España vuelve a situarse como uno de los países más atacados del mundo, con un incremento del 64% en los ciberataques durante 2024.
La Unión Europea impulsa nuevas normativas como NIS2, DORA, RIA y CRA para reforzar la ciberresiliencia.
El ransomware se consolida como una amenaza clave, cada vez más accesible y sofisticada.
La inteligencia artificial, cada vez más usada por las organizaciones, plantea nuevos retos legales y operativos en ciberseguridad.
Ciberseguridad: una prioridad estratégica global
La ciberseguridad se ha convertido en un elemento crítico en la agenda de gobiernos, instituciones y empresas ante el auge del cibercrimen. Se estima que el coste global de este fenómeno ya ronda el 1,5% del PIB mundial, superando al de otras actividades delictivas tradicionales. En este contexto, las organizaciones deben afrontar una doble exigencia: protegerse frente a ataques cada vez más complejos y cumplir con un marco normativo en constante evolución.
España, concretamente, ha recuperado el segundo puesto en el ranking de países más atacados del mundo, lo que subraya la necesidad urgente de adoptar estrategias sólidas de ciberresiliencia.
El ransomware y la profesionalización del crimen digital
Durante 2024, los incidentes cibernéticos aumentaron un 64% respecto al año anterior, con el ransomware como una de las principales amenazas. El ecosistema del cibercrimen se ha profesionalizado: existen plataformas de reputación para malware, servicios de soporte técnico para ciberdelincuentes y herramientas de tipo “hazlo tú mismo” que permiten a casi cualquier usuario ejecutar un ataque.
Este nivel de accesibilidad convierte al ransomware en una amenaza escalable, rentable y anónima, lo que dificulta su contención. Además, sectores críticos como la administración pública, la industria o la sanidad siguen siendo los principales objetivos, aunque el contexto geopolítico actual amplía el riesgo a cualquier entidad con operaciones sensibles.
Europa refuerza el marco normativo
Ante la creciente amenaza, la Unión Europea ha diseñado un conjunto de regulaciones para mejorar la seguridad digital y operativa. Entre ellas, destacan:
NIS2
Requiere a las organizaciones de sectores esenciales —como salud, energía, transporte o TIC— establecer medidas técnicas, organizativas y jurídicas para la gestión del riesgo. Su incumplimiento puede derivar en consecuencias legales y económicas importantes.
DORA
El Reglamento de Resiliencia Operativa Digital establece obligaciones para el sector financiero y tecnológico con el fin de garantizar la continuidad y seguridad de sus servicios digitales.
RIA
El Reglamento de Inteligencia Artificial impone la necesidad de certificar que los modelos y sistemas de IA no vulneren las prohibiciones establecidas por la UE. Las organizaciones deben auditar su uso de IA y definir políticas claras de control.
CRA
El Reglamento de Ciberresiliencia busca asegurar que los productos digitales sean seguros desde su diseño y durante todo su ciclo de vida, responsabilizando a los fabricantes por vulnerabilidades no resueltas.
IA y ciberseguridad: una combinación con doble filo
Más del 55% de las organizaciones en España ya utiliza inteligencia artificial generativa, aunque más del 30% no dispone aún de políticas específicas para su uso. Esta brecha genera riesgos significativos, ya que los sistemas de IA pueden ser explotados si no están adecuadamente controlados.
Además, la IA no solo se emplea para defender, sino también para atacar. Por ello, las organizaciones deben ser conscientes de cómo, por qué y para qué se utiliza esta tecnología en sus estructuras, y establecer controles adecuados para garantizar el cumplimiento normativo y la protección de sus activos digitales.
Adaptación normativa y tecnológica frente al nuevo ciberescenario
Las amenazas cibernéticas seguirán evolucionando, pero también lo hacen las herramientas y regulaciones para combatirlas. El reto para las organizaciones no solo radica en adaptarse a una tecnología en transformación, sino también en integrar la ciberseguridad como un eje central de su estrategia operativa y legal. Solo así podrán reforzar su resiliencia y minimizar los riesgos de un entorno cada vez más digitalizado y vulnerable.
