AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Las multas cibernéticas en EMEA: nueva amenaza financiera para empresas según Aon y A&O Shearman**

admin

### Introducción

El entorno regulatorio en materia de ciberseguridad en la región EMEA (Europa, Oriente Medio y África) se ha endurecido significativamente durante los últimos años, elevando el riesgo de sanciones económicas para las organizaciones que no cumplen con los requisitos legales y estándares de protección de datos. Un reciente informe, “Asegurabilidad de las multas cibernéticas”, elaborado por Aon plc junto a la firma jurídica internacional A&O Shearman, pone de manifiesto el creciente impacto de las sanciones regulatorias y la dificultad de transferir ese riesgo a través del seguro, situando a las empresas ante un escenario de riesgo financiero creciente y complejo de gestionar.

### Contexto del Incidente o Vulnerabilidad

Las multas relacionadas con incidentes de ciberseguridad en EMEA han experimentado un crecimiento sin precedentes, impulsadas principalmente por la implementación y endurecimiento de normativas como el Reglamento General de Protección de Datos (GDPR) y, más recientemente, la Directiva NIS2. Según los datos recogidos en el informe, el número de sanciones impuestas por autoridades regulatorias en ciberseguridad ha crecido a un ritmo anual del 34% desde la entrada en vigor del GDPR en 2018. Además, el valor total de las multas impuestas en la región superó los 1.500 millones de euros en 2023, un 22% más que el año anterior.

La tendencia a incrementar las cuantías de las sanciones y a ampliar la responsabilidad de las empresas, incluidas las subsidiarias y partners tecnológicos, pone de relieve la urgencia de revisar estrategias de cumplimiento y gestión de riesgos en materia de ciberseguridad.

### Detalles Técnicos

El informe analiza en profundidad los tipos de incidentes que más frecuentemente derivan en sanciones regulatorias. Los vectores de ataque predominantes incluyen:

– **Ransomware**: Responsable del 52% de los incidentes sancionados, según la base de datos del European Data Protection Board (EDPB).
– **Phishing y compromiso de credenciales**: Representan el 26% de los expedientes sancionadores.
– **Exposición accidental de datos**: Causada por errores de configuración de sistemas, accesos indebidos y fugas de información, supone el 17% de los casos analizados.

Los TTPs (Tactics, Techniques and Procedures) más destacados, alineados con el framework MITRE ATT&CK, incluyen T1078 (Valid Accounts), T1486 (Data Encrypted for Impact) y T1190 (Exploit Public-Facing Application). Entre los IoC (Indicators of Compromise) asociados se encuentran conexiones sospechosas a servidores C2, explotación de vulnerabilidades conocidas (CVE-2023-23397 en Outlook, por ejemplo), y uso de herramientas como Cobalt Strike o Metasploit en fases de post-explotación.

El informe también subraya la dificultad de asegurar el pago de las multas bajo los actuales contratos de ciberseguro. En la mayoría de los países analizados, la cobertura de sanciones administrativas es limitada o directamente excluida por motivos legales y de orden público.

### Impacto y Riesgos

El aumento de la cuantía y frecuencia de las multas implica un riesgo financiero considerable para las organizaciones, especialmente aquellas con operaciones internacionales o en sectores críticos (financiero, salud, energía). El informe de Aon y A&O Shearman destaca que el 63% de las empresas encuestadas consideran que el riesgo de sanción supera el millón de euros por incidente, mientras que el 18% prevé sanciones superiores a los cinco millones en caso de brechas significativas.

Este riesgo se ve agravado por la dificultad de aseguramiento: solo el 21% de los pólizas de ciberseguro en EMEA ofrecen cobertura parcial para multas regulatorias, y menos del 5% garantizan cobertura completa, habitualmente condicionada a la legalidad local y a la ausencia de dolo o negligencia grave.

### Medidas de Mitigación y Recomendaciones

El informe recomienda una aproximación proactiva al compliance y la gestión de riesgos cibernéticos, incluyendo:

– **Revisión y actualización de políticas internas de seguridad** conforme a GDPR y NIS2.
– **Simulacros regulares de respuesta a incidentes** y ejercicios de Red Team para identificar brechas de seguridad.
– **Implementación de controles técnicos avanzados**: segmentación de red, MFA, monitorización continua de logs y detección de comportamiento anómalo.
– **Análisis y negociación rigurosa de las pólizas de ciberseguro**, revisando exclusiones y coberturas explícitas de sanciones administrativas.
– **Capacitación continua del personal** en materia de ciberhigiene y gestión de datos sensibles.

### Opinión de Expertos

Según Javier Molina, CISO de una multinacional del sector tecnológico, “la tendencia regulatoria en EMEA es hacia la tolerancia cero con la negligencia en materia de ciberseguridad. Las empresas deben asumir que la asegurabilidad de las multas es limitada y que únicamente un enfoque holístico basado en la prevención y el cumplimiento les permitirá minimizar el riesgo financiero”.

Por su parte, Ana Gutiérrez, abogada especialista en privacidad, señala que “muchos directivos subestiman el alcance extraterritorial del GDPR y la NIS2. La correcta documentación de medidas y la trazabilidad de las acciones son claves para una defensa eficaz ante una investigación o sanción”.

### Implicaciones para Empresas y Usuarios

Para las organizaciones, el endurecimiento de la regulación y la inasegurabilidad de las multas suponen la necesidad de invertir más en ciberseguridad, compliance y formación. Además, la presión sobre la cadena de suministro y los partners tecnológicos se intensifica, pudiendo incluso afectar la elección de proveedores.

Para los usuarios, estas medidas, aunque restrictivas para las empresas, suponen una mayor protección de sus datos personales y derechos digitales, alineando los estándares de seguridad con las expectativas del mercado y la sociedad.

### Conclusiones

La evolución del marco regulatorio en EMEA, junto con la imposibilidad de transferir totalmente el riesgo de sanciones a las pólizas de ciberseguro, coloca a las empresas ante el reto de gestionar proactivamente la ciberseguridad y el cumplimiento normativo. Solo aquellas organizaciones que adopten una estrategia integral de prevención, respuesta y formación podrán mitigar el impacto financiero y reputacional derivado de una brecha de seguridad y las correspondientes sanciones.

(Fuente: www.cybersecuritynews.es)