Guerra cibernética, sanciones y soberanía: cuando la geopolítica se convierte en una brecha de seguridad

Hemos visto cómo hackers patrocinados por Estados han paralizado redes eléctricas para sumir a ciudades en la oscuridad, han inutilizado redes hospitalarias con ransomware (provocando incluso retrasos en la atención médica que han puesto en peligro vidas humanas ) y se han apoderado de medios de comunicación para difundir propaganda y desinformación. Un análisis reciente de la UE reveló que casi el 66 % de los ataques DDoS (denegación de servicio) registrados entre 2022 y 2023 tuvieron motivaciones políticas, a menudo en forma de represalias o sanciones en disputas internacionales.

En esencia, el ciberespacio se ha convertido en un nuevo campo de batalla donde los intereses nacionales chocan sin tener en cuenta las fronteras. Esta convergencia entre la geopolítica y la seguridad informática plantea una pregunta urgente para todas las organizaciones: ¿hasta qué punto es geopolíticamente resiliente su sistema informático? Si estalla un conflicto o se imponen sanciones a un proveedor, ¿resistirán sus operaciones empresariales el impacto? 

Por qué la geopolítica es ahora una cuestión de tecnologías de la información 

Las tensiones políticas no son solo motivo de preocupación para los diplomáticos; ahora afectan directamente a las redes y los datos de las empresas.  

Un concepto clave es la soberanía digital: controlar los propios datos y la infraestructura tecnológica para que no sean vulnerables a la injerencia extranjera. La soberanía de los datos significa que estos están sujetos a la legislación del país en el que se almacenan. Si los datos de tus clientes o las cargas de trabajo críticas residen en servidores de otro país, quedan bajo la jurisdicción de ese país y podrían verse expuestos o restringidos debido a medidas geopolíticas.  

Por ejemplo, a los responsables políticos europeos les inquieta cada vez más la fuerte dependencia de los proveedores de tecnología y servicios en la nube con sede en EE. UU., ya que temen que esto ponga en peligro la independencia digital de Europa. Del mismo modo, muchos países temen que la dependencia de proveedores extranjeros de telecomunicaciones o hardware (ya sean estadounidenses, chinos u otros) pueda convertirse en un lastre estratégico si las relaciones internacionales se deterioran. Estas preocupaciones están impulsando las peticiones de un mayor control local sobre los datos y la tecnología; en esencia, no hay que poner todos los huevos de la TI en la misma cesta. Incluso Jensen Huang, fundador de Nvidia, afirmó durante Vivatech 2025: «No puedes permitirte externalizar tu inteligencia».  

La geopolítica también pone de manifiesto las vulnerabilidades de la cadena de suministro global en el ámbito de las tecnologías de la información. Las empresas modernas dependen de una compleja red de software, hardware y servicios en la nube procedentes de todo el mundo. Si un eslabón de esa cadena se ve comprometido —ya sea por un ataque respaldado por un Estado o por una prohibición de exportación—, esto puede provocar una interrupción en cadena a escala mundial. 

Una mirada al pasado 

El famoso ciberataque NotPetya de 2017 es un claro ejemplo: se trató de un ataque con malware del ejército ruso dirigido contra Ucrania que se extendió más allá de su objetivo inicial y paralizó a empresas de todo el mundo, desde hospitales de EE. UU. hasta un gigante del transporte marítimo y una empresa farmacéutica, causando más de 10 000 millones de dólares en daños a nivel mundial. Lo que comenzó como una ciberguerra local se convirtió rápidamente, en palabras de un funcionario estadounidense, en «el equivalente a utilizar una bomba nuclear para lograr una pequeña victoria táctica», lo que ilustra cómo un ataque con motivaciones políticas puede devastar inadvertidamente a empresas normales y corrientes en todos los continentes. 

Incluso en tiempos de paz, las organizaciones están percibiendo esta tendencia: casi el 60 % de las empresas afirman que su estrategia de ciberseguridad se ve ahora influida por las tensiones geopolíticas, y el 16 % incluso ha cambiado de proveedores o socios tecnológicos como respuesta (por ejemplo, evitando el software de determinados países o diversificando los proveedores de servicios en la nube). Los informes sobre amenazas también muestran que el volumen total de ciberataques está aumentando en medio de la inestabilidad global: en 2024 se registraron 3.541 incidentes graves en todo el mundo, lo que supone un aumento del 27,4 % con respecto al año anterior.  

Italia, por poner un ejemplo, se ha convertido en un epicentro: sufrió el 10 % de todos los ciberataques mundiales en 2024 y, solo en ese año, fue objeto de unos 80 ataques con motivaciones geopolíticas (el 29 % de los incidentes de este tipo a nivel mundial).  

