Entrevista a Laura Olcina, Dtra. Gerente del ITI, Sobre la Directiva NIS2

¿A qué amenazas más acuciantes en términos de ciberseguridad debe enfrentarse a día de hoy su sector?        

“El sector digital está expuesto a amenazas similares a las del resto de sectores, pero con una particularidad: somos responsables de garantizar la seguridad de los sistemas, servicios y desarrollos que utilizan otras industrias y la ciudadanía. Esto implica una carga adicional de responsabilidad frente a una amenaza creciente: la profesionalización de la ciberdelincuencia. Ya no hablamos de actores aislados, sino de grupos organizados, con motivaciones económicas claras y estructuras similares a las de una empresa. Operan a escala internacional, explotan vulnerabilidades de forma sistemática y desarrollan herramientas propias, como kits de ransomware, malware-as-a-service o técnicas de ingeniería social cada vez más elaboradas.

Entre las amenazas más preocupantes están los ataques a la cadena de suministro (por la confianza que se deposita en nuestras plataformas), las brechas de datos, el ransomware y los accesos indebidos mediante técnicas de phishing o explotación de configuraciones incorrectas. Todo ello en un entorno donde la interconectividad y la velocidad del desarrollo digital hacen que cualquier vulnerabilidad pueda tener un impacto exponencial”.

¿Cuál es el principal reto para su sector con la trasposición de la Directiva NIS2?

“La Directiva NIS2 representa un cambio de paradigma. Aporta exigencias que suponen una madurez organizativa y técnica que muchas empresas, especialmente pymes digitales, aún deben alcanzar. El mayor reto no es tecnológico, sino organizacional: implica incorporar la ciberseguridad como una función estratégica, con implicación de la alta dirección, mecanismos de reporte, planes de continuidad y auditorías periódicas.

Además, la nueva normativa sitúa la responsabilidad de la ciberseguridad en los niveles más altos de dirección, lo que exige una implicación real del liderazgo empresarial. No se trata solo de invertir en tecnología, sino de incorporar la ciberseguridad en la estrategia de negocio, con formación, simulacros, auditorías y una mejora continua basada en métricas”.

¿Con qué armas tecnológicas esperan contar para prevenir y mitigar incidentes?

“La ciberseguridad moderna se sustenta en un enfoque integral que combina tecnologías avanzadas, prácticas automatizadas y una estructura organizacional orientada a la prevención, detección y respuesta ante amenazas.

Las soluciones más eficaces integran automatización, inteligencia artificial y análisis en tiempo real, en conjunto con arquitecturas de seguridad como Zero Trust y técnicas de segmentación y microsegmentación de redes, fundamentales para contener amenazas y limitar su propagación. En el ámbito de la detección y respuesta, destacan las plataformas XDR (Extended Detection and Response), que permiten centralizar y correlacionar eventos provenientes de múltiples fuentes. Este enfoque puede ser implementado de manera eficaz mediante herramientas de software libre como Wazuh, que proporciona capacidades de monitoreo en tiempo real, análisis de logs y generación de alertas sobre redes y equipos. Para la evaluación técnica de vulnerabilidades, se recurre al sistema GVM (Greenbone Vulnerability Management), cuyo motor de escaneo es OpenVAS (Open Vulnerability Assessment Scanner).

Esta solución permite identificar de manera sistemática debilidades en la infraestructura tecnológica, tanto en software como en configuraciones, mediante escaneos programados o bajo demanda. GVM/OpenVAS es esencial para realizar un análisis exhaustivo del estado de seguridad de los sistemas y detectar riesgos potenciales antes de que puedan ser explotados.

Asimismo, se incorporan mecanismos de threat intelligence y entornos de tipo honeypot, diseñados para atraer y estudiar comportamientos maliciosos, lo que contribuye a una comprensión más profunda de las amenazas emergentes a nivel global y su aplicabilidad al entorno específico de la organización.

