Drupal para administración pública en España
Drupal para portales de administración pública y webs institucionales en España
Entras en la web de tu ayuntamiento a pedir cita previa. Si la página tarda diez segundos, si no encuentras el formulario o si te suelta un error a mitad del trámite, te marchas con la sensación de siempre: lo público no funciona. Pero lo que falla casi nunca es "lo público". Es el CMS que hay debajo.
Por eso muchas administraciones españolas han ido convergiendo en la misma decisión: Drupal. Lo usa la Casa Blanca. Lo usa la Comisión Europea. Lo usan ministerios, comunidades autónomas y un buen puñado de ayuntamientos. No es moda. Es que para una web institucional —seguridad real, accesibilidad de verdad, varios idiomas oficiales, normativa española estricta— hay pocos candidatos serios. Y Drupal es uno de ellos.
En las próximas líneas desmontamos algunos mitos, repasamos qué exige la normativa, qué módulos son innegociables y cómo se aborda una migración sin pegarse un tiro en el pie.
Por qué las administraciones públicas eligen Drupal
Mito frecuente: "para el sector público vale cualquier CMS, total, es una web". Falso. El sector público se rige por otras reglas. No manda el time-to-market ni la última tendencia de Dribbble. Manda la seguridad, la accesibilidad, la interoperabilidad y el cumplimiento normativo. Y ahí Drupal juega en otra liga.
Política de software libre en la administración española
Hay quien aún piensa que usar software libre en la Administración es una recomendación blandita. No lo es. La Ley 40/2015, en su artículo 157, obliga a dar preferencia al software de fuentes abiertas. El Centro Criptológico Nacional refuerza el mensaje: open source auditable.
Drupal cumple por diseño. Licencia GPL, código abierto y, lo más importante, cero dependencia de un proveedor único. Adiós al vendor lock-in. La administración sigue siendo dueña de su plataforma.
Seguridad como prioridad arquitectónica
"WordPress es más popular, será más seguro." No exactamente. Drupal tiene un Security Team de más de 40 personas que monitoriza vulnerabilidades y coordina parches. Más de 20 años en el mercado, con un historial de seguridad notablemente mejor que el de otros CMS de gran adopción.
El dato grueso: el ecosistema de plugins de WordPress acumula del orden de 2.000 vulnerabilidades anuales. Drupal, con un proceso formal de revisión de módulos contribuidos, recorta la superficie de ataque de forma drástica.
Escalabilidad para portales de alto tráfico
Un portal institucional no recibe tráfico lineal. Recibe picos. Convocatoria de subvenciones, alerta meteorológica, jornada electoral. Pasas de 5.000 visitas al día a medio millón en dos horas.
Drupal está pensado para eso: caché en varias capas, integración nativa con CDN y escalado horizontal. El portal del Gobierno de Francia, sobre Drupal, mueve más de 20 millones de visitas al mes sin despeinarse.
Marco normativo: qué debe cumplir una web pública en España
Antes de elegir tecnología hay que mirar la ley. En España, una web pública no es "una web bonita más"; es una pieza regulada. Drupal facilita cumplir cada una de estas exigencias sin acrobacias.
Esquema Nacional de Seguridad (ENS)
El Real Decreto 311/2022 actualiza el ENS y fija los requisitos mínimos de seguridad para los sistemas de información del sector público. Drupal aporta, de serie:
- Control granular de accesos y roles.
- Registro de auditoría de las acciones de administración.
- Cifrado de comunicaciones con HTTPS y TLS nativos.
- Proceso formal de advisories y parches.
- Gestión segura de sesiones, con protección CSRF y XSS integrada.
No son extras. Son base.
RGPD y protección de datos
El RGPD y la LOPDGDD no admiten "ya lo arreglaremos en la siguiente versión". Drupal ofrece módulos específicos como GDPR Compliance, que cubren consentimientos de cookies, derechos ARCO (acceso, rectificación, supresión) y registro de tratamientos. Y su arquitectura modular hace que aplicar privacy by design no sea un eslogan: es una práctica cotidiana.
Accesibilidad: Real Decreto 1112/2018
Aquí no caben atajos. El Real Decreto 1112/2018 transpone la directiva europea y exige cumplir la UNE-EN 301549, equivalente al WCAG 2.1 nivel AA. Toda web pública debe publicar declaración de accesibilidad y ofrecer un canal de reclamación. No es voluntario.
El núcleo de Drupal cumple WCAG 2.1 AA de serie: navegación por teclado, roles ARIA, etiquetado semántico, contraste razonable en los temas por defecto y una jerarquía de encabezados coherente. Encima, la comunidad tiene un equipo de accesibilidad que revisa cada release. Pocas plataformas pueden decir lo mismo.
