SEGURIDAD Y DEFENSA

Desde el principio de este siglo el mundo se ha visto sacudido fuertemente, y se han roto algunos paradigmas de seguridad, al menos en tres ocasiones excepcionales, como fueron: los atentados del 11 de septiembre de 2001, el colapso financiero de 2008 y, muy especialmente, la pandemia de la COVID-19.

Cada caso ha sido una amenaza asimétrica, puesta en movimiento por algo aparentemente puntual y muy diferente de todo lo que el mundo había experimentado hasta entonces.

En todos los casos, la “Seguridad Corporativa” ha evolucionando, y con ella, las expectativas y desafíos que enfrenta la próxima generación de profesionales. En este contexto, los jóvenes líderes en seguridad tienen una oportunidad única de destacar y transformar el sector, integrando tendencias emergentes, innovación, tecnologías avanzadas y enfoques estratégicos en su práctica diaria.

Así, la seguridad se ha ido estableciendo como motor estratégico del funcionamiento de las organizaciones, donde la seguridad debe ir más allá de proteger activos, para ser un aliado estratégico que impulse los objetivos de la actividad y que garantice no solo la protección, sino su continuidad y eficiencia.

La demanda y la oferta de ciberseguridad está evolucionando rápidamente, y a medida que nos acercamos a 2025, las distintas entidades enfrentan un panorama digital lleno de crecientes amenazas y desafíos que marcan claras tendencias y oportunidades.

En este contexto, la legislación europea (en particular NIS2 y DORA) plantea nuevas exigencias y responsabilidades en la gestión de los riesgos y la reacción ante un ataque. Por otra parte, nuevas tecnologías, como la inteligencia artificial (IA) o la computación cuántica, que están llegando o que lo harán a no mucho tardar, plantean desafíos adicionales.

Los ataques a infraestructuras críticas y esenciales seguirán siendo una tendencia y un reto preocupante. Los sistemas OT (Tecnología Operativa) serán el objetivo clave, por su interconexión y su importancia en sectores estratégicos y críticos, y fortalecer su ciberseguridad será prioritario, considerando su vulnerabilidad demostrada en conflictos recientes, con graves consecuencias para las infraestructuras y poblaciones afectadas.

Las tendencias en ciberseguridad que marcarán el 2025 son múltiples y específicas y algunas significativas van más allá de cumplir con las normas de Seguridad y Protección de Datos.

Estar protegido en 2025 requerirá algo más que simples defensas básicas y cumplimiento normativo. Las entidades y organizaciones deberán adoptar estrategias proactivas, aprovechar sistemas avanzados y fomentar la concienciación y capacitación sobre ciberseguridad.

Descubre en este post todo lo que debes conocer sobre ciberseguridad en 2025

En España, según los datos de la Oficina de Coordinación de Ciberseguridad (OCC) del Ministerio del Interior, los ciberataques que comprometen la disponibilidad de los servicios, tipo DDos (denegación de servicio distribuido) o DoS (denegación de servicio) están predominando entre las infraestructuras críticas, alcanzando este año el 55% de todas las tipologías.
 

Debemos aplicar las nuevas normas impulsadas por la UE que protegerán con mayor eficacia las infraestructuras esenciales de la Unión, introduciendo unas condiciones mínimas para la evaluación del riesgo y unas estrategias nacionales de resiliencia, al tiempo que armonizarán la definición de «infraestructura crítica» en todos los Estados miembros sobre la base de las amenazas complejas e incrementar los recursos de análisis y liberarlos de viejas patologías, así como desarrollar un nuevo esquema de gestión integral del riesgo y las seguridades.
 

Continúa leyendo el artículo completo para conocer cómo se está construyendo esta nueva seguridad global

En este escenario y sin demasiada concienciación, la gente siguió haciendo vida normal, con personas completamente ignorantes del peligro, en tránsito por calles y carreteras, o refugiándose en casas bajas, locales o garajes, cuando deberían haberse resguardado de forma eficaz o incluso ser evacuadas a zonas más seguras.
 

Es imprescindible preparar a la población en riesgo, aplicando de forma eficaz las reglas básicas para cualquier situación de emergencia, entre las que se encuentran, principalmente:
 

• Evaluando el riesgo. El primer paso en la preparación para emergencias es llevar a cabo una evaluación de riesgos exhaustiva.
   
• Planificando con anticipación. Una vez que hayas identificado las posibles emergencias, desarrolla un plan integral de respuesta a emergencias.
   