En resumen 

La geopolítica se ha convertido en una cuestión de tecnologías de la información porque las naciones rivales pueden recurrir —y de hecho lo harán— a medios digitales para ejercer presión. Ya se trate de espionaje, sabotaje o campañas de influencia, las empresas podrían verse atrapadas en el fuego cruzado, sobre todo si sus datos, proveedores o infraestructura están vinculados a una región en conflicto.  

Sabiendo esto, las empresas deben evaluar su exposición al riesgo geopolítico: ¿Las leyes de qué país rigen sus datos? ¿Qué proveedores podrían verse afectados por sanciones? ¿Podría un conflicto lejano dejar fuera de servicio sus sistemas críticos? Estas preguntas deben figurar ahora en la agenda de todos los directores de sistemas de información (CIO) y de seguridad de la información (CISO). 

Lo que exige actualmente la normativa 

Los gobiernos de todo el mundo no se quedan de brazos cruzados. Impulsados por incidentes de gran repercusión y amenazas cada vez más graves, están entrando en vigor nuevas normativas destinadas a reforzar la ciberseguridad y la resiliencia, con sanciones realmente severas. En concreto, la Unión Europea ha introducido varias normas importantes destinadas a reforzar las defensas ante los riesgos geopolíticos. Entre los ejemplos más destacados se incluyen: 

Directiva NIS2 

Una actualización de la Directiva de la UE sobre seguridad de las redes y la información, NIS2, amplía considerablemente el alcance de las obligaciones en materia de ciberseguridad. Ahora abarca una amplia gama de entidades «esenciales» e «importantes» de diversos sectores (energía, sanidad, transporte, banca, tecnología, sector público y otros). Las empresas incluidas en su ámbito de aplicación deben aplicar medidas estrictas de gestión de riesgos y notificar los incidentes cibernéticos significativos en plazos muy ajustados (en algunos casos, en un plazo de tan solo 24 horas para la notificación inicial). 

La NIS2 también impone la responsabilidad a los máximos responsables: la dirección de las empresas puede ser considerada responsable en caso de incumplimiento de las obligaciones en materia de seguridad. Es fundamental destacar que el incumplimiento conllevará multas cuantiosas de hasta 10 millones de euros o el 2 % de la facturación global (lo que sea mayor) para las entidades esenciales.  

En resumen, la NIS2 obliga a las organizaciones a reforzar su nivel de ciberseguridad (desde los controles técnicos hasta la supervisión a nivel del consejo de administración) o, de lo contrario, se enfrentarán a sanciones. Su objetivo es establecer un nivel mínimo de resiliencia en toda la UE, partiendo de la base de que un solo eslabón débil puede poner en peligro toda la red. 

DORA (Ley de Resiliencia de las Operaciones Digitales) 

La DORA, que entrará en vigor en la UE a partir de enero de 2025, es un reglamento centrado en la resiliencia del sector financiero. Abarca a bancos, compañías de seguros, sociedades de inversión e incluso a los proveedores de TIC esenciales que prestan servicios a estas entidades. La DORA exige a estas entidades que cuenten con planes sólidos de continuidad y recuperación ante desastres, que realicen pruebas de estrés digitales periódicas y que gestionen de cerca los riesgos derivados de los proveedores tecnológicos externos. 

La supervisión regulatoria se intensificará: por ejemplo, los proveedores de servicios en la nube o de software «críticos» para los bancos podrían quedar sujetos a la supervisión directa de las autoridades europeas. Las sanciones previstas en la DORA también son considerables, y los Estados miembros de la UE deben imponer sanciones «eficaces, proporcionadas y disuasorias» en caso de incumplimiento. Esto podría incluir multas administrativas, órdenes de subsanación e incluso sanciones personales a los directivos, de forma similar a lo previsto en la NIS2. 

Cabe destacar que los proveedores clave de TIC que incumplan los requisitos de la DORA podrían enfrentarse a multas diarias de hasta el 1 % de su volumen de negocio medio diario a nivel mundial hasta que se solucionen los problemas. 

Ley de la UE sobre la inteligencia artificial 

Aunque no se trata de una ley dedicada exclusivamente a la seguridad, la futura Ley de Inteligencia Artificial tiene una vertiente relacionada con la soberanía y la seguridad. Esta legislación histórica de la UE (cuya finalización está prevista para 2024) regulará los sistemas de IA, especialmente los usos «de alto riesgo» (como la IA en infraestructuras críticas, la sanidad o las fuerzas del orden). Las empresas que utilicen este tipo de IA tendrán que realizar evaluaciones de riesgos, garantizar la supervisión humana y ser capaces de explicar y controlar las decisiones de su IA.  

