1. Página de inicio
  2. La Lupa
  3. Europa endurece las normas sobre ciberataques y criptoactivos

Europa endurece las normas sobre ciberataques y criptoactivos

Europa endurece las normas sobre ciberataques y criptoactivos

Miguel Ángel Valero

El Diario Oficial de la Unión Europea (DOUE) del 20 de febrero de 2025 publica dos  normas sobre ciberataques, y también otras tantas sobre critptoactivos. La primera de las normas es el Reglamento Delegado R(UE) 2025/301 de la Comisión de 23 de octubre de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican el contenido y los plazos para la notificación inicial y los informes intermedio y final sobre incidentes graves relacionados con las TIC, así como el contenido de la notificación voluntaria de ciberamenazas importantes

A fin de garantizar la armonización y la simplificación de los requisitos de notificación de incidentes graves relacionados con las TIC, los plazos para notificarlos deben seguir un enfoque coherente para todos los tipos de entidades financieras. Por estas razones, los plazos también deben seguir, en la mayor medida posible, un enfoque coherente con los requisitos establecidos en la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo y, como mínimo, ser equivalentes a ellos.

Para evitar imponer una carga de notificación indebida a las entidades financieras en el momento en que estén gestionando el incidente relacionado con las TIC, el contenido de la notificación inicial debe limitarse a la información más significativa. Para poder adoptar las medidas de supervisión adecuadas, las autoridades competentes deben recibir información sobre los incidentes graves relacionados con las TIC lo antes posible, una vez que la entidad financiera haya clasificado un incidente relacionado con las TIC como grave. Por consiguiente, el plazo para presentar la notificación inicial debe ser lo más breve posible después de que un incidente relacionado con las TIC haya sido clasificado como grave, permitiendo al mismo tiempo cierta flexibilidad, especialmente en el caso de los modelos de negocio de servicios en los que, en particular, el tiempo no sea un factor primordial, siempre que las entidades financieras necesiten más tiempo para gestionar el incidente relacionado con las TIC tras haber tenido conocimiento de éste.

Esta norme se ve reforzada por el Reglamento de Ejecución (UE) 2025/302 de la Comisión, de 23 de octubre de 2024, por el que se establecen normas técnicas de ejecución para la aplicación del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante. 

A fin de garantizar que las entidades financieras notifiquen los incidentes graves a sus autoridades competentes de manera coherente y de que faciliten a dichas autoridades datos de buena calidad, debe especificarse qué campos de datos deben proporcionar las entidades financieras en las distintas fases de la elaboración de informes. Es importante que esta información se presente de manera que permita tener una visión general única del incidente. Por lo tanto, es necesario establecer una plantilla única de notificación a tal efecto.

Las entidades financieras deben cumplimentar los campos de datos de la plantilla de notificación que correspondan a los requisitos de información de la notificación o informe correspondiente. No obstante, las entidades financieras que ya dispongan de información que deban facilitar en una fase posterior, es decir, en los informes intermedio o final, deben poder anticipar la presentación de los datos.

Intención de prestar servicios de criptoactivos

Por su parte, está el Reglamento Delegado (UE) 2025/303 de la Comisión, de 31 de octubre de 2024, por el que se completa el Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican la información que deben incluir determinadas entidades financieras en la notificación de su intención de prestar servicios de criptoactivos. 

Para que las autoridades competentes puedan evaluar si determinadas entidades financieras que tienen la intención de prestar servicios de criptoactivos cumplen los requisitos, la información que deben notificar determinadas entidades financieras de su intención de prestar servicios de criptoactivos debe ser suficientemente detallada y exhaustiva sin imponer cargas indebidas. 

Una notificación de la intención de prestar servicios de criptoactivos debe contener un programa de actividades. A fin de ofrecer una imagen completa de las operaciones que la entidad notificante se propone llevar a cabo, el programa de actividades debe incluir una descripción de la estructura organizativa de la entidad notificante, su estrategia de prestación de servicios de criptoactivos a los clientes a los que se dirige y su capacidad operativa durante los tres años siguientes a la fecha de notificación. En cuanto a la estrategia utilizada para dirigirse a los clientes, la entidad notificante debe describir los medios de comercialización que se propone utilizar, como los sitios web, las aplicaciones para teléfonos móviles, las reuniones presenciales, los comunicados de prensa o cualquier tipo de medios físicos o electrónicos, incluidas las herramientas de sus campañas en las redes sociales, los anuncios o banners en internet, el retargeting de la publicidad, los acuerdos con influyentes, los acuerdos de patrocinio, las llamadas, los seminarios web, las invitaciones a actos, las campañas de afiliación, las técnicas de ludificación, las invitaciones a cumplimentar un formulario de respuesta o a seguir un curso de formación, las cuentas de demostración o los materiales educativos.

