Cómo combate la UE las amenazas cibernéticas

Lee la noticia original en: Consilium Europa

La UE está tomando medidas para hacer frente a los desafíos en materia de ciberseguridad. En esta página puede obtener más información sobre las actividades de la UE encaminadas a:

  • mejorar la ciberresiliencia,
  • luchar contra la ciberdelincuencia,
  • impulsar la ciberdiplomacia,
  • reforzar la ciberdefensa,
  • fomentar la investigación y la innovación,
  • proteger las infraestructuras críticas.

Ciertos sectores vitales, como el transporte, la energía, la sanidad y las finanzas, dependen cada vez más de las tecnologías digitales para sus actividades esenciales. La digitalización, que brinda enormes oportunidades y ofrece soluciones para muchos de los retos a los que se enfrenta Europa, como se ha demostrado en particular durante la crisis de la COVID-19, también expone a la economía y a la sociedad a ciberamenazas.

Cronología

17.5.2021

Ciberataques: el Consejo prorroga otro año el marco de sanciones

29.4.2021

Lucha contra el abuso de menores en línea: acuerdo informal con el Parlamento Europeo sobre normas temporales

20.4.2021

El Consejo da luz verde al Centro de Competencia en Ciberseguridad con sede en Bucarest

22.3.2021

El Consejo adopta unas Conclusiones sobre la Estrategia de Ciberseguridad de la UE.

15.12.2020

El Consejo insta a reforzar la resiliencia y a luchar contra las amenazas híbridas, en particular contra la desinformación

Cronología completa

Los ciberataques y la ciberdelincuencia están aumentando en toda Europa, y cada vez son más sofisticados. Esta tendencia seguirá agravándose en el futuro, ya que se espera que 22 300 millones de dispositivos en todo el mundo estén conectados a la internet de las cosas de aquí a 2024.

Con una respuesta más firme en materia de ciberseguridad que permita crear un ciberespacio abierto y seguro se podrá generar entre los ciudadanos una mayor confianza en las herramientas y servicios digitales.

En octubre de 2020, los dirigentes de la UE pidieron que se mejorara la capacidad de la UE para:

  • protegerse contra las ciberamenazas,
  • proporcionar un entorno de comunicación seguro, especialmente mediante la encriptación cuántica,
  • garantizar el acceso a los datos a efectos judiciales y policiales.

Fomentar la ciberresiliencia

Estrategia de Ciberseguridad de la UE

En diciembre de 2020, la Comisión Europea y el Servicio Europeo de Acción Exterior (SEAE) presentaron una nueva Estrategia de Ciberseguridad de la UE. El objetivo de esta estrategia es reforzar la resiliencia de Europa frente a las ciberamenazas y garantizar que todos los ciudadanos y empresas puedan beneficiarse plenamente de servicios y herramientas digitales seguros y fiables. La nueva estrategia contiene propuestas concretas para la implantación de instrumentos normativos, de actuación y de inversión.

El 22 de marzo de 2021, el Consejo adoptó unas Conclusiones sobre la Estrategia de Ciberseguridad en las que destacó que la ciberseguridad es esencial para construir una Europa resiliente, ecológica y digital. Los ministros de la UE fijaron como objetivo clave lograr la autonomía estratégica preservando al mismo tiempo una economía abierta, para lo cual es necesario aumentar la capacidad de adoptar decisiones autónomas en el ámbito de la ciberseguridad con el fin de reforzar el liderazgo digital y las capacidades estratégicas de la UE.

La UE también está trabajando en dos propuestas legislativas para abordar los riesgos actuales y futuros en internet y fuera de internet:

  • una Directiva actualizada para proteger mejor las redes y los sistemas de información,
  • una nueva Directiva sobre la resiliencia de las entidades críticas.

¿Qué es la ciberseguridad?

La ciberseguridad incluye las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de dichos sistemas y de otras personas afectadas por las ciberamenazas.

(Reglamento de Ciberseguridad de la UE)

Reglamento de Ciberseguridad de la UE

El Reglamento de Ciberseguridad de la UE, que entró en vigor en junio de 2019, introdujo:

  • un sistema de certificación para toda la UE,
  • un mandato nuevo y reforzado para la Agencia de la UE para la Ciberseguridad.

