La incorporación de sistemas de inteligencia artificial (IA) en las empresas se ha expandido en todo el mundo. En España, más del 20% ya la utiliza de alguna manera en su día a día. Sin embargo, poner una herramienta como ésta en manos de todo el personal, parte de él sin la formación necesaria, es un riesgo para la seguridad de las compañías. “Hay quien usa los chatbots para resumir documentación oficial, contrastar datos de su departamento o incluso crear textos legales y oficiales con información muy privada. Es un peligro”, alerta Sancho Lerena, CEO de la tecnológica española Pandora FMS y experto en gestión IT y seguridad. “No es lo mismo utilizar ChatGPT para cosas del hogar que introducir datos sensibles del día a día interno de tu empresa”, advierte.
Se han llegado a detectar más de 300.000 credenciales de ChatGPT a la venta en el mercado negro. Una cifra que pone de relieve el atractivo que tiene para los ciberdelincuentes poder acceder a las cuentas de estas plataformas de Inteligencia Artificial. “La cantidad de datos que se introducen en estas plataformas ha puesto al mismo nivel a ChatGPT y a los sistemas SaaS que habitualmente se utilizan en las empresas”, explica Lerena. “Si se reciclan contraseñas, se comparten usuarios o se pone en manos de personal no cualificado la IA, la empresa puede ponerse ella mismo en peligro”, subraya el CEO de Pandora FMS. “Es como tener el enemigo en casa”, destaca.
La IA generativa se utiliza ya indiscriminadamente en todos los sectores. Hay despachos de abogados que desarrollan escritos a través de estas plataformas y con una cuenta especializada, entrenando a la propia IA con el objetivo de obtener respuestas más precisas y correctas a medida que avanza el tiempo. Otras compañías incorporan datos internos, como facturación, para hacer comparativas. Hay entidades que incluso plantean escenarios futuros sobre la estrategia de crecimiento de su propia compañía para obtener diferentes supuestos y estar prevenidos ante cualquier situación. “En esas cuentas puede haber documentos, comparativas, borradores o datos de negocio. Acceder a una de ellas puede dar mucha información sobre la compañía, sus trabajadores y cómo funciona”, alerta Sancho Lerena.
Además, los ciberataques en países como España siguen ganando relevancia. Hubo un aumento del 26% de ciberataques el último año, superando los 122.000 incidentes. Además, se han detectado un 29% más de sistemas vulnerables, por encima de los 237.000. Los ciberataques a los considerados operadores críticos también han crecido un 17% pasando de 341 a 401 durante todo el año.
Ciberataque a Basic-Fit
En este sentido, un nuevo ciberataque ha sacudido a una marca europea como Basic-Fit. La cadena cuenta con millones de usuarios en todo el continente. Solo en España se calculan cerca de 400.000. Y en Países Bajos se han confirmado aproximadamente 200.000 afectados. “Se descargaron algunos datos almacenados en el sistema”, han confirmado desde la compañía. Expertos en ciberseguridad destacan que “el problema es actuar tras el ataque y no estar preparados para prevenirlo y detectarlo antes”, así como concentrar información en pocos sistemas.
El ciberataque a Basic-Fit, según un comunicado de la compañía, fue detectado por el propio sistema y “se detuvo a los pocos minutos de detección”. Sin embargo, fue tiempo suficiente para descargar los datos almacenados como información de alta en el gimnasio, datos de contacto, correo electrónico, teléfonos, fechas de nacimiento y hasta datos bancarios. Por el momento, el comunicado de la cadena destaca que no se han visto los datos en venta en el mercado negro ni se ha hecho un “uso indebido de ellos”.
Según explica Sancho Lerena, “un error muy común de las empresas es concentrar todos los datos en un solo sistema”. “Si una misma brecha afecta a varios países a la vez, el problema no es solo el ataque. Es cómo estaba montado todo.”. El experto subraya el hecho de que ciertas partes del negocio no se hayan visto afectadas porque operan con sistemas distintos, lo que refuerza precisamente la tesis de que la segmentación limita el impacto cuando se habla de ciberataques. “El problema no es el QR ni la app. El problema es concentrar demasiada operación crítica en muy pocos sistemas”, explica Sancho Lerena.
“Todos esos datos, aunque aún no estén en el mercado negro en venta, ya van a tener un rendimiento. Se pueden utilizar para phishing, para buscar suscripciones fraudulentas, para identidades falsas… Es un gran problema tanto para la compañía como para los propios usuarios afectados”, detalla Lerena.
