Los Estados miembros de la UE no pueden esperar después de Bruselas para reforzar sus capacidades ciberofensivas

Las ciberdefensas europeas son débiles y vulnerables. En esta era de tensiones geopolíticas, los sistemas informáticos de nuestro continente son presa fácil de hackers y naciones hostiles. Debemos protegernos mejor. escribe Antonia-Laura Pup.

Si bien el bloque logró avances en el fortalecimiento de cierta infraestructura de defensa cibernética, incluso a través de su reciente Ley de Resiliencia CibernéticaLa UE sigue rezagada respecto a Rusia, China y Estados Unidos en el desarrollo de sólidas capacidades cibernéticas ofensivas. Este problema tiene fácil solución. Basta con flexibilizar las normas para que los Estados miembros de la UE puedan colaborar con mayor facilidad. Europa necesita interoperabilidad y más ejercicios conjuntos entre países que ya poseen esta capacidad y comparten una evaluación de amenazas.

La naturaleza del ciberconflicto hace obsoleta la distinción entre tiempos de paz y tiempos de guerra. Actores estatales con agendas estratégicas opacas, como Rusia y China, así como actores no estatales como grupos criminales y hacktivistas, pueden desafiar infraestructuras críticas, recopilar información valiosa y lanzar ataques disruptivos sin llegar al umbral de un conflicto armado. Esto significa que Europa debe evaluar cuidadosamente su respuesta.

Antes de las elecciones presidenciales de 2024, 85,000 ciberataques Afectó los sistemas electorales de Rumania. Esto llevó a la comunidad de inteligencia rumana a... afirmar públicamente Sitios web de elecciones nacionales se publicaron en plataformas rusas de ciberdelincuencia horas antes de que los ciudadanos acudieran a las urnas. En 2024, hackers chinos se vincularon con la agencia de inteligencia nacional MSS. Atacó a legisladores europeos anti-China mediante ciberataques para recopilar datos sensibles.

En la zona gris del ciberespacio, la postura defensiva y pasiva que ha adoptado la UE es insuficiente. Sin capacidades cibernéticas robustas, la UE no puede amenazar con represalias, un componente esencial de la disuasión y un elemento clave para la credibilidad del bloque. Su intento de adquirir mayor relevancia militar.

La Comisión Europea reconoció esta urgencia en su Libro Blanco para la Defensa Europea, publicada en marzo de 2025, que inyectó un pragmatismo muy necesario en el ámbito cibernético de la UE. «Se necesitan capacidades cibernéticas tanto defensivas como ofensivas para garantizar la protección y la libertad de maniobra en el ciberespacio», afirmaba.

Sin embargo, la seguridad europea no puede esperar al desarrollo de nuevos esquemas de apoyo ni a una capacidad ciberofensiva común en todo el bloque. El problema es más fundamental. Incluso existe una falta de entendimiento común sobre qué constituye un riesgo cibernético. Para Hungría, que ha desarrollado una importante asociación de transformación digital con HuaweiEs mucho menos probable que sus líderes políticos estén de acuerdo en que China es un riesgo cibernético.

De manera similar, el gobierno eslovaco, dirigido por Fico, simpatizante de Rusia, podría resultar un obstáculo para los esfuerzos de la UE por llevar a cabo operaciones ofensivas contra Moscú. Estos dos países por sí solos podrían vetar fácilmente una iniciativa para desarrollar una capacidad ofensiva cibernética conjunta como parte de... Política Común Europea de Seguridad y Defensa, que necesita unanimidad para sus decisiones políticas. Sin una perspectiva compartida sobre qué constituye una amenaza a la seguridad, intentar iniciativas a nivel de la UE para desarrollar capacidades ofensivas conjuntas en ciberseguridad se convertiría en un proyecto vacío incluso antes de comenzar.

No hay tiempo que perder con esta politiquería. Los Estados miembros no deberían esperar a que se disponga de una capacidad ofensiva conjunta en ciberseguridad a nivel de toda la UE. Deberían empezar ya, mediante más ejercicios conjuntos voluntarios entre los aliados europeos y una mayor interoperabilidad, incluyendo a los países candidatos a la UE con experiencia en operaciones cibernéticas ofensivas, como... Ucrania.

Por ejemplo, podrían considerar la PESCO (Cooperación estructurada permanenteEstablecido en diciembre de 2017 a nivel de la UE, es un marco que permite a los miembros de la UE dispuestos y capacitados colaborar más estrechamente en materia de seguridad y defensa, sin necesidad del acuerdo unánime de los demás Estados miembros. Como plataforma voluntaria, permite a los Estados miembros desarrollar capacidades de defensa comunes, invertir en proyectos conjuntos y mejorar la preparación operativa mediante una colaboración más estrecha.

Ya están en marcha iniciativas cibernéticas en el marco de la PESCO. Equipos de Respuesta Rápida Cibernética (CRRT) Se convirtió en el primer proyecto de este tipo en alcanzar su plena capacidad operativa en mayo de 2021. Este proyecto reúne a entre 8 y 12 profesionales de ciberseguridad de los seis países participantes de la UE (Croacia, Estonia, Lituania, Países Bajos, Polonia y Rumanía) para brindar asistencia en caso de incidentes cibernéticos en los países miembros, instituciones y socios de la UE. Los países candidatos a la adhesión a la UE con experiencia en la lucha contra las operaciones cibernéticas también podrían unirse y ampliar este proyecto PESCO. Esta alianza más amplia podría entonces ampliar su enfoque para incluir ejercicios cibernéticos ofensivos conjuntos.

La PESCO está lista para una expansión. Los Estados miembros deberían considerar ampliarla permitiendo la participación conjunta de los países candidatos a la UE, pero también ampliando el alcance de su enfoque cibernético para incluir capacidades ofensivas y ejercicios conjuntos de ciberofensivas.

La interoperabilidad también debe ser una prioridad. En este caso, Centros de Intercambio y Análisis de Información (ISAC) Su objetivo es fomentar la colaboración entre las comunidades de ciberseguridad de diferentes sectores económicos. El desarrollo de ISAC para capacidades ciberofensivas permitiría consultas entre múltiples partes interesadas e identificar el apoyo que necesitan las empresas, incluyendo la reducción de la burocracia para las empresas emergentes que deseen participar en el desarrollo de capacidades ciberofensivas para la UE.

La UE debe reforzar sus capacidades ciberofensivas de forma más ágil, mediante más ejercicios conjuntos, mayor interoperabilidad mediante el intercambio de información y menos burocracia para los actores económicos que deseen asumir este esfuerzo. Sin embargo, esperar a que surja un consenso político y una madurez compartida a nivel de bloque es contraproducente y dejaría a la Unión Europea aún más rezagada respecto a los actores estatales que ya utilizan la ciberofensiva con gran destreza. Con pragmatismo, la UE debe profundizar en el desarrollo de su capacidad ciberofensiva, aunque solo sea reuniendo a quienes ya están deseando actuar.

Antonia-Laura Pup es investigadora política de Young Voices Europe. Es estudiante Fulbright de Estudios de Seguridad en la Universidad de Georgetown, donde investiga la influencia de China en la región del Mar Negro. Originaria de Rumanía, asesoró al presidente de la Comisión de Defensa del Parlamento rumano. También trabajó en la OCDE y el Parlamento Europeo.

Comparte este artículo: