{"id":532,"date":"2025-06-01T22:25:00","date_gmt":"2025-06-02T02:25:00","guid":{"rendered":"https:\/\/www.softwareag.com\/?p=532"},"modified":"2026-03-17T14:14:49","modified_gmt":"2026-03-17T18:14:49","slug":"encryption-companies-and-authorities-report-cyberattacks","status":"publish","type":"post","link":"https:\/\/www.softwareag.com\/es\/blog\/security\/encryption-companies-and-authorities-report-cyberattacks\/","title":{"rendered":"El cifrado exime a empresas y autoridades de la obligaci\u00f3n de informar sobre ciberataques"},"content":{"rendered":"

Las empresas y las autoridades p\u00fablicas conf\u00edan en las bases de datos para almacenar y procesar grandes cantidades de datos. Estas bases de datos suelen gestionar informaci\u00f3n cr\u00edtica para el negocio y altamente sensible, como datos financieros (registros fiscales, cuentas bancarias y tarjetas de cr\u00e9dito), datos personales (direcciones de domicilios y archivos de personal) o datos de productos. Dado que las bases de datos suelen estar integradas con aplicaciones y servicios web, siguen siendo vulnerables a las ciberamenazas tanto internas como externas.<\/p>\n\n\n\n

Muchos CIO y responsables de TI creen que su infraestructura inform\u00e1tica est\u00e1 adecuadamente protegida contra los ciberataques. Los cortafuegos multinivel, el software antivirus y los sistemas de detecci\u00f3n y prevenci\u00f3n de intrusiones (IPS)(1) proporcionan una falsa sensaci\u00f3n de seguridad. Lo que muchos no reconocen es que el mayor riesgo para la seguridad suele venir de dentro: los empleados y funcionarios que utilizan estos sistemas.<\/p>\n\n\n\n

Empleados y funcionarios caen con frecuencia v\u00edctimas de correos electr\u00f3nicos de phishing o de llamadas externas enga\u00f1osas, haciendo clic sin darse cuenta en enlaces maliciosos o compartiendo informaci\u00f3n confidencial con extra\u00f1os. Esto se debe a menudo al hecho de que los correos electr\u00f3nicos y las llamadas de phishing ya no se reconocen como una amenaza. Con el avance del enga\u00f1o impulsado por la IA, cada vez es m\u00e1s dif\u00edcil
identificar las amenazas. El estr\u00e9s y la premura de tiempo pueden provocar lapsus de juicio, haciendo que los empleados sean m\u00e1s propensos a cometer errores costosos.<\/p>\n\n\n\n

Como resultado, los ciberataques siguen teniendo \u00e9xito. En un estudio reciente de la Agencia Europea de Ciberseguridad (ENISA)(2), los expertos en seguridad constataron que las empresas y las autoridades de la Uni\u00f3n Europea, en particular, se han convertido en blanco de ciberataques en los \u00faltimos 12 meses.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

N\u00famero de incidentes - UE y mundial (julio 2023 - junio 2024)<\/p>\n\n\n\n

An analysis of individual sectors reveals that the public sector is particularly hard hit, accounting for 19% of attacks, followed by the transport sector (11%) and banking and finance (9%). This is not surprising\u2014many still remember the high-profile cyberattacks targeting the German Bundestag, municipalities, university hospitals, Dutch law enforcement, and Spanish citizens and authorities.(3-8)<\/sup><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Sectores afectados - \u00a1El sector p\u00fablico es el m\u00e1s afectado! (julio de 2023 - junio de 2024)<\/p>\n\n\n\n

Desglosando las ciberamenazas por categor\u00edas, la amenaza directa a los datos almacenados -principalmente bases de datos- es de 45%, con 19% de incidentes relacionados con filtraciones de datos y 26% de incidentes relacionados con ataques de ransomware. (2)<\/sup>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

An\u00e1lisis de las amenazas por tipo<\/p>\n\n\n\n

Under Article 32 of the GDPR<\/strong>(9)<\/sup> (Security of Processing) the following is required: \u201c\u2026the controller and the processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk.\u201d<\/p>\n\n\n\n

En concreto, destaca como medida eficaz \"la seudonimizaci\u00f3n y el cifrado de los datos personales\". <\/p>\n\n\n\n

Additionally, the German Federal Office for Information Security<\/strong> (BSI) also recommends encryption as a key strategy to minimize the risk of IT operations in its BSI Standards(10)<\/sup> 200-1 to 200-4.<\/strong><\/p>\n\n\n\n

Under Article 33<\/strong> of the GDPR<\/strong>(9)<\/sup> (Notification of a personal data breach to the supervisory authority), companies are required to notify a personal data breach to the supervisory authority within 72 hours of becoming aware of the breach. The data controller must notify the relevant supervisory authority in accordance with Article 55 unless the break is unlikely to risk individuals\u2019 rights. If the notification is delayed beyond 72 hours, an explanation for the delay must be provided.<\/p>\n\n\n\n