Sistema de certificación de la ciberseguridad a escala de la UE

La certificación es fundamental a la hora de garantizar unas normas rigurosas en materia de ciberseguridad para los productos, servicios y procesos de TIC. El hecho de que diferentes países de la Unión recurran actualmente a diferentes sistemas de certificación de la seguridad provoca una fragmentación del mercado y genera barreras reglamentarias.

Gracias al Reglamento de Ciberseguridad, la UE ha implantado un marco único de certificación a escala de la UE que:

  • generará confianza,
  • aumentará el crecimiento del mercado de la ciberseguridad,
  • facilitará el comercio en toda la UE.

El marco proporcionará un conjunto completo de reglas, requisitos técnicos, normas y procedimientos.

El mercado de la ciberseguridad en la Unión

  • Entre los veinte primeros puestos del Índice Mundial de Ciberseguridad figuran dieciocho países europeos.
  • El valor del mercado de la ciberseguridad en la Unión se estima en más de 130 000 millones de euros y está creciendo a un ritmo del 17 % anual.
  • La UE cuenta con más de 60 000 empresas de ciberseguridad y más de 660 centros especializados en ciberseguridad.

Agencia de la UE para la Ciberseguridad

La nueva Agencia de la UE para la Ciberseguridad se basa en las estructuras de su predecesora, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea, aunque con un papel reforzado y un mandato permanente. Ha mantenido el mismo acrónimo, ENISA.

Proporciona apoyo a los Estados miembros, las instituciones de la Unión y otras partes interesadas para hacer frente a los ciberataques.

Directiva sobre las redes y sistemas de información

La Directiva sobre la seguridad de las redes y sistemas de información (SRI), adoptada en 2016, fue la primera medida legislativa a escala de la Unión destinada a estrechar la cooperación entre los Estados miembros en lo relativo a la cuestión crucial de la ciberseguridad. En ella se establecieron obligaciones de seguridad para los operadores de servicios esenciales (en sectores vitales como la energía, el transporte, la sanidad y las finanzas) y los proveedores de servicios digitales (mercados en línea, motores de búsqueda y servicios en la nube).

En diciembre de 2020, la Comisión Europea propuso una revisión de la Directiva SRI (SRI 2) para sustituir a la Directiva de 2016. La nueva propuesta responde a la evolución de las amenazas y tiene en cuenta la transformación digital de nuestra sociedad, que se ha visto acelerada por la crisis de la COVID-19.

Las nuevas normas están destinadas a:

  • reforzar las obligaciones de seguridad de las empresas,
  • abordar la seguridad de las cadenas de suministro,
  • introducir medidas de supervisión más estrictas para las autoridades nacionales,
  • seguir intensificando el intercambio de información y la cooperación.

El Consejo está debatiendo actualmente esta propuesta.

La lucha contra la ciberdelincuencia

La ciberdelincuencia adopta diversas formas y el ámbito cibernético facilita numerosos delitos comunes. Por ejemplo, los delincuentes pueden:

  • hacerse con el control de dispositivos personales usando programas maliciosos,
  • robar o poner en peligro datos personales y derechos de propiedad intelectual para cometer fraudes en línea,
  • utilizar internet y las plataformas de redes sociales para distribuir contenidos ilícitos,
  • usar la «red oscura» para vender bienes ilícitos y servicios de piratería informática.

Algunas formas de ciberdelincuencia, como la explotación sexual de menores en línea, causan graves daños a sus víctimas.

Se ha creado en Europol un Centro Europeo de Ciberdelincuencia para ayudar a los países de la Unión a investigar los delitos en línea y desmantelar las redes delictivas.

La plataforma multidisciplinar europea contra las amenazas delictivas (EMPACT) es una iniciativa de seguridad impulsada por los Estados miembros de la UE para detectar, priorizar y atajar las amenazas que plantea la delincuencia internacional organizada. La lucha contra los ciberataques es una de sus prioridades.

Atajar el fraude en los pagos sin efectivo

El fraude en los pagos sin efectivo y la falsificación de medios de pago distintos del efectivo suponen una grave amenaza para la seguridad de la UE y proporcionan importantes ingresos a la delincuencia organizada. Además, este tipo de fraude afecta a la confianza de los consumidores en la seguridad de las tecnologías digitales.

En abril de 2019, la Unión adoptó nuevas normas para luchar contra el fraude en los medios de pago distintos del efectivo. Los Estados miembros deben aplicar las nuevas normas en 2021.

