Expertos alertan del crecimiento imparable de los ataques informáticos y la necesidad urgente de adoptar normativas europeas para garantizar la ciberresiliencia empresarial
España ha recuperado el segundo puesto en el ranking de países más ciberatacados del mundo. Así lo confirmaron los expertos reunidos en la jornada “Normativa y ciberresiliencia: ¿Qué tengo que hacer en la práctica?”, organizada por la empresa española Secure&IT. El evento sirvió para analizar la creciente amenaza del cibercrimen y la necesidad de adaptar las organizaciones a un nuevo entorno regulado y digitalmente vulnerable.
Un panorama digital alarmante
Los datos son claros: en 2024 los ciberataques aumentaron un 64 % con respecto al año anterior, según el CCN-CERT. Los sectores más afectados fueron la administración pública, la industria y la sanidad, aunque cualquier empresa es hoy un blanco potencial.
“El cibercrimen es rentable, escalable y anónimo. Tiene todos los ingredientes para seguir creciendo”, explicó Francisco Valencia, director general de Secure&IT. En su intervención, alertó del impacto económico de esta actividad ilegal: cerca del 1,5 % del PIB mundial, superando con creces el coste combinado del narcotráfico, el tráfico de armas y de personas.
Los grupos criminales más activos en España, según el informe de Ciberinteligencia 2024 de Secure&IT, son Ransomhub y Lockbit 3. Valencia destacó que el acceso a herramientas sencillas ha democratizado el crimen digital: “Hoy cualquier adolescente con una tarjeta prepago y conexión a internet puede desplegar un ransomware DIY”.
La regulación, clave para sobrevivir
Ante este contexto, la Unión Europea ha reforzado su marco normativo para elevar la ciberresiliencia de las organizaciones. Durante la jornada, se abordaron las principales implicaciones de cuatro regulaciones fundamentales:
- NIS2: aplica a sectores esenciales como salud, banca, energía o transporte, y obliga a aplicar medidas jurídicas, organizativas y técnicas específicas.
- Reglamento de Inteligencia Artificial (RIA): impone controles para garantizar el uso seguro y legal de la IA en empresas.
- DORA: dirigido al sector financiero, busca asegurar la resiliencia operativa ante incidentes.
- Reglamento de Ciberresiliencia (CRA): establece requisitos para productos digitales comercializados en la UE.
Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT, advirtió: “No cumplir con estas normativas puede tener consecuencias legales, económicas y reputacionales graves”.
Inteligencia artificial: ¿aliada o amenaza?
Uno de los puntos más debatidos fue el uso creciente de la IA generativa en las empresas. Aunque más del 55 % de las organizaciones ya la utilizan, más del 30 % aún no ha implementado protocolos de control.
“El RIA obliga a certificar que los sistemas de IA no vulneran las normas. Eso implica adaptar modelos, eliminar funciones o adoptar nuevas herramientas conforme a la ley”, señaló Valiente. Para ello, se recomienda definir políticas internas de uso y establecer medidas de supervisión continuada.
Una llamada a la acción
Secure&IT subraya que la ciberseguridad no es un freno, sino una guía para garantizar la continuidad del negocio y la confianza del cliente. “Las amenazas evolucionan y no podemos quedarnos atrás”, concluyó Valencia.
La jornada puso de manifiesto la urgencia de tomar medidas para frenar un fenómeno que ya no distingue tamaño, sector ni ubicación. Las organizaciones españolas, grandes y pequeñas, deben actuar ya para no quedar expuestas ante una amenaza cada vez más sofisticada y destructiva.