La transformación digital de Europa tiene marcados cuatro objetivos para 2030: primero, disponer de 20 millones de especialistas en TIC (9,5 millones en 2023) y al menos un 80% de la población con capacidades digitales básicas (68% en 2023); segundo, que más del 90% de las PYMEs tengan un nivel básico de uso de las tecnologías digitales (77% en 2023) y que un 75% de las empresas de la UE utilicen servicios en la nube, inteligencia artificial o soluciones de big data.

Tercero, contar con infraestructuras digitales seguras y sostenibles: conectividad Gigabit universal,  creación de 10.000 "edge nodes" de alta seguridad, ser climáticamente neutros y hasta tres ordenadores con aceleración cuántica; y cuarto, la digitalización de los servicios públicos, especialmente los que son clave como el historial médico o la identificación digital. "Este proceso de transformación digital debe ir acompañado necesariamente de decisiones en materia de ciberseguridad o de lo contrario estará abocado al fracaso", afirma Ramón Miralles, profesor de OBS Business School y abogado especializado en derecho digital.

Si en el año 2003 la conexión a internet en los domicilios españoles era del 25% (el 40% en Europa), en 2022 ese porcentaje alcanzó el 96,1%, algo superior a la media europea. Sin embargo, aún nos encontramos en una etapa incipiente del proceso de transformación. "Es necesario un liderazgo que aporte recursos y se implique en todas las fases, y también un plan, pues los cambios pueden ser tan disruptivos que no cabe la improvisación, especialmente en la selección y seguridad de las tecnologías", asegura el profesor Miralles.

El informe Transformación Digital y Ciberseguridad: binomio inseparable indica que también serán necesarios especialistas tanto en negocio como en tecnologías y seguridad de la información, por tanto, habrá que incorporar nuevos perfiles o capacitar a los existentes para que la falta de conocimiento no sea una barrera. Además, las organizaciones deberán implicarse y alinearse con unos cambios en los que la ciberseguridad tendrá un peso muy significativo tanto en tecnología como en organización y personas.

La ciberseguridad es un proceso estratégico que debe formar parte del sistema de gestión integral de las organizaciones y que debe trabajarse desde el diseño, es decir, desde el mismo momento en que se está valorando adoptar cierta tecnología. Este proceso estratégico debe completarse con otro de carácter operativo denominado "Zero Trust" que se basa en considerar que ninguna persona o dispositivo, tanto si se ubica dentro como fuera de la red de la organización, puede tener acceso a los sistemas de información hasta que se considere explícitamente necesario.

El origen y las características de los ciberataques ha ido evolucionando: si al principio los perpetraban individuos en solitario o en muy reducidos grupos, ahora se han convertido en una actividad delictiva cada día más lucrativa y con menor riesgo que llevan a cabo verdaderas organizaciones criminales. Especialistas con sofisticados recursos capaces de obtener el control de redes empresariales para explotarlas o bien para vender ese control a terceros. Se trata de un fenómeno global que ha obligado a adaptar las normas penales.

Un ejemplo destacado es el Reglamento General de Protección de Datos (RGPD) de Europa, aprobado en 2016 y que se ha convertido en un referente regulatorio en diversas regiones del mundo. Esta normativa, que aplica a toda la UE, considera esencial proteger la seguridad de los datos personales, pero también trasciende las fronteras europeas aplicándose a empresas fuera de Europa si estas ofrecen bienes o servicios a individuos en la UE y manejan sus datos personales. El RGPD hace referencia al cifrado de datos personales, la capacidad de garantizar la confidencialidad, planes de contingencia para el caso de incidentes técnicos o físicos y la implementación de procesos de verificación periódica.

Y además obliga a notificar los incidentes de seguridad ("data breach") a las autoridades de protección de datos en un plazo máximo de 72 horas. Las sanciones previstas son de hasta 10 millones de euros o un 2% de la facturación a nivel mundial cuando se produzca una situación de ausencia de medidas de seguridad o incluso si estas no han sido eficaces a causa de una mala implementación o gestión.

