Aon
NOA

Suscríbete a nuestra Newsletter

Recibe mensualmente nuestras publicaciones recientes, podcast e informes relacionados con tendencias actuales.

Contacto
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Atrás

Hacer frente a los ciberriesgos en EMEA: Perspectivas clave para 2025

Las organizaciones de EMEA se enfrentan a retos sin precedentes debido a la sofisticación de las ciberamenazas. Ante la aparición de la IA, la evolución de las normativas y las tensiones geopolíticas, las empresas deberían reforzar su resiliencia para afrontar mejor las complejidades de la era digital.

Principales conclusiones

  1. El creciente uso de la IA es una fuerza clave que contribuye a las amenazas a la ciberseguridad en la EMEA. Los avances de la IA fuera de EMEA también refuerzan la necesidad de desarrollar infraestructuras críticas en la región.
  2. La evolución de las normativas cibernéticas y de IA ha presionado a las organizaciones para adaptarse a las nuevas reglas de divulgación, garantizando el cumplimiento y la protección contra posibles multas y daños a la reputación.
  3. Las tensiones geopolíticas están en máximos históricos, lo que aumenta los riesgos cibernéticos y afecta a la privacidad de los datos en la Unión Europea.

Índice

El entorno de las ciberamenazas en Europa, Oriente Medio y África (EMEA) se ha caracterizado por un panorama geopolítico cambiante, graves incidentes cibernéticos y el reconocimiento por parte de las autoridades del aumento de los riesgos.

El 19 de julio de 2024, una actualización de seguridad lanzada por CrowdStrike provocó un apagón informático que interrumpió las operaciones empresariales a escala mundial. Aunque los temores iniciales de que se tratara de un ciberataque de gran envergadura resultaron infundados, las repercusiones del suceso fueron significativas y pusieron de manifiesto las posibles vulnerabilidades de la resiliencia operativa y cibernética de las organizaciones, entre ellas muchas públicas y privadas de la región EMEA. Richard Horne, director del Centro Nacional de Seguridad Cibernética en el Reino Unido, describe los riesgos cibernéticos a los que se enfrenta la nación como «ampliamente subestimados», y advierte que Gran Bretaña y sus aliados están compitiendo en una contienda de alto riesgo por el ciberespacio. «Existe una brecha cada vez mayor entre la exposición y las amenazas a las que nos enfrentamos, y las defensas que existen para protegernos», señala.1

Más artículos similares

El número de incidentes cibernéticos que se han producido en la Unión Europea en el último año ha aumentado considerablemente. Esto se debe, en parte, al aumento de las tensiones geopolíticas a las que se enfrenta la Unión Europea en la actualidad.2 Los agentes de los Estados-nación siguen utilizando grupos proxy para una negación plausible, mientras que las tácticas de guerra cibernética, que pueden ser un medio para presionar a los gobiernos que han expresado públicamente sus críticas, contribuyen a la evolución de la amenaza cibernética. La guerra entre Rusia y Ucrania añade otros factores de riesgo. Las ciberamenazas derivadas del conflicto pueden incluir actividades de espionaje o problemas de continuidad empresarial por ataques a infraestructuras y servicios públicos críticos.

La IA desempeña un papel importante en estas amenazas cambiantes y en los riesgos que las organizaciones deben prepararse para afrontar. Las ciberamenazas derivadas de la IA, como el phishing, el malware y la ingeniería social, se han vuelto más frecuentes y sofisticadas, mientras que los gobiernos lidian con la infraestructura de la IA y las normativas relativas a la implantación y el uso de la tecnología.

En este entorno, las empresas con presencia en EMEA deben prestar mucha atención a tres tendencias clave relacionadas con la IA que están incrementando los ciberriesgos.

