El Gobierno ha suspendido de forma indefinida la adjudicación del Lote 3 del macrocontrato CORA III, valorado en más de 100 millones de euros, debido a la pérdida sobrevenida de la cobertura presupuestaria. La decisión, adoptada por la Mesa de Contratación de los Servicios Consolidados de Telecomunicaciones, deja sin protección digital a la administración y abre un interrogante sobre la vulnerabilidad del Estado frente a ciberataques.
Claves de la operación
- Paralización contable por la anulación de créditos. Tres organismos cofinanciadores —IMSERSO, INGESA y la Dirección General de Racionalización y Centralización de la Contratación— anularon los documentos de retención de crédito, dejando el expediente sin respaldo financiero.
- Un proceso de 14 meses con tres cambios de adjudicatario. En marzo de 2025, MasOrange ganó el concurso con una oferta más barata; Telefónica recurrió, recuperó la adjudicación tras un fallo del TACRC, fue excluida en noviembre y el tribunal le devolvió la razón en abril de 2026.
- Prórroga forzosa con Telefónica e Indra para evitar un vacío de seguridad. El contrato provisional, aprobado en mayo de 2026, mantiene operativos los sistemas por nueve meses pero encarece el servicio respecto a la oferta ganadora de Telefónica.
Catorce meses de litigio entre Telefónica y MasOrange por un contrato estratégico
El Lote 3 del CORA III concentra la ciberseguridad e interconexión de los centros de datos de la Administración General del Estado. En la primera adjudicación, la UTE liderada por MasOrange, junto a TRC y Mnemo, presentó una oferta de 55,26 millones de euros, inferior a los 63,06 millones de Telefónica. Aunque ambas obtuvieron la misma puntuación técnica, la diferencia de 7,8 millones decantó el concurso a favor del operador de origen francés.
Telefónica impugnó la decisión al detectar que Mnemo, uno de los integrantes de la UTE ganadora, carecía de un plan de igualdad registrado, requisito legal obligatorio. El Tribunal Administrativo Central de Recursos Contractuales (TACRC) estimó el recurso en octubre de 2025 y descalificó a la candidatura de MasOrange. La operadora presidida por Marc Murtra quedó como único licitador, pero la Mesa de Contratación, con el ministro Óscar López al frente, aplicó el mismo criterio y excluyó a Telefónica en noviembre de 2025 por un defecto en una subcontrata de segundo nivel: Govertis, una filial encargada de apenas el 1% del valor del contrato, no tenía su plan de igualdad.
El nuevo recurso de Telefónica ante el TACRC, resuelto el 30 de abril de 2026, le dio la razón definitiva al constatar que la empresa podía cubrir internamente el servicio de Govertis sin alterar la esencia de la propuesta. Sin embargo, cuando la vía administrativa parecía zanjada, la pérdida de los créditos presupuestarios de los organismos cofinanciadores forzó la paralización.
El verdadero bloqueo: la falta de Presupuestos Generales deja sin fondos un contrato crítico
Tras la resolución del TACRC, la Mesa de Contratación se reunió el 26 de mayo y constató que los organismos IMSERSO, INGESA y la Dirección General de Racionalización y Centralización de la Contratación (DGRCC) habían anulado los documentos de retención de crédito. La causa inmediata, según fuentes del sector, apunta a la ausencia de unos Presupuestos Generales del Estado, tanto para 2026 como para 2027, que impide comprometer partidas plurianuales.
La ciberseguridad de la Administración no puede quedar atrapada en un cruce de intereses presupuestarios: cada semana de bloqueo suma vulnerabilidad.
La DGRCC, dependiente del Ministerio de Hacienda, centraliza las compras y las grandes contrataciones de la Administración. Sin la habilitación presupuestaria de este organismo, el contrato queda en suspenso hasta que las partidas vuelvan a estar disponibles, un horizonte incierto mientras el Ejecutivo no presente un proyecto de PGE.
Para evitar un agujero en la protección digital, el Gobierno aprobó a principios de mayo una prórroga forzosa de nueve meses a los actuales prestadores del servicio, Telefónica e Indra, mediante un procedimiento negociado sin publicidad. Esta solución de emergencia garantiza la continuidad operativa pero eleva el coste para las arcas públicas, ya que la oferta de Telefónica era sensiblemente más barata que la prórroga extendida.
Indra y Telefónica: los guardianes provisionales de la ciberseguridad estatal
Indra y Telefónica son los dos grandes proveedores de servicios tecnológicos y de ciberseguridad del sector público español, una posición que refuerza la prórroga aprobada. Sin embargo, la dependencia de estas dos compañías genera un cuello de botella preocupante en un área tan sensible. La trayectoria de Telefónica como operador de telecomunicaciones de red fija y móvil del Estado la convierte en un actor de referencia, mientras que Indra, controlada por el Estado a través de la SEPI, es el socio tecnológico de cabecera de Defensa y de los sistemas de control de tráfico aéreo.
En el ámbito de la ciberseguridad corporativa, el mercado español presenta una fuerte concentración en estas dos compañías, lo que a la postre puede traducirse en menores incentivos para la competencia en futuras licitaciones. La suspensión del Lote 3 del CORA III, además de poner en riesgo la modernización de las defensas digitales, refleja las carencias de un modelo de contratación que ha estado sometido a continuos litigios.
El precedente más inmediato es el propio CORA III, un paquete de servicios unificados de telecomunicaciones diseñado para ahorrar costes a la Administración. La paralización del componente de ciberseguridad deja cojo al proyecto y obliga al Ejecutivo a buscar soluciones temporales que, a la larga, resultan más onerosas. La prórroga con Telefónica e Indra se extenderá hasta febrero de 2027, momento en que, si no se ha resuelto la financiación, el Estado se enfrentará a una nueva emergencia contractual.
Mientras tanto, el entorno de amenazas no se detiene. Los ciberataques a instituciones públicas europeas han crecido en frecuencia y sofisticación, y España no es una excepción. La incertidumbre presupuestaria, unida a la complejidad de una licitación que ha dado tres vueltas, alimenta la percepción de fragilidad. El TACRC puede haber cerrado el laberinto jurídico, pero el atasco financiero mantiene abierta la brecha.
El fallo del TACRC que devolvió la adjudicación a Telefónica supone un reconocimiento de que los criterios formales no deben prevalecer sobre la solvencia técnica cuando la sustancia del servicio no se altera. Sin embargo, la saga deja una imagen de inseguridad jurídica en las grandes contrataciones públicas, que puede disuadir a futuros postores. El hecho de que dos gigantes como Telefónica y MasOrange hayan protagonizado una disputa tan prolongada por un contrato de apenas 63 millones —menos del 0,5% de los ingresos anuales de cada uno— indica el valor estratégico, no solo económico, que se otorga a este lote.
