Ciberseguridad, algo más que una urgencia y una estrategia; el nudo del asunto a nivel global es porque el debate es más regulatorio que técnico. Todo sucede en paralelo, casi como en baile coordinado: aquí y allá se replantean lineamientos y enfoques normativos (en muchos lugares con debates sobre la afectación a derechos elementales), a la vez que se conocen nuevos balances de las afectaciones y miradas.
¿Qué pasó? De todo. Por un lado, la Comisión Europea (CE) acaba de sumar a la presentación de su propuesta de Ley de Redes Digitales (DNA, siglas de Digital Networks Act), su correlato para la ciberseguridad en la Unión Europea (UE): la CSA, por sus siglas en inglés. A la par, el Banco Interamericano de Desarrollo (BID) y la Organización de los Estados Americanos (OEA) publicaron un mapeo sobre la madurez digital y los riesgos de la ciberseguridad en América Latina y el Caribe, titulado Reporte de Ciberseguridad 2025: desafíos de vulnerabilidad y madurez para cerrar las brechas en América Latina y el Caribe. Nada de todo esto quedó fuera de la agenda del World Economic Forum Annual Meeting, de Davos 2026.
A modo de contexto regional, el mapeo del BID
Que la ciberseguridad es la base de la confianza para el desarrollo en la región y que la transformación digital amplió la superficie de ataque de forma notable son, a priori, verdades de Perogrullo, pero que enmarcadas por las conclusiones que ofrece el reporte publicado por el BID, se advierte la profundidad y preocupación del caso. Sucede que el abordaje reveló que, aunque la mayoría de los países ya cuentan con estrategias nacionales de ciberseguridad, aún hay una brecha crítica al momento de observar su ejecución y alcances.
El reporte analiza las estrategias y los lineamientos de la región en la materia, país por país, y releva que sólo 13 de ellos tienen la capacidad institucional, los recursos o los mecanismos de coordinación necesarios para implementar sus estrategias de manera efectiva; del mismo modo que estima que la cifra cae a nueve si se releva la capacidad para proteger la infraestructura crítica.
Infraestructuras críticas – Imagen realizada con IA
En ese detallado de caso por caso, por ejemplo, destaca a Chile, cuya Política Nacional de Ciberseguridad (2023–2028) incluye la protección de derechos individuales en línea, su Ley Marco de Ciberseguridad y otra de Protección de Datos Personales (que entrará en vigor en diciembre de 2026), a la vez que destacó su nivel de institucionalidad al haber creado la Agencia Nacional de Ciberseguridad (ANCI) -que ya cumplió un año en ejercicio- y la Jefatura Nacional de Delitos Cibernéticos en la Policía de Investigaciones (PDI).
También valora que en términos de gobierno digital cuenta con su sistema de ClaveÚnica, en la que hay más de 15 millones de usuarios, y donde se aloja más del 93 por ciento de los trámites públicos de forma digital.
Uruguay ofrece un panorama similar, porque desde 2024 posee su legislación sobre ciberdelincuencia, que penaliza el ciberacoso, el fraude informático y el robo de identidad; que recurre al Marco Nacional de Ciberseguridad (basado en el estándar NIST) y que exige que los servicios críticos reporten incidentes al CERTuy.
En la otra punta geográfica, México, que desde 2021 posee una Estrategia Digital Nacional (y desde 2017 su Estrategia Nacional de Ciberseguridad) subraya la institucionalidad que supone que en 2025 se erigiera la Agencia de Transformación Digital y Telecomunicaciones (ATDT) para centralizar las políticas de ciberseguridad y digitalizar el 80 por ciento de los trámites.
Otro caso es el de Costa Rica y lo valora por haber tomado medidas en 2022, a partir de un incidente grave; y República Dominicana, cuya Estrategia Nacional de Ciberseguridad se extiende hasta 2030, coordinada por el Centro Nacional de Ciberseguridad (CNCS) y donde los operadores de infraestructura crítica están obligados por decreto a reportar incidentes en un plazo de 24 horas.
Al margen de los logros, los desafíos son unánimes; y el informe identifica algunos “inhibidores” del progreso regional como la imposibilidad de reacción y adaptación temprana a las amenazas, a la vez que la ciberseguridad no se ubica entre los principales niveles de prioridad; aún en un contexto de permanente avance de la IA.