43 %

En el cuarto trimestre de 2024, hubo un aumento del 43 % en las víctimas mundiales de ransomware y ciberextorsión con respecto al trimestre anterior.
Fuente: IBM

1. Autosuficiencia regional en IA

El enfoque en la soberanía digital a escala mundial ha hecho que los países de EMEA busquen cada vez más desarrollar su propia infraestructura en la nube y medidas de seguridad para reducir la dependencia de tecnologías de IA extranjeras, incluidas DeepSeek y ChatGPT.
La región EMEA se ve afectada por el enfoque extranjero en la infraestructura de IA debido a múltiples factores, entre los que figuran:

  1. Preocupaciones sobre la privacidad de los datos y el espionaje: El chatbot DeepSeek ha sido bloqueado por la Autoridad Italiana de Privacidad de Datos después de que la empresa emergente china no atendiera las preocupaciones del regulador sobre su política de privacidad.3
  2. Divergencias con la normativa de la Unión Europea: La Ley de Protección de Datos Personales de China tiene ciertas obligaciones que difieren del Reglamento General de Protección de Datos (RGPD) y define componentes clave como los derechos de información personal y los plazos de respuesta con un lenguaje menos preciso.4
  3. Coste de los sistemas de IA y la interrupción de las existencias: El modelo chino de IA DeepSeek ha echado por tierra las suposiciones sobre el coste de construir potentes modelos lingüísticos de gran tamaño (LLM, por sus siglas en inglés), abriendo la puerta a la innovación. S&P Global Ratings predice que esto permitirá a las empresas chinas de Internet integrar rápidamente modelos potentes y baratos de IA (una ventaja para muchas empresas chinas sin acceso a chips de vanguardia) aumentando su influencia en este sector.5

«Las tensiones geopolíticas pueden conducir a políticas proteccionistas en torno a los datos, la residencia de datos y la transferencia de datos», explica Chris Scott, Executive Director de Cyber Solutions de Aon en EMEA. «Ahora hay más volatilidad en cuanto a quién puede hacer negocios con qué tipo de institución cuasi gubernamental. Las industrias de EMEA que puedan contratar con organismos gubernamentales van a ver cómo esta tensión geopolítica aumenta la incertidumbre.»

Los países de EMEA están priorizando ahora la autosuficiencia en IA e infraestructura en la nube para contrarrestar la influencia extranjera y mejorar la seguridad nacional. A principios de 2025, más de 60 grandes empresas europeas se comprometieron con un proyecto diseñado para impulsar la competitividad de Europa en la era de la IA. InvestAI, una iniciativa para movilizar 200 000 millones de euros para la inversión en IA, también incluye un nuevo fondo europeo de 20 000 millones de euros para gigafactorías de IA y tiene como objetivo crear infraestructuras críticas de IA.6 El presidente francés, Emmanuel Macron, también reveló que los inversores inyectarán 109 000 millones de euros en proyectos de IA en Francia, describiendo la inversión como el equivalente a lo que Estados Unidos ha anunciado con «Stargate», en referencia al plan de 500 000 millones de dólares de OpenAI.

2. Retos operativos en la implementación de la IA

La adopción de la IA y el potencial de abuso están provocando la erosión de la confianza y la explotación de la vulnerabilidad. La reducción de la barrera para acceder a las herramientas de IA está dando lugar a un aumento de los riesgos asociados a las fugas de datos y las violaciones de la privacidad.

Los actores maliciosos utilizan herramientas como FraudGPT y LLM para ser coautores de correos electrónicos fraudulentos y generar secuencias de comandos maliciosas de PowerShell.7 También se cree que la inteligencia artificial está detrás de una reducción significativa del tiempo necesario para aprovechar las vulnerabilidades. Se ha observado que los actores maliciosos integran LLM en herramientas de prueba legítimas para orientar y analizar el tráfico, lo que aumenta la velocidad de explotación.

Los ciberdelincuentes ahora pueden utilizar la inteligencia artificial para escribir correos electrónicos de phishing más difíciles de detectar, aprovechando el punto débil humano, así como para ejecutar estafas de phishing más complejas. A principios de 2024, un empleado de una empresa de ingeniería en el Reino Unido realizó una transferencia de 25 millones de dólares tras una videollamada con la alta dirección. Sin embargo, el empleado no había estado hablando con sus superiores, sino con deepfakes creados por IA.8

140+

Francia sufrió más de 140 ciberataques durante los Juegos Olímpicos de julio de 2024.
Fuente: Agence Nationale de la Sécurité des Systèmes d’Information

 

Aunque las amenazas son similares, las pérdidas aumentan, ya que los ciberdelincuentes utilizan la inteligencia artificial para automatizar las estafas y generar correos electrónicos mejor diseñados. Si una banda de ransomware necesitaba 15 personas para ejecutar un ataque selectivo contra una empresa, ahora solo necesita una persona, ya que puede automatizar algunos de estos procesos.»