• Entrenando con regularidad. Realizando simulacros regulares para asegurarse el adecuado comportamiento ante una emergencia.
   
• Equipándose bien. Tener en casa, a mano, el equipo adecuado y esencial para un eficaz afrontamiento de las emergencias.
   
• Manteniéndose bien informado. La comunicación clara es vital durante una emergencia. Esto incluye los sistemas de notificación masiva, radios, etc.
   
• Analizando eventos. Reflexionando para mejorar después de cualquier ejercicio o simulacro, y principalmente sacar todo el provecho que se deriva del análisis pormenorizado de cualquier emergencia real.
   

La gestión eficiente de la seguridad exige una actitud preventiva y proactiva que enfrente sin demora la realidad de los peligros que los ascensos de la temperatura del planeta producen.
 

Pese a ello, es mucho lo que podemos hacer para paliar, al menos, el alto coste en vidas humanas que conlleva esa desatención a las causas de las tragedias. Según informe de las Naciones Unidas, “gracias a la mejora de los sistemas de alerta y de la gestión de catástrofes, el número de muertes se redujo casi tres veces entre 1970 y 2019, pasando de 50.000 en la década de 1970, a menos de 20.000 en la de 2010”. Esto quiere decir que, cualquier actitud preventiva puede tener un efecto multiplicador importante y es nuestro deber profundizar en el fenómeno global para ser más eficientes y empezar a incluir en nuestros planes la SEGURIDAD DEL PLANETA.
 

Nuevos planteamientos de seguridad
 

Estamos ante un nuevo paradigma de seguridad. Hemos de mejorar la gestión del riesgo para que no se repita una catástrofe como la acaecida en Valencia, y analizar cuánto hay en realidad de “desastre” y de “natural” en lo que se está viviendo.
 

Desde GET - Grupo Estudios Técnicos, queremos tener un especial recuerdo y agradecimiento al personal de todos los ámbitos de la seguridad públicos y privados (UME, Policías Nacionales y Locales, Guardia Civil, Bomberos, Seguridad Privada, Voluntariado, etc.) que están desplegados principalmente en la provincia de Valencia, y otras zonas afectadas, como acción y respuesta ante el impacto producido por las danas de la semana pasada. Su profesionalidad es imprescindible para, ante situaciones como las actuales disponer de normas y protocolos de seguridad y emergencia que partan de una seguridad global, integral e integrada, para la mejor optimización de recursos y el aprovechamiento de esfuerzos.
 

Prevención y protección ante desastres
 

La evaluación del riesgo es resultado de la combinación de la exposición, la probabilidad y la vulnerabilidad.
 

Para trabajar con la exposición y evaluación de riesgos de la naturaleza para las personas y zonas susceptibles de afectación debemos revisar y mejorar las infraestructuras.
 

Conocer la probabilidad de ocurrencia del fenómeno natural y la anticipación, mejorando las predicciones, son las bases de trabajo que debemos perfeccionar constantemente.
 

La vulnerabilidad es el reto y exigencia prioritaria y debemos volcarnos en la prevención y la protección, la mejora de la respuesta y las acciones post-emergencia o fase de reconstrucción, que permita la vuelta a la normalidad lo antes posible, con la mayor resiliencia.
 

La seguridad total no existe y hemos de trabajar en reducir al mínimo los riesgos y vulnerabilidades.
 

La Estrategia de Seguridad Nacional, indica que: “la Protección Ante Emergencias y Catástrofes precisa de una labor continua y coordinada de todos los organismos implicados, en aras a la compatibilidad, complementariedad y eficacia de las actuaciones de carácter preventivo y, en caso necesario, de respuesta”.
 

La previsión de ciertos riesgos naturales como los fenómenos atmosféricos, como son las inundaciones, admiten cierto nivel de predicción. Esas predicciones se hacen con la ayuda de modelos que permiten, con cierta probabilidad, pronosticar su evolución.
 

Estos datos deben servir como base de la comunicación de alertas a la población, que permitan activar planes de emergencias preexistentes de distintos niveles, en los que se recogen los recursos que deberán intervenir ante la situación generada, la responsabilidad de la dirección y gestión de la emergencia, así como las directrices pertinentes.
 

Para su eficacia, precisa el complemento de una verdadera cultura preventiva en la población que tiene que afrontar la situación.
 