 A pesar de la claridad de las directrices, sigue existiendo incertidumbre en el mundo de las TI sobre la correcta aplicaci\u00f3n de los requisitos de informaci\u00f3n del RGPD.<\/p>\n\n\n\n

To clarify this, the European Data Protection Board<\/strong> (EDPB) has developed guidelines(11)<\/sup>, including case studies.<\/p>\n\n\n\n

In \u201cCASE No. 01: Ransomware with proper backup and without exfiltration<\/strong>,\u201d the following scenario is described:<\/p>\n\n\n\n

 \"Los sistemas inform\u00e1ticos de una peque\u00f1a empresa manufacturera quedaron expuestos a un ataque de ransomware, y los datos almacenados en esos sistemas fueron cifrados. El controlador de datos utilizaba el cifrado en reposo, por lo que todos los datos a los que acced\u00eda el ransomware se almacenaban cifrados mediante un algoritmo de cifrado de \u00faltima generaci\u00f3n. La clave de descifrado no se vio comprometida en el ataque, es decir, el atacante no pudo acceder a ella ni utilizarla indirectamente. En consecuencia, el atacante s\u00f3lo tuvo acceso a los datos personales cifrados\".<\/p>\n\n\n\n

 Las medidas necesarias figuran en el cuadro publicado en las directrices:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Las medidas necesarias se justifican del siguiente modo:<\/p>\n\n\n\n

\"En este ejemplo, el atacante tuvo acceso a datos personales y la confidencialidad del texto cifrado que conten\u00eda datos personales cifrados se vio comprometida. Sin embargo, los datos que pudieran haber sido filtrados no pueden ser le\u00eddos ni utilizados por el agresor, al menos por el momento. La t\u00e9cnica de cifrado utilizada por el responsable del tratamiento se ajusta al estado de la t\u00e9cnica. La clave de descifrado no se vio comprometida y presumiblemente tampoco pudo determinarse por otros medios. En consecuencia, los riesgos de confidencialidad para los derechos y libertades de las personas f\u00edsicas se reducen al m\u00ednimo, salvo que se produzcan avances criptoanal\u00edticos que hagan inteligibles los datos cifrados en el futuro.\"<\/p>\n\n\n\n

 Por ello, la empresa no estaba obligada a informar del incidente a las autoridades ni a las personas afectadas.<\/strong><\/p>\n\n\n\n

Si se compara el coste de implantar medidas de seguridad inform\u00e1tica con la posible p\u00e9rdida de reputaci\u00f3n, ventas y confianza de los clientes, r\u00e1pidamente quedan claras las ventajas de una inversi\u00f3n proactiva.<\/p>\n\n\n\n

 En el mundo hiperconectado de hoy, donde las noticias se propagan instant\u00e1neamente a trav\u00e9s de plataformas en l\u00ednea y medios sociales, las organizaciones no deben subestimar el da\u00f1o a largo plazo causado por un ciberataque.<\/p>\n\n\n\n

To mitigate risks, Software AG strongly recommends that its customers implement encryption<\/strong>(12) <\/sup>and auditing<\/strong>(12)<\/sup> for our Adabas databases to keep IT risks at a minimum. Both measures complement each other and form the optimal technology mix to protect against attacks and unwanted internal and external data leaks.<\/p>\n\n\n\n

(1) https:\/\/www.gartner.com\/reviews\/market\/intrusion-prevention-systems<\/a><\/sub>
(2) https:\/\/www.enisa.europa.eu\/publications\/enisa-threat-landscape-2024<\/a><\/sub>
(3) https:\/\/www.auswaertiges-amt.de\/en\/newsroom\/news\/hacker-attack-bundestag-2345580<\/a><\/sub>
(4) https:\/\/www.dw.com\/en\/germany-cybercrime-by-foreign-actors-rose-by-28-in-2023\/a-69065980<\/a><\/sub>
(5) https:\/\/www.heise.de\/en\/news\/After-cyber-attack-Suedwestfalen-IT-wants-to-reform-itself-profoundly-10188167.html<\/a><\/sub>
(6) https:\/\/www.bbc.com\/news\/technology-54204356<\/a><\/sub>
(7) https:\/\/www.dutchnews.nl\/2024\/09\/police-leak-leaves-data-of-62000-officers-in-hands-of-hackers\/<\/a><\/sub>
(8) https:\/\/www.statista.com\/topics\/7011\/cyber-crime-in-spain\/#topicOverview<\/a><\/sub>
(9) https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/PDF\/?uri=CELEX:32016R0679<\/a><\/sub>
(10) https:\/\/www.bsi.bund.de\/EN\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/it-grundschutz_node.html<\/a><\/sub>
(11) https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-012021-examples-regarding-personal-data-breach_en<\/a><\/sub>
(12) https:\/\/www.softwareag.com\/app\/uploads\/2025\/08\/ebook-adabas-maximize-security-en.pdf.sagdownload.inline.1669044425901.pdf<\/a><\/sub><\/p>\n\n\n\n

M\u00e1s informaci\u00f3n<\/a><\/p>\n\n\n\n

\n