Amine Menaa

Cyber Consulting Head Nordics, Cyber Engagement Leader, Europe, the Middle East and Africa

Una preocupación clave en materia de seguridad son los modelos de código abierto en los sistemas de IA que permiten la evaluación comunitaria de vulnerabilidades. Sin embargo, puede ser peligroso copiar y pegar el código y desplegarlo de forma local sin una revisión diligente de cómo podría influir en el nivel de seguridad de una organización y en su interacción con otros servicios y rutas de red.

Los investigadores probaron el chatbot de DeepSeek utilizando 50 técnicas comunes de jailbreaking, como indicaciones para engañar a un modelo para que supere sus barreras de seguridad y muestre contenido potencialmente dañino. Falló en todas las pruebas. Esto significa que las empresas que implementan DeepSeek en sus sistemas pueden estar incorporando vulnerabilidades de seguridad. Al mismo tiempo, los ciberdelincuentes pueden utilizar los modelos de DeepSeek para ayudarse a crear malware y realizar ciberataques, llevar a cabo estafas de phishing e incluso planear un atentado terrorista.9

El aumento de la inteligencia artificial en la sombra también tiene consecuencias para la regulación y el cumplimiento de la normativa en materia de datos. La IA en la sombra es el uso no autorizado de cualquier herramienta o aplicación de IA por parte de empleados o usuarios finales sin la aprobación o supervisión formal del departamento de tecnología de la información. Un ejemplo común es el uso no autorizado de aplicaciones de IA generativa (GenAI), como ChatGPT, para automatizar tareas como la edición de texto y el análisis de datos. Los empleados suelen recurrir a estas herramientas para mejorar la productividad y agilizar los procesos. Sin embargo, como los equipos informáticos no están al tanto del uso de estas aplicaciones, los empleados pueden exponer a la organización, sin saberlo, a riesgos relacionados con la seguridad de los datos, el cumplimiento normativo y la reputación.10

«El ciberriesgo se ha visto amplificado por el despliegue de herramientas de IA en los tres segmentos de ataque, defensa y habilitación empresarial», afirma David Molony, Head of Cyber Solutions de Aon en EMEA. «Los líderes deben considerar cómo esto se traduce en la manera en que sus organizaciones se protegen desde una perspectiva de control y balance.»

38 %

de los empleados admiten compartir información laboral sensible con herramientas de IA sin el permiso de sus empleadores.
Fuente: Infosecurity Magazine

3. Cambios en el entorno normativo de la ciberseguridad y la IA

La evolución de los retos normativos relacionados tanto con la ciberseguridad como con la IA, incluidos los incumplimientos accidentales y los problemas relacionados con el tratamiento de datos, junto con el cambio de la dinámica geopolítica, están provocando cambios significativos en el panorama normativo.

La legislación más destacada incluye:

  • Ley de IA de la Unión Europea
  • Ley de seguridad cibernética y resiliencia (CSR)
  • Directiva sobre redes y sistemas de información (NIS2)
  • Ley de resiliencia operativa digital (DORA)
  • Ley de ciberresiliencia (CRA)

Las organizaciones de EMEA deben adelantarse a las normativas relacionadas con la ciberseguridad y la IA y adaptarse a sus normas de divulgación. Los profesionales de Aon recomiendan ampliar el horizonte en lo que respecta a estos desarrollos para mantener una visión clara de lo que se avecina.

Influencias geopolíticas en la evolución del panorama de ciberriesgos

Estados Unidos se encuentra en pleno proceso de quitar prioridad a las iniciativas de ciberseguridad, lo que tiene consecuencias para la región EMEA.

La administración está retirando la normativa estadounidense y los organismos que supervisan la alineación de la privacidad de los datos estadounidenses con la normativa de la Unión Europea, como el RGPD. Esto puede afectar a cualquier servicio en la nube de Estados Unidos que aloje datos de la Unión Europea. Las empresas deben considerar la implementación de planes de contingencia mientras los funcionarios deliberan sobre si intensifican las leyes de transferencia de datos más estrictas.