En este contexto de transformación el informe considera imprescindible mantener el necesario equilibrio entre la innovación y su regulación, pues puede llegar a fomentarla o por el contrario dificultarla. En el Parlamento Europeo se planteó la creación de un Reglamento de Inteligencia Artificial, todavía pendiente de aprobación, con una regulación restrictiva solo para aquellas aplicaciones de IA que se pudieran considerar de alto riesgo. Ahora bien, el informe de OBS pone en duda la capacidad para determinar el nivel de riesgo de cada aplicación.

Ciberataques en España

En 2022 los ciberataques en España aumentaron un 28% con respecto a 2021, una tendencia al alza que se ha mantenido durante lo que llevamos el 2023. Los sectores que sufrieron más fueron: la administración del Estado (24%), los servicios digitales (13%), la ciudadanía (12,4%), los servicios (11,8 %), el sector financiero (8,6%) y el sector sanitario (7,2%).

Además, este año se ha detectado una creciente sofisticación, en gran parte impulsada por el uso de inteligencia artificial que se está empleando para desarrollar ataques más efectivos. Sin embargo, la IA también es una línea de defensa que se puede utilizar para contrarrestar amenazas avanzadas como el Malware avanzado, que es capaz de ir cambiando constantemente su apariencia; el Ransomware, que se dirige sobre todo a la pequeña y mediana empresa y cuyo "ataque de triple extorsión" consigue el cifrado de datos, la venta de información robada y amenazas de ataques adicionales; el Phishing y Smishing (phishing a través de SMS), cada vez más refinados; la Seguridad en la nube, que recibe cada vez más ataques; y los dirigidos a redes domésticas, que con el auge del teletrabajo se han convertido en objetivos.

La adopción de la autenticación multifactor que ya se ha empezado a usar va a seguir creciendo porque es capaz de detener prácticamente todos los ataques de "phishing" general y un porcentaje superior al 70% de los ataques dirigidos. Pero la gran tendencia va a ser el uso de la inteligencia artificial, lo que provocará que los sistemas de seguridad den un salto cualitativo y cuantitativo en lo que respecta a su eficacia frente a los ciberataques.  

La regulación de la ciberseguridad a nivel mundial

Existen enormes desigualdades en el mundo en materia de ciberseguridad. En 2020 la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo constató que el 66% de los países tenía algún tipo de legislación sobre datos, mientras que el 10% contaba con proyectos legislativos en marcha y el 24% no disponía de ninguna normativa, ni tenía proyectos legislativos en marcha. Tal vez África refleje de la manera más evidente las desigualdades: Argelia (2018), Marruecos (2009), Kenia (2019) y Sudáfrica (2013) tienen leyes de protección de datos personales que incluyen obligaciones de seguridad. Egipto posee su Ley de Telecomunicaciones (2003) y Nigeria (2015) tiene regulados los delitos informáticos. Además, existe el documento "Marco político de la Unión Africana en materia de datos" (febrero 2022) que describe las tendencias normativas en la materia.

Si nos centramos en Asia, China aprobó en 2021 su Ley de Seguridad de Datos. Vietnam la Ley de ciberseguridad (2019) no exenta de polémica porque las empresas de Internet están obligadas a almacenar información personal de sus usuarios y a entregarla al Estado si éste lo considera necesario. Corea del sur también cuenta con una legislación de protección de datos y Japón actualizó en 2020 su Ley de Protección de Información Personal. Por su parte, Singapur cuenta con la Ley de Protección de Datos Personales desde el 2012 y también con una ley que regula la seguridad de la información. Y en la India existe la Ley de Tecnología de la Información (2000) que fue objeto de actualización en 2008 para incluir la seguridad de los datos personales; este país, además tiene desde 2013 una Política Nacional de Seguridad Cibernética.

En Latinoamérica buena parte de la legislación relacionada con la seguridad de la información se deriva de las leyes de protección de datos, como es el caso de Brasil, México, Colombia, Chile, Argentina o Uruguay. La regulación relacionada con los ciberdelitos está muy extendida en Brasil, Colombia, Chile y Argentina. En Centroamérica la situación es similar: Costa Rica, El Salvador, Guatemala, Honduras y Nicaragua cuentan con regulación tanto en materia de protección de datos como en relación con los ciberdelitos. Sin embargo, en estos países no existen desarrollos normativos específicos relacionados con leyes de ciberseguridad. Por su parte, Estados Unidos, Canadá, Australia y Nueva Zelanda tienen leyes de ciberseguridad equivalentes a la normativa europea.