gran “esquema europeo” basado en Common Criteria, mientras que FITCEM es una norma EN de evaluación MÁS “ligera” y de tiempo fijo que aspira a armonizar esquemas nacionales más ágiles, como LINCE, en España.

Qué es EUCC

  • EUCC es el primer esquema europeo de certificación de ciberseguridad adoptado bajo el Cybersecurity Act (Reglamento (UE) 2019/881).
  • Está pensado como esquema horizontal para productos TIC (hardware, software y componentes) reutilizable en múltiples sectores.
  • Se basa en Common Criteria y en la Common Evaluation Methodology (ISO/IEC 15408 e ISO/IEC 18045), sustituyendo paulatinamente a los esquemas nacionales CC y al acuerdo SOG-IS.
  • Aplica los niveles de garantía del Cybersecurity Act (básico, sustancial, alto), con requisitos estrictos para organismos de evaluación (CB acreditados según ISO/IEC 17065 e ITSEF según ISO/IEC 17025).
  • Es voluntario en origen, pero puede convertirse en requisito a través de NIS2 u otra normativa sectorial para determinados operadores.certification.enisa.

Ejemplo: un módulo criptográfico hardware certificado bajo Common Criteria en un esquema nacional pasará, con el periodo transitorio, a buscar el sello EUCC para tener reconocimiento uniforme en toda la UE.

Qué es FITCEM (EN 17640)

  • FITCEM es la denominación habitual de la norma europea EN 17640, que define una metodología de evaluación de ciberseguridad “fixed-time” (tiempo fijo) para productos TIC.
  • Se concibe también como marco modular, adaptable a diferentes necesidades de aseguramiento e integrable en distintos dominios y esquemas.
  • Está alineado con los niveles de aseguramiento del Cybersecurity Act (básico, sustancial y alto), aunque su foco es permitir certificaciones más ágiles que las basadas en Common Criteria.
  • Aspira a sustituir o armonizar esquemas nacionales “ligeros” como LINCE (España), BSZ (Alemania), BSPA, CSPN (Francia) u otros equivalentes, proporcionando un lenguaje común europeo para evaluaciones limitadas en tiempo y esfuerzo.
  • Puede actuar como base técnica para esquemas europeos de ciberseguridad “ligeros” orientados a productos con ciclos de vida rápidos (IoT, componentes, etc.).

Ejemplo: un dispositivo IoT de consumo que necesita una certificación rápida y económica podría evaluarse con una metodología basada en FITCEM, con un tiempo máximo predefinido de análisis y pruebas.

Similitudes clave

AspectoEUCCFITCEM (EN 17640)
Ámbito jurídicoEsquema oficial UE bajo Cybersecurity Act. certification.Norma EN apoyando esquemas y normas UE.
Tipo de esquemaEsquema horizontal de certificación CC. Marco modular de evaluación fixed‑time.
Niveles (basic/substantial/high)Aplica niveles y requisitos detallados. Metodología alineada con dichos niveles.
Sector/aplicaciónProductos TIC de alta criticidad, uso general. Productos TIC, incluido IoT y esquemas ligeros.
Rol frente a esquemas nacionalesSustituye esquemas CC y acuerdo SOG‑IS. Destinado a reemplazar/armonizar LINCE, BSZ, CSPN, etc.

Diferencias fundamentales

  • Base técnica y profundidad
    • EUCC hereda todo el rigor de Common Criteria: perfiles de protección, objetivos de seguridad, familias de requisitos, metodologías de ensayo exhaustivas, etc.certification.
    • FITCEM define una evaluación con tiempo y alcance acotado, priorizando practicidad y coste frente a exhaustividad máxima.
  • Posición en el ecosistema
    • EUCC es, en la práctica, el “pilar CC” del sistema europeo de certificación junto a otros esquemas como EUCS (cloud) o futuros esquemas 5G.itif+3
    • FITCEM actúa como estándar horizontal de referencia para esquemas “ligeros” en distintos países y sectores, facilitando convergencia y compatibilidad.
  • Casos de uso típicos
    • EUCC encaja mejor en productos con alto impacto en seguridad y ciclos de desarrollo más largos (equipamiento de red, módulos criptográficos, dispositivos industriales).
    • FITCEM se orienta a productos de rotación rápida y a necesidades de certificación ágiles, donde el mercado no soporta ni tiempo ni coste de una evaluación CC completa.

