La ciberseguridad se ha convertido en una prioridad estratégica para las organizaciones de todos los sectores debido al incremento de ciberataques en estos últimos años. Algunos estudios aseguran que ha habido un aumento de más del 60% en el número de ataques a empresas en España. Ante esta problemática, expertos del sector se reunieron en la Jornada “Normativa y ciberresiliencia: ¿Qué tengo que hacer en la práctica?”, organizada por Secure&IT, para analizar la situación actual en materia de ciberamenazas, hablar sobre normativas e inteligencia artificial.
Francisco Valencia, director general de Secure&IT, integrador de soluciones de seguridad, explicó que la ciberseguridad se encuentra entre las principales preocupaciones de Gobiernos, administraciones, empresas y particulares. “No es de extrañar, el cibercrimen alcanza un coste global cercano al 1,5% del PIB mundial, una cifra que se mantiene desde hace dos años y que supone un trillón de dólares, más del doble que la suma del tráfico de drogas, personas y armas juntos”.
Además, durante el encuentro, se destacó que España ha recuperado el segundo puesto como país más atacado del mundo, lo que refuerza la urgencia de adoptar nuevas estrategias y cumplir con las exigencias regulatorias para fortalecer la resiliencia digital.
En esta jornada se hizo hincapié en el fuerte incremento de incidentes de ciberseguridad, y es que los ciberataques en 2024 aumentaron un 64% con respecto al año anterior, según datos del CCN-CERT. Además, durante ese periodo, según el Informe de Ciberinteligencia 2024 de Secure&IT, entre los grupos criminales más activos destacaron Ransomhub y Lockbit 3. “Si analizamos a los cibercriminales, nos encontramos con que el crimen digital es escalable, rentable y anónimo, lo tiene todo. La mayoría de los grupos de ransomware tienen mejor atención al cliente que nuestros operadores de comunicaciones. Hasta el punto de que existen plataformas de reputación para saber qué proveedores de malware son más fiables”, explicaba Francisco Valencia.
Hay muchos factores que hacen que el cibercrimen siga evolucionando, uno de ellos es la facilidad que proporcionan las herramientas para convertirse en cibercriminal. “Hoy en día ya podemos hablar del ransomware DIY (hazlo tú mismo). Un adolescente con acceso a Google, una tarjeta de prepago y algo de tiempo, puede desplegar un ransomware”, aseguraba el director general de Secure&IT. Los sectores más golpeados, como son las administraciones públicas, la industria y la sanidad, siguen siendo objetivo prioritario, aunque la actual situación geopolítica está extendiendo el riesgo a cualquier organización que opere en mercados sensibles.
El efecto de las normativas europeas en el mundo de la ciberseguridad
Ante este escenario, la Unión Europea ha respondido con un conjunto de marcos normativos dirigidos a reforzar la ciberseguridad y la resiliencia operativa de las organizaciones. En estas jornadas, se abordaron los principales cambios y obligaciones que conllevan cuatro regulaciones clave: NIS2, el Reglamento de Inteligencia Artificial (RIA), DORA y el Reglamento de Ciberresiliencia (CRA).
La NIS2 supone una transformación profunda en la forma en que las organizaciones —especialmente en sectores como energía, salud, banca, TIC o transporte— deben afrontar la gestión de riesgos, la gobernanza de la seguridad y el cumplimiento normativo. “Para cumplir con esta normativa, va a ser necesario establecer medidas jurídicas organizativas y técnicas adecuadas por parte de las organizaciones. De no hacerlo, las organizaciones pueden enfrentarse a consecuencias legales, económicas y reputacionales muy graves”, indicó Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT.
Otro tema que se abordó en este evento fue el de la inteligencia artificial, y es que según el informe “Estado de Ciberseguridad en España 2024” de Secure&IT, más del 55% de las empresas ya usan IA generativa, aunque más del 30% carece aún de medidas específicas para gestionarla. Por motivos como este, surgió el RIA.
El Reglamento de Inteligencia Artificial (RIA) obliga a las organizaciones a asegurarse de que sus modelos y sistemas de IA no vulneren las prohibiciones establecidas. Así lo explicaba Juan Manuel Valiente: “Las empresas deberán certificar que sus sistemas de IA no vulneran los límites marcados, lo que puede implicar modificarlos, eliminar funcionalidades o decantarse por sistemas adecuados a la legalidad”. Además, apuntaba: “Es muy importante conocer para qué se está utilizando la IA en nuestras organizaciones y establecer políticas de uso y control”.