![\"\"](\"https:\/\/www.softwareag.com\/app\/uploads\/2025\/06\/Artboard-1-1-1024x538.jpg\")
<\/figure>\n\n\n\nN\u00famero de incidentes - UE y mundial (julio 2023 - junio 2024)<\/p>\n\n\n\n
Un an\u00e1lisis de los distintos sectores revela que el sector p\u00fablico es el m\u00e1s afectado, con 191 TP18T de ataques, seguido del sector del transporte (111 TP18T) y el sector bancario y financiero (91 TP18T). Esto no es de extra\u00f1ar: muchos a\u00fan recuerdan los ciberataques de gran repercusi\u00f3n medi\u00e1tica dirigidos contra el Bundestag alem\u00e1n, los ayuntamientos, los hospitales universitarios, las fuerzas del orden neerlandesas y los ciudadanos y las autoridades espa\u00f1olas.(3-8)<\/sup><\/p>\n\n\n\n Sectores afectados - \u00a1El sector p\u00fablico es el m\u00e1s afectado! (julio de 2023 - junio de 2024)<\/p>\n\n\n\n Si desglosamos las amenazas cibern\u00e9ticas por categor\u00edas, la amenaza directa a los datos almacenados \u2014principalmente bases de datos\u2014 asciende a 451 TP18T, de los cuales 191 TP18T corresponden a incidentes relacionados con filtraciones de datos y 261 TP18T a ataques de ransomware (2)<\/sup>.<\/p>\n\n\n\n An\u00e1lisis de las amenazas por tipo<\/p>\n\n\n\n En virtud del art\u00edculo 32 del GDPR<\/strong>(9)<\/sup> (Seguridad del tratamiento) se exige lo siguiente: \"...el responsable y el encargado del tratamiento aplicar\u00e1n las medidas t\u00e9cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.\"<\/p>\n\n\n\n En concreto, destaca como medida eficaz \"la seudonimizaci\u00f3n y el cifrado de los datos personales\".\u00a0<\/p>\n\n\n\n Adem\u00e1s, el Oficina Federal Alemana de Seguridad de la Informaci\u00f3n<\/strong> (BSI) recomienda el cifrado como una estrategia clave para minimizar el riesgo de las operaciones de TI en su\u00a0Normas BSI\u00a0<\/strong><\/span>(10)<\/sup> 200-1 a 200-4.<\/strong><\/p>\n\n\n\n \u00a0En Art\u00edculo 33<\/strong> de la GDPR<\/strong>(9)<\/sup> (Notificaci\u00f3n de una violaci\u00f3n de datos personales a la autoridad supervisora), las empresas est\u00e1n obligadas a notificar una violaci\u00f3n de datos personales a la autoridad supervisora dentro de las 72 horas posteriores a tener conocimiento de la violaci\u00f3n. El responsable del tratamiento de datos debe notificar a la autoridad supervisora pertinente de conformidad con el art\u00edculo 55, a menos que sea poco probable que la violaci\u00f3n suponga un riesgo para los derechos de las personas. Si la notificaci\u00f3n se retrasa m\u00e1s de 72 horas, deber\u00e1 proporcionarse una explicaci\u00f3n del retraso.<\/p>\n\n\n\n A pesar de la claridad de las directrices, sigue existiendo incertidumbre en el mundo de las TI sobre la correcta aplicaci\u00f3n de los requisitos de informaci\u00f3n del RGPD.<\/p>\n\n\n\n Para aclarar este punto, el Comit\u00e9 Europeo de Protecci\u00f3n de Datos<\/strong> (EDPB) ha elaborado unas directrices(11)<\/sup>, que incluyen casos pr\u00e1cticos.<\/p>\n\n\n\n En \u00abCASO N.\u00ba 01: Ransomware con copias de seguridad adecuadas y sin filtraci\u00f3n de datos<\/strong>\u00bb, se describe el siguiente escenario:<\/p>\n\n\n\n \"Los sistemas inform\u00e1ticos de una peque\u00f1a empresa manufacturera quedaron expuestos a un ataque de ransomware, y los datos almacenados en esos sistemas fueron cifrados. El controlador de datos utilizaba el cifrado en reposo, por lo que todos los datos a los que acced\u00eda el ransomware se almacenaban cifrados mediante un algoritmo de cifrado de \u00faltima generaci\u00f3n. La clave de descifrado no se vio comprometida en el ataque, es decir, el atacante no pudo acceder a ella ni utilizarla indirectamente. En consecuencia, el atacante s\u00f3lo tuvo acceso a los datos personales cifrados\".