A medida que aumenta el grado de digitalización en las empresas, las instituciones y la vida cotidiana, la actividad delictiva también experimenta un proceso de adaptación y evolución
18 ene 2026 . Actualizado a las 05:00 h.La protección contra las amenazas digitales ha pasado de ser algo específico para unas pocas empresas a convertirse en una necesidad para todos. La reciente publicación por el Consejo Económico y Social (CES) de España de la monografía Guardianes digitales para un crecimiento sostenible: Ciberseguridad y protección ciudadana en la era digital aborda con detalle esta cuestión desde una perspectiva aplicada.
En esta contribución, que he tenido la oportunidad de coordinar, se señala que la digitalización ha transformado las formas de interactuar y operar en la economía. Sin embargo, este proceso ha venido acompañado de un peligroso compañero de viaje, que ha sido incremento significativo de la ciberdelincuencia. A medida que aumenta el grado de digitalización en las empresas, las instituciones y la vida cotidiana, la actividad delictiva también experimenta un proceso de adaptación y evolución. A nadie se le escapa que las actuales amenazas digitales son mucho más sofisticadas que hace una década y que este grado de complejidad lejos de reducirse, suma y sigue. En sus inicios los ciberdelincuentes eran actores con habilidades técnicas muy limitadas. Esto ha cambiado notablemente. Los actuales disponen de un completo arsenal de herramientas sofisticadas y avanzadas, a años luz de esa imagen de una persona solitaria con un ordenador. Algunos ejemplos de sobra conocidos son el empleo de la Inteligencia Artificial (IA), la computación en la nube (cloud computing) y la expansión sin precedentes del Internet de las Cosas (IoT).
La facilidad con la que estos ataques pueden llevarse a cabo, sumado a la dificultad para ser detectados y perseguidos, supone una mayor rentabilidad de los actos de ciberdelincuencia. A este crecimiento también contribuye la falta de acuerdos internacionales y la ausencia de normas y consensos en materia de ciberseguridad. Debido a estas limitaciones, los cacos tienen una ventaja considerable. En efecto, el fuerte impacto de este tipo de delitos aumenta en capacidad para afectar la seguridad y confianza en los sistemas digitales globales como en términos económicos.
Afortunadamente, gracias a la IA, tal y como se señala en la publicación del CES, se cuenta con ventajas potenciales para mejorar la ciberseguridad, posibilitando el análisis rápido de grandes volúmenes de datos y facilitando la toma de decisiones en tiempo real. Estas características convierten la IA en una herramienta clave para hacer frente a amenazas digitales de complejidad creciente. Gracias a ella se mejora la detección temprana de potenciales incidencias y se incrementa la capacidad de respuesta. Sin embargo, no todo en la inteligencia artificial es positivo, puesto que también puede ser empleada con fines maliciosos y para realizar ataques más sofisticados. Algunos ejemplos son el análisis de datos para identificar vulnerabilidades digitales, la creación de imágenes falsas, y el procesamiento de lenguaje natural para desarrollar estafas más persuasivas y convincentes para engañar a las personas usuarias.
Lo que antes era un mero problema técnico centrado en las áreas y departamentos de informática de las grandes empresas, ahora es una cuestión estratégica y crítica para el buen funcionamiento de cualquier empresa, organización y administración pública. Por lo tanto, la ciberseguridad ha pasado de ser una preocupación secundaria para convertirse en una prioridad central que afecta a las personas usuarias y a las profesionales.
Como respuesta a las crecientes amenazas digitales y el incremento de los ataques, la práctica totalidad de las organizaciones han cambiado su enfoque, apostando por medidas mucho más integradas. Además, la ciberseguridad ha pasado de ser algo opcional o voluntario a convertirse en algo vital para la supervivencia y buen funcionamiento de cualquier entidad. Este reto debe abordarse no solo como un problema técnico, sino como una preocupación transversal que afecta a la dimensión social y económica.
En efecto, la ciberseguridad es un proceso multidimensional que requiere el desarrollo de fases clave como la identificación, protección, detección, respuesta y recuperación de las amenazas digitales. Este conjunto de etapas permite a las empresas, organizaciones y administraciones públicas proteger sus activos y bienes digitales, detectar posibles amenazas y reaccionar con eficacia ante los ataques cibernéticos. Sin embargo, los datos señalan que muchas entidades aún no están suficientemente preparadas para enfrentar estas amenazas.
Tal y como se señala en el informe del CES, el aumento en la frecuencia de ciberataques refleja la creciente sofisticación de la delincuencia, adaptándose a las tecnologías emergentes. El porcentaje de empresas que ha sufrido un ataque de este tipo ha crecido significativamente, pasando del 43 % en el 2021 al 53 % en el 2023. España registra un aumento alarmante de incidentes, tal y como sucede en la mayor parte de las economías occidentales. El Instituto Nacional de Ciberseguridad (Incibe) gestionó casi 119.000 casos en el 2022, afectando principalmente a Pequeñas y Medianas Empresas (PYMEs), micropymes y a la ciudadanía. Unas cifras que nos invitan a reflexionar sobre la magnitud del problema.