Estimación de costes

  • Para CC/EUCC de niveles medios (equivalentes a EAL2–EAL4), fuentes especializadas sitúan los costes de laboratorio típicos en un rango aproximado de 80 000–300 000 USD/EUR, pudiendo subir a 300 000–750 000 USD/EUR en EAL4 alto o productos muy complejos.
  • En FITCEM se estiman costes de laboratorio del orden de 10 000–50 000 EUR para este tipo de evaluaciones “light”, dependiendo del alcance, tipo de producto y posicionamiento del laboratorio

Los costes internos y de consultoría son del mismo orden de magnitud que los del laboratorio.

Tipos de productos certificados

EUCC puede aplicarse a cualquier producto TIC con un conjunto significativo de funciones de seguridad, pero en la práctica se concentra en familias muy concretas.

  • Circuitos integrados y tarjetas inteligentes: chips de seguridad, smart cards, tarjetas de pago, SIM/UICC, módulos seguros embebidos, etc.
  • Módulos y dispositivos criptográficos: HSM, módulos criptográficos hardware, TPM, QSCD y otros dispositivos de firma/digital ID de alta garantía.
  • Equipos de red y comunicaciones: routers, switches, firewalls, VPN gateways, puntos de acceso y otros componentes de infraestructura crítica.
  • Sistemas y plataformas especializadas: servidores seguros, appliances de seguridad, componentes de infraestructuras industriales o públicas donde se requiere alto nivel de aseguramiento.

En general, son productos B2B con alto impacto en seguridad, ciclos de vida largos y para los que un proceso de certificación de meses y costes de seis cifras puede amortizarse comercialmente.

FITCEM, como metodología de tiempo fijo, está pensada para apoyar esquemas como CSPN, LINCE, BSZ, BSPA, etc., que históricamente se han orientado a productos con necesidad de evaluación ágil.

  • Productos IoT y dispositivos conectados: sensores, actuadores, gateways IoT, cámaras IP, pequeños appliances, donde el time‑to‑market es crítico.
  • Software y appliances de seguridad de complejidad media: soluciones de red, productos de seguridad endpoint o de infraestructura donde se busca una “foto” de robustez razonable, pero sin el coste de CC/EUCC.
  • Productos TIC de fabricantes que dan sus primeros pasos en certificación: se usan esquemas tipo FITCEM como vía de entrada o como complemento a otros esquemas regulatorios.
  • Verticales específicos con esquemas acelerados: por ejemplo, infraestructuras industriales o sectoriales que adoptan metodologías fixed‑time para certificar ciertos componentes o gateways a niveles basic/substantial.

IA Gestora. Por no llamarla IA Agéntica. Herramientas a su disposición

Deja un comentario


En los últimos meses de 2025 y principios de 2026, la inteligencia artificial ha dado un salto que ya no es solo de “generar contenido”, sino de actuar. Ya no basta con que la IA te responda: ahora puede gestionar tareas completas por ti.

A este nuevo paradigma se le llama IA agéntica. Pero ya que este es mi blog, voy a proponer otro término más cercano y español: IA gestora. Porque eso es exactamente lo que hace: gestiona objetivos de principio a fin, de forma autónoma, como un asistente ejecutivo que no necesita que le des instrucciones paso a paso.

¿Quieres saber por qué esta IA gestora está cambiando todo y cómo herramientas open-source como OpenClaw, NemoClaw, el Model Context Protocol (MCP) y LangGraph la están democratizando y haciendo más fiable? ¿Y cómo los prestadores de servicios de confianza estamos creando las interfaces seguras que las empresas necesitan? Sigue leyendo.

¿Qué es una IA gestora (o IA agéntica)?

La IA generativa responde. La IA gestora recibe un objetivo y lo ejecuta sola: planifica, usa herramientas externas, toma decisiones intermedias, ejecuta acciones y avisa solo cuando es necesario.

Ejemplo: “cierra la venta con el cliente X antes del viernes”. La IA gestora investiga, prepara propuestas, envía emails, agenda llamadas y cierra el proceso.

