La nueva estrategia de defensa digital de Ucrania contra el ciberataque ruso

Solo en el primer trimestre de 2025, el Equipo de Respuesta ante Emergencias Informáticas CERT-UA, dependiente del Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania,  registró más de 1.500 incidentes cibernéticos. Esto supone ya más de un tercio de los 4.300 incidentes registrados en todo 2024, año en el que se produjo un aumento récord del 70%.

La trayectoria es clara: la campaña de ciberguerra de Rusia contra Ucrania se está acelerando. Es amplia, coordinada y está diseñada para desestabilizar el país, paralizar infraestructuras críticas, erosionar la confianza pública y robar información que podría inclinar el campo de batalla.

Los hackers rusos siguen perfeccionando sus tácticas y herramientas, haciendo que sus ciberataques sean cada vez más complejos y estén mejor coordinados. Los recientes ataques contra el Ministerio de Justicia ucraniano y Kyivstar, el mayor proveedor de telecomunicaciones de Ucrania, demostraron cómo la ingeniería social por sí sola puede interrumpir las comunicaciones nacionales e inutilizar los registros gubernamentales durante días. Un ciberataque más reciente contra Ukrzaliznytsia, la compañía estatal de ferrocarriles de Ucrania, demuestra la capacidad de Rusia para realizar operaciones técnicamente sofisticadas.

Pero estos ataques también cuentan otra historia.

Ucrania ha demostrado que puede responder y recuperar sus sistemas con rapidez, y está aprendiendo aún más rápido. Una semana después de los ataques rusos, los principales registros volvieron a estar en línea. En un entorno cibernético tan cambiante, quedarse quieto no es una opción: Ucrania debe seguir reforzando sus defensas. Los propietarios de los sistemas ya han mejorado su resistencia cibernética y, gracias a la nueva legislación, el país ya está remodelando su arquitectura de ciberdefensa para hacer frente a las amenazas actuales y futuras.

La Ley nº 4336-IX, un paso adelante oportuno y estratégico

Los hackers rusos están aprendiendo de nuestros sistemas, probando métodos y ampliándolos, por lo que Ucrania no puede seguir operando con paradigmas de ciberseguridad obsoletos.

El Parlamento de Ucrania aprobó el 27 de marzo la Ley nº 4336-IX, una reforma histórica del sistema nacional de ciberseguridad. No se trata de una medida más de ciberseguridad. Es la respuesta del Estado a una nueva realidad, que establece una nueva arquitectura para proteger los recursos de información del Estado y los sistemas de infraestructuras críticas. Este nuevo marco es adaptable, flexible, alineado con las mejores prácticas europeas y diseñado para garantizar la ciberresiliencia a largo plazo. El Presidente Volodymyr Zelenskyy firmó la ley el 17 de abril.

La legislación define claramente las funciones de todos los actores del sistema nacional de ciberseguridad. Las funciones de las principales partes interesadas están ahora articuladas de forma mucho más precisa, lo que mejorará significativamente la coordinación. Al mismo tiempo, la ley introduce un cambio en la filosofía subyacente de la ciberdefensa.

Estrategias modernas para reforzar la ciberresiliencia

En lugar de un Sistema Integral de Protección de la Información (CIPS) centralizado y anticuado, Ucrania está pasando a un modelo de gestión de riesgos que permite flexibilidad y adaptación, aspectos fundamentales en tiempos de guerra. A partir de ahora, las organizaciones podrán desarrollar sus propios perfiles de seguridad en función de la criticidad del sistema, los riesgos específicos y los matices del sector. Los propietarios de los sistemas podrán elegir el enfoque que mejor se adapte a sus necesidades de protección.

El segundo cambio fundamental es institucional: por primera vez, la ley ordena la creación de unidades de ciberseguridad o puestos de oficial dentro de los organismos gubernamentales y las entidades de infraestructuras críticas. Estos individuos recibirán autoridad, cualificaciones y responsabilidades reales para garantizar la ciberprotección dentro de sus respectivas organizaciones.

A largo plazo, esta ley también reforzará la protección de los datos personales de los ciudadanos almacenados en registros estatales y hará más seguros los servicios públicos digitales. Se trata de algo más que de sistemas informáticos: se trata de crear confianza pública en un Estado digital.

Otro punto crucial: Ucrania ha decidido esforzarse por formar parte de la comunidad europea. La Ley 4336-IX aplica la Directiva NIS2 de la UE e incorpora sus normas más avanzadas de ciberresiliencia.

Una responsabilidad compartida: el gobierno y el sector comercial

Esta legislación marca un nuevo capítulo en las relaciones entre el Estado y el sector privado. Estamos estableciendo mecanismos para una cooperación eficaz sin coacciones ni interferencias en las operaciones empresariales. El sector privado puede obtener beneficios reales de la colaboración con el Gobierno. Juntos, protegeremos la ciberresiliencia de la nación.

Los equipos privados de respuesta a incidentes de seguridad informática (CSIRT)  pueden ahora formar parte de la red nacional de respuesta. Las empresas pueden integrarse en plataformas de intercambio de datos como MISP. 

Los propietarios de infraestructuras disponen ahora de herramientas para exigir el cumplimiento de la ciberseguridad a los proveedores de productos y servicios informáticos, vendedores que a menudo sirven de puntos de entrada para las amenazas. Al mismo tiempo, las empresas pueden diseñar de forma independiente perfiles de seguridad para sus cadenas de suministro, en función de la criticidad de sus sistemas.

Quizá una de las novedades más impactantes de esta legislación sea el lanzamiento de facto de un mercado moderno de servicios de ciberseguridad, que impulsará la competencia, abaratará los costes, mejorará la calidad, estimulará la innovación e impulsará el crecimiento, el empleo y el desarrollo de una economía postindustrial digital.

Los riesgos permanecen, pero las consecuencias se pueden minimizar

¿Significa esto que Ucrania está ahora totalmente protegida? El ciberespacio es un entorno dinámico y ningún sistema ofrece garantías absolutas. Pero estamos construyendo una arquitectura que puede resistir incluso los ataques más sofisticados, una arquitectura capaz de una rápida recuperación del sistema y una mejora continua mediante actualizaciones iterativas.

Es vital que la Ley 4336-IX se convierta en algo más que una herramienta de gobernanza estatal: debe servir como señal a toda la sociedad de que la ciberseguridad es una responsabilidad compartida. Sólo a través del esfuerzo colectivo podremos no sólo soportar la presión, sino también convertirnos en un modelo de resiliencia para otras naciones.