Ante esta problemática, expertos del sector se reunieron en la Jornada “Normativa y ciberresiliencia: ¿Qué tengo que hacer en la práctica?”, organizada por Secure&IT, para analizar la situación actual en materia de ciberamenazas, hablar sobre normativas e inteligencia artificial.
Francisco Valencia, director general de Secure&IT, compañía especializada en la seguridad de la información, explicó que la ciberseguridad se encuentra entre las principales preocupaciones de gobiernos, administraciones, empresas y particulares. “No es de extrañar, el cibercrimen alcanza un coste global cercano al 1,5% del PIB mundial, una cifra que se mantiene desde hace dos años y que supone un trillón de dólares, más del doble que la suma del tráfico de drogas, personas y armas juntos”.
Además, durante el encuentro, se destacó que España ha recuperado el segundo puesto como país más atacado del mundo, lo que refuerza la urgencia de adoptar nuevas estrategias y cumplir con las exigencias regulatorias para fortalecer la resiliencia digital.
UN PANORAMA CADA VEZ MÁS CRÍTICO
En esta jornada se hizo hincapié en el fuerte incremento de incidentes de ciberseguridad, y es que los ciberataques en 2024 aumentaron un 64 % con respecto al año anterior, según datos del CCN-CERT. Además, durante ese periodo, según el Informe de Ciberinteligencia 2024 de Secure&IT, entre los grupos criminales más activos destacaron Ransomhub y Lockbit 3.
“Si analizamos a los cibercriminales, nos encontramos con que el crimen digital es escalable, rentable y anónimo, lo tiene todo. La mayoría de los grupos de ransomware tienen mejor atención al cliente que nuestros operadores de comunicaciones. Hasta el punto de que existen plataformas de reputación para saber qué proveedores de malware son más fiables”, explicaba Francisco Valencia.
Hay muchos factores que hacen que el cibercrimen siga evolucionando, uno de ellos es la facilidad que proporcionan las herramientas para convertirse en cibercriminal. “Hoy en día ya podemos hablar del Ransomware DIY (hazlo tú mismo). Un adolescente con acceso a Google, una tarjeta de prepago y algo de tiempo, puede desplegar un ransomware”, aseguraba el director general de Secure&IT.
Los sectores más golpeados, como son las administraciones públicas, la industria y la sanidad, siguen siendo objetivo prioritario, aunque la actual situación geopolítica está extendiendo el riesgo a cualquier organización que opere en mercados sensibles.
LA NORMATIVA EUROPEA: PIEZA CLAVE DE LA CIBERRESILIENCIA
Ante este escenario, la Unión Europea ha respondido con un conjunto de marcos normativos dirigidos a reforzar la ciberseguridad y la resiliencia operativa de las organizaciones. En estas jornadas, se abordaron los principales cambios y obligaciones que conllevan cuatro regulaciones clave: NIS2, el Reglamento de Inteligencia Artificial (RIA), DORA y el Reglamento de Ciberresiliencia (CRA).
La NIS2 supone una transformación profunda en la forma en que las organizaciones —especialmente en sectores como energía, salud, banca, TIC o transporte— deben afrontar la gestión de riesgos, la gobernanza de la seguridad y el cumplimiento normativo.
“Para cumplir con esta normativa, va a ser necesario establecer medidas jurídicas organizativas y técnicas adecuadas por parte de las organizaciones. De no hacerlo, las organizaciones pueden enfrentarse a consecuencias legales, económicas y reputacionales muy graves”, indicó Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT.
LA INTELIGENCIA ARTIFICIAL, ¿USO RESPONSABLE Y SEGURO?
Otro tema que se abordó en este evento fue el de la inteligencia artificial, y es que según el informe “Estado de Ciberseguridad en España 2024” de Secure&IT, más del 55 % de las empresas ya usan IA generativa, aunque más del 30 % carece aún de medidas específicas para gestionarla. Por motivos como este, surgió el RIA.
El Reglamento de Inteligencia Artificial (RIA) obliga a las organizaciones a asegurarse de que sus modelos y sistemas de IA no vulneren las prohibiciones establecidas. Así lo explicaba Juan Manuel Valiente: “Las empresas deberán certificar que sus sistemas de IA no vulneran los límites marcados, lo que puede implicar modificarlos, eliminar funcionalidades o decantarse por sistemas adecuados a la legalidad”. Además, apuntaba: “Es muy importante conocer para qué se está utilizando la IA en nuestras organizaciones y establecer políticas de uso y control”.
En estas Jornadas también se habló de los reglamentos DORA (Digital Operational Resilience Act) y CRA (Reglamento de Ciberresiliencia). DORA está dirigido al sector financiero, obligando a bancos, aseguradoras, empresas de inversión, proveedores TIC y otras entidades a garantizar que pueden resistir, responder y recuperarse de incidentes de ciberseguridad. En el caso del CRA, se establecen requisitos horizontales de ciberseguridad para todos los productos con elementos digitales de la UE.
“Las amenazas evolucionan constantemente y las organizaciones no pueden quedarse atrás. Entender y aplicar estos marcos normativos es imprescindible para garantizar la continuidad del negocio y la confianza de clientes y usuarios. Debemos entender que las normas sobre ciberseguridad no son un obstáculo, sino una guía de supervivencia”, concluía Francisco Valencia.