Este salto se basa en el concepto de agencia: la capacidad de actuar con intención y autonomía.
OpenClaw: el asistente open-source que corre en tu máquina

OpenClaw (openclaw.ai) es un framework 100 % open-source que se instala localmente y funciona como asistente persistente 24/7. se le puede «hablar» por WhatsApp, Telegram, Slack o directamente por CLI (línea de comandos). Ejecuta comandos de terminal, controla el navegador, gestiona archivos, email y calendario, y mantiene memoria a largo plazo.

NemoClaw: con un escudo de seguridad y desarrollado por NVIDIA

En marzo de 2026, NVIDIA lanzó NemoClaw, una capa que se instala sobre OpenClaw con un solo comando. Añade sandbox aislado, router de privacidad, modelos Nemotron optimizados y controles de política empresarial. Juntos, OpenClaw + NemoClaw convierten la IA gestora en algo orientado haacia entornos reales y regulados.


Interfaces de actuación: de la CLI tradicional al Model Context Protocol (MCP)

Tradicionalmente, las IA gestoras han usado dos interfaces principales:

  • CLI (Command Line Interface): máxima potencia y control. El agente ejecuta comandos directamente en la terminal. Es ligero, debuggeable y consume pocos tokens de contexto. Perfecto para entornos locales y cuando se requiere máxima eficiencia. Sin embargo, necesita que el agente “sepa” interpretar salida de texto crudo y no tiene un estándar universal de descubrimiento de herramientas.
  • Apps de mensajería y APIs: más accesibles, pero menos estructuradas.

Aquí se presenta el Model Context Protocol (MCP), un estándar abierto lanzado por Anthropic en noviembre de 2024 y que se ha convertido en el “USB-C de la IA”.


¿Cómo funciona MCP?

MCP es un protocolo estandarizado (basado en JSON-RPC) que permite a cualquier aplicación exponer herramientas, recursos y plantillas de «prompts» de forma segura y detectable.
Un MCP Server publica qué puede hacer y un MCP Client (el agente) descubre automáticamente esas capacidades, las llama de forma estructurada y recibe respuestas estandarizadas.

Comparación MCP vs CLI:

Aspecto CLI tradicional
(Command Line Interface)		 Model Context Protocol (MCP)
Descubrimiento de herramientas Manual o mediante descripción en el prompt Automático y dinámico: el agente descubre todas las herramientas al instante
Estructura de las respuestas Texto libre y salida cruda (puede ser desordenada) Estructurada y estandarizada (JSON con schemas claros)
Consumo de tokens / contexto Muy bajo (ideal para eficiencia) Más alto, pero ofrece mucha más precisión
Seguridad y guardrails Depende completamente del sandbox externo Guardrails y sesiones seguras integrados por diseño
Facilidad de integración Alta para desarrolladores, baja para no técnicos Muy alta: estandariza todo el ecosistema (el “USB-C de la IA”)
Escalabilidad Buena para tareas locales simples Excelente para integraciones enterprise y multi-agente
Uso ideal Ejecución local potente, debugging rápido Conexiones seguras a sistemas externos (calendarios, APIs empresariales, bases de datos…)


MCP no reemplaza la CLI, sino que la complementa ofreciendo un lenguaje común para conectar el agente a decenas de sistemas externos de forma segura.


LangGraph: la orquestación inteligente de flujos complejos

Mientras MCP estandariza la forma en la que el agente habla con las herramientas, LangGraph (de LangChain) se encarga del modo en el que el agente razona y fluye a lo largo de una tarea.

LangGraph permite construir workflows como grafos: nodos (LLM, herramientas, verificaciones humanas) y aristas (condiciones de flujo). Es ideal para agentes stateful, flujos multi-agente, control humano-en-el-bucle y ejecución durable.

Muchos proyectos combinan LangGraph para la lógica y MCP para las conexiones externas, logrando una IA gestora más robusta y escalable.

