Introducción[1]
El 10 de marzo de 2026, un ciberataque por parte del grupo Homeland Justice, apoyado por el Estado iraní, comprometió el sistema de correo electrónico del parlamento albanés. El parlamento confirmó el acceso no autorizado a su infraestructura IT, con la eliminación y filtración de datos.
Albania hizo historia siendo el primer país que corta relaciones diplomáticas con otro Estado como consecuencia de un ciberataque.
Desde comienzos de marzo, en el marco de la respuesta iraní a la operación conjunta Epic Fury/Roaring Lion, se han rastreado 53 grupos activos proiraníes que han intensificado sus acciones de ciberataque, no sólo contra Albania, sino contra sistemas de control industrial en Israel, Polonia, Jordania, Turquía y los países del Golfo.
Irán no destaca por la sofisticación técnica de sus operaciones, sino por su volumen y capacidad de generar efectos políticos a través del ciberespacio. La conectividad a internet en Irán cayó al 1-4% tras los ataques, por lo que los grupos de ciberataque proiraníes han de ejecutarlos a través de infraestructura externa o proxies.
Este ataque a Albania forma parte de una campaña prolongada. El origen es la decisión de Albania, en 2013, de recibir a refugiados opositores al régimen de Teherán, la Organización de los Muyahidines del Pueblo de Irán (MEK), por petición del entonces secretario de Estado estadounidense, John Kerry. Albania y Estados Unidos (EEUU) mantienen una alianza cargada de valor simbólico, al ser un país de mayoría musulmana favorable a Occidente, tras el apoyo estadounidense a la independencia de Kosovo.
La MEK también es un actor en este ciber conflicto: se han documentado granjas de trolls y casos de hackeo a instituciones iraníes desde Albania y, de hecho, en 2023 la policía albanesa confiscó en el campo Ashraf-3 unos 150 dispositivos por presuntos cibercrímenes.
El gran ciberataque iraní ocurrió en julio de 2022, tras un periodo en que los actores iraníes habían accedido a la red gubernamental 14 meses antes del ataque. La campaña se extendió posteriormente a sistemas fronterizos, el parlamento, la aerolínea, las telecomunicaciones y el municipio de Tirana.
Albania hizo historia siendo el primer país que corta relaciones diplomáticas con otro Estado como consecuencia de un ciberataque.
Construyendo ciber-resiliencia
Según el National Cybersecurity Index (NCSI), Albania ocupa el noveno puesto en el ámbito global, habiendo ascendido desde el puesto 54 en 2023. Si bien esta posición y rápido ascenso son motivo de orgullo para el gobierno albanés, conviene matizar los criterios metodológicos del NCSI. Este índice mide la aplicación de las políticas de ciberseguridad (como leyes, políticas, agencias, planes de respuesta, etc.) y no la efectividad operativa.
Como bien refleja el NCSI, Albania ha desarrollado una agenda normativa importante. En 2024 aprobó una nueva ley de ciberseguridad, alineada con la Directiva NIS2, y adoptó la Estrategia Nacional de Ciberseguridad 2025-2030.
Este esfuerzo de armonización regulatoria se inscribe en el proceso de adhesión a la Unión Europea (UE). Aunque Albania solicitó su adhesión a la UE en 2009 y obtuvo el estatuto de candidato en 2014, la primera conferencia intergubernamental no se celebró hasta 2022, cuando se iniciaron formalmente las negociaciones. La invasión de Ucrania renovó el interés político europeo por la ampliación, impulsando los expedientes que llevaban años estancados. Los seis clústeres de negociación de Albania se abrieron en apenas 13 meses, entre 2024 y 2025, con el objetivo declarado de cerrar negociaciones en 2027 e incorporarse a la Unión en 2030. Albania es considerada el segundo candidato más avanzado en su proceso de adhesión, sólo por detrás de Montenegro.
La Posición Común de la UE sobre el Clúster 3 reconoce expresamente “el alto nivel de armonización regulatoria” en materia digital y califica positivamente la nueva ley de ciberseguridad. El Informe de la Comisión Europea sobre Albania 2024 evalúa el Capítulo 10 con “un nivel de preparación moderado a bueno”.
Sin embargo, será necesario que Albania vaya más allá de la transposición normativa. Para el cierre provisional del Capítulo 10, Albania deberá demostrar que cuenta “con capacidad administrativa suficiente para aplicar el acervo comunitario en los ámbitos de las comunicaciones electrónicas, los servicios digitales, la confianza digital y la ciberseguridad, y los servicios de comunicación audiovisual”.
Como señala un análisis del Norwegian Institute of International Affairs, la condicionalidad de adhesión exige en la práctica obligaciones más estrictas a los candidatos que a los propios Estados miembros, dado que los instrumentos de enforcement dentro de la UE son limitados, por el propio diseño institucional.