Una de las principales recomendaciones de un extenso informe europeo, encargado por la presidenta de la Comisión Europea, Ursula von der Leyen, para que sirva de orientación en las políticas de la UE y los Estados miembros, indica que la UE debe elevar la capacidad de respuesta de los ciudadanos ante un escenario de crisis grave o guerra. El objetivo es que éstos sean capaces de afrontar todo tipo de emergencias con programas educativos especiales y otras medidas extraordinarias, como simulacros, y defiende que los hogares deben estar equipados para ser autosuficientes al menos 72 horas consecutivas en caso de que se interrumpa la prestación normal de servicios básicos en una emergencia de cualquier tipo. Se trata de asumir que “la guerra no es algo imposible y las crisis tampoco”, advierte el documento.
 

Planes de contingencia y emergencia
 

La aprobación de la Ley del Sistema Nacional de Protección Civil en julio de 2015 proporciona a España un sistema equiparable a los más avanzados y desarrollados en la materia.
 

La Estrategia de Seguridad Nacional plantea como objetivo en el ámbito de la protección ante emergencias y catástrofes, establecer un Sistema Nacional de Protección de los ciudadanos que garantice una respuesta adecuada ante los distintos tipos de emergencias y catástrofes originadas por causas naturales o derivadas de la acción humana, sea ésta accidental o intencionada.
 

Las líneas de acción estratégica que propone para alcanzar este objetivo son las siguientes:
 

• Adopción de un enfoque integrador y potenciador de las actuaciones entre la Administraciones.
   
• Elaboración de un marco de referencia en la materia que propicie el impulso y la coordinación de recursos.
   
• Actualización y perfeccionamiento del marco jurídico de la protección ante emergencias y catástrofes.
   
• Establecimiento de protocolos de actuación coordinada de las diferentes partes involucradas.
   
• Constitución de una red de alerta nacional de riesgos naturales.
   
• Mantenimiento de directorios de recursos para una gestión eficiente de la respuesta asistencial en situación de emergencias y catástrofes.
   
• Promoción de una cultura de prevención entre los ciudadanos, que incluirá conocimientos y actitudes de autoprotección.
   
• Contribución a una mayor cooperación europea e internacional.
   
• Adopción de planes de preparación y respuesta ante crisis o contingencias.
   
• Revisión de protocolos de gestión y comunicación de situaciones de crisis.
   

Para todo ello, las Fuerzas y Cuerpos de Seguridad, Bomberos, Protección Civil y la Unidad Militar de Emergencias (UME) son absolutamente imprescindibles para la prevención y protección de personas, bienes e infraestructuras, así como la colaboración ciudadana, la seguridad privada y el voluntariado en los puntos más afectados, donde más ayuda se necesita.
 

Especial significación tiene el aseguramiento y continuidad de funcionamiento de las infraestructuras más críticas como: energía, transporte, sanidad, comunicaciones, etc.
 

Según la norma en vigor, cuando los organismos competentes detectan posibles riesgos naturales que pueden afectar a población, bienes, infraestructuras, patrimonio, etc., emiten avisos a los organismos autonómicos de Protección Civil, que reciben estas alertas, realizan un análisis de riesgos y evalúan sus posibles consecuencias.
 

En función de esos análisis, las autoridades autonómicas de Protección Civil activan las alertas correspondientes, que pueden implicar la activación de los diferentes planes en función del tipo de riesgo: incendios, movimientos sísmicos, inundaciones, fenómenos meteorológicos adversos, etc.
 

La reglamentación explica que, una vez que las autoridades autonómicas activan la fase de emergencia de sus planes territoriales de Protección Civil, pueden decretar varios niveles de situaciones operativas.
 

En función de la gravedad de la emergencia y la disponibilidad de medios, deben solicitar a la Dirección General de Protección Civil y Emergencias del Ministerio del Interior la activación de medios extraordinarios del Estado, como por ejemplo la Unidad Militar de Emergencias (UME).
 

Cultura y formación de seguridad
 

Ante un riesgo de esta naturaleza, los ciudadanos y organizaciones no solo necesitan más información sino también formación y cultura de prevención y protección. En este sentido, cualquier previsión y alerta meteorológica pierde eficacia “si no se complementa con una verdadera cultura preventiva en la población que tiene que afrontar la situación”.
 

Y dado que las danas y otros fenómenos climáticos violentos cada vez son más frecuentes, los expertos en emergencias proponen incluir cultura preventiva en ámbitos escolares y dar formación específica a los adultos, así como que cualquier plan de emergencia vaya acompañado de un simulacro donde se ponga a prueba y se detecte cómo la población de destino responde ante los procedimientos de evacuación y cómo percibe y responde ante las pautas que se les comunican.
 