A principios de 2025, el Departamento de Seguridad Nacional de Estados Unidos también puso fin a la participación en todos sus consejos asesores, incluidos el Consejo de Revisión de Seguridad Cibernética, el Comité Asesor de Telecomunicaciones de Seguridad Nacional, el Consejo Asesor de Investigaciones Cibernéticas del Servicio Secreto de Estados Unidos, el Consejo Asesor de la Asociación de Infraestructuras Críticas, el Consejo de Seguridad y Protección de la IA y el Consejo Asesor de Infraestructura Nacional.12

«Estos acontecimientos introducen factores de riesgo para las empresas y los ciudadanos de la Unión Europea, especialmente cuando se trata de servicios basados en la nube», afirma Mario Bizzi, Head of Cyber Risk Consulting de Aon en EMEA. «En consecuencia, será menos seguro para las empresas de la Unión Europea tener sus datos alojados en centros de datos estadounidenses.»

La Junta de Supervisión de la Privacidad y las Libertades Civiles de los Estados Unidos, que es fundamental para evaluar la protección de datos, es utilizada por la Unión Europea para legitimar las transferencias de datos en virtud del Marco Transatlántico de Privacidad de Datos (TADPF, por sus siglas en inglés). Si el marco se debilita, las empresas e instituciones de la Unión Europea podrían verse obligadas a renunciar a los servicios en la nube de Estados Unidos o correr el riesgo de infringir el RGPD.

Una orden ejecutiva firmada el 20 de enero de 2025 tiene como objetivo revisar todas las decisiones anteriores sobre seguridad nacional y posiblemente derogarlas en un plazo de 45 días. Esto podría anular la base del TADPF y dar lugar a transferencias ilegales de datos entre la Unión Europea y Estados Unidos. «Las empresas deberían desarrollar con urgencia planes de contingencia, como el de alojar sus datos en Europa, para prepararse ante posibles incertidumbres legales», añade Bizzi.

Cómo pueden las organizaciones de EMEA gestionar mejor los ciberriesgos

Aunque el entorno mundial de ciberamenazas es volátil, el mercado de ciberseguros sigue siendo competitivo con una presión continua sobre las tarifas. Los profesionales de Aon observan un aumento de la capacidad de las aseguradoras nuevas y existentes con una ralentización del crecimiento del volumen de primas, lo que indica que el mercado se está debilitando. Sin embargo, a pesar de que el mercado cibernético de EMEA está madurando, sigue habiendo tasas de penetración bajas en algunas regiones, especialmente en los mercados emergentes como Europa del Este.

Las aseguradoras se centran en una suscripción más flexible y en comprender la exposición de los clientes, al tiempo que insisten en la necesidad de que estén preparados y gestionen los riesgos. Este enfoque está dando sus frutos. Las organizaciones están cada vez más preparadas para gestionar incidentes cibernéticos y, aunque la frecuencia de las reclamaciones está aumentando, la gravedad sigue bajo control.

10 medidas de ciberseguridad para cumplir con la Directiva NIS2
Artículo
Preparación para el cumplimiento de la Directiva NIS2 para organizaciones de toda la Unión Europea
Más información

 

La implementación de la IA puede optimizar las ganancias en las operaciones comerciales y aumentar los resultados de las organizaciones. Sin embargo, es importante ajustar un perfil de riesgo y seguro para tener en cuenta la implementación de la IA, así como las tendencias inflacionistas para garantizar que la cobertura cibernética siga siendo adecuada.»

David Molony

Head of Cyber Solutions, Europe, the Middle East and Africa

A continuación se presentan cinco estrategias que pueden ayudar a las organizaciones a seguir desarrollando una ciberresiliencia sostenida:

  1. Considerar las implicaciones legales y las consecuencias de los incidentes de ciberseguridad, especialmente a medida que evoluciona el entorno normativo.
  2. Reforzar la resiliencia de la empresa ante los incidentes mediante pruebas y simulaciones en el mundo real. Las organizaciones trabajan con baterías tecnológicas que son significativamente diferentes a las del pasado. Por lo tanto, es importante probar los sistemas y someter a prueba los mecanismos de resiliencia para asegurarse de que se están adaptando a las nuevas amenazas.
  3. Comprender la cobertura ciber y asegurarse de que se hayan tenido en cuenta las tendencias inflacionistas. Es recomendable el uso de herramientas como el Cyber Risk Analyzer de Aon, que simula escenarios de pérdida y articula el coste total del riesgo, lo que permite a las empresas tomar decisiones basadas en datos para optimizar sus programas de ciberseguro en relación con su potencial de pérdida sin cobertura.
  4. Adoptar un enfoque meditado de la implementación de la IA e integrar medidas de seguridad de la IA. Estas incluyen la realización de evaluaciones de IA al implementar un motor en los sistemas y determinar sus puntos de acceso, así como evaluaciones periódicas de riesgos basadas en escenarios sobre el uso de modelos de IA. A continuación, se deben auditar continuamente los modelos y conjuntos de datos, y supervisar los riesgos de la IA de los proveedores.