<\/p>\n\n\n\n Las medidas necesarias figuran en el cuadro publicado en las directrices:<\/p>\n\n\n\n Las medidas necesarias se justifican del siguiente modo:<\/p>\n\n\n\n \"En este ejemplo, el atacante tuvo acceso a datos personales y la confidencialidad del texto cifrado que conten\u00eda datos personales cifrados se vio comprometida. Sin embargo, los datos que pudieran haber sido filtrados no pueden ser le\u00eddos ni utilizados por el agresor, al menos por el momento. La t\u00e9cnica de cifrado utilizada por el responsable del tratamiento se ajusta al estado de la t\u00e9cnica. La clave de descifrado no se vio comprometida y presumiblemente tampoco pudo determinarse por otros medios. En consecuencia, los riesgos de confidencialidad para los derechos y libertades de las personas f\u00edsicas se reducen al m\u00ednimo, salvo que se produzcan avances criptoanal\u00edticos que hagan inteligibles los datos cifrados en el futuro.\"<\/p>\n\n\n\n Por ello, la empresa no estaba obligada a informar del incidente a las autoridades ni a las personas afectadas.<\/strong><\/p>\n\n\n\n Si se compara el coste de implantar medidas de seguridad inform\u00e1tica con la posible p\u00e9rdida de reputaci\u00f3n, ventas y confianza de los clientes, r\u00e1pidamente quedan claras las ventajas de una inversi\u00f3n proactiva.<\/p>\n\n\n\n \u00a0En el mundo hiperconectado de hoy, donde las noticias se difunden instant\u00e1neamente a trav\u00e9s de plataformas en l\u00ednea y redes sociales, las organizaciones no deben subestimar el da\u00f1o a largo plazo que puede causar un ciberataque.<\/p>\n\n\n\n Para mitigar los riesgos, Software AG recomienda encarecidamente a sus clientes que implanten encriptaci\u00f3n<\/strong>\u00a0<\/strong>y\u00a0auditor\u00eda\u00a0<\/strong>(12) for its Adabas databases to keep IT risks to<\/span> como m\u00ednimo. Ambas medidas se complementan y forman la mezcla tecnol\u00f3gica \u00f3ptima para proteger contra ataques y fugas de datos no deseadas, tanto internas como externas.<\/p>\n\n\n\n (1) https:\/\/www.gartner.com\/reviews\/market\/intrusion-prevention-systems<\/a><\/sub>![\"\"](\"https:\/\/www.softwareag.com\/app\/uploads\/2025\/06\/Artboard-2-1024x538.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.softwareag.com\/app\/uploads\/2025\/06\/Artboard-3-1024x538.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.softwareag.com\/app\/uploads\/2025\/06\/Table_EN_1200x400-1024x342.jpg\")
<\/figure>\n\n\n\n
(2) https:\/\/www.enisa.europa.eu\/publications\/enisa-threat-landscape-2024<\/a><\/sub>
(3) https:\/\/www.auswaertiges-amt.de\/en\/newsroom\/news\/hacker-attack-bundestag-2345580<\/a><\/sub>
(4) https:\/\/www.dw.com\/en\/germany-cybercrime-by-foreign-actors-rose-by-28-in-2023\/a-69065980<\/a><\/sub>
(5) https:\/\/www.heise.de\/en\/news\/After-cyber-attack-Suedwestfalen-IT-wants-to-reform-itself-profoundly-10188167.html<\/a><\/sub>
(6) https:\/\/www.bbc.com\/news\/technology-54204356<\/a><\/sub>
(7) https:\/\/www.dutchnews.nl\/2024\/09\/police-leak-leaves-data-of-62000-officers-in-hands-of-hackers\/<\/a><\/sub>
(8) https:\/\/www.statista.com\/topics\/7011\/cyber-crime-in-spain\/#topicOverview<\/a><\/sub>
(9) https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/PDF\/?uri=CELEX:32016R0679<\/a><\/sub>
(10) https:\/\/www.bsi.bund.de\/EN\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/it-grundschutz_node.html<\/a><\/sub>
(11) https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-012021-examples-regarding-personal-data-breach_en<\/a><\/sub>
(12) https:\/\/www.softwareag.com\/app\/uploads\/2025\/08\/ebook-adabas-maximize-security-en.pdf.sagdownload.inline.1669044425901.pdf<\/a><\/sub><\/p>\n\n\n\n
![\"\"](\"https:\/\/www.softwareag.com\/app\/uploads\/2025\/08\/blog-an-ibm-z16-03.jpg\")
\n <\/div>\n