Hace tiempo publiqué un artículo sobre las ciberguerras que está más de actualidad que nunca.
Las guerras se luchan con carros de combate, bombas y drones en la versión más moderna, pero hay un campo de batalla invisible: el ciberespacio.
En octubre de 2024, el Centro de Estudios Estratégicos e Internacionales (CSIS) registró al menos tres ciberataques significativos entre Rusia y Ucrania. Solo en un mes. A lo largo de 2024, los ataques rusos contra Ucrania registraron 4.315 incidentes, enfocados en infraestructuras críticas como servicios gubernamentales, energía y defensa.
La realidad es que un ciberataque contra un servicio estratégico puede desestabilizar a un país entero. Recordemos algunos casos:
En 2017, el ataque de ransomware conocido como WannaCry afectó a más de 230.000 ordenadores en más de 150 países, causando pérdidas estimadas en más de 4.000 millones de dólares. El ataque paralizó hospitales, bancos y organismos gubernamentales, destacando la vulnerabilidad de las infraestructuras críticas a nivel global. En España, se registraron incidentes significativos en hospitales y empresas de telecomunicaciones.
En España, uno de los ciberataques relevantes afectó en noviembre de 2024 al Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA-CSIC), que se quedó sin acceso a su sistema interno de información. El INIA-CSIC, que forma parte del Consejo Superior de Investigaciones Científicas (CSIC), realiza investigaciones estratégicas sobre cultivos, ganadería o contaminación ambiental. También desarrollan investigaciones clave para mejorar la capacidad reproductora de especies en extinción.
Pensemos en la cantidad de sectores críticos que se pueden ver amenazados por ciberataques: banca, infraestructura de mercados financieros, infraestructura digital, transporte, energía, sanidad, agua potable, aguas residuales, administración pública, espacio y producción, transformación y distribución de alimentos.
Transposición de la Directiva CER
La Comisión Europea abrió un procedimiento de infracción en noviembre de 2024 contra España y otros 23 Estados miembros (todos, salvo: Austria, Estonia, Finlandia, Irlanda, Italia, Luxemburgo, Malta, Eslovaquia y Suecia), por no haber transpuesto la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo dentro del plazo establecido en el artículo 26 (fecha límite: 17 de octubre de 2024).
En mayo de 2025, se emitieron dictámenes motivados a 19 Estados, incluyendo España. A fecha de enero de 2026, España sigue sin completar la transposición, lo que se podría traducir en fuertes sanciones económicas.
Transposición de la Directiva NIS 2
La Comisión Europea también abrió un procedimiento de infracción contra España y otros 22 Estados miembros (todos, salvo: Bélgica, Croacia, Italia y Lituania), por no haber transpuesto la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva NIS 2) con misma fecha límite según el artículo 41.
En mayo de 2025, se enviaron dictámenes motivados a 19 Estados, incluyendo España. A fecha de enero de 2026, España permanece en fase de anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad. Al igual que en el caso anterior, la Comisión Europea podría decidir interponer una demanda ante el Tribunal de Justicia de la Unión Europea por incumplimiento, lo que se podría traducir en fuertes sanciones económicas para nuestro país.
Conclusión
No basta con trasladar las directivas al derecho interno; además, hay que aplicar las medidas de seguridad correspondientes para blindarnos frente a amenazas externas, que no son pocas en estos tiempos tan convulsos. Temo que, más pronto que tarde, vamos a lamentar la inacción de nuestros gobernantes.
