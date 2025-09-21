"¿Es de verdad posible prepararse contra los malos, que aprenden muy rápido?" Era Leticia López-Lapuente, socia en el despacho de abogados Uría Menéndez, quien lanzaba la pregunta esta semana en un acto celebrado en la sede barcelonesa de Esade sobre ciberataques en el sector eléctrico.

Trataron de responder a la pregunta Irene Agúndez, responsable de la dirección de los Servicios jurídicos de Seguridad corporativa y secretaria del Consejo de administración de Iberdrola España, y Rosa Ortuño, profesora colaboradora de Esade Law School especialista en este campo. La profesora era clara: "Sí, y hay que decir que la ISO 27001 es la normativa internacional que mejor lo regula, incluye a toda la compañía, desde el departamento de recursos humanos en el mismo momento en que entra una persona".

Ortuño defendió la aplicación de este estándar normativo internacional explicando que por ejemplo establece "muy claramente que no puede haber conflicto en funciones; si eres de seguridad no puedes tocar un 'firewall', porque no eres un especialista". La profesora explicó que la coordinación entre departamentos es clave, especialmente en un momento en que los ciberdelincuentes tienen a su disposición la Inteligencia Artificial, una tecnología que ya utilizan para sofisticar el 'phishing'. "He trabajado con la Interpol en casos muy importantes donde tuvimos que revisar el comportamiento de millones de datos de la compañía para entender si lo que querían los malos era dinero, los mismos datos, o por ejemplo parar una fábrica", explicó.

La sesión, que se celebró este miércoles ante un auditorio lleno de estudiantes y con una introducción de Jorge Castiñeira, decano de Esade Law School, abordaba un asunto que genera preocupación en el sector energético y que llegó a penas cinco meses después del 'cero total', en referencia al gran apagón que se vivió el pasado 29 de abril.

Sufrir un robo y ser multado por ello

Las dos expertas insistieron en la necesidad de coordinar a los distintos equipos dentro de una empresa ante un ciberataque. "Son necesarios protocolos coordinados, hay que ser muy rápidos para asegurar la continuidad y proteger la reputación de la compañía", explicaba la directiva de Iberdrola. En su opinión, el gran apagón de abril "pone de relieve la importancia de transponer urgentemente la directiva europea NIS2", algo a lo que, afirmó, "España llega tarde".

Agúndez especificó que esta normativa "viene a centrarse en toda la cadena de proveedores y suministro, no sólo en lo que pasa en una compañía". En este sentido, Ortuño recordaba que ante un ciberataque, si una compañía perjudica a terceros puede ser multada, hecho que la directiva de Iberdrola criticó con cierta vehemencia. "Vienen unos ladrones a tu casa, te hacen un butrón, se llevan las joyas de tu abuela, se toman un café y tú vas a la policía a denunciarlo. Y lo que hace la policía en España es multarte por no tener una puerta blindada", criticó Agúndez. "Es una realidad muy dura, pero es así: vas a la Agencia Española de Protección de Datos a contar lo que te ha ocurrido, y te sanciona", añadió.

Tanto Ortuño como Agúndez coincidieron a la hora de reclamar que la ISO 27001 sirva como referencia en España frente a normas "más caseras", en palabras de Agúndez, en las que se está inspirando "el legislador". "La 27001 no es obligatoria, pero sí muy recomendable para empresas que se toman en serio su seguridad", añadía Ortuño.

Simulaciones y 'Guardia Civil'

Además de la necesidad de coordinar equipos y de aplicar un marco normativo sólido, en el acto se apuntó a un tercer factor que puede ayudar a las empresas y que es la prevención. "Es fundamental estar preparado y hacer simulaciones, tener protocolos para que cada cual conozca sus normas y a quién tiene que llamar", explicaba Agúndez. Asimismo, recordaba la necesidad de tener contratos bien redactados donde queden establecidas las responsabilidades en caso de incidencias de ciberseguridad en toda la cadena de proveedores de una eléctrica.

"La ciberseguridad tiene que ser resiliente, tienes que hacer contención y prevención y tener planes de continuidad para que, por ejemplo, no te cierren una fábrica", añadía la profesora Ortuño. En este sentido, Agúndez ofrecía un ejemplo llamativo de cómo está abordando Iberdrola la cuestión: "Nosotros tenemos a dos personas vigilando 24/7 la 'dark web', es una especie de Guardia Civil y en ocasiones nos ha servido para ser conscientes de ciberataques que habíamos sufrido al ver a delincuentes que estaban tratando de vender datos que nos habían robado", explicó.