Ciberseguridad en la Uni贸n Europea: Estado Actual y Retos Prioritarios

Spread the love

La Comisi贸n Europea聽 ha realizado una revisi贸n de la situaci贸n de la ciberseguridad en la UE, incluyendo la ciberseguridad de las empresas (Comunicaci贸n COM(2025) 290)

 

Panorama general de la ciberseguridad en la Uni贸n Europea

Compostela

La ciberseguridad en la Uni贸n Europea est谩 cada vez m谩s condicionada por el aumento de tensiones geopol铆ticas y econ贸micas. En este contexto, los ciberataques se han convertido en herramientas estrat茅gicas para el espionaje, el sabotaje y las campa帽as de desinformaci贸n. Los ataques dirigidos contra los Estados miembros y las instituciones europeas son constantes, representando una amenaza grave y sostenida.聽 Por mencionar alg煤n riesgo concreto, el ransomware sigue siendo uno de los riesgos m谩s da帽inos, cuya evoluci贸n va m谩s all谩 de simplemente encriptar datos, ya que ahora se combina con la exfiltraci贸n de informaci贸n sensible para ejercer una doble extorsi贸n. Las peque帽as y medianas empresas son objetivos frecuentes, dada su menor capacidad de defensa. Por ejemplo,聽 se帽ala el informe, que en 2024 el sector sanitario sufri贸 un impacto especialmente alto: el 71 % de los incidentes que afectaron la atenci贸n al paciente estuvieron relacionados con ransomware. Aunque los ataques aumentaron un 11 % respecto al a帽o anterior, la presi贸n sobre grupos como LockBit ha fragmentado el panorama, surgiendo 46 nuevos grupos de ransomware en ese mismo a帽o.

Los ataques a la cadena de suministro tambi茅n han aumentado de forma notable, conforme a lo indicado por la Comisi贸n Europea. Los ciberdelincuentes aprovechan las vulnerabilidades de proveedores externos, especialmente cuando estos dependen de tecnolog铆as o proveedores considerados de riesgo o sujetos a legislaciones que obligan a reportar vulnerabilidades a sus autoridades antes que al p煤blico. Adem谩s, pueden aprovecharse de esta dependencia para atacar infraestructuras cr铆ticas, generando interrupciones en momentos clave. Por ejemplo, los ataques a dispositivos conectados al Internet de las Cosas (IoT) crecieron un 107 % en la primera mitad de 2024.

A nivel social, la percepci贸n p煤blica sobre la ciberseguridad est谩 empeorando, con una disminuci贸n de la confianza en la capacidad propia para protegerse y un bajo conocimiento de los mecanismos de denuncia de incidentes. Adem谩s, la dependencia excesiva de proveedores tecnol贸gicos 煤nicos y no europeos plantea riesgos considerables para la econom铆a, como demostr贸 la interrupci贸n del servicio de CrowdStrike en 2024.

Un reto estructural importante es la escasez de talento especializado: la Uni贸n Europea enfrenta un d茅ficit de aproximadamente 299.000 profesionales en ciberseguridad. Para abordar este problema, la Agencia de la Uni贸n Europea para la Ciberseguridad (ENISA) impulsa iniciativas como el Marco Europeo de Competencias en Ciberseguridad (ECSF), que busca facilitar la formaci贸n, certificaci贸n y movilidad profesional en este 谩mbito.

Empresas y su ciberseguridad

Camelia blanca

Explica la Comisi贸n que en 2024, la gran mayor铆a de las empresas europeas con m谩s de 10 empleados (el 92,8 %) implementaron al menos una medida b谩sica de seguridad TIC. Sin embargo, solo un tercio contaba con documentaci贸n formal o realizaba evaluaciones de riesgos peri贸dicas. Las pr谩cticas m谩s habituales fueron el uso de contrase帽as robustas (83,7 %) y la realizaci贸n de copias de seguridad en ubicaciones separadas (79,2 %). Aun as铆, el 21,5 % de las empresas sufri贸 incidentes de seguridad con consecuencias negativas.