Esto nos da una idea de lo importante que es la educación y la formación en autoprotección.
 

Preparando a la población se puede reducir y contrarrestar su vulnerabilidad y lograr que, ante una alerta de emergencia, puedan reaccionar con una mayor racionalidad que aumente sus posibilidades para salvar su vida y la de sus semejantes.
 

Propuestas para mejorar la reducción de las vulnerabilidades
 

Un plan integral para garantizar una protección adecuada y una rápida recuperación ante desastres incluye:
 

• Una evaluación de riesgos
   
• Un análisis del impacto
•  
• Un plan de continuidad
   
• Un plan de respaldo y recuperación de datos y
   
• Un plan de comunicación
   

En este caso, el principal factor amplificador de pérdidas de vidas humanas, de damnificados y de daños económicos es la urbanización de los espacios fluviales de cauces y ramblas, circunstancia que se ha dado en la mayoría de los núcleos urbanos afectados por la DANA del pasado 29 de octubre.
 

Por ello, además de mejorar la percepción del riesgo a través de campañas de comunicación, para evitar que se repita este tipo de catástrofes, es necesario, entre otros medios, crear nuevos índices de vulnerabilidad holísticos que tengan en cuenta aspectos sociales, económicos, físicos, culturales y ambientales, identificando las áreas prioritarias y focalizando los recursos de seguridad.
 

También hemos de desarrollar nuevos mapas de peligrosidad (mapas de riesgo) y crear índices de vulnerabilidad con base probabilística, que sustituyan el enfoque habitual de zonas inundables, al tiempo que se adaptan infraestructuras.
 

Además, hemos de mejorar la resiliencia de la infraestructura urbana, incentivando la adaptación de los edificios ubicados en áreas de riesgo mediante la instalación de barreras de contención y compuertas antiinundación, etc.
 

Por último, para una mejor gestión se requiere desarrollar nuevos modelos y tecnologías que garanticen la precisión de los pronósticos meteorológicos y, con ello, aumenten la eficiencia de los sistemas de alerta a través de la telefonía móvil o cualquier otra implementable.

Esta Directiva extiende las normas de ciberseguridad a nuevos sectores de actividad, en función del tamaño de la organización y su nivel de criticidad.
 

Nos enfrentamos a una normativa con requisitos precisos y estrictos en la gestión de los riesgos y la notificación de los incidentes, ampliando el alcance a nuevos sectores críticos que no estaban contemplados en la normativa anterior NIS, e incorporando la aplicación de sanciones mucho más severas, efectivas, proporcionadas y disuasorias ante cualquier incumplimiento de las disposiciones nacionales adoptadas al amparo de la Directiva.
 

Según una reciente encuesta, el 80% de las empresas confía en cumplir la NIS2, pero el 66% no llegará a tiempo.
 

Objetivos
 

Aumentar el nivel de seguridad en la Unión Europea es el objetivo principal de la NIS2, así como homogenizar y elevar el nivel común de la ciberseguridad y la ciberresiliencia en los países miembros. Para ello, modifica responsabilidades y obligaciones de la NIS1 y endurece ciertas condiciones, como son la obligación de las auditorías y certificaciones, el incremento de la responsabilidad del CISO, así como las nuevas atribuciones a ENISA (Agencia de la Unión Europea para la Ciberseguridad).
 

Los principales objetivos de la Directiva NIS2 son:
 

• Conseguir que los Estados miembros de la UE cooperen para mejorar la ciberseguridad.
   
• Establecer un sistema unificado para informar de incidentes de ciberseguridad y gestionar las crisis cibernéticas.
   
• Fortalecer la seguridad de la cadena de suministro y hacer frente a las nuevas amenazas.
   

Es igualmente objetivo de la Norma elevar el nivel de ciberseguridad y resiliencia de los sistemas de toda la UE frente a ciberamenazas, a través de la Estrategia Nacional de Ciberseguridad (en España data de 2019, y el Plan Nacional de Ciberseguridad aprobado en 2022), adoptando medidas para la gestión de riesgos de ciberseguridad, obligaciones de notificación para las entidades, y normas de obligado cumplimiento relativas al intercambio de información sobre ciberseguridad.
 

Los órganos de dirección de las entidades esenciales e importantes deberán asistir, y ofrecer periódicamente formación especializada similar a sus empleados, al objeto de adquirir conocimientos y destrezas suficientes que les permitan detectar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad, y su repercusión en los servicios proporcionados por la entidad.
 