La administración pública tampoco es ajena a este fenómeno. El CES señala que los ataques a organismos públicos se han venido incrementado, lo que ha llevado a que entidades como el Centro Criptológico Nacional (CCN) intensifiquen sus esfuerzos para proteger la información clasificada y sensible. En el 2022, el CCN-CERT (Computer Emergency Response Team) registró más de 70.000 incidentes, buena muestra del aumento constante de amenazas digitales.
Cierre de empresas
Además, los efectos de los ciberataques para las empresas no solo se traducen en una ralentización de la actividad —por ejemplo, interrumpiendo el normal funcionamiento de sus operaciones— sino que incluso puede suponer que muchas empresas no puedan abrir. Además, se traducen en efectos muy negativos para las empresas, puesto que el 60 % de la pymes cierran en los seis meses posteriores a una ofensiva digital.
La publicación del CES también señala que los efectos sobre los consumidores y usuarios resultan muy relevantes, especialmente todo lo relacionado con el fraude digital derivado de la utilización de datos personales y financieros. Así, resulta necesario que cualquier persona que compre un bien o reciba un servicio a través de internet tenga los mismos derechos que si hubiera efectuado una operación en un comercio físico. Entre otros, el conocimiento de la identidad del vendedor; saber los gastos de envío, condiciones y plazos; confirmación inmediata de compra, garantía del producto; derecho de desistimiento, a la protección de datos personales y a las compras seguras.
Además, no se puede obviar que es la persona usuaria la que tiene la obligación de aplicar todas las medidas razonables a fin de proteger sus credenciales de seguridad. Por parte del proveedor de servicios de pago se debe probar que el usuario del servicio cometió fraude o negligencia grave, ya que, en caso contrario, no debería asumir responsabilidad. Así, en caso de ejecutar una operación de pago no autorizada, debe ser el proveedor de los servicios de pago del ordenante el que tiene que devolver a este el importe de la operación realizada.
Asimismo, y como acertadamente señala el informe, existe una responsabilidad por parte de la administración pública por la culpa in vigilando. Se trata de aquella provocada por los daños causados por la administración pública por tener un especial deber de vigilancia en este tipo de incidencias. De la misma forma que las empresas pueden tener que afrontar un procedimiento judicial ante la responsabilidad civil frente a los usuarios y clientes, la administración pública debería contar con los medios necesarios para evitar —en la medida de lo posible— los ciberataques. Su papel debe ir más allá de sancionar comportamientos delictivos, ya que debe tener una amplia actuación en materia de vigilancia y protección, especialmente en las incidencias digitales que afectan a la ciudadanía, que son el eslabón más débil de la cadena digital.
Llevar a cabo todas estas tareas de protección no es sencillo. Es imprescindible que las empresas y las administraciones públicas adopten medidas de ciberseguridad más rigurosas, centradas en el control de acceso, la protección de infraestructuras críticas y la adopción de buenas prácticas digitales para minimizar los riesgos. Como señala el CES solo mediante una estrategia integral y preventiva se podrán salvaguardar los activos y garantizar su continuidad operativa en un entorno digital cada vez más complejo y vulnerable.
Nadie está exento
Además, la creciente sofisticación de los ciberataques afecta no solo a grandes empresas, sino también a pequeñas entidades, organizaciones y todo tipo de personas. Nadie está exento de ser objetivo de ciberdelincuentes. Incluso en ciertos casos, los que ya han sido atacados pueden ser utilizados como puerta de acceso para atacar otros objetivos mayores. Por lo tanto, la ciberseguridad es una necesidad colectiva y global en la que el enfoque local de protección debe dar paso a una mentalidad más integradora para abordar los riesgos digitales desde una perspectiva de colaboración. Sin apoyos, poco o nada se puede hace para asegurar un entorno digital seguro.
Ahora bien, para abordar de manera efectiva estos desafíos, resulta esencial considerar tres pilares fundamentales: el marco legal, las empresas y las personas. Estos tres elementos no solo son los principales objetivos de la ciberdelincuencia, sino que también juegan un papel activo en la construcción de un entorno seguro. Se trata de piezas necesarias para poder construir el puzle de la ciberseguridad. En la monografía del CES se ponen negro sobre blanco todas estas cuestiones, razón por la que esta obra es de consulta obligada en materia de ciberseguridad desde una perspectiva aplicada y multidisciplinar, algo que, por otra parte, no es frecuente. De ahí, el valor añadido de esta publicación.