A fin de que las autoridades competentes puedan evaluar la resiliencia de la entidad notificante para resistir a perturbaciones financieras externas, incluidas las relativas al valor de los criptoactivos, la entidad notificante debe incluir en su notificación escenarios de tensión que simulen acontecimientos graves pero verosímiles en su plan de previsión contable.

Para evitar interrupciones de operaciones, ya que pueden tener consecuencias financieras, reglamentarias y de reputación importantes para la entidad notificante y los mercados de criptoactivos en general, es fundamental mantener las operaciones o al menos las funciones esenciales de los proveedores de servicios de criptoactivos y minimizar el tiempo de inactividad debido a perturbaciones imprevistas, incluidos los ciberataques y las catástrofes naturales. Por tanto, una notificación debe contener información detallada sobre las disposiciones adoptadas por la entidad notificante para garantizar la continuidad y la regularidad de la prestación de servicios de criptoactivos, incluida una descripción detallada de sus riesgos y planes de continuidad de la actividad.

Finalmente, el Reglamento de Ejecución (UE) 2025/304 de la Comisión, de 31 de octubre de 2024, por el que se establecen normas técnicas de ejecución para la aplicación del Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo en lo que respecta a los formularios, plantillas y procedimientos normalizados para la notificación por parte de determinadas entidades financieras de su intención de prestar servicios de criptoactivos.

El Reglamento (UE) 2023/1114 exige que se establezcan formularios, plantillas y procedimientos normalizados a fin de garantizar la existencia de un mecanismo uniforme que permita a las autoridades nacionales competentes ejercer de manera efectiva sus facultades en relación con las notificaciones que reciban de las entidades ya reguladas acerca de su intención de convertirse en proveedores de servicios de criptoactivos.

El fraude por deepfake se dispara un 2.137% en 3 años

Las empresas del sector financiero se enfrentan a un aumento significativo de los intentos de fraude por deepfake, que han crecido un 2137% en los últimos tres años, según el informe The Battle Against AI-Driven Identity Fraud de Signicat. A medida que los deepfakes se vuelven más sofisticados, las empresas de todos los sectores deben reconsiderar sus estrategias de seguridad para hacer frente a una de las formas más graves de fraude de identidad del panorama actual.

La apropiación de cuentas es el principal tipo de fraude al que están expuestos sus clientes, seguido por el fraude en los pagos con tarjeta y el phishing. 

El estudio, el primero centrado en el fraude de identidad mediante IA, destaca que la tecnología deepfake se ha convertido en uno de los tres tipos de fraude de identidad más comunes en el sector financiero y de pagos en toda Europa. Los deepfakes utilizan la inteligencia artificial para crear falsificaciones digitales de gran realismo. Su rápido crecimiento suscita debates urgentes sobre la mejora de las capacidades de prevención del fraude de las empresas. 

La evolución de la tecnología deepfake ha permitido dos tipos principales de ataques:

  • Ataques de presentación: incluyen estafadores que utilizan máscaras y maquillaje para hacerse pasar por otra persona, pero también en los que la cámara filma otra pantalla que muestra un deepfake en tiempo real, dirigido a actividades como la apropiación de cuentas o la solicitud de préstamos de forma fraudulenta.
  • Ataques de inyección: En estos casos, se inserta deliberadamente malware o entradas no fiables en un programa, comprometiendo su integridad o funcionalidad por ejemplo como vídeos pregrabados, a menudo durante procesos de onboarding o KYC a los que se someten bancos, empresas fintech o compañías de telecomunicaciones.  

A medida que estas técnicas se vuelven más sofisticadas, los sistemas tradicionales de detección del fraude pueden tener dificultades para hacer frente a esta creciente amenaza. 

