Hace tiempo publiqué un artículo sobre las ciberguerras, que dejaré enlazado al final, que está más de actualidad que nunca.
Las guerras se luchan con carros de combate y bombas y drones en la versión más moderna, pero hay un campo de batalla invisible: el ciberespacio.
El pasado mes de octubre de 2024, el Centro de Estudios Estratégicos e Internacionales (CSIS) registró un total de cuatro ciberataques entre Rusia y Ucrania. Solo en un mes.
La realidad es que un ciberataque contra un servicio estratégico puede desestabilizar a un país entero. Recordemos algunos casos, entre muchos:
En 2017, el ataque de ransomware conocido como WannaCry afectó a más de 230.000 ordenadores en más de 150 países, causando pérdidas estimadas en más de 4.000 millones de dólares. El ataque paralizó hospitales, bancos y organismos gubernamentales, destacando la vulnerabilidad de las infraestructuras críticas a nivel global. En España, se registraron incidentes significativos en hospitales y empresas de telecomunicaciones.
El último gran ciberataque en España afectó al Instituto Nacional de Investigación de Tecnología Agraria de España que se quedó sin acceso a su sistema interno de información. El INIA, que forma parte del Consejo Superior de Investigaciones Científicas (CSIC), realiza investigaciones estratégicas sobre cultivos, ganadería o contaminación ambiental. También desarrollan investigaciones clave para mejorar la capacidad reproductora de especies en extinción.
Pensemos en la cantidad de sectores críticos que se pueden ver amenazados por ciberataques: banca, infraestructura de mercados financieros, infraestructura digital, transporte, energía, sanidad, agua potable, aguas residuales, administración pública, espacio y producción, transformación y distribución de alimentos.
Transposición de la Directiva CER
La Comisión Europea acaba de abrir un procedimiento de infracción contra España y otros 23 Estados miembros (todos, salvo: Austria, Estonia, Finlandia, Irlanda, Italia, Luxemburgo, Malta, Eslovaquia y Suecia), por no haber transpuesto la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo dentro del plazo establecido en el artículo 26 (fecha límite: 17 de octubre de 2024),
Transposición de la Directiva NIS 2
La Comisión también abrió un procedimiento de infracción contra España y otros 22 Estados miembros (todos, salvo: Bélgica, Croacia, Italia y Lituania), por no haber transpuesto la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva NIS 2) con misma fecha límite según el artículo 41.
La Comisión ha enviado una carta de emplazamiento a los Estados miembros que no han notificado las medidas nacionales de transposición de las citadas directivas. Los Estados miembros afectados disponen de dos meses para responder a las cartas de emplazamiento y completar su transposición, o bien la Comisión podría decidir emitir un «dictamen motivado» que marcaría la fase final del procedimiento administrativo, previo a la posible interposición de una demanda ante el Tribunal de Justicia de la Unión Europea (TJUE) por incumplimiento, lo que se podría traducir en fuertes sanciones económicas.
Conclusión
No basta con trasladar las directivas al derecho interno, además hay que aplicar las medidas de seguridad correspondientes para blindarnos frente a amenazas externas, que no son pocas en estos tiempos tan convulsos. Temo que, más pronto que tarde, vamos a lamentar la inacción de nuestros gobernantes.