La construcción de esa capacidad operativa podría ser frenada por un problema estructural que se identifica en numerosos informes en Albania y sus vecinos balcánicos. El informe del Geneva Centre for Security Sector Governance (DCAF) sobre ciberseguridad en la región concluye que el obstáculo central no es la falta de voluntad política, sino la dificultad de traducir esa voluntad en estructuras y competencias.
Esta vulnerabilidad institucional se traduce en una menor capacidad de defensa frente a la manipulación de la información e interferencia extranjera (FIMI) de origen ruso. Los Balcanes Occidentales son un frente avanzado de la guerra híbrida rusa, cuyo modus operandi se basa en la explotación de este tipo de debilidades institucionales, así como la baja confianza en el Estado y las disfunciones en la gobernanza.
El principal instrumento europeo de apoyo es el Plan de Crecimiento para los Balcanes Occidentales, dotado con 6.000 millones de euros para 2024-2027, con una lógica de condicionalidad. En la reunión celebrada en Tirana en noviembre de 2025, se constató que el 85% de los pasos previstos para ese año estaban en marcha y se liberaron 414 millones en total, de los que Albania recibió 164 millones, la mayor parte, destinados a digitalización y reforma fiscal, entre otros. En este marco de cooperación, la UE lanzó en 2022 el proyecto Cybersecurity Rapid Response for Western Balkans con 1,8 millones de euros específicos para Albania, Montenegro y Macedonia del Norte. EEUU, por su parte, respaldó la creación de la Unidad Militar de Ciberseguridad con una donación (o, mejor dicho, una inversión, en línea con el argumento) de 8,4 millones de dólares dentro de un paquete total de 50 millones.
Diella, la ministra IA, y el reto de la transparencia
Otro de los requisitos indispensables para que Albania pueda aspirar a adherirse a la UE es la transparencia y el buen gobierno.
Albania ocupa el puesto 91 de 180 en el Índice de Percepción de la Corrupción. Ha habido numerosos escándalos en contrataciones públicas, infiltradas por redes clientelares y crimen organizado, y uno de cada cuatro usuarios de servicios públicos admitió haber pagado un soborno en 2024.
La respuesta tecnosolucionista fue el nombramiento de Diella, en septiembre de 2025, como ministra para la Inteligencia Artificial. Diella es una inteligencia artificial (IA) a la que se le ha dado apariencia de mujer. Esto es simplemente una interfaz, como la que usan en Francia con Albert y en el Reino Unido con Humphrey, para humanizar una tecnología a la que accederá la ciudadanía, dado que el 95% de los servicios gubernamentales debería estar disponible a través de Diella y la plataforma e-Albania.
Se trata de una decisión más bien comunicativa ante un electorado frustrado con la corrupción.
Un modelo de IA aprende a replicar los patrones presentes en los datos con los que se entrena: si esos datos reflejan procesos de contratación “contaminados”, existe el riesgo de que el modelo aprenda a reproducir esos mismos criterios de adjudicación, con la apariencia de objetividad que otorga el algoritmo. Como suele señalar la Comisión Europea, Albania adopta los marcos, pero la maquinaria detrás es lenta. Esto aplica para Diella, así como para los avances en ciberseguridad.
Lo importante, más que crear una ministra de IA para reducir la corrupción, es que la transparencia penetre y se integre en todas las capas de la gobernanza y del Estado. Una IA por sí sola no podrá resolver un problema tan estructural.
Diella se construye sobre modelos de OpenAI alojados en la infraestructura cloud de Microsoft Azure. Externalizar la infraestructura cognitiva del Estado introduce dependencias tecnológicas que pueden tensionar la soberanía, aunque también permite acceder a capacidades que serían costosas de desarrollar en el ámbito nacional en este momento.
En su informe de 2023, Transparency International reconocía los avances de Albania en su reforma judicial y en la creación de la agencia independiente SPAK. Sin embargo, señalaba que la implementación sigue siendo “débil”, destacando lagunas como la falta de transparencia en la contratación pública y en las alianzas público-privadas, y que el predominio del Ejecutivo limita la supervisión parlamentaria y debilita los mecanismos de control institucional.
Conclusiones
Las dos dimensiones analizadas, ciberseguridad y transparencia, dependen de su integración por diseño en el funcionamiento cotidiano del Estado.
Tirana diseña un marco normativo compatible con Bruselas y al mismo tiempo muchos diputados e instituciones aún no han cambiado su contraseña de acceso al correo electrónico tras la ola de ciberataques iraníes que comenzó en 2022.
Existe una distancia importante entre la capa formal y la capa operativa. Diella no resuelve la corrupción estructural, igual que una ley alineada con la Directiva NIS2 no es la única condición para proteger una red. Lo que determina la solidez de ambas dimensiones es si la ciberseguridad y la transparencia penetran en todas las capas del Estado y se aplican en el día a día.
[1] El autor desea agradecer sus comentarios y revisiones a Mira Milosevich-Juaristi, Félix Arteaga, Ignacio Molina y Raquel García.