Al final del reporte, disponible aqui, se ofrecen recomendaciones como crear y dotar de recursos a agencias nacionales de ciberseguridad y fortalecer los equipos de respuesta a incidentes (conocidas por sus siglas como CSIRTs) y la protección de la infraestructura crítica. Además, adoptar y actualizar la regulación y de capacitar profesionales para reducir el déficit de expertos en la región.
La propuesta europea, que también fue cuestionada por las telcos
Esta semana, la CE presentó un nuevo paquete normativo para la ciberseguridad europea, tendiente a “fortalecer aún más la resiliencia y las capacidades de la UE en materia de ciberseguridad”, “prevenir la fragmentación” del mercado único digital local y “robustecer” las cadenas de suministro.
Se trata de la propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el marco europeo de certificación de la ciberseguridad y la seguridad de la cadena de suministro de las TIC, y por el que se deroga el Reglamento (UE) 2019/881 (Ley de Ciberseguridad 2).
Ellos mismos lo explican, se enmarca en razones vinculadas a la geopolítica, al incremento de la cantidad y de sofisticación de los ciberataques, como también de la complejización que supone para la defensa, la evolución de tecnologías como la IA y la computación cuántica.
Así, estos lineamientos plantean la necesidad de alinear la cuestión política con las urgencias de la época, al entender que el punto débil radica en la interoperabilidad. Ente los objetivos específicos, se prevé incrementar las habilidades y la cooperación operativa entre los Estados miembros, y promover el desarrollo del Marco Europeo de Certificación (ECCF) y la transparencia. Además, el endurecimiento de los lineamientos, sobre todo de cara a productos, equipos o prestaciones sobre los que se planteen dudas de ciberseguridad y se los valores como “proveedores de alto riesgo”.
La clave pasa por la gestión del riesgo, según tres niveles (básico, sustancial y elevado) y un fuerte incremento presupuestario que, en el caso de ENISA supone que entre 2028 y 2034 cuente con 341 millones de euros, cifra que involucra un incremento del 81,5 por ciento con respecto a 2025.
Sin embargo, el sector de las telecomunicaciones no recibió la novedad sin ofrecer críticas. Fue la ex ETNO , ahora Connect Europe, quien “invitó” a que los legisladores “corrijan la propuesta y garanticen que ofrezca resultados de seguridad efectivos sin comprometer la competitividad digital de Europa”.
Connect Europe plantea el compromiso que la industria telco tiene con la seguridad de las comunicaciones, pero considera que esta estrategia debilitará la posición de las operadoras.
“Advertimos contra políticas que debilitarían significativamente el mismo sector que pretenden proteger. Los operadores de telecomunicaciones se enfrentan a importantes requisitos de inversión para completar el despliegue de 5G y fibra, mientras que las condiciones regulatorias actuales y la falta de escala limitan su capacidad de inversión”, precisa en su misiva formal y sentencia que “la adopción del actual borrador del CSA agravará la carga impuesta al sector, con costos regulatorios adicionales multimillonarios que probablemente se subestimen”.
Redes autónomas – Crédito: Freepik
Aunque celebra la propuesta de modernizar el marco de certificación de ciberseguridad regional, el organismo que reúne a las operadoras cuyos desembolsos representan alrededor del 70 por ciento de la inversión total del sector, cree que las obligaciones en materia de cadena de suministro de TIC “podrían imponer importantes restricciones adicionales a los operadores”.
En su mirada, una nueva visión regulatoria debería ofrecer más simplificación normativa, a la vez que “hacer que la certificación de ciberseguridad de la UE sea relevante para el mercado y proporcionada, evitando esquemas costosos, no probados u obligatorios que ofrecen un valor de seguridad limitado en la práctica”.
Las telcos y la ciberseguridad, en Davos 2025
El encuentro económico de Davos es el lugar en que buena parte de la geopolítica y las tensiones que se cruzan hoy en el mundo, ofrecen su mirada, su discurso y su visión. Las telcos no estuvieron afuera del debate. En una mesa de discusión titulada “Ciberdefensores en la era de la IA”, Marc Murtra, presidente de Telefónica, planteó la necesidad de que Europa aborde el tema.