Nuevos interfaces que ofrecemos los prestadores de servicios de confianza

Cuando la IA gestora empieza a firmar o sellar electrónicamente contratos, enviar facturas o manejar datos sensibles, ni la CLI ni MCP por sí solos son suficientes. Los prestadores de servicios de confianza (eIDAS) aportamos interfaces certificadas:

  • CLI segura certificada: comandos que requieren firma electrónica cualificada del agente. Todo queda auditado y sellado temporalmente.
  • API de agencia con identidad verificada: el agente actúa con certificado digital propio, haciendo sus acciones legalmente vinculantes.
  • Canal de mensajería de confianza: mensajes con sello electrónico visible.
  • Portal de supervisión humana-en-el-bucle: dashboard para aprobar/rechazar acciones en tiempo real, todo registrado de forma inalterable.


Estas interfaces convierten herramientas open-source como OpenClaw + MCP + LangGraph en soluciones empresariales confiables, auditables y conformes con la normativa.

OpenClaw y NemoClaw han demostrado que la IA gestora ya es viable técnicamente. MCP estandariza la conexión con el mundo exterior, LangGraph aporta inteligencia en la orquestación, y los prestadores de servicios de confianza cerramos la brecha de la confianza legal.

Si deseas saber qué servicios de confianza (firma electrónica cualificada, sellos de tiempo, certificados de agente, declaraciones de atributos, etc.) se pueden invocar directamente desde este tipo de IAs, contacta con EADTrust:

  • Teléfono: 902 365 612
  • Email: info@eadtrust.com


Estaremos encantados de asesorarte y ayudarte a integrar interfaces seguras y conformes con eIDAS en tus flujos de IA gestora.

XII Congreso Internacional de derecho Digital de ENATIC.

Deja un comentario

Mañana, 25 de marzo de 2026, se celebra el XII Congreso Internacional de derecho Digital de ENATIC., en el que tengo el honor de participar.

Tendrá lugar en el Salón de actos de la Secretaría de Estado de Digitalización e Inteligencia Artificial
Calle del Poeta Joan Maragall, 41
28046 Madrid

Los Congresos Internacionales de Derecho Digital de ENATIC nacen tras el impulso del I Encuentro Nacional de Abogados TIC en el X Congreso de la Abogacía Española (Cádiz, 2011), germen de la asociación y de su vocación por articular una comunidad profesional especializada en Derecho y tecnología.

Desde entonces, ENATIC ha consolidado un espacio anual de referencia donde se encuentran juristas, reguladores, académicos y expertos tecnológicos para debatir los retos jurídicos de la transformación digital.

A lo largo de sus diversas ediciones, los Congresos ENATIC han servido para:

  • Definir y consolidar la figura del abogado digital, impulsando su profesionalización y visibilidad.
  • Actualizar a la comunidad jurídica sobre los grandes vectores tecnológicos: IA, blockchain, robótica, cloud, big data, fintech, legaltech, ciberseguridad y derechos digitales.
  • Crear comunidad, fomentando el intercambio de conocimiento y el networking entre perfiles diversos del ecosistema jurídico-tecnológico.
  • Posicionar a ENATIC como interlocutor relevante en los procesos de transformación digital del país.

Programa

9:15-9:30 Inaguración institucional

Participan: SEDIA, CGAE, Red.es, AESIA y ENATIC

Participan:
Belén Arribas Sánchez · Presidenta de ENATIC
David de Francisco Marcos · Subdirector General de Fomento y Regulación de la Inteligencia Artificial
Juan Miguel Márquez · Subdirector Adjunto de Estrategia del ONTSI, Red.es

9:30-10:15 Carta de Derechos Digitales, 5°Aniversario: Logros, Retos y Soluciones

Modera:
Rodolfo Tesone Mendizábal – Presidente emérito y vocal de ENATIC

Participan:
Carlos Alberto Sáiz Peña · Vicepresidente, ISMS Forum Spain
Paula Ortiz López · Directora general, DENAE
Miguel Recio Gayo · Presidente, APEP·IA
Antonio Serrano Acitores · Vocal de ENATIC
Borja Adsuara Varela · Abogado y consultor en derecho digital

10:15-11:00 Inteligencia artificial: derechos y responsabilidad ante un nuevo paradigma

Modera: José Manuel Muñoz Vela · Vocal de ENATIC

Participan:
Moisés Barrio Andrés · Letrado del Consejo de Estado
Ibán García Blanco · Director internacional, Lasker
Carmen Muñoz García · Catedrática (acr.) de Derecho civil, UCM
Alfredo Muñoz García · Prof. de Derecho mercantil, UCM; Legal Counsel, Tritemius; Of-Counsel, Ceca Magán

11:00-11:30 Pausa café
11:30-12:10 RGPD: ¿se puede simplificar sin perder garantías?