Mejorar la seguridad de los menores en internet

La Comisión Europea tiene previsto proponer nueva legislación en 2021 para luchar contra los abusos sexuales y la explotación sexual de menores en internet. Entretanto, la Unión está trabajando para definir normas temporales que permitan a los proveedores de correo web y servicios de mensajería seguir detectando el abuso sexual de menores en línea hasta que se adopte una normativa permanente.

Justicia y acción policial

Las normas y políticas de la Unión también abordan otros aspectos relativos a la justicia y la aplicación de la ley en la lucha contra la ciberdelincuencia y la delincuencia en general, como el acceso a las pruebas electrónicas, el cifrado y la conservación de datos.

Acceso a las pruebas electrónicas

Los delincuentes aprovechan la tecnología digital para cometer delitos y ocultar actividades ilícitas. Por lo tanto, las autoridades judiciales y los cuerpos de seguridad se valen cada vez más de pruebas electrónicas, como mensajes de texto, correos electrónicos o aplicaciones de mensajería, para sus investigaciones penales y el enjuiciamiento de los delitos.

Esta es la razón por la que la UE está elaborando nuevas normas que facilitarán y agilizarán el acceso transfronterizo a las pruebas electrónicas.

Con el fin de seguir facilitando el acceso transfronterizo a las pruebas electrónicas para los procesos penales, la Unión:

  • está negociando un acuerdo con los Estados Unidos, el país en el que se encuentran la mayoría de los proveedores de servicios;
  • participa en las negociaciones del segundo protocolo adicional del Convenio de Budapest.

Cifrado

La UE está haciendo cuanto está en su mano para entablar un debate activo con el sector tecnológico a fin de encontrar el equilibrio adecuado entre la utilización continuada de tecnologías de cifrado fuerte y la necesidad de que las fuerzas o cuerpos de seguridad y el poder judicial puedan ejercer sus facultades en las mismas condiciones que en el mundo fuera de línea.

En diciembre de 2020, el Consejo adoptó una Resolución sobre el cifrado en la que destaca la necesidad de que se garantice la seguridad tanto mediante el cifrado como a pesar del cifrado.

Conservación de datos

Hoy en día, para luchar eficazmente contra la delincuencia es importante que los proveedores de servicios conserven determinados datos que puedan ser divulgados, con arreglo a unas condiciones estrictas, con fines de lucha contra la delincuencia. Ahora bien, la conservación de datos puede vulnerar derechos fundamentales individuales, concretamente el derecho a la intimidad y el derecho a la protección de los datos personales.

El Consejo adoptó en su día unas Conclusiones sobre la conservación de datos procedentes de comunicaciones electrónicas a efectos de lucha contra la delincuencia. En ellas, el Consejo pidió a la Comisión que recopilase más información y organizase consultas específicas como parte de un estudio exhaustivo sobre posibles soluciones para la conservación de datos, y que reflexionase sobre una futura iniciativa legislativa.

Impulsar la ciberdiplomacia

La Unión Europea y sus Estados miembros promueven resueltamente un ciberespacio abierto, libre, estable y seguro en el que se respeten plenamente los derechos humanos, las libertades fundamentales y el Estado de Derecho en aras de la estabilidad social, el crecimiento económico, la prosperidad y la integridad de unas sociedades libres y democráticas.

La Unión está poniendo un gran empeño en protegerse contra las ciberamenazas procedentes de terceros países, especialmente a través de una respuesta diplomática conjunta denominada «conjunto de instrumentos de ciberdiplomacia». Esta respuesta incluye la cooperación y el diálogo diplomáticos, medidas preventivas contra los ciberataques y sanciones.

La Estrategia de Ciberseguridad de la UE, adoptada en diciembre de 2020 por la Comisión Europea y el SEAE, refuerza la respuesta diplomática de la UE a los ciberataques.

Sanciones contra los ciberataques

En mayo de 2019, el Consejo estableció un marco que permite a la UE imponer sanciones específicas para impedir los ciberataques que constituyen una amenaza externa para la UE o sus Estados miembros y responder a ellos.

Más concretamente, este marco permite por primera vez a la UE imponer sanciones a las personas o entidades responsables de ciberataques o tentativas de ciberataques, o que prestan para ello apoyo financiero, técnico o material o están implicadas de algún otro modo, así como a otras personas y entidades asociadas con ellas.

Las medidas restrictivas consisten en:

  • la prohibición de entrada en la Unión en el caso de las personas,
  • la inmovilización de activos en el caso de las personas y las entidades.