“Si no se dispone de tecnología, si no se tiene capacidad, si no se cuenta con un profundo conocimiento, se plantea un gran problema”, dijo Mutra y advirtió que, “si nos adentramos en una era de áreas de influencia, Europa tiene que empezar a desarrollar la ciberseguridad”.
El panel, moderado por James Harding, editor jefe de ‘The Observer’, también contó con la participación de Jessica Rosenworcel, directora Ejecutiva del MIT Media Lab del Instituto Tecnológico de Massachusetts (MIT) y ex titular de la Comisión Federal de Comunicaciones de Estados Unidos (FCC, por sus siglas en inglés); Nadav Zafrir, director Ejecutivo de Check Point Software Technologies; y Jill Popelka, directora Ejecutiva de Darktrace Holdings Limited.
Rosenworcel planteó que la IA potenció los desafíos en materia de ciberseguridad: “Lo que más me impactó durante mi mandato en la FCC fue la expansión radical del número de dispositivos conectados y los datos que producen. Está creciendo muy rápido. Y cada uno de esos dispositivos, esas conexiones, depende de software que frecuentemente sale al mercado con vulnerabilidades conocidas, que pueden ser pequeñas o desconocidas. Y cuando se introduce IA en el sistema y hay actores maliciosos, pueden usarla para identificar dónde están esos problemas a una velocidad increíble, como nunca antes habíamos visto”.
“Esto multiplica las posibilidades de que los actores maliciosos aprovechen todas esas conexiones y el servicio de ataque ampliado que ofrecen. Pero también invertiría la perspectiva y diría que existen oportunidades para que todos usemos la IA para comprender dónde están esas vulnerabilidades y corregirlas antes que salgan al mercado. Y eso también es nuevo”, dijo la ex titular de la FCC.
“La cibernética es como una especie de competencia de aprendizaje entre ataque y defensa. Siempre ha sido así. Lo difícil es que los atacantes, obviamente, avanzan más rápido que los defensores. No tienen regulaciones. No tienen que pasar por procesos de contratación y colaboran mejor que nosotros”, dijo Zafrir, y planteó que “la clave está en saber cómo proteger a los humanos y la infraestructura. Hoy estamos desarrollando las herramientas para proteger a los no humanos. El problema es la interoperabilidad. En los próximos años, será caótico debido a esa interoperabilidad”.
En su mirada, la incorporación de agentes de IA es un problema: “El problema con estos estos agentes es que, al final, son muy ingenuos y empiezan a cruzarse de carril porque los tratamos como humanos. Así que intentamos protegerlos basándonos en su identidad, pero no tienen una identidad humana y son muy ingenuos. Y esto va a cambiar por completo nuestra forma de abordar la seguridad. Pero hasta que lleguemos a ese punto, nos encontramos en un momento muy delicado”.
Para Mutra, a su vez, se trata de un “desafío integral”: “Telefónica gestiona 340 millones de clientes o puntos de entrada de datos. Si lo analizamos desde cualquier perspectiva, si observamos a todos aquí, todos tienen un móvil, solo sus números de cuenta bancaria, adónde van y con quién hablan”, dijo.
Y destacó que “Europa tiene una enorme vulnerabilidad, teniendo en cuenta la situación actual: hay muy poca tecnología y muy poca ciberseguridad en Europa. Lo que estamos haciendo es integrar tecnologías de terceros. Así que, si queremos tener autonomía o si algún día surge un problema con un actor estatal, podemos encontrarnos con la misma situación que con la industria de defensa. Si no se tiene tecnología, capacidad o conocimientos profundos, el problema es grave”.
Telefónica aún opera en ambos hemisferios: porque además de estar en Europa, consolida su presencia en Brasil y, aunque en retirada, aún lo hace en otras latitudes de la región. Sin embargo Mutra no advirtió que hubieran diferencias en materia de ciberseguridad. “En general, vemos una gestión simétrica de las vulnerabilidades. Gestionamos la seguridad de forma similar en Brasil, en España o en Alemania. Lo que difiere es el uso de los datos que se almacenan allí”.
Como en una carrera de aprendizaje entre atacantes y defensores, la ciberseguridad está en el epicentro del desarrollo y los desafíos. Y mientras la regulación intenta dar orden, el debate sobre el equilibrio entre la flexibilidad, las inversiones y la sustentabilidad se multiplica.
Debe estar conectado para enviar un comentario.