Según el informe de Signicat, el 42,5% de los intentos de fraude detectados en el sector financiero están basados en la IA. Hace tres años, las deepfakes ni siquiera se encontraban entre los tres tipos más comunes de fraude de identidad digital, y hoy en día es el tipo de fraude de identidad digital más común al que se enfrentan las empresas. Estas falsificaciones se han extendido y son más difíciles de identificar, lo que ha contribuido a su auge como uno de los principales métodos de fraude de identidad. 

A pesar del aumento de los intentos de fraude impulsados por la IA, incluidos los deepfakes, solo el 22 % de las instituciones financieras han implementado herramientas de prevención del fraude basadas en IA. Esta laguna deja a muchas empresas vulnerables a ataques más sofisticados. 

"Hace tres años, los ataques deepfake sólo representaban el 0,1% de todos los intentos de fraude que detectamos, pero hoy representan alrededor del 6,5%, 1 de cada 15 casos. Esto representa un aumento del 2137% en los últimos tres años, lo cual es alarmante. Los defraudadores utilizan técnicas basadas en IA que los sistemas tradicionales ya no pueden detectar. Las organizaciones deberían considerar sistemas de detección avanzados que combinen IA, biometría y verificación de identidad para protegerse contra estas amenazas", afirma Pinar Alpay, Chief Product & Marketing Officer de Signicat. "Una estructura de detección múltiple es crucial. Al combinar la evaluación temprana de riesgos, una verificación de identidad robusta y métodos de autenticación basados en biometría facial, y un monitoreo continuo, las empresas pueden proteger mejor tanto sus operaciones como a sus cliente. La coordinación de estas herramientas en la combinación óptima es la esencia de una protección multicapa", añade. 

El fuerte aumento del fraude deepfake forma parte de una tendencia más amplia de fraude de identidad impulsado por la IA, ya que los ciberdelincuentes aprovechan cada vez más las tecnologías avanzadas para explotar los sistemas financieros. El informe de Signicat hace un llamamiento urgente a la acción para que tanto las instituciones financieras como las empresas refuercen proactivamente sus medidas de ciberseguridad. Actualizando los sistemas de detección de fraude, mejorando la concienciación de empleados y clientes e invirtiendo en soluciones de prevención del fraude basadas en IA, las organizaciones pueden adelantarse a estas amenazas en rápida evolución y proteger tanto sus operaciones como a sus clientes. 
 

Reform DAO llega a España de la mano de Bit2Me

Coincidiendo con la publicación de las normas sobre criptoactivos, Reform DAO, la organización autónoma descentralizada (DAO) especializada en market making y provisión de liquidez en el ecosistema cripto, llega al mercado español con su reciente listado en Bit2Me, uno de los más exchanges más influyentes de Europa. Con esta incorporación, el token RFRM de Reform DAO estará disponible para su compra, venta e intercambio a través de Bit2Me, facilitando a los usuarios españoles el acceso a un ecosistema descentralizado basado en inteligencia artificial. 

Reform DAO tiene como objetivo optimizar la eficiencia del mercado de criptoactivos mediante algoritmos avanzados que garantizan operaciones equitativas y alineadas con los incentivos de todos los participantes del mercado. Este listing en Bit2Me supone un avance estratégico en la expansión global de Reform DAO, fortaleciendo su presencia en Europa y ampliando las oportunidades para traders e inversores interesados en soluciones descentralizadas de market making. Gracias a la infraestructura de Bit2Me, los usuarios podrán operar con RFRM de manera segura y eficiente, beneficiándose de las herramientas y servicios que ofrece la plataforma. El token RFRM ha experimentado un crecimiento constante dentro del sector cripto, consolidándose como una opción atractiva dentro del ecosistema financiero descentralizado. Su integración en Bit2Me responde a la creciente demanda de soluciones innovadoras que optimicen la liquidez y mejoren la accesibilidad a activos digitales. 

Comisión Europea ciberataques criptoactivos Reform DAO Bit2Me Significat fraude por IA
La venta masiva de dólares evidencia el pánico de los inversores a la guerra comercial
Portocolom ve oportunidades de inversión en infraestructuras del agua
Geopolítica y tecnología obligan a repensar la banca