    La transferencia de riesgos también es clave. «Tras el rápido desarrollo del mercado de servicios de IA y debido al número de accidentes relacionados, están surgiendo más productos de seguros a medida», explica Bizzi. «Al mismo tiempo, numerosos tipos de coberturas existentes ya están influenciadas y parcialmente actualizadas para reflejar los riesgos inherentes al mundo de la IA.»
  5. Asociarse con un asesor de ciberriesgos de confianza y un equipo externo de respuesta a incidentes para ayudar con la exploración del horizonte y la gestión de riesgos.

«Ayuda trabajar con un broker que sepa cómo los mercados de ciberseguros pueden percibir los retos y la evolución de las tendencias, así como los riesgos asociados a ellos», afirma Scott. «Pueden ser dinámicos en términos de movilizar la capacidad para adaptarse eficazmente al perfil de una organización.»

Tomar mejores decisiones sobre el ciberriesgo
Cyber Risk Analyzer

Referentes de Aon

  • Mario Bizzi
    Head of Cyber Risk Consulting, Europe, the Middle East and Africa
  • Amine Menaa
    Cyber Consulting Head Nordics, Cyber Engagement Leader, Europe, the Middle East and Africa
  • David Molony
    Head of Cyber Solutions, Europe, the Middle East and Africa
  • Chris Scott
    Executive Director, Cyber Solutions, Europe, the Middle East and Africa
  • Søren Stryger
    Chief Cyber Broking Officer, Europe, the Middle East and Africa

1Risk facing UK “widely underestimated,” cyber chief to warn in first major speech, National Cyber Security Centre
2ENISA Threat Landscape 2024, ENISA
3Italy’s regulator blocks Chinese AI app DeepSeek on data protection, Reuters
4Analyzing China’s PIPL and how it compares to the EU’s GDPR, IAPP
5China’s DeepSeek Triggers Cycle of Disruption, S&P Global
6La UE pone en marcha la iniciativa InvestAI para movilizar 200 000 millones EUR de inversión en inteligencia artificial, Comisión Europea
7ENISA Threat Landscape 2024, ENISA
8‘This happens more frequently than people realize’: Arup chief on the lessons learned from a $25M deepfake crime, World Economic Forum
9DeepSeek has tilted the balance towards open source AI, but big security issues remain, Fortune
10What is shadow AI?, IBM
11Get ready for Ireland’s new cyber security regime, Byrne Wallace Shields
12U.S. DHS fires outside advisers, sources say China probe disrupted, Reuters

Acerca de las soluciones cibernéticas
Las soluciones cibernéticas de Aon ofrecen seguridad cibernética integral, gestión de riesgos y seguros, habilidades de investigación y tecnologías patentadas para ayudar a los clientes a descubrir y cuantificar riesgos cibernéticos, proteger activos críticos y recuperarse de incidentes cibernéticos. Servicios de ciberseguridad prestados por Stroz Friedberg Limited y sus filiales. Servicios de ciberriesgo prestados por Aon UK Limited y sus filiales. Los servicios de seguros están regulados por la FCA.

Si quieres saber más sobre este artículo, contacta con nuestros especialistas:

¿Conoces todos los riesgos a los que se enfrenta tu organización?

Contacta con nosotros para que un especialista te ayude a dar forma a las mejores decisiones.
Entrada anterior
¿Cómo evolucionarán los seguros de Líneas Financieras en 2025? Estabilidad frente a un entorno dinámico.
Entrada siguiente
Soluciones de seguros paramétricos: un complemento para la cobertura patrimonial tradicional
Sin categoría
Categoría Soluciones de Riesgos

Historias
de un mundo
volátil

by Aon
Escúchanos

Descubre otros artículos que te pueden interesar

Hacer frente a los ciberriesgos en EMEA: Perspectivas clave para 2025