¿Por qué es esto importante desde el punto de vista geopolítico? Porque la Ley de IA también refleja el impulso de Europa hacia la soberanía digital, reduciendo la dependencia sin control de las tecnologías de IA extranjeras y evitando su uso indebido (incluso por parte de regímenes autoritarios o con fines maliciosos). La ley prevé sanciones severas en caso de incumplimiento. Por ejemplo, el uso de sistemas de IA prohibidos o el incumplimiento de los requisitos en materia de datos podría acarrear multas de hasta 30-35 millones de euros o el 6-7 % de la facturación anual global, lo que supone un importe aún mayor que las multas del RGPD.  

Lo mucho que hay en juego pone de relieve la intención de establecer un estándar mundial para una IA fiable. Las empresas de todo el mundo que operan en Europa (o que prestan servicio a clientes europeos) tendrán que cumplir, en la práctica, estas normas, lo que está impulsando la inversión en el cumplimiento normativo y la gestión de riesgos relacionados con la IA.  

Normativa fuera de la UE 

En todo el mundo se están llevando a cabo medidas similares, desde el endurecimiento de la normativa sobre ciberseguridad de las infraestructuras críticas en EE. UU. hasta la aplicación, en países como China, de estrictas leyes de localización de datos y de revisión de la seguridad. La consecuencia para las empresas es un reto cada vez mayor en materia de cumplimiento normativo: no solo deben defenderse de las amenazas, sino también abrirse camino en un laberinto de normativas de ciberseguridad en constante evolución. El incumplimiento de cualquiera de estas obligaciones puede dar lugar a violaciones de seguridad devastadoras y a sanciones regulatorias.  

El trío formado por la NIS2, la DORA y la Ley de IA ejemplifica la nueva era de la seguridad basada en el cumplimiento normativo, en la que los gobiernos están impulsando activamente a las organizaciones hacia una mayor resiliencia y sancionando a quienes no cumplen los requisitos. Para las empresas, esto significa invertir ahora en gobernanza, procesos de notificación y controles, en lugar de tener que actuar a toda prisa tras un incidente o una multa. (Por ejemplo, según la NIS2, se necesitarán procedimientos para notificar un incidente en un plazo de 24 horas, algo difícil de improvisar sobre la marcha). Anticiparse a estas normativas puede convertirse en una ventaja competitiva, demostrando a clientes y socios que te tomas en serio la seguridad en un mundo tan convulso. 

Estrategias de resiliencia para las empresas 

Ante esta interrelación entre los riesgos cibernéticos y geopolíticos, ¿qué pueden hacer las empresas? El objetivo es desarrollar la resiliencia. Esto va más allá de la ciberseguridad básica y abarca una sólida continuidad del negocio y decisiones flexibles en materia de arquitectura. A continuación se presentan algunas estrategias clave a tener en cuenta: 

• Adopta una infraestructura multicloud y distribuida: no pongas en riesgo tu negocio confiando en un único proveedor de servicios en la nube o centro de datos. Al distribuir las cargas de trabajo entre varias plataformas en la nube o alojarlas en varios centros de datos (y, a ser posible, en diferentes regiones), reduces considerablemente la probabilidad de que un solo incidente te deje completamente fuera de servicio. Una estrategia multicloud bien implementada puede garantizar que, incluso si un proveedor sufre una interrupción del servicio o es objeto de un ataque, tus servicios sigan funcionando en otros lugares. 
• Diversificar los proveedores y las cadenas de suministro: al igual que los inversores prudentes diversifican sus carteras, las empresas resilientes diversifican sus proveedores tecnológicos. Depender en exceso de un único proveedor de software, fabricante de hardware u operador de telecomunicaciones puede resultar peligroso si dicho proveedor se ve envuelto en un conflicto geopolítico o se enfrenta a sanciones. Al recurrir a una combinación de proveedores (y garantizar que ningún componente crítico provenga exclusivamente de una región de alto riesgo), se mitiga la exposición.  
• Invertir en la planificación de la continuidad: las defensas tecnológicas por sí solas no bastan; las organizaciones necesitan planes sólidos de continuidad del negocio (BC) y de recuperación ante desastres que tengan en cuenta escenarios de guerra cibernética y perturbaciones geopolíticas. Un plan de CC debe responder a la pregunta: «Si X deja de funcionar, ¿cómo seguimos operando?», ya sea que X sea un centro de datos, un servicio en la nube o una ruta de suministro. Asegúrate de que estos planes cubran casos extremos como cortes prolongados de Internet, ransomware que paralice los sistemas o la imposibilidad de contactar con personal clave. 

