Marc Sureda
En 2022, el Tribunal de Cuentas Europeo alertó de que la preparación de las Instituciones, Organismos y Agencias de la Unión (EUIBA) no se correspondía con las amenazas crecientes a las que se enfrentaban y pidió a la Comisión más recursos y coordinación. Tres años después, y con nuevas iniciativas comunitarias presentadas a comienzos de 2025 para mejorar la resiliencia cibernética; el panorama apenas ha variado. El 67% de los organismos analizados obtuvo una calificación D o F, y ninguno alcanzó los niveles A o B.
El Índice Business Digital (IBD) evaluó la postura de seguridad en línea de 75 entidades europeas, otorgando a cada una una nota de 0 a 100. La puntuación media de ciberseguridad de las instituciones europeas se sitúa en 71 sobre 100, lo que el índice considera riesgo elevado. El 33% de los organismos recibió una C (nivel por debajo de la media), el 32% una D (riesgo alto) y el 35% una F (riesgo crítico).
Las consecuencias de estos resultados se hacen patentes al revisar el historial de incidentes. El 96% de las entidades con calificación F y el 92% de las D sufrieron al menos una brecha de datos. Entre las que lograron una C, la proporción baja al 36%, un contraste que subraya la relación directa entre falta de higiene y filtraciones.
La conducta de los empleados también marca diferencias. La reutilización de contraseñas comprometidas alcanza al 85% de los empleados en organizaciones F, mientras que se reduce al 71% en las D y apenas llega al 8% en las C. Para los investigadores del índice, esta práctica convierte las filtraciones en un resultado previsible antes que en un accidente aislado.
Los problemas no terminan en los credenciales. Las deficiencias técnicas (desde configuraciones SSL/TLS inseguras hasta infraestructuras de hosting vulnerables) afectan a prácticamente todos los organismos evaluados. La exposición a suplantación de correo, las fugas de credenciales corporativas y la existencia de vulnerabilidades web críticas se repiten con mayor frecuencia en los entes peor clasificados.
Los incidentes reales respaldan la estadística. En 2024, el Parlamento Europeo notificó la intrusión en su plataforma de reclutamiento PEOPLE, que dejó al descubierto documentación personal de más de 8.000 empleados y exempleados. El acceso no autorizado permaneció sin detectar durante meses y afectó a archivos lo suficientemente sensibles como para facilitar usurpaciones de identidad.
El equipo responsable del IBD recopiló la información mediante escaneos personalizados, buscadores de dispositivos conectados, bases de reputación de IP y dominios, y registros de brechas públicas. La evaluación se centró en siete dimensiones: aplicación de parches, seguridad de aplicaciones web, protección de correo electrónico, reputación de sistema, infraestructura de alojamiento, configuración SSL/TLS e historial de filtraciones.
Con estos datos sobre la mesa, la brecha entre la normativa europea y la práctica diaria sigue siendo amplia. Faltan medidas básicas, formación del personal y recursos destinados a cerrar vulnerabilidades conocidas. Mientras persistan estas lagunas, el riesgo para la información política, económica y ciudadana que gestionan las instituciones europeas seguirá siendo elevado.