Modera: Eduardo López-Román · Vicepresidente de ENATIC

Participan:
Francisco Pérez Bes · Adjunto de la Agencia Española de Protección de Datos
Marcos Mª Judel Meléndrez · Abogado, socio de Audens
Noemí Brito Izquierdo · Abogada, socia de KPMG Abogados

12:10-12:40 Lorenzo Cotino Hueso · Presidente de la Agencia Española de Protección de Datos

Presenta: José Leandro Núñez García · Secretario General de ENATIC

12:40-13:30 Identidad digital y ciberseguridad: entre la regulación europea y su aplicación real

Modera: Pilar Garrido García · Vocal de ENATIC

Participan:
Maite Arcos Sánchez · Directora general, Fundación ESYS
Lucas Carmona Ampuero · Director de Identidad Digital Descentralizada, Teknei
Julián Inza Aldaz · Presidente, EADTrust

13:30-14:00 Ciberseguridad y el entorno geopolítico
Ramsés Gallego Iglesias · Presidente del capítulo de Barcelona de ISACA

Presenta: Esther García Encinas · Vocal de ENATIC

14:00-15:15 Comida
15:15-15:45 Menores y entorno digital: protección jurídica y retos actuales.

Modera: Laura Fra Rodríguez · Vocal de ENATIC

Participan:
Estefanía de Anta García · Directora de formación y operaciones de iCmedia
Celima Gallego Alonso · Magistrada, Plaza nº 29 de la Sección Civil del Tribunal de Instancia de Madrid
Nacho Guadix García · Responsable de Educación y Derechos Digitales de la Infancia de UNICEF España

15:45-16:30 ¿Justicia Artificial? El impacto de la IA en la Administración de Justicia.

Modera: Belén Arribas Sánchez · Presidenta de ENATIC

Participan:
Juan Antonio García Amado · Catedrático de Filosofía del Derecho, Universidad de León
Miguel Hermosa Espeso · Presidente de la Subcomisión de Justicia digital del CGAE
Javier Hernández Díez · Subdirector General de Impulso e Innovación de los Servicios Digitales de Justicia
Javier Sempere Samaniego · Delegado de Protección de Datos y Letrado del CGPJ

16:30-17:30 Legaltech en acción: herramientas y soluciones para la práctica jurídica

Modera: Blanca Bardin Rodríguez-Losada · Leader, Global LegalTech Hub Advisory Board

Participan:
Guadalupe Segura Campos · Gerente de la Delegación Sur, Lefebvre
Joaquín Castiella Sánchez-Ostiz · CEO, LexaGO
Alejandro Castellano Sans · CEO, Maite
Emilio Latorre Guerra · Product Manager Vincent, vLex

17:30-18:15 Derecho digital: tendencias y desafíos

Modera: Pablo Sáez Hurtado · Presidente de la Comisión Joven de ENATIC

Participan:
Ana Belén Barbero Castejón · Vocal de la Comisión Joven de ENATIC
Laura Gallego Herráez · Vocal de la Comisión Joven de ENATIC
Rodolfo Guerrero Martínez · Vocal de la Comisión Joven de ENATIC
Patricia Frade Ortea · Vocal de la Comisión Joven de ENATIC
Karol Andrea Valencia Jaén · Vocal de la Comisión Joven de ENATIC

18:15-18:45 Ceremonia de Entrega de los VII Premios ENATIC

Presenta: José Leandro Núñez García · Secretario General de ENATIC

para reconocen la excelencia y contribución al desarrollo del Derecho Digital:

  • Mejor jurista digital: Borja Adsuara Varela
  • Mejor institución: ISMS Forum Spain
  • Comunicación: Esther Paniagua
  • Innovación: Agencia Española de Supervisión de Inteligencia Artificial (AESIA)
  • Investigación: Lorenzo Cotino Hueso
  • Responsabilidad social: OdiseIA
18:45-19:00 Clausura

Participan: CGAE, SEDIA, Red.es, Consorcio, ENATIC