Al aplicar estas estrategias, las empresas pueden reducir considerablemente la «brecha de seguridad» generada por la geopolítica. No se puede impedir que un Estado-nación lance un ciberataque, pero sí se puede reforzar el entorno de forma que, incluso si se convierte en objetivo o sufre daños colaterales, la recuperación sea rápida y con el menor perjuicio posible. La resiliencia es la nueva ventaja competitiva en una era en la que tanto el caos como el cumplimiento normativo van en aumento. 

Getronics, tu red de seguridad 

Desarrollar y mantener todas las capacidades mencionadas anteriormente puede resultar abrumador. Ahí es donde entra en juego un socio con experiencia como Getronics. Con décadas de experiencia en ciberseguridad y servicios de TI, Getronics actúa como red de seguridad para las organizaciones que se enfrentan a retos de seguridad complejos. 

En la actualidad, contamos con un equipo internacional de más de 3.700 profesionales repartidos por 20 países, que prestan apoyo a clientes en más de 180 países de todo el mundo. Nuestro alcance y nuestra experiencia nos permiten comprender los matices locales, desde la normativa de la UE hasta los actores maliciosos regionales, y ofrecer una cobertura ininterrumpida las 24 horas del día, los 7 días de la semana, en todo el mundo. 

Qué ofrecemos 

Getronics ofrece soluciones integrales de seguridad y continuidad, diseñadas a medida para ayudar a su empresa a hacer frente a los riesgos geopolíticos y cumplir con los requisitos normativos. Nuestros servicios abarcan desde evaluaciones exhaustivas de riesgos y asesoramiento en materia de cumplimiento normativo hasta la supervisión de amenazas las 24 horas del día, los 7 días de la semana, y la respuesta rápida ante incidentes. En la práctica, esto significa que podemos auditar su entorno informático en busca de vulnerabilidades o problemas de soberanía, asesorarle sobre el cumplimiento de normativas como la NIS2 o la DORA, e implementar las medidas de protección necesarias. 

A través de nuestros servicios del Centro de Operaciones de Seguridad (SOC), ofrecemos una vigilancia constante de su entorno, detectando intrusiones, buscando amenazas y respondiendo de forma inmediata a los incidentes para contener los daños. También le ayudamos a desarrollar y probar planes de continuidad del negocio y de recuperación ante desastres, garantizando que su organización esté preparada para lo inesperado. Todos estos servicios se prestan siguiendo las mejores prácticas y marcos normativos del sector (como el NIST y la norma ISO 27001) y pueden adaptarse a su sector y jurisdicción específicos. 

En definitiva, asociarse con Getronics significa contar con una extensión de su equipo, que aporta visión estratégica, capacidad técnica y vigilancia las 24 horas del día para proteger su negocio. Nos enorgullecemos de forjar relaciones de confianza y de garantizar la continuidad a largo plazo con nuestros clientes. En un entorno en el que las amenazas son globales y constantes, contar con un socio que «lo ha visto todo» puede marcar la diferencia entre seguir con la actividad habitual y enfrentarse a una crisis empresarial. 

Actúa ahora para reforzar tu resiliencia geopolítica 

En un mundo en el que las amenazas digitales no respetan las fronteras nacionales, las empresas deben reconocer que la seguridad no se limita a las fronteras de su país, y tampoco lo hace su infraestructura informática. Es probable que su red, sus datos y sus procesos abarquen varios países y continentes, y lo mismo ocurre con los riesgos. La intersección entre la ciberdefensa y la geopolítica es actualmente una de las mayores brechas de seguridad, pero es una brecha que puede subsanarse con el enfoque y los socios adecuados. Manteniéndose informado, invirtiendo en resiliencia y colaborando con expertos con visión de futuro, podrá convertir una posible vulnerabilidad en una fortaleza. 

Getronics te invita a dar el siguiente paso para reforzar tu estrategia de defensa y continuidad. Te animamos a que reserves una evaluación exhaustiva de seguridad o una revisión de tu estrategia de continuidad del negocio con nuestros expertos. Te ayudaremos a evaluar el grado real de resiliencia geopolítica de tu sistema informático, a identificar cualquier punto débil y a desarrollar una hoja de ruta para reforzar tus defensas de principio a fin. 

Ponte en contacto con Getronics para concertar una consulta y asegurarte de que, en materia de ciberseguridad y soberanía, tu empresa vaya siempre un paso por delante. Nuestra misión es garantizar tu continuidad, tu cumplimiento normativo y tu tranquilidad. Logrémoslo juntos.