Las primeras sanciones por ciberataques se impusieron el 30 de julio de 2020.

Intensificación de la ciberdefensa

El ciberespacio se considera el quinto ámbito bélico, tan vital para las operaciones militares como la tierra, el mar, el aire y el espacio. Se trata de una esfera que abarca desde las redes de información y telecomunicaciones, las infraestructuras y los datos que contienen hasta los sistemas informáticos, los procesadores y los dispositivos de control.

La Unión coopera la defensa en el ciberespacio gracias a las actividades de la Agencia Europea de Defensa (AED), en colaboración con la Agencia de la UE para la Ciberseguridad y Europol. La AED apoya a los Estados miembros en la creación de unidades de personal militar especializado en ciberdefensa y garantiza la disponibilidad de tecnología de ciberdefensa proactiva y reactiva.

La Estrategia de Ciberseguridad de la UE, adoptada en diciembre de 2020 por la Comisión y el SEAE, refuerza:

  • la coordinación en materia de ciberdefensa,
  • la cooperación y la creación de capacidades de ciberdefensa.

Financiación e investigación

Plan de Recuperación

La ciberseguridad es una de las prioridades de la Unión en la respuesta a la pandemia de COVID-19, durante la cual se han incrementado los ciberataques. El plan incluye inversiones adicionales en este ámbito.

Horizonte Europa

Es fundamental encontrar soluciones innovadoras que puedan protegernos de las ciberamenazas más recientes y más avanzadas. Por este motivo, la ciberseguridad es un componente importante de los programas marco de financiación de la investigación y la innovación de la Unión (Horizonte 2020 y su sucesor, Horizonte Europa). En mayo de 2020, la UE comprometió 49 millones de euros para impulsar la innovación en los sistemas de ciberseguridad y privacidad.

Europa Digital

En el marco del programa Europa Digital para el periodo 2021-2027, la UE se ha comprometido a invertir 1 600 millones de euros en capacidades de ciberseguridad y la implantación general de infraestructuras y herramientas de ciberseguridad en toda la UE, tanto para las administraciones públicas como para las empresas y los particulares.

Centro de Competencia en Ciberseguridad

En diciembre de 2020, el Consejo y el Parlamento Europeo alcanzaron un acuerdo informal sobre una propuesta para crear el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad respaldado por una Red de Centros Nacionales de Coordinación.

El Consejo adoptó el Reglamento por el que se establecen el Centro y la Red en abril de 2021.

Sus objetivos son:

  • seguir mejorando la ciberresiliencia;
  • contribuir a la implantación de la tecnología de última generación en materia de ciberseguridad;
  • proporcionar apoyo a las empresas emergentes y las pymes del sector de la ciberseguridad;
  • reforzar la investigación y la innovación en materia de ciberseguridad;
  • contribuir a colmar el déficit de capacidades en materia de ciberseguridad.

Los Estados miembros de la UE eligieron Bucarest como sede del nuevo centro.

Ciberseguridad de las infraestructuras críticas

Dispositivos conectados seguros

Los dispositivos conectados —las máquinas, los sensores y las redes que componen la internet de las cosas (IdC)— y su seguridad desempeñarán un papel fundamental en la configuración del futuro digital de Europa.

En diciembre de 2020, el Consejo adoptó unas Conclusiones en las que señalaba que el mayor uso de productos de consumo y dispositivos industriales conectados a internet plantearía nuevos riesgos para la privacidad, la seguridad de la información y la ciberseguridad. En las Conclusiones se fijaban prioridades para abordar esta cuestión crucial y fomentar la competitividad mundial de la industria de la IdC de la Unión, garantizando para ello el máximo nivel de resiliencia, seguridad y protección.

Proteger las redes 5G

Las redes 5G son cruciales no solo para la comunicación digital, sino también para sectores vitales como la energía, el transporte, la banca y la sanidad. Por lo tanto, garantizar la resiliencia de las redes 5G es esencial para nuestra sociedad.

Las redes 5G —que generarán en 2025 unos ingresos mundiales estimados en 225 000 millones de euros— constituyen un recurso clave para la competitividad de Europa en el mercado mundial, y su ciberseguridad es fundamental para garantizar la autonomía estratégica de la Unión.

En enero de 2020, la Unión acordó un conjunto de instrumentos para determinar un posible grupo de medidas comunes que mitiguen los principales riesgos de ciberseguridad de las redes 5G y para proporcionar orientación.