1 11 Table of Contents 13 16

INNOVACIÓN - Mayo 2025

12 29 mayo 2025 innovación » Jazmín Romero El gran apagón del 29 de abril, que dejó sin suministro eléctrico a miles de personas en España y Portugal, encendió una alarma que iba mucho más allá de la luz. Aunque el Gobierno señaló como causa principal unas oscilaciones en la red del sur de la península, el hecho de que se llegara a considerar la posibilidad de un ciberataque dejó entrever una verdad incómoda: no estamos preparados. «Que se haya tenido en cuenta el ciberataque como hipótesis ya es, en sí, algo positivo. Al menos se abre el debate público sobre qué podría pasar si fuera real», refle- xiona David Conde, experto en ciberseguridad del Centro de Ope- raciones de Seguridad de S21SEC. «Pero lo realmente preocupante es que, aunque no lo haya sido, este apagón ha demostrado lo vulne- rables que somos incluso ante un fallo interno del sistema». En un contexto global cada vez más tenso, donde las guerras tie- nen un componente más digital que físico, la ciberseguridad ha dejado de ser un asunto exclusi- vo de tecnólogos para convertir- se en una cuestión de Estado… y de empresa. La Unión Europea ya venía alertando sobre posibles escenarios disruptivos, desde desastres naturales hasta ataques informáticos masivos.Y aunque parezcan distantes, cada vez son más reales. «En otros países como Suiza, el Gobierno reparte medicamentos y medios, hay miles de búnkeres repartidos por el territorio. Allí la preparación ante desastres forma parte de la cultura. Aquí, un sim- ple apagón ha demostrado que ni las organizaciones más críticas dis- ponen de medios o un kit de emer- gencias antiataques para respon- der a una situación disruptiva», apunta Conde. Teniendo en cuenta que, a día de hoy, las guerras tienen un com- ponente más digital que físico, la compañía de Conde ha elabora- do una guía de recomendaciones, de modo que las empresas pue- dan proteger la continuidad de sus negocios ante cualquier even- tualidad. Entre otras medidas, aconsejan contar con un plan de respuestas a incidentes, una copia de seguridad de datos, potenciar la comunicación interna y exter- na de la compañía, contar con herramientas de detección y res- puestas… «Porque un mal mensaje en una crisis puede generar más caos que el propio ataque. Por eso, no solo hay que tener herramientas técni- cas, también hay que preparar a los trabajadores de las empresas», remarca el experto. «Durante el apagón muchas empresas que dependen del siste- ma de suministro eléctrico han esta- do esperando la respuesta del Gobierno y la comunicación inter- na fue muy escasa, y si hubiera sido un ciberataque, el departamento de comunicación tendría que haber lidiado con esto». No existen castillos invulnerables Aunque las infraestructuras críti- cas están obligadas por ley a con- tar con planes de respuesta ante un ciberataque, la realidad es que «no existe la empresa invulnerable. Siempre se puede mejorar, revisar, medir.Y, sobre todo, aceptar que lo que hoy estás preparando es para las amenazas que ya conoces. Pero las más peligrosas son las que toda- vía no se han descubierto», asegu- ra. Además, una de las estrategias más comunes entre las bandas cibernéticas es atacar por los esla- bones más débiles: proveedores pequeños, terceros subcontratados o personal directivo. «Esas empre- sas no están preparadas para la ciberguerra, pero son la puerta de entrada perfecta. Desde ahí pue- den escalar hasta una infraestruc- tura crítica». Y no solo se trata de cortes de servicio. Muchas veces, el verda- dero daño es silencioso. «Hay ata- ques que no buscan apagar la luz, sino robar planos, sistemas, infor- mación clave. No se nota al prin- cipio, pero meses después pueden entrar sin que nadie se dé cuenta», advierte. Para lo que no se ve En el ámbito de la ciberseguridad, existen amenazas que, aunque menos visibles, pueden tener con- secuencias mucho más graves que los tradicionales, como los de ran- somware, que pueden paralizar las infraestructuras críticas. «Pode- mos protegernos de estos ataques, pero hay otros tipos de amenazas que pasan más desapercibidos y que pueden ser incluso más dañi- nos». Un ejemplo claro es el robo de información sensible. «Imagi- na que sustraen planos o sistemas clave de una infraestructura crí- tica. No verás un paro inmediato en la producción, pero dentro de unos meses podrías tener una bre- cha por la que los atacantes entren a tu planta sin que te des cuenta». Por lo que afirma que este tipo de ataques puede comprometer gra- vemente la seguridad de las orga- nizaciones, afectando a su funcio- namiento a largo plazo». Por eso, Conde insiste en que la preparación no es solo cues- tión de tecnología. Sostiene que hace falta cultura de crisis. «Sen- tarse, planificar y ensayar, para no improvisar en estas situacio- nes». El corte de luz dejó en evidencia la necesidad de estar preparados ante crisis imprevistas El apagón que encendió las alertas sobre la ciberseguridad ¿Está preparada tu empresa para tomarse en serio la ciberse- guridad? Con la llegada de la nueva directiva europea NIS2, ya no será una opción. La norma amplía su radio de acción, alcanza a más sectores y empresas de menor tamaño, incluidas algunas micro pymes, y convierte lo que antes eran recomen- daciones en obligaciones, con sanciones asociadas al incumpli- miento. Esta normativa –explica Jon Mitxelena, coordinador de Cybasque–, cuya trasposición en España se prevé para octubre, impondrá nuevos requisitos en ciberseguridad tanto a las entidades afectadas como a las tecnológicas que les prestan servicios. Uno de los grandes cambios es el papel de la alta dirección, que deberá liderar la implantación de medidas de seguridad y asumir responsabilidad directa en caso de fallos. El objetivo: impulsar una transformación cultural hacia una ciber- seguridad estratégica, integrada en la competitividad y resilien- cia de las empresas. «NIS nos recomendaba tomar una serie de medidas y NIS2 exige su implementación.Tanto el sector como las diferentes industrias estamos trabajando en tener los conocimientos y las capacidades adecuadas para anticiparnos a la nueva directiva». La nueva directiva NIS2 «El kit de ciberseguridad es imprescindible para saber actuar ante posibles ataques» Fotografía del día del apagón en toda España. Mariam A. Montesinos/EFE. «Un mal mensaje en una crisis puede generar más caos que el propio ataque»

RkJQdWJsaXNoZXIy NDcxODE=