Aon: multas por descuidar la ciberseguridad
El informe de Aon “Asegurabilidad de las multas cibernéticas”, elaborado conjuntamente con la firma jurídica internacional A&O Shearman, avisa que las empresas ubicadas o con operaciones en EMEA se enfrentan a un mayor riesgo de multas relacionadas con la ciberseguridad. Con el aumento de los incidentes cibernéticos en todos los sectores y jurisdicciones, las nuevas regulaciones están aumentando la probabilidad de que se impongan multas y sanciones significativas tanto a las organizaciones como a los altos ejecutivos que no garanticen el cumplimiento.
El informe revela que, si bien la exposición a las multas cibernéticas está aumentando rápidamente, la asegurabilidad de éstas sigue siendo incierta y muy específica para cada jurisdicción. Muchas sanciones solo son asegurables en la medida en que lo permita la ley, lo que deja a las organizaciones potencialmente responsables de las multas reglamentarias, incluso si cuentan con un seguro cibernético. Por el contrario, los gastos de defensa, investigación, notificación de infracciones, interrupción del negocio y reparación están cubiertos de forma más sistemática, lo que pone de relieve la creciente brecha entre el riesgo reglamentario y la protección asegurable.
Las conclusiones del informe están alineadas con la Encuesta Global de Gestión de Riesgos 2025 de Aon, que clasificó los ciberataques y las violaciones de datos como el principal riesgo emergente para las empresas con sede en EMEA.
El alcance normativo se está ampliando: Si bien el RGPD (Reglamento General de Protección de Datos) sigue siendo la piedra angular de la aplicación de la normativa cibernética, las organizaciones ahora deben cumplir con las obligaciones establecidas en NIS2, DORA, la Ley de Resiliencia Cibernética, los regímenes específicos de cada sector y la Ley de IA dela UE. También se están desarrollando marcos comparables a nivel mundial, como el proyecto de ley de ciberseguridad y resiliencia del Reino Unido, la POPIA y la Ley de Delitos Cibernéticos de Sudáfrica, y las regulaciones PDPL, ACCL y TITA de Arabia Saudí. Las infracciones de la Ley de IA de la UE pueden acarrear multas de hasta el 3% o el 7% de la facturación global por prácticas prohibidas, además de las sanciones previstas en el RGPD, NIS2 y DORA.
La aplicación de la ley es cada vez más firme, técnica y multifacética: Las autoridades están probando controles técnicos y de gobernanza, desde la gestión del acceso y el registro de incidentes hasta la notificación de infracciones y la preparación para responder a incidentes. Las sanciones no monetarias, como las suspensiones operativas, las prohibiciones de gestión o las decisiones de ejecución pública, pueden ser tan perjudiciales para las empresas como las multas monetarias y, por lo general, no son asegurables.
La necesidad de medidas prácticas es urgente: Los consejos de administración y la alta dirección se enfrentan ahora a una mayor responsabilidad en materia de gobernanza, supervisión y preparación. Actividades como la cartografía de riesgos jurisdiccionales, las auditorías de cumplimiento, los ejercicios de simulación, la participación de los reguladores, la optimización de las políticas y la cobertura, así como una gobernanza sólida de los proveedores, son fundamentales para mitigar la exposición acumulada a las multas cibernéticas por incumplimiento de la normativa y litigios.
Pablo Constenla, head of Coverage and Claims for Cyber and Financial Lines de Aon en EMEA, afirma: "El panorama normativo en materia cibernética está evolucionando rápidamente, y los reguladores están adoptando un enfoque mucho más práctico en lo que respecta a la aplicación de la ley, desde la realización de pruebas de controles técnicos hasta la imposición de sanciones, lo que también podría impulsar la responsabilidad civil frente a terceros. Las empresas deben comprender cómo se tratan las multas y sanciones en las distintas jurisdicciones y asegurarse de que sus marcos de gobernanza, información y cumplimiento sean lo suficientemente sólidos como para resistir el escrutinio".
David Molony, head of Cber Solutions para EMEA en Aon, indica: "El riesgo cibernético no se limita a laprobabilidad de un ataque o una violación de datos, las empresas también deben tener en cuenta el impacto financiero y reputacional de las consecuencias normativas. Las organizaciones que integran la planificación de la respuesta a incidentes con la supervisión de riesgos y la coordinación interfuncional están mejor posicionadas para absorber los impactos y mantener la resiliencia operativa en un entorno cada vez más complejo".