La aceleración tecnológica ya no es una tendencia. Es una evidencia difícil de seguir. Los avances se suceden a un ritmo que muchas organizaciones apenas logran asimilar. Pero las entidades, quieran o no, viven en un estado permanente de adaptación. No solo en lo operativo, también en el terreno regulatorio que afecta a los sistemas de información.
Europa contempla este escenario con creciente inquietud. El repunte de las amenazas y la irrupción de una guerra híbrida en su entorno inmediato han encendido las alarmas. La preocupación se extiende también al ciberespacio, donde la soberanía tecnológica se percibe cada vez más vulnerable frente a actores subidos a la ola tecnológica. Los atacantes, grupos de ciberdelincuencia o actores esponsorizados por estados, despliegan ya nuevos arsenales, impulsados por las capacidades de la inteligencia artificial (IA). El resultado son ataques más precisos y más exitosos.
Sectores críticos como el de la defensa, tradicionalmente en un segundo plano, han pasado a ocupar titulares por múltiples razones, aunque el incremento del gasto es la más visible. Su relevancia estratégica los sitúa, además, en primera línea de esa guerra híbrida. La soberanía europea se apoya en un entramado empresarial complejo y altamente interdependiente. Grandes contratistas y una extensa cadena de suministro conforman un ecosistema donde cada pieza cuenta. Los programas de defensa sirven como ejemplo para comprender la dimensión de los problemas a los que se enfrentan o se enfrentarán industrias de otros sectores.
Estos programas se articulan sobre un complejo entramado de empresas que aportan su especialización bajo la coordinación de los grandes contratistas. Es un sistema que puede entenderse como una cadena: cada compañía añade su eslabón. Algunas lo hacen con mayor peso, pero todas resultan esenciales para el conjunto. Y hay una certeza conocida: una cadena siempre cede por su punto más débil. En un ámbito tan crítico como la defensa, nadie puede permitirse ocupar ese lugar.
Consciente de la fragilidad inherente a un entorno globalizado, la UE afronta un reto claro: garantizar que todas las organizaciones cumplan unos estándares mínimos de ciberseguridad frente a un escenario de amenaza creciente. No se trata solo de medidas técnicas sino de reforzar la gobernanza, mejorar las capacidades para identificar ataques y asegurar mecanismos eficaces de notificación cuando los incidentes se producen. Esa armonización normativa se ha materializado en los últimos años en regulaciones como DORA, IA Act, CRA, NIS2 o CER.
Homogeneizar requisitos
Aunque responden a ámbitos específicos, todas estas normas comparten un objetivo común: homogeneizar los requisitos en un contexto donde las obligaciones se superponen. Muchas organizaciones están sujetas a varias de estas regulaciones simultáneamente. Es el caso, especialmente, de los proveedores que operan para entidades críticas, esenciales o relevantes, desde el sector financiero hasta el industrial, y que, además, desarrollan soluciones tecnológicas o fabrican hardware.
El objetivo de este marco normativo es claro: reforzar la cadena de la que dependen sectores críticos. Para su robustez, todos los actores implicados deben aportar garantías sólidas en materia de ciberseguridad. La homogeneización, lejos de ser un matiz técnico, se convierte en una necesidad estructural. En un entorno donde las organizaciones forman parte de una misma cadena de suministro, no tiene sentido operar bajo normas dispares, incoherentes o contradictorias. De ahí que conceptos como el análisis de riesgos (pieza central), la gestión de vulnerabilidades, la vigilancia o el deber de informar incidentes son elementos comunes y rectores en las diferentes normas.
Incluyamos en la ecuación a la IA, ya integrada en múltiples sectores, incluido el de la defensa, y con normativa propia. Su naturaleza diferencial frente a otras tecnologías obliga a replantear los enfoques clásicos de ciberseguridad. Muchas organizaciones han dado el paso de incorporarla; pero, ¿cuántas están abordando realmente su adopción de forma segura? Las exigencias regulatorias apuntan a una gobernanza consciente de la ciberseguridad. Sin embargo, no se está contemplando adecuadamente los riesgos de la IA y sus amenazas propias. Y esto, lejos de endurecer la cadena, la puede hacer más frágil. Brechas de privacidad, disfunciones operativas o filtraciones de información sensible son algunas de las amenazas que emergen cuando la IA se implementa sin las debidas garantías. Sus beneficios son incuestionables y superan ampliamente los riesgos como para plantear su no adopción. Pero la clave está en hacerlo bien.
Muchos ataques a compañías con altos estándares de ciberseguridad encuentran su punto de entrada en la cadena de suministro
Normativa de ciberseguridad: El problema de la madurez
A priori, las normativas, no parecen complejas de cumplir. El problema radica en la madurez. No todas han avanzado al mismo ritmo ni con la misma profundidad en la implantación de medidas técnicas de ciberseguridad. Tampoco en los mecanismos de gestión. Existen, eso sí, unos mínimos incuestionables que distan de ser triviales para muchas compañías. La realidad es que reforzar la ciberseguridad implica inversión. También la vigilancia. Incluso la gobernanza o la comunicación requieren conocimiento especializado y dedicación continuada.
Las grandes entidades a las que se estima una mayor madurez están ya enfrascadas en el cumplimiento de esa nueva hornada de normas. Y, tal y como exigen, están trasladando esas obligaciones a sus proveedores estratégicos. El objetivo es claro: eliminar cualquier eslabón débil en la cadena.
Algunos de esos proveedores ya lo veían venir y se han adaptado ágilmente. Otros, para los que la tecnología es un accesorio, les está costando reaccionar, recibiendo un tratamiento de choque de ciberseguridad acelerado por exigencia de sus clientes. Para muchas empresas, la ciberseguridad se limitaba, en el mejor de los casos, a la protección de datos personales, impulsada más por el temor a las sanciones que por una visión estratégica. Hoy, ese marco se ha ampliado. Y con él, también lo ha hecho el alcance de las obligaciones y el rigor de las consecuencias. Las grandes organizaciones no lo tienen fácil. Tienen que conjugar la exigencia normativa con la condescendencia a unos proveedores que han sido leales hasta hoy, pero que deben invertir en su seguridad.
Buena parte de los ataques recientes a compañías con altos estándares de ciberseguridad están encontrando su punto de entrada en la cadena de suministro. Para muchas empresas con menos recursos, el desafío es mayúsculo. Mantenerse en pie exige sostener cada día una batalla desigual. Los adversarios solo necesitan ganar una batalla para romper la cadena por el eslabón más débil.