Ley 39/2015 y sede electrónica
La Ley 39/2015 consagra el derecho del ciudadano a relacionarse electrónicamente con la Administración. Traducido: trámites en línea, notificaciones telemáticas, consulta de expedientes. Drupal no pretende sustituir a la plataforma de tramitación, pero sí actúa como front-end moderno sobre el back-office existente. Una capa de UX decente sobre infraestructuras que, seamos sinceros, llevan ahí desde hace mucho.
Funcionalidades clave de Drupal para portales institucionales
Soporte multilingüe para lenguas cooficiales
España no es monolingüe y sus portales tampoco pueden serlo. Castellano, catalán, gallego, euskera, valenciano, aranés. Seis lenguas cooficiales reconocidas en distintos estatutos de autonomía. Comunidades, diputaciones y ayuntamientos en territorios bilingües están obligados a ofrecer sus contenidos en todas las lenguas oficiales de su ámbito.
Drupal trae el sistema multilingüe en el núcleo. Content Translation traduce contenidos por entidad, Interface Translation se ocupa de la interfaz, y todo se aplica también a menús, bloques, taxonomías y URLs. En WordPress esto suele acabar en plugins de pago con sus propias rarezas. En Drupal, gratis y de serie.
Portales de transparencia y datos abiertos
La Ley 19/2013 de Transparencia obliga a publicar contratos, subvenciones, presupuestos, organigramas y retribuciones. No basta con colgar un PDF: hay que mantener la información viva y estructurada. Drupal lo hace bien con tipos de contenido específicos que se actualizan de forma sistemática.
Para datos abiertos, JSON:API expone el contenido como datos estructurados consumibles por terceros. Alimentas catálogos DCAT y conectas con plataformas como datos.gob.es sin reinventar nada.
Servicios al ciudadano y trámites en línea
Un portal institucional moderno hace mucho más que informar. Cita previa, certificados, pago de tasas, consulta de expedientes, registro electrónico. Drupal unifica todo eso como capa de presentación e integra con el back-office por APIs REST o SOAP.
El módulo Webform permite formularios con lógica condicional, subida de documentos, firma electrónica y envío a sistemas de tramitación. Workflow gestiona los flujos de aprobación internos para que nada se publique sin pasar antes por los filtros adecuados.
Módulos de Drupal esenciales para el sector público
Content Moderation: flujos editoriales con control
En la Administración no publica cualquiera, ni debería. Content Moderation, en el core, define estados (borrador, en revisión, aprobado, publicado, archivado) y los asigna por rol. Técnico redacta, jefatura revisa, comunicación aprueba. Todo queda registrado en el log de auditoría. No hay margen para el "fue sin querer".
JSON:API y RESTful Web Services: interoperabilidad
La interoperabilidad es uno de los principios sagrados de la administración electrónica. JSON:API, incluido en el núcleo, expone los contenidos como endpoints REST listos para consumir desde la app móvil, otra web, una intranet o un sistema externo. El mismo contenido publicado a la vez en el portal, en la app del ayuntamiento y en el catálogo de datos abiertos. Sin duplicar trabajo.
Search API y Solr: búsqueda avanzada para grandes volúmenes
Un portal con miles de ordenanzas, actas y convocatorias necesita un buscador serio. Search API sobre Apache Solr o Elasticsearch ofrece búsqueda facetada por tipo de documento, fecha, área de gobierno o etiquetas. El ciudadano encuentra lo que busca en segundos, incluso dentro de PDFs indexados. Adiós a "no encuentro la convocatoria del año pasado".
Metatag y Pathauto: SEO institucional
Vale, el posicionamiento no es la obsesión de una administración. Pero si el ciudadano busca "subvención autónomos 2026" en Google y no aparece tu portal, algo va mal. Metatag y Pathauto generan URLs limpias y metadatos optimizados de forma automática. Cero esfuerzo manual, visibilidad orgánica real.
Instituciones españolas que ya confían en Drupal
Drupal lleva años asentado en el sector público español. Sin pretender una lista exhaustiva: ministerios y organismos autónomos lo usan a nivel estatal; gobiernos regionales han apostado por él en portales de transparencia y servicios al ciudadano; ayuntamientos de todos los tamaños han migrado buscando accesibilidad, seguridad y multilingüismo.
Fuera de España, la Comisión Europea gestiona más de 50 webs con Drupal. Francia, Australia, Nueva Zelanda y Canadá lo han adoptado como estándar para sus portales. No es por inercia: detrás hay evaluaciones rigurosas de seguridad, escalabilidad y coste total de propiedad.
Ventajas de seguridad frente a otros CMS
Equipo de seguridad dedicado y proceso formal de advisories
El Security Team de Drupal publica advisories clasificados por criticidad y libera parches en ventanas predecibles (los miércoles, habitualmente). Esto suena menor, pero permite a los equipos de sistemas planificar las actualizaciones sin sorpresas. La mayoría de CMS alternativos no tienen un proceso tan formalizado.