Los pasos para la implementación de la NIS2 deben comenzar con medidas organizativas y técnicas que van desde la revisión interna hasta la formación específica, preparando a las entidades para cumplir no solo con la NIS2, sino también con lo próximo: el Acta de Resiliencia Cibernética (CRA) de la UE.
 

La NIS2 introduce un proceso de notificación de incidentes en fases, que obliga a las organizaciones a informar a las autoridades dentro de las primeras 24 horas de haber detectado un incidente significativo. Esto permite una respuesta más rápida y coordinada a los ciberataques, minimizando el impacto potencial.
 

Los Estados miembros velarán por que los Órganos de Dirección:
 

• Aprueben las medidas adoptadas, para la gestión de riesgos de ciberseguridad,
   
• Supervisen su puesta en práctica, y
   
• Respondan por el incumplimiento.
   

En resumen, la Directiva NIS2 (Network and Information System 2) es una disposición legal que establece un objetivo a alcanzar por los países de la UE y que define unos requisitos mínimos para la ciberseguridad de las infraestructuras críticas y esenciales.
 

Ámbito de aplicación
 

Con relación al ámbito de aplicación de dicha Directiva NIS2 en ciberseguridad, se amplía, se concreta y se define dos grupos: entidades esenciales y entidades importantes, aumentando las que se verán obligadas a aplicar los requisitos de ciberseguridad que establece la Directiva.
 

Entidades esenciales:
 

• Sector Transporte
   
• Sector Energía
   
• Sector Banca
   
• Infraestructura de los mercados financieros
   
• Sector Sanitario
   
• Suministro y distribución de agua potable
   
• Infraestructura digital y servicios TIC
   
• Sector aguas residuales
   
• Sector Administración Pública
   
• Sector Espacio y Navegación Aérea
   

Entidades importantes:
 

• Sector Correos y mensajería
   
• Sector gestión de residuos
   
• Sector fabricación, industria y distribución
   
• Sector producción y distribución de substancias y mezclas químicas
   
• Sector producción, transformación y distribución de alimentos
   
• Sector proveedores de servicios digitales
   

Aspectos claves de la Directiva NIS2
 

Aparte de intentar homogeneizar, para acabar con las diferencias entre los Estados y elevar el nivel de ciberseguridad de las organizaciones, la responsabilidad, la dirección y el liderazgo en materia de ciberseguridad pasa a ser de dos actores principales: el Consejo de Administración de la organización que entre dentro del ámbito de aplicación y el CISO (Chief Information Security Officer) de la compañía.
 

A partir de estos puntos de vista, en la Directiva cabe destacar y resumir los siguientes aspectos clave:
 

• Se amplía el ámbito de aplicación y se concreta para definir a qué organizaciones y actividades afecta la Directiva NIS2
   
• Se asigna nuevas responsabilidades a ENISA, como, por ejemplo, la de construir un marco normativo más uniforme, asesorar y orientar a los Estados miembros y a las Autoridades competentes en la definición de sus estrategias en materia de Ciberseguridad.
   
• Se define y evalúa el establecimiento de plataformas de gestión del riesgo y ciberamenazas.
   
• Se mejora la gestión de incidentes de ciberseguridad. Para ello, se crea una red (EU-CyCLONe) que se ocupe de la gestión coordinada de dichos incidentes, así como del intercambio de información.
   
• Se refuerza la revisión de la eficacia de las políticas de ciberseguridad y se da más responsabilidad a la figura del CISO en las organizaciones.
   
• Las exigencias de ciberseguridad se vuelven más estrictas, y cada Estado miembro debe garantizar que dichos requisitos se cumplen por parte de las organizaciones afectadas.
   
• Se endurecen y amplían las sanciones y responsabilidades de la alta dirección, que requerirá del asesoramiento del CISO para gestionar la ciberseguridad.
   

La Directiva NIS2 representa una oportunidad para que los operadores de infraestructuras críticas revisen, evalúen y actualicen sus capacidades y operaciones en relación con los requisitos de ciberseguridad reforzados y generen mayor confianza de su funcionamiento.
 

En resumen, muchas actividades e industrias que anteriormente no estaban reguladas en términos de ciberseguridad y ciberresiliencia, deberán ahora cumplir con estrictas medidas de seguridad (prevención + protección) en sus sistemas de información y su gestión, lo que significa que un volumen estimado en más de 100.000 entidades adicionales, deberán adaptarse a los nuevos requisitos y exigencias.