Menú
Lunes, 23 de Febrero de 2026
Diario de Economía de la Región de Murcia
OPINIÓNCiberseguridad: aspectos claves para directivos
  • Buscar
Lunes, 23 de Febrero de 2026
Diario de Economía de la Región de Murcia

DIARIO DE ECONOMÍA DE LA REGIÓN DE MURCIA

Juan Navas Pallarés

Ciberseguridad: aspectos claves para directivos

 

1. Datos de la ciberdelincuencia en España

 

La ciberdelincuencia es una amenaza creciente en España. Algunos datos clave proporcionados por el Instituto Nacional de Ciberseguridad (INCIBE):

 

- En 2024, INCIBE gestionó más de 97.348 incidentes de ciberseguridad, lo que representa un incremento del 17% respecto al año anterior.

 

- Del total de incidentes, más de 30.000 afectaron a empresas, evidenciando que las organizaciones son objetivos frecuentes de los ciberdelincuentes.

 

- Se identificaron 183,077 sistemas vulnerables, subrayando la necesidad de que las empresas refuercen sus medidas de seguridad para proteger sus infraestructuras.

 

- Durante 2024, INCIBE clausuró más de 2.000 tiendas online fraudulentas, protegiendo tanto a consumidores como a empresas del comercio electrónico.

 

- Las amenazas no solo son más frecuentes, sino también más complejas. El uso de aplicaciones basadas en inteligencia artificial ha permitido a los ciberdelincuentes diseñar ataques personalizados y mucho más difíciles de detectar

 

-Los últimos ataques a grandes empresas españolas han sido atacando la cadena de suministro, es decir, no atacan directamente a la empresa, sino a un tercero que trabaja con ella y que normalmente tiene unas medidas de seguridad mas relajadas. La pregunta que tenemos que hacernos es ¿están mis datos seguros en manos de mis colaboradores?, ¿sus sistemas cuentan con unas medidas mínimas ciberseguridad?

 

Impacto económico de los ciberataques en las empresas españolas:

 

- El impacto económico estimado de los daños derivados de la ciberdelincuencia en España es de aproximadamente 30,000 millones de euros anuales.

 

- El coste medio que deben asumir las empresas afectadas por un ciberataque es de cuatro millones de euros, incluyendo rescates, recuperación de datos, medidas de seguridad adicionales y pérdidas de ingresos.

 

- Para las pymes, las pérdidas pueden alcanzar hasta 50,000 euros por incidente, considerando interrupciones operativas, pérdida de clientes y costos de recuperación.

 

Estos datos reflejan la creciente sofisticación y frecuencia de los ciberataques en España, resaltando la importancia de que las empresas, independientemente de su tamaño, implementen medidas de ciberseguridad robustas para salvaguardar sus activos y datos sensibles.

 

[Img #11822]

 

2. Tipos de ataques:

 

Es fundamental conocer los tipos de ataques más comunes para estar preparados:

 

- Ransomware: Secuestro de datos con demandas de rescate.

 

- Phishing: Intentos de engañar a empleados mediante correos o mensajes fraudulentos.

 

- Ataques DDoS: Saturación de sistemas para interrumpir servicios.

 

- Ataques a la cadena de suministro:  Este tipo de ataque está tomando cada vez más protagonismo, ya que se basa en comprometer proveedores o socios de confianza (normalmente con un nivel de madurez bajo) para infiltrarse en una organización objetivo.

 

- Ataques de fuerza bruta: Este tipo de ataque intenta, mediante sistemas manuales o automatizados (diccionarios), adivinar contraseñas probando sistemáticamente todas las combinaciones posibles.

 

- Malware:  Este tipo de ataque incluye software malicioso como virus, gusanos, troyanos y ransomware, que infecta sistemas para robar información, cifrar datos o causar daño.

 

3. Obligaciones legales para las empresas y los administradores

 

Cumplir con las normativas es esencial para evitar sanciones y proteger la reputación:

 

- RGPD (Reglamento General de Protección de Datos): Obliga a proteger los datos personales y notificar brechas de seguridad.

 

- Ley de Servicios Digitales: Requiere que las plataformas gestionen contenidos y protejan la privacidad de los usuarios.

 

- Directiva NIS 2: Establece requisitos más estrictos para la gestión de riesgos y la notificación de incidentes en sectores esenciales y servicios digitales.

 

- Esquema Nacional de Seguridad (ENS): Define principios y requisitos para garantizar la protección de la información en el sector público y las entidades que interactúan con él.

 

- El pasado 16 de enero de 2025 entró en vigor el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, una iniciativa que tiene como objetivo reforzar la protección de las redes y sistemas de información en España y establecer un marco normativo que garantice una respuesta eficaz y coordinada ante las crecientes ciberamenazas. De momento afecta a: Sectores estratégicos como la energía, el transporte, la salud, el suministro de agua y las telecomunicaciones. Organismos públicos y empresas privadas que gestionen infraestructuras críticas, cuya seguridad es vital para el funcionamiento de la sociedad y la economía. Entidades de menor tamaño que, aunque no gestionen infraestructuras críticas, desempeñan funciones clave dentro de las cadenas de suministro de estos sectores estratégicos.

 

Responsabilidades de los administradores/directivos de las empresas:

 

Los administradores de empresas también pueden enfrentar responsabilidades penales en relación con la ciberseguridad si su actuación o falta de actuación contribuye a la comisión de delitos o infracciones graves. Las responsabilidades penales varían según la legislación de cada país, pero en general, los administradores pueden ser responsables penalmente en los siguientes casos:

 

  • Negligencia en la protección de datos personales

 

Si los administradores no toman las medidas adecuadas para proteger los datos personales de clientes, empleados o usuarios, y como resultado de esta negligencia se produce una violación de la privacidad o un robo de datos, podrían enfrentarse a responsabilidades penales.

