Ciberataques en la UE: 10.000 en el último año, el 19% contra la Administración

En el último año, en la Unión Europea se registraron unos 10.000 ataques cibernéticos, el 41,1% de los cuales correspondieron a denegaciones de servicio, el 25,7% a software malicioso y el 19% a brechas de datos personales. Los sectores más afectados fueron la administración pública (19%), el transporte (11%) y la banca y finanzas (9%). Así lo pone de manifiesto el informe anual de ENISA, la agencia europea encargada de velar por el estado de la ciberseguridad en la UE, que constituye una pieza importante en la arquitectura establecida para garantizar la ciberresiliencia en la Unión.

La Agencia de la Unión Europea para la Ciberseguridad (ENISA), especialmente atenta al incremento de riesgos ha supuesto a invasión de Ucrania por parte de Rusia, país utilizó el ciberespacio como uno de los frentes para sus ataques, apunta en su último informe las principales amenazas que afronta la UE en este campo. Entre ellas destacan el compromiso de la cadena de suministro de material software, las campañas de desinformación, el aumento de la vigilancia digital y la pérdida de privacidad, los ataques dirigidos a dispositivos inteligentes, el aumento de amenazas híbridas avanzadas y el abuso de inteligencia artificial.

Según los datos del informe de ENISA, entre julio de 2023 y junio de 2024 los tipos de amenazas más frecuentes fueron las Denegaciones de Servicios (DoS, por sus siglas en inglés), las Denegaciones de Servicio Distribuido (DDoS) y las Denegaciones de Servicio por Rescate (RDos). Este grupo representó un 41,1% del total, con 4.120 incidentes; hace referencia a ataques cuyo objetivo es inhabilitar el uso de un sistema, una aplicación o una máquina, con el fin de bloquear el servicio para el que está destinado. Cada servidor web puede permite un cierto número de conexiones de forma paralela; al superar este número, los servidores disminuyen su velocidad e incluso pueden bloquearse o desconectarse de la red. La diferencie entre DoS y DDoS radica en el número de ordenadores o direcciones IP que realizan el ataque.

El Ransomware representó la segunda amenaza más común con 2.590 incidentes (25,79%). Se trata de un tipo de software malicioso (malware) que retiene los datos confidenciales o el dispositivo de una víctima, amenazando con mantenerlos bloqueados o peor, a menos que la víctima pague un rescate al atacante. En tercer lugar, con 1.910 incidentes (19,01%), estuvieron las “brechas de datos personales”, definidos como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Otras amenazas incluyen las amenazas de ingeniería social, los ataques de malware, los ataques a la cadena de suministro, entre otros; pero ninguna llegó a representar el 10% del total.

El informe concluyó que durante ese último año estudiado los sectores más afectados por los ataques fueron a administración pública (19%), el transporte (11%) y la banca y finanzas (9%). Otros ámbitos impactados abarcan los servicios empresariales, así como la infraestructura digital y el público en general. Adicionalmente, se puede ver que la actividad de ciberdelincuencia se ha incrementado respecto a la década pasada, alcanzando su máximo en julio de 2023 con más de 800 incidentes. Posteriormente en 2023, este número se contrajo, rondando entre 220 y 400 incidentes cada mes. En 2024, hubo un ligero incremento de menos de 400 sucesos en enero a casi 600 en junio del mismo año.

El incremento en la actividad de ciberdelincuencia preocupa a la Oficina Europea de Policía (Europol), que en su informe ‘Internet Organised Crime Assessment’ del 2023 señaló que las crecientes crisis geopolíticas en el mundo han incrementado los ciberataques disruptivos. Además, afirma que los Estados miembros de la Unión Europea han sido los más afectados.

Reglamentos para la ciberseguridad de la UE

La UE lleva tiempo construyendo su estructura para hacer frente a un riesgo que se ha visto acelerado con el crecimiento exponencial de las aplicaciones digitales en todas las actividades. La creación en ENISA en 2004 significó un paso importante; su misión es la de velar por la ciberseguridad europea, apoyando a las autoridades e instituciones a nivel nacional y comunitario y contribuyendo al desarrollo de leyes y políticas específicas. Otros instrumentos han sido aprobados y puestos en marcha en estas dos décadas. En diciembre de 2020 se presentó una nueva Estrategia de Ciberseguridad de la UE.

Una de las últimas realizaciones fue la entrada en vigor en febrero de 2025 del Reglamento sobre la Ciberseguridad de la UE, que marca los objetivos, tareas y aspectos organizativos que precisamente debe tener la ENISA. El documento había sido aprobado en junio de 2019 por el Consejo Europeo; en diciembre de 2024 se acordó una modificación mediante la cual se permitía la futura adopción de esquemas de certificación para los servicios de seguridad gestionados. Estos servicios incluyen gestión de incidentes, pruebas de penetración y auditorías, entre otros aspectos. Asimismo, el pasado mes diciembre se adoptó el Reglamento de Cibersolidaridad, que busca afrontar las amenazas de ciberseguridad de manera más eficaz, aumentando la solidaridad y cooperación entre los países europeos.

Uno de los principales pilares del Reglamento sobre la Ciberseguridad es el Sistema de Alerta de Seguridad, compuesta de centros cibernéticos nacionales y transfronterizos de toda la UE, que se encarga de detectar ciberamenazas, prevenirlas o detenerlas, intercambiando información para reforzar la cooperación entre naciones. Otro pilar es el Mecanismo de Emergencia de Ciberseguridad, que afecta a empresas privadas que apoyan a los Estados en caso de percances serios y pone su atención en posibles amenazas en el sector sanitario, de transportes y energía. Un tercer pilar el Mecanismo de Revisión de Incidentes para la toma de medidas adecuadas frente a situaciones de emergencia. ENISA se encargará de evaluar las amenazas y presentar informes dictando los planes de acción más efectivos en cada situación. Adicionalmente, el Reglamento subraya la necesidad de intercambio de información y cooperación entre organismos privados y públicos y entre instituciones transfronterizas, así como la protección de datos, enfatizando la confidencialidad de datos y la protección de intereses de las entidades.

Otro Reglamento de gran importancia en este contexto es el Reglamento de Ciberresiliencia, adoptado en octubre de 2024 y publicado en el Diario Oficial de la Unión Europea en noviembre, aunque se remonta a septiembre de 2021 cuando fue anunciado en un discurso de la presidente de la Comisión, Úrsula van der Leyen.

Este Reglamento establece un marco jurídico para los fabricantes de productos con conexión a la red. Así, se incluyen los requisitos para un uso seguro de productos digitales, como cámaras, televisores o juguetes, que están conectados directa o indirectamente a internet. Busca supervisar el diseño, desarrollo, fabricación e introducción al mercado de productos de hardware y software que tienen conexión a la red. Todos los productos que cumplan con los requisitos de seguridad son marcados con las letras ‘CE’. De la misma manera, se establecen sanciones para las empresas que los incumplan. Con este Reglamento se espera conseguir un uso más transparente de productos de este tipo, mantener a los consumidores informados de los productos que adquieren y protegerlos de posibles amenazas.