 

 

El presupuesto dedicado a la seguridad inform谩tica creci贸, llegando a representar en promedio el 9 % del total de TI, especialmente en sectores regulados por la Directiva NIS, donde la madurez en ciberseguridad es m谩s avanzada. El sector de telecomunicaciones destaca por su nivel de preparaci贸n.

Los Estados miembros han incluido en sus Planes Nacionales unas 38 medidas para reforzar la ciberseguridad, con un presupuesto conjunto cercano a los 7.000 millones de euros, orientados a fortalecer la formaci贸n, crear centros especializados y mejorar las capacidades tanto p煤blicas como privadas. Pero, resulta preocupante la lenta y desigual adopci贸n de tecnolog铆as clave como IPv6, con una penetraci贸n superior al 40 % en pa铆ses como B茅lgica, Francia o Alemania, pero inferior al 10 % en otros como Croacia, Chipre o Malta.

Marco normativo y avances recientes

Entre 2024 y 2025, la UE ha dado pasos importantes en su agenda de ciberseguridad. La Directiva NIS2, con obligaci贸n de transposici贸n en octubre de 2024, establece est谩ndares estrictos para 18 sectores cr铆ticos. En ese mismo mes, la Comisi贸n Europea aprob贸 el primer acto delegado bajo NIS2, que detalla las medidas de gesti贸n de riesgos y los criterios para la notificaci贸n de incidentes importantes.

El Reglamento Cyber Resilience Act introduce requisitos de seguridad para productos digitales, con plena aplicaci贸n en los pr贸ximos tres a帽os. En cuanto al Cyber Solidarity Act,聽 estableci贸 un sistema europeo de alerta en ciberseguridad, as铆 como mecanismos de respuesta r谩pida ante incidentes, apoyados en inteligencia artificial. Tambi茅n se modific贸 el Cybersecurity Act para permitir la certificaci贸n de servicios gestionados de seguridad. Por otro lado, en enero de 2025 se adopt贸 un Plan de Acci贸n para mejorar la ciberseguridad en hospitales y proveedores de salud, y en febrero se propuso un nuevo Cybersecurity Blueprint que integra la cooperaci贸n civil-militar y mejora la capacidad de respuesta a crisis.

Tecnolog铆as emergentes

El desarrollo de la Infraestructura Europea de Comunicaci贸n Cu谩ntica (EuroQCI), dentro del programa IRIS, busca ofrecer servicios altamente seguros para el intercambio de claves criptogr谩ficas y la protecci贸n de infraestructuras cr铆ticas. En 2024, el foco estuvo en el desarrollo de redes nacionales cu谩nticas y la previsi贸n de conexiones transfronterizas en 2026.

  • La llegada de la computaci贸n cu谩ntica trasformar谩 o desplazar谩 la criptograf铆a actual, por lo que la Comisi贸n Europea recomend贸 en 2024 que los Estados miembros preparen hojas de ruta sincronizadas para la transici贸n a criptograf铆a post-cu谩ntica, especialmente en administraciones p煤blicas e infraestructuras cr铆ticas, con objetivos a corto y medio plazo.

En el informe comentado, la Comisi贸n aconseja a los Estados miembros:

  • Transponer la Directiva NIS2 y adoptar medidas adicionales para asegurar la implementaci贸n plena de los marcos europeos, incluyendo la caja de herramientas para seguridad 5G y restricciones a proveedores de alto riesgo.
  • Fortalecer la formaci贸n y las capacidades del personal en ciberseguridad, aprovechando recursos como el Marco Europeo de Competencias.
  • Elaborar, dentro del Grupo de Cooperaci贸n NIS, hojas de ruta para la transici贸n sincronizada a criptograf铆a post-cu谩ntica en sectores p煤blicos y cr铆ticos.
  • Avanzar en la migraci贸n de sistemas criptogr谩ficos actuales a tecnolog铆as post-cu谩nticas, con metas parciales para 2030 y finalizaci贸n prevista para 2035.