Cumplimiento OWASP y auditorías de código
El código de Drupal sigue las directrices de OWASP. Protecciones contra inyección SQL, XSS, CSRF y el resto del Top 10 vienen integradas en la API. Si tu módulo personalizado se escribe correctamente, hereda esas protecciones por defecto. Esto reduce de forma sensible los agujeros que suele introducir el código a medida.
Drupal frente a otros CMS para administración pública
| Criterio | Drupal | WordPress | Liferay | Desarrollo a medida |
|---|---|---|---|---|
| Licencia | GPL (gratuito) | GPL (gratuito) | CE gratuito / DXP de pago | Variable |
| Seguridad | Equipo dedicado, advisory formal | Dependiente de plugins | Alta (enterprise) | Según desarrollo |
| Accesibilidad WCAG 2.1 | Nativa en el core | Requiere plugins | Parcial | Según desarrollo |
| Multilingüe nativo | Sí, en el core | No (requiere plugins) | Sí | Según desarrollo |
| Flujos editoriales | Content Moderation en core | Plugins de terceros | Sí | Según desarrollo |
| Interoperabilidad API | JSON:API en core | REST API limitada | Sí | Según desarrollo |
| Comunidad en España | Activa (Drupal Association Spain) | Muy amplia | Limitada | No aplica |
| Coste total de propiedad | Medio-bajo | Bajo (pero con limitaciones) | Alto | Alto |
La lectura es directa: si valoras Drupal para portales de administración pública y webs institucionales en España con seguridad de nivel gubernamental, accesibilidad obligatoria, multilingüismo nativo y flujos editoriales serios, ningún otro candidato ofrece la misma relación entre lo que hace y lo que cuesta. WordPress sale barato hasta que descubres todo lo que le falta. Liferay cumple pero a un precio difícil de justificar. Y un desarrollo a medida es un cheque en blanco.
Consideraciones para migrar a Drupal desde otro CMS
Mito recurrente: "migrar el portal va a parar el servicio público durante meses". Falso, si se planifica bien. Muchas administraciones siguen tirando de CMS obsoletos, desarrollos abandonados o versiones que ya no reciben parches. Cambiar a Drupal es factible sin cortar el servicio al ciudadano.
Fases de un proyecto de migración típico
- Auditoría del portal actual (2-3 semanas): inventario de contenidos, mapa de integraciones, arquitectura de información y deuda técnica.
- Diseño de la arquitectura en Drupal (3-4 semanas): tipos de contenido, taxonomías, roles, permisos, flujos editoriales y requisitos de integración.
- Desarrollo e integración (6-10 semanas): tema visual alineado con la identidad institucional, configuración de módulos, integraciones con sistemas de tramitación y migración automatizada de contenidos.
- Pruebas de accesibilidad y seguridad (2-3 semanas): auditoría WCAG 2.1 AA con herramientas automáticas y revisión manual, test de penetración y verificación de cumplimiento ENS.
- Despliegue y formación (2 semanas): puesta en producción, formación del equipo editorial y documentación de procedimientos.
Total: entre 15 y 22 semanas para un portal de complejidad media. La inversión típica oscila entre 30.000 y 80.000 euros, según el alcance funcional y el volumen de contenidos a migrar.
Rendimiento a escala y alta disponibilidad
Un portal público trabaja 24/7, los 365 días del año. Drupal permite montar arquitecturas de alta disponibilidad: balanceo de carga entre varios servidores, caché en varias capas (Varnish, Redis, CDN), bases de datos replicadas para lectura y escritura, y despliegues con zero downtime usando Drush o plataformas de hosting especializadas. ¿El resultado? Aunque venga el pico (solicitudes de ayudas, emergencias meteorológicas, lo que sea), el portal aguanta y los tiempos de carga se mantienen por debajo de los dos segundos. Que es lo que el ciudadano espera, sin saber por qué.
Construye un portal público que funcione para todos los ciudadanos
Un portal de administración pública no es "una web más" en el organigrama: es la puerta digital de la institución al ciudadano. Tiene que ser seguro, accesible, multilingüe, interoperable y cumplir un marco normativo serio. Drupal no es solo una opción válida; es la opción que gobiernos de medio mundo han validado contra sus propias exigencias.
En Tangram Consulting llevamos años trabajando con Drupal para portales de administración pública y webs institucionales en España, alineando cada proyecto con los estándares del sector público. Desde el diseño de la arquitectura hasta la auditoría de accesibilidad, acompañamos a las instituciones en cada fase del proyecto para entregar algo que funcione, que cumpla y que, sobre todo, sirva al ciudadano.