Desde el punto de vista organizacional, se recomienda establecer una estructura de defensa basada en dos equipos especializados que trabajen de forma complementaria para fortalecer la ciberseguridad de la organización:

• Equipo Azul (Blue Team): Encargado del monitoreo continuo de alertas y eventos generados por las herramientas de seguridad. Este equipo debería gestionar el proceso de corrección de vulnerabilidades detectadas, estableciendo plazos claros (por ejemplo, un máximo de 15 días) para que los responsables de los activos afectados implementen las medidas necesarias. En caso de incumplimiento, se aconseja aplicar medidas preventivas como el aislamiento o cierre del servicio comprometido.
• Equipo Rojo (Red Team): Responsable de llevar a cabo pruebas ofensivas, simulaciones de ataques y actividades de intrusión controlada. Su objetivo es identificar de forma proactiva los puntos débiles de la infraestructura y poner a prueba la eficacia de las defensas existentes.

Su labor permite validar la eficacia de las defensas y contribuir al desarrollo de una postura de seguridad resiliente y en constante evolución. Esta sinergia entre herramientas tecnológicas de código abierto, procesos automatizados y equipos humanos especializados constituye la base de una estrategia de ciberseguridad robusta, escalable y alineada con los desafíos actuales del entorno digital.

Una de las nuevas líneas de defensa contra las fugas de información pasa por la criptografía avanzada: técnicas como la criptografía homomórfica y la computación multiparte segura permiten procesar y compartir datos sin que nunca aparezcan en claro, cerrando así la puerta a los vectores tradicionales de exfiltración. 

La formación de grandes silos de datos son un objetivo codiciado por los atacantes, y son susceptibles a fugas de datos. Un ejemplo de esta problemática sucede cuando varios actores necesitan entrenar modelos de IA comunes donde el aprendizaje federado entra en escena para mantener los datos en su lugar de origen. En lugar de mover la información, viajan únicamente los parámetros del modelo, con lo que se reduce el incentivo, y el riesgo, de concentrar todo en un único repositorio de datos.

Distinto es el propósito de la generación de datos sintéticos: crear réplicas estadísticamente fieles de los conjuntos originales para que los modelos se entrenen o las conclusiones se compartan sin manipular información sensible. Mediante algoritmos de aprendizaje profundo capaces de imitar la distribución real, y, cuando procede, combinados con técnicas de privacidad diferencial para añadir un nivel extra de protección, se obtienen datos artificiales que conservan el valor analítico sin revelar detalles individuales, reduciendo así la necesidad de acceder a los registros auténticos y el riesgo inherente a su exposición.

En paralelo, la filosofía DevSecOps impregna todo el ciclo de vida del software para evitar que surjan vulnerabilidades nuevas en nuestras propias aplicaciones, y los agentes de IA de última generación reproducen ataques cada vez más verosímiles. Puestos en manos de equipos especializados, estas herramientas aceleran la detección y la corrección de fallos, cerrando el círculo defensivo antes de que los atacantes tengan siquiera ocasión de intentarlo”.

¿Está el actual escenario del boom de la inteligencia artificial bien cubierto por NIS2?

“NIS2 da un paso adelante importante, pero no aborda en profundidad los riesgos emergentes derivados del uso de inteligencia artificial. Hoy vemos cómo los atacantes ya utilizan IA para automatizar campañas de phishing, generar contenidos falsos o explotar vulnerabilidades de forma masiva. Además, se abre un nuevo frente: la seguridad de los propios modelos de IA y su posible manipulación o uso malicioso.

Por eso, necesitamos marcos regulatorios adicionales que establezcan requisitos de trazabilidad, auditabilidad y uso seguro de la IA, complementando la protección que ya establece NIS2”.

¿Responde NIS2 a todos los desafíos que en materia de ciberseguridad enfrenta su sector? ¿Qué queda por hacer?

“NIS2 establece una base sólida, pero estamos en un escenario que evoluciona demasiado rápido para confiar solo en marcos normativos. Quedan por reforzar muchas líneas: el fomento de la innovación en ciberseguridad, el acceso de las pymes a herramientas avanzadas, la capacitación del talento y, sobre todo, una cultura de seguridad que impregne todos los niveles de la organización.

El sector digital tiene un papel clave en garantizar la confianza en el ecosistema digital europeo. Es nuestra responsabilidad estar a la altura, tanto en términos de cumplimiento como de liderazgo ético y técnico en materia de ciberseguridad”.