Ciberamenazas: estado actual, tecnologías y cumplimiento de la NIS2

La ciberseguridad se ha convertido en un pilar fundamental para la protección de las entidades esenciales e importantes en la economía y sociedad actual. Estos sectores, que abarcan desde las infraestructuras críticas hasta los servicios públicos, se enfrentan a un escenario de ciberamenazas cada vez más sofisticado y frecuente. Según el informe Ciber Amenazas de Inteligencia, realizado por el equipo de NTT Data, la evolución del panorama en ciberseguridad ha tomado un nuevo flujo, vinculado principalmente a las nuevas tecnologías emergentes y a la potencia en el desarrollo de las inteligencias artificiales generativas (GenIA), identificando cuatro puntos clave:

1. As-A-Service. Desde principios del 2024 se han podido identificar varias campañas de RaaS (Ransomware asa-Service) e incluso alguna campaña de PaaS (Phishing-as-a-Service). Siguiendo esta tendencia, se considera que durante los siguientes meses se podrá observar una diversificación de amenazas como servicio sin precedentes, así sea DaaS (Denialas-a-Service), FPaaS (Fake-Profile-as-a-Service) e incluso IaaS (Insideras-a-Service).
2. GenIA Evolution. Se considera que en 2024-2025 se verá cómo la inteligencia artificial (IA) se convertirá en una de las mayores armas que tendrán los actores maliciosos en sus manos para el desarrollo de malware, campañas de ingeniería social y generación de perfiles falsos para ejecutar campañas de espionaje industrial, entre otras amenazas.
3. Suply Chain Attacks. Se considera que los ataques a la cadena de suministro se convertirán en una de las principales amenazas, escalando el número de ataques identificados, sobre todo en la infraestructura crítica y sectores industriales, así como en entornos en la nube mediante la implementación de gusanos nativos específicamente desarrollados para entornos de este tipo.
4. Espionage & Disinformation. Se considera que la evolución de las campañas de espionaje y desinformación, como mecánicas de ataque, evolucionarán de la mano de la IA, convirtiéndose en uno de los mayores riesgos de los siguientes meses.

Tecnologías innovadoras frente a las ciberamenazas

Con este panorama, el desarrollo de tecnologías de ciberseguridad innovadoras es esencial. Algunas de las que más expectativas crean en este entorno son:

• Inteligencia artificial y machine learning (ML): estas tecnologías permiten identificar patrones anómalos en grandes volúmenes de datos, ayudando a detectar amenazas y prevenir intrusiones en tiempo real. Los sistemas basados en IA y ML pueden, por ejemplo, reconocer intentos de phishing dirigidos y responder automáticamente
• Seguridad en la nube: el uso de servicios en la nube está en aumento, y con él, la necesidad de robustecer las medidas de protección. Las soluciones de seguridad en la nube ofrecen múltiples capas de defensa y herramientas de monitoreo avanzado para evitar accesos no autorizados y proteger los datos almacenados.
• Tecnologías Zero Trust: el modelo Zero Trust (confianza cero) asume que ninguna entidad, ya sea interna o externa, debe ser confiable de forma predeterminada. Implementar Zero Trust en entornos críticos ayuda a evitar que un atacante con acceso a un sistema pueda moverse lateralmente a otros sistemas sin autorización.
• Respuesta y recuperación automatizada: la automatización de la respuesta ante ciberamenazas permite a las organizaciones responder de forma rápida y eficiente, minimizando el impacto de las amenazas. Las herramientas de respuesta automatizada, como los SOAR (Security Orchestration, Automation and Response), integran varias funciones de seguridad para una reacción coordinada y ágil.

Directiva NIS2

En este contexto, la Unión Europea ha actualizado su normativa en ciberseguridad mediante la Directiva NIS2, que amplía el alcance de la Directiva NIS (Network and Information Security) original, promulgada en 2016. La NIS2 establece requisitos más rigurosos para las entidades esenciales e importantes, extendiendo sus obligaciones a sectores adicionales y promoviendo un enfoque armonizado en toda la Unión Europea.

Aunque la NIS2 entró en vigor en enero de 2023, el proceso de trasposición en España, como en otros Estados miembros, se ha visto retrasado debido a complejidades legislativas y a la necesidad de adaptar las estructuras y normativa actuales. De hecho, algunas de las novedades que incorpora esta nueva directiva son:

• Ampliación del alcance: la NIS2 amplía el alcance de la directiva original, que cubría principalmente operadores de servicios esenciales, incluyendo ahora más sectores, subsectores y tipos de entidades (energía, transporte, sanidad, infraestructuras digitales, gestión de residuos, manufactura química y alimentaria). De esta forma, clasifica las entidades en esenciales e importantes con distintos regímenes de supervisión y sanciones, que deberán cumplir con mayores exigencias de ciberseguridad, lo que añade presión al proceso de adecuación legislativa.
• Requisitos de gestión de riesgos: la NIS2 obliga a las entidades a implementar un conjunto de prácticas de gestión de riesgos de ciberseguridad, incluyendo análisis de riesgos, identificación y respuesta ante incidentes, ciberamenazas y planes de contingencia y recuperación.
• Notificación de incidentes: la directiva establece una serie de requisitos para la notificación de incidentes, lo cual obligará a las entidades a informar de ciberataques significativos en un plazo determinado. Este proceso es fundamental para una respuesta ágil y coordinada a nivel europeo.
• Sanciones y responsabilidades: se introducen sanciones para las organizaciones que incumplan los requisitos establecidos, incentivando la adopción de medidas de ciberseguridad robustas. También establece responsabilidades personales para los altos directivos, quienes podrían ser sancionados si no cumplen con las normativas de ciberseguridad.
• Foco en la cadena de suministro: destaca la importancia no solo de proteger nuestra infraestructura y perímetro propio, sino también asegurarnos de que los terceros o proveedores relevantes también mantengan un nivel de seguridad y unas medidas de protección adecuadas.
• Involucración de la alta dirección en la toma de decisiones en materia de ciberseguridad con la aprobación de planes y formación específica para este colectivo.

Conclusión

La protección de las entidades esenciales y críticas contra ciberamenazas, especialmente las de nueva generación, es una prioridad estratégica para la Unión Europea. La Directiva NIS2 representa un avance clave hacia un marco de ciberseguridad más completo y eficaz, con especial énfasis en aspectos como son la colaboración intersectorial, la inversión en tecnologías avanzadas, la gestión de la cadena de suministro, la respuesta a incidentes o el cumplimiento normativo.

Estos factores son esenciales para hacer frente a las ciberamenazas y los desafíos actuales en ciberseguridad. La próxima cita en el calendario de la NIS2 es el 17 de enero de 2025, fecha en la que se espera informar a la Comisión sobre el régimen de sanciones definido, aunque aún está por ver si para entonces se habrá completado la trasposición de la norma a nivel nacional.