 

  • Falta de respuesta ante un ciberataque o incidente de seguridad

 

Los administradores también pueden ser responsables penalmente si no actúan de manera adecuada ante un ciberataque o incidente de seguridad que afecte a la empresa, los clientes o a terceros.

 

  • Delitos de fraude informático

 

Si los administradores están involucrados o permiten que se realicen actividades ilegales, como el fraude informático, el robo de propiedad intelectual, o el acceso no autorizado a sistemas informáticos, pueden ser acusados penalmente.

 

  • Delitos relacionados con la cibercriminalidad

 

Si los administradores permiten o facilitan la comisión de delitos cibernéticos desde los sistemas de la empresa (por ejemplo, el uso de los sistemas de la empresa para llevar a cabo ataques de denegación de servicio (DDoS) o distribución de malware), pueden ser considerados responsables penales.

 

  • Infracción de leyes de propiedad intelectual

 

Los administradores también pueden ser responsables si permiten la infracción de los derechos de propiedad intelectual a través de los sistemas de la empresa, como el uso no autorizado de software pirata o la distribución ilegal de contenido protegido por derechos de autor.

 

  • No notificación de incidentes a las autoridades competentes

 

En algunos países, las leyes requieren que las empresas notifiquen a las autoridades competentes (por ejemplo, la policía o una agencia de protección de datos) sobre incidentes graves de seguridad, como violaciones de datos o ciberataques. Si los administradores no cumplen con esta obligación, podrían ser penalizados.

 

4. Diez medidas básicas que hay que tomar

 

Para proteger su organización, estas acciones son imprescindibles:

 

- Formación del personal: Capacitar a empleados para detectar y evitar amenazas como el phishing. El usuario es la última línea de defensa ante un ataque.

 

- Firewall (cortafuegos): un sistema de seguridad perimetral protege la red (tanto equipos, como servidores) ya no solo de amenazas externas, sino que cuenta con otros sistemas como protección en las descargas y direcciones web maliciosas

 

- Antivirus: Un sistema de seguridad informática diseñado para proteger a los equipos informáticos de posibles ataques de softwares maliciosos.

 

- Segmentación de red: aislar las redes de trabajo en distintas partes evita que un virus o ransomware se propague por toda la red, quedando aislada únicamente en el segmento del equipo infectado.

 

- Doble factor autentificación: evita suplantaciones de identidad solicitando una doble verificación a la hora de acceder a los equipos, correo electrónico o acceso remoto (al igual que cuando se hace una transferencia bancaria)

 

-  BackUp (copias de seguridad): Realizar backups periódicos para garantizar la recuperación de datos. Ampliarlo con un Backup inmutable: La inmutabilidad en las copias de seguridad es primordial, ya que una de las primeras cosas que hace un ciberdelincuente es borrar o contaminar la copia de seguridad. Con la inmutabilidad conseguimos que la copia sea inalterable.

 

- Actualización de sistemas: Mantener software y hardware al día para evitar vulnerabilidades. Las vulnerabilidades es uno de los vectores que más explotan los ciberdelincuentes. Los sistemas tienen que estar siempre a la última.

 

- Planes de respuesta a incidentes y Planes de contingencia: Tener un protocolo claro para actuar rápidamente ante un ataque.

 

-Sistemas de disaster recovery: es importante tener un sistema para trabajar en caso de que los sistemas principales sufran un ataque o una avería. La continuidad de negocio tiene que estar contemplada en cualquier empresa, ya que cada minuto de parada cuesta dinero y reputación a la empresa.

 

-Auditorias de ciberseguridad: hacer una auditoria cada cierto tiempo es esencial para conocer los puntos fuertes y los puntos débiles que tenemos. Proporciona una fotografía del estado actual y permite trazar una hoja de ruta para solventar las posibles brechas que podamos tener.

 

Conclusión

 

Medidas a tomar por los directivos de las empresas:

 

  • Garantizar la implementación de medidas adecuadas de seguridad para proteger los datos y sistemas de la organización.

 

  • Supervisar el cumplimiento de las normativas legales aplicables, como el RGPD y la Directiva NIS 2.

 

  • Establecer una cultura de ciberseguridad dentro de la empresa, liderando con el ejemplo y promoviendo la formación de los empleados.

 

  • Diseñar y aprobar planes de respuesta a incidentes que permitan una actuación rápida y eficiente en caso de un ciberataque.

 

  • Realizar auditorías periódicas para evaluar el nivel de seguridad de la empresa y tomar decisiones informadas sobre mejoras necesarias.

 

  • Asumir responsabilidad directa en caso de negligencia que derive en brechas de seguridad o incumplimientos legales, lo que podría conllevar sanciones económicas y legales

 

La ciberseguridad no es solo una responsabilidad del equipo de TI; es una prioridad empresarial. Tomando medidas y liderando desde el equipo directivo, las organizaciones pueden mitigar riesgos, proteger su reputación y garantizar su sostenibilidad a largo plazo. La ciberseguridad no es un gasto, es una inversión.

 

Linkedin: Juan Navas Pallarés

Artículos de opinión relacionados

Juan Navas
Juan Navas
Aspectos claves a la hora de decidir implantar un ERP
Con tu cuenta registrada

Escribe tu correo y te enviaremos un enlace para que escribas una nueva contraseña.

Volver a acceder