Robo de datos por aquí y fraude por allá, en los últimos años cada semana escuchamos una nueva forma de ciberataque, la historia de una estafa que ha logrado robar millones de euros o el robo masivo de datos y contraseñas que afectan a las principales empresas de nuestro país.
Sobre todo en este 2025, el número de ataques y robos a empresas españolas se ha notado más que nunca, haciendo que España se sitúe como uno de los países que más ciberataques ha sufrido en los últimos años situándonos en las posiciones de los rankings de naciones más afectadas.
Esto no es fruto de la casualidad, sino que hay varios factores y motivos por ello. Por esa razón, desde elEconomista.es nos hemos puesto en contacto con Víctor Deutsch, especialista en ciberseguridad en IMMUNE Technology Institute para conocer un poco más a fondo el creciente problema al que se enfrenta nuestro país hoy en día, y qué podemos hacer para solucionarlo.
P. España ha escalado posiciones en el ranking de países más afectados por ciberataques. ¿Cuáles son las principales razones que han llevado a España a convertirse en un objetivo tan constante y apetecible?
Probablemente es una confluencia de factores. Una podría ser la estructura económica de España, donde el sector PYME y de Autónomos tiene un peso mucho más relevante que en otros países. Las mafias suelen fijarse en las PYMEs porque, por pura estadística, un ataque estandarizado contra 10,000 empresas, donde un porcentaje es vulnerable, compensa más que un ataque dirigido contra una empresa grande.
Otro motivo, puede ser la enorme aceptación de las tecnologías Web 2.0 , en particular el Smartphone y la utilización de RRSS, en las cuáles España es uno de los líderes. Otra vez, las grandes masas de usuarios atraen a las mafias porque con el mismo esfuerzo pueden extraer dinero de más gente. Y, por supuesto, en el actual contexto geopolítico, todos los países pertenecientes a la OTAN, están más expuestos a los ataques de sus adversarios.
P. En comparación con otros países de la Unión Europea o con economías similares, ¿cómo se posiciona España en términos de vulnerabilidad y preparación ante ciberataques? ¿Qué lecciones podríamos aprender o qué prácticas deberíamos emular de otras naciones que han enfrentado desafíos similares con mayor éxito?
España ocupa el cuarto puesto en el Índice Global de Ciberseguridad (GCI) de la Unión Internacional de Telecomunicaciones (ITU), situándose entre los líderes mundiales en ciberseguridad, el 3º puesto a nivel europeo. El GCI, evalúa el compromiso de los países con la ciberseguridad, considera cinco pilares: legalidad, medidas técnicas, medidas organizativas, desarrollo de capacidades y cooperación.
Quizás el principal problema es la falta de profesionales formados en ciberseguridad. Entre las economías europeas, España es el país que tiene la mayor brecha entre oferta y demanda de profesionales, como muestra este cuadro de ISC2 (consorcio de certificación en seguridad).
P. Cuando se produce una filtración o un ciberataque de gran magnitud, a menudo surge la pregunta de la responsabilidad. ¿Se están exigiendo responsabilidades suficientes a las organizaciones que no implementan las medidas de seguridad adecuadas? ¿Es la normativa actual lo suficientemente disuasoria o sancionadora para prevenir futuras brechas?
En materia de protección de datos, la legislación española ha sido siempre una de las más estrictas y severas para controlar y sancionar las violaciones a la privacidad o el uso indebido de los datos por parte de las corporaciones. En 2018, con la adopción del RGPD (normativa europea) las sanciones son incluso más severas y llegan al 4% de la facturación o los 20 millones de euros, la más alta de las dos.
En cuanto a otro tipo de responsabilidades es verdad que España está retrasada en la traslación a la legislación local de la directiva europea NIS2 que obliga a tomar medidas preventivas de ciberseguridad a empresas de más de 10 MM€ de facturación y más de 50 empleados en varios sectores críticos. Aquí las multas pueden ser de hasta 10 millones o el 2% de la facturación global. También se prevé, por primera vez, sanciones contra directivos/miembros de los Consejos de Administración, por incumplimiento de sus obligaciones.
Sin embargo, aunque el anteproyecto de ley se presentó en enero de este año, ya se han excedido los plazos previstos por la UE para la armonización de las normas locales cuyo plazo máximo era en octubre de 2024. A día de hoy no se sabe con certeza cuándo se sancionará la nueva ley por el Congreso.
P. Ante este panorama de ataques constantes y filtraciones de datos, ¿qué medidas prácticas y de sentido común pueden tomar los ciudadanos para proteger su información personal, sus dispositivos y, en definitiva, su integridad digital?
Los ciudadanos pueden tomar varias medidas para protegerse, por ejemplo:
- Pensar críticamente y desechar cualquier mensaje, correo o sitio web sospechoso. Desconfiar de ofertas muy agresivas, peticiones urgentes por parte de gente desconocida o que no podamos validar por otros medios.
- Instalar software de seguridad como antivirus, VPN y gestores de passwords.
- Realizar periódicamente copias de seguridad de los datos en sitios seguros y protegidos.
- Gestionar nuestras claves para que no sean conocidas por otras personas, modificarlas con frecuencia y no sean fáciles de averiguar.
- Mantener los sistemas actualizados con las últimas versiones de los fabricantes.
- Utilizar VPNs cuando utilizamos redes públicas o no confiamos en ellas.
- Siempre consultar y solicitar la ayuda de un experto, líneas de ayuda (como el 017) o incluso llamar a las fuerzas de seguridad cuando detectamos cualquier actividad informática que creamos que nos ponga en peligro. Los niños deben tener a mano a sus padres y profesores o personal educativo ante cualquier situación.