El incremento exponencial de los ciberataques ha convertido la ciberseguridad en una prioridad absoluta para empresas, administraciones y organismos internacionales. España ha recuperado el preocupante segundo puesto en el ranking mundial de países más atacados, una posición que evidencia la creciente sofisticación del cibercrimen y la necesidad urgente de reforzar la resiliencia digital.
Este fue uno de los mensajes principales de la jornada “Normativa y ciberresiliencia: ¿Qué tengo que hacer en la práctica?”, organizada por Secure&IT, en la que se analizaron los principales retos, amenazas y exigencias regulatorias que afrontan las organizaciones en 2025.
El cibercrimen, una industria global que ya supera al narcotráfico
Francisco Valencia, director general de Secure&IT, abrió la jornada alertando de que el cibercrimen ya supone un coste global cercano al 1,5% del PIB mundial, una cifra que se mantiene estable desde hace dos años y que supera el billón de dólares. “Hablamos de una industria más rentable que el conjunto del tráfico de drogas, personas y armas”, destacó.
Según el informe de Ciberinteligencia 2024 de Secure&IT, los incidentes de seguridad en España aumentaron un 64% respecto al año anterior. Entre los grupos delictivos más activos figuran Ransomhub y Lockbit 3, ambos especializados en ransomware.
Valencia subrayó que el cibercrimen actual es “escalable, rentable y anónimo”. “Existe hasta atención al cliente para los compradores de ransomware, y plataformas de reputación que valoran la calidad del malware disponible en la red. Incluso hablamos ya de ransomware DIY: un adolescente con acceso a Google y una tarjeta prepago puede lanzar un ataque.”
Administraciones, sanidad e industria: objetivos prioritarios
Entre los sectores más golpeados destacan las administraciones públicas, la sanidad y el tejido industrial, aunque la actual tensión geopolítica extiende el riesgo a cualquier organización que opere en mercados sensibles. La falta de preparación y de recursos especializados sigue siendo una brecha crítica que los ciberdelincuentes explotan sin dificultad. En estos momentos la ciberseguridad en España 2025 debía ser un tema que estuviese en la agenda de todos los directivos de compañías así como de la administración pública.
NIS2, DORA, RIA y CRA: el nuevo marco legal europeo para resistir ataques
La respuesta de la Unión Europea ha sido contundente: un nuevo ecosistema normativo que refuerza la seguridad digital desde distintos ángulos. Durante el evento, se abordaron las implicaciones prácticas de las cuatro regulaciones clave:
- NIS2: Amplía el alcance de la Directiva de Seguridad de Redes y Sistemas de Información. Afecta a sectores esenciales como salud, transporte, banca o energía, imponiendo nuevas obligaciones de gestión de riesgos, notificación de incidentes y gobernanza.
- DORA: El Reglamento de Resiliencia Operativa Digital, aplicable al sector financiero, exige a bancos, aseguradoras y proveedores TIC demostrar su capacidad de resistencia ante ataques.
- CRA: Establece requisitos de seguridad para todos los productos con componentes digitales, desde dispositivos IoT hasta software comercial.
- RIA: El Reglamento de Inteligencia Artificial obliga a evaluar y limitar los riesgos de los sistemas de IA, especialmente los de alto riesgo.
Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT, advirtió: “Cumplir con estas normativas no es una opción, sino una obligación legal. Las consecuencias de no adaptarse pueden ser devastadoras, desde sanciones económicas hasta daños reputacionales irreparables”.
Inteligencia Artificial: amenaza y solución
El uso de IA generativa se ha disparado en el entorno empresarial. El informe “Estado de la Ciberseguridad en España 2024” revela que más del 55% de las empresas ya utilizan estas tecnologías, aunque el 30% carece de medidas específicas para gestionarlas. Si ya en 2024 , España era uno de los países más atacados, observamos preocupados como a día de hoy, la ciberseguridad en España 2025 sigue sin ser la prioridad o al menos una de ellas y lo que es peor todavía es que no se destinan grandes presupuestos a este tema tan importante.
Valiente explicó que el Reglamento de IA obliga a identificar los usos que cada organización hace de estos sistemas, evaluar sus riesgos y garantizar su cumplimiento legal. “Es clave establecer políticas internas de uso responsable, trazabilidad de modelos y formación del personal.”
Transformar la regulación en ventaja competitiva
Los expertos coincidieron en que la adaptación a este nuevo marco normativo no debe verse como un coste, sino como una inversión estratégica. La ciberresiliencia no solo protege activos críticos, sino que refuerza la confianza de clientes, socios y mercados.
Francisco Valencia concluyó: “Las normas son la hoja de ruta para sobrevivir en un entorno cada vez más hostil. Ignorarlas es jugar con fuego”.
Con España en el foco de los ciberdelincuentes y la regulación europea en pleno despliegue, la ciberseguridad se consolida como una prioridad absoluta para la supervivencia empresarial en 2025. La jornada organizada por Secure&IT dejó claro que solo las organizaciones preparadas, informadas y con un plan claro podrán afrontar con garantías el desafío digital que marca nuestra era.
Lo peor de estos casos es que nadie se acuerda de la ciberseguridad , hasta que un día nos levantamos y de repente los sistemas de nuestra compañía se hayan caído y es en ese momento … todo son lloros y lamentaciones, y a empezar a buscar corriendo soluciones para arreglar los destrozos causados por los ciberdelincuentes.
