Inicio › Tecnología › Ciberseguridad
La ciberseguridad es el conjunto de prácticas, tecnologías y procesos diseñados para proteger sistemas informáticos, redes, programas y datos de ataques, daños o accesos no autorizados. Se articula en tres pilares: confidencialidad (solo acceden quienes deben), integridad (los datos no son alterados sin autorización) y disponibilidad (los sistemas están operativos cuando se necesitan). La tríada CIA (Confidentiality, Integrity, Availability) es el modelo fundacional de la disciplina.
La ciberseguridad es como poner cerraduras, cámaras y alarmas en tu empresa, pero en el mundo digital. El hacker es el ladrón que intenta entrar. El firewall es la puerta blindada. El antivirus es el guardia de seguridad. El cifrado es el candado que hace que, aunque roben tus datos, no puedan leerlos. Y la formación a empleados es enseñarles a no abrir puertas a desconocidos (phishing).
Un hospital español sufrió un ataque de ransomware: los atacantes enviaron un email con un adjunto malicioso a un empleado de administración (phishing). Al abrirlo, el malware cifró 8.000 archivos de historiales clínicos y exigió 80.000 € en bitcoin. El hospital no tenía backups offline actualizados. Resultado: 72 horas fuera de servicio, desviación de ambulancias, pérdida estimada de 1,2 M€ y sanción de 150.000 € de la AEPD por incumplir el art. 32 RGPD (medidas de seguridad adecuadas).
En España, el INCIBE gestiona el CERT nacional para pymes y ciudadanos; el CCN-CERT protege el sector público. El ENS (Esquema Nacional de Seguridad, RD 311/2022) es obligatorio para todas las AAPP y sus proveedores tecnológicos. Las empresas privadas deben cumplir el art. 32 RGPD (medidas técnicas y organizativas apropiadas). Para exportadores de ciberseguridad aplica la regulación de bienes de doble uso (Reglamento UE 2021/821).
Error 1: creer que la ciberseguridad es solo tecnología —el 85% de los incidentes tiene un factor humano (phishing, contraseñas débiles). Error 2: no hacer backups offline — el ransomware cifra también los backups en red. Error 3: parchear tarde — la mayoría de ataques explotan vulnerabilidades con parche disponible hace meses. Error 4: no tener un plan de respuesta a incidentes — improvisando se cometen errores que agravan el daño y la sanción.
RGPD art. 32 (UE) 2016/679 — medidas técnicas de seguridad proporcionales al riesgo. ENS RD 311/2022 — obligatorio en sector público español. Directiva NIS2 (UE 2022/2555) — ciberseguridad en infraestructuras críticas. ISO/IEC 27001:2022 — estándar de sistemas de gestión de seguridad de la información.
El phishing es un ataque de ingeniería social por email, SMS o llamada donde el atacante se hace pasar por una entidad legítima (banco, Correos, Hacienda) para que la víctima entregue credenciales o datos. Señales: urgencia artificial, remitente con dominio ligeramente diferente (hacienda-gov.es en lugar de hacienda.gob.es), enlace que apunta a una URL diferente del texto visible, solicitud de datos que la entidad real nunca pide por email.
Un firewall (cortafuegos) es un sistema que monitoriza y controla el tráfico de red entrante y saliente según reglas de seguridad predefinidas. Actúa como barrera entre una red de confianza y redes externas. Puede ser hardware (dispositivo físico), software (Windows Defender Firewall) o servicio cloud (WAF — Web Application Firewall).
Cuando hay una violación de datos personales que pueda suponer riesgo para los derechos de las personas, hay que notificar a la AEPD en máximo 72 horas (art. 33 RGPD). Si el riesgo es alto, también hay que informar a los afectados sin demora indebida (art. 34 RGPD). No notificar en plazo puede suponer una sanción de hasta 10 M€ o el 2% de la facturación global.