Tan recientemente como en 2025, la Comisión Europea anunció nuevas iniciativas para promover la ciberresiliencia e introdujo legislación destinada a reforzar la ciberseguridad en toda la Unión Europea (UE). Sin embargo, persisten las preocupaciones sobre la preparación general de las instituciones de la UE.
En 2022, el Tribunal de Cuentas Europeo (TCE) publicó un informe especial en el que se afirmaba que el nivel de preparación en materia de ciberseguridad de las instituciones, órganos y agencias de la Unión Europea (EUIBA) no era proporcional a las amenazas a las que se enfrentaban. El informe instaba a la Comisión a tomar medidas para mejorar la ciberseguridad en todos los organismos y aumentar la financiación.
A pesar de estos esfuerzos, los últimos datos del Índice Empresarial Digital muestran que la Unión Europea aún tiene dificultades para proteger sus sistemas contra ciberataques. Según el análisis, el 67 % de las organizaciones evaluadas obtuvo una calificación de D o F, la más baja del índice. Todas las instituciones sufrieron filtraciones de datos, y el 85 % de los empleados de instituciones con las calificaciones de seguridad más bajas reutilizaron contraseñas ya comprometidas.
A pesar de gestionar algunos de los datos políticos, económicos y ciudadanos más sensibles de Europa, casi todas las instituciones se enfrentan a importantes amenazas de ciberseguridad.
Las instituciones de la UE tienen dificultades para mantener la higiene básica de la ciberseguridad
El equipo de investigación de Business Digital Index analizó los sitios web de 75 instituciones gubernamentales de la UE y evaluó su postura en materia de ciberseguridad.
En el informe del índice, que clasifica a las organizaciones de todo el mundo según sus medidas de seguridad en línea, el 33 % de los 75 organismos gubernamentales obtuvo una puntuación C, lo que representa un nivel de seguridad inferior al promedio. Por otro lado, el 32 % de las instituciones se clasificaron como de alto riesgo con una puntuación D, y el 35 % recibió una puntuación F, situándose en la categoría de riesgo crítico. Ninguna institución obtuvo una puntuación A o B.
La puntuación media entre EUIBA se situó en 71 sobre 100. Según la metodología del índice, una puntuación en el rango de 70 a 79 coloca a una organización en la categoría de alto riesgo, lo que significa que, a pesar de algunas medidas de seguridad fundamentales, la organización sigue siendo significativamente vulnerable a los ciberataques.
La situación actual de las organizaciones de la UE en materia de ciberseguridad es sumamente preocupante y no debe tomarse a la ligera. Los malos resultados deberían servir de advertencia para que las instituciones tomen medidas inmediatas y mejoren sus sistemas. Cuanto más persistan las vulnerabilidades, mayor será el riesgo de robo, filtración o uso indebido de datos institucionales y personales sensibles.
El 46% de todas las entidades con calificación F habían sufrido una filtración de datos reciente
Las instituciones con las puntuaciones más bajas en ciberseguridad son las más afectadas. El 96 % de las instituciones con calificación F y el 92 % de las con calificación D habían sufrido al menos una filtración de datos, en comparación con tan solo el 36 % de las con calificación C. Casi la mitad (46 %) de todas las entidades con calificación F del conjunto de datos había sufrido una filtración de datos reciente. Las organizaciones con calificación D se quedaron muy atrás, con un 17 %. Mientras tanto, no se reportó ninguna filtración entre las instituciones con calificación C, un claro indicador de que una higiene deficiente conlleva consecuencias reales.
Una importante señal de alerta conductual es la reutilización de contraseñas. En las organizaciones con calificación F, se descubrió que el 85 % de los empleados reutilizaba credenciales que ya se habían filtrado en brechas de seguridad anteriores. En las organizaciones con calificación D, esa cifra fue del 71 %. En las organizaciones con calificación C, solo el 8 % del personal reutilizaba contraseñas filtradas. Esto sugiere que las brechas de seguridad repetidas en organizaciones con baja calificación no solo son posibles, sino que son el resultado predecible de una negligencia continua.
Estos hallazgos coinciden con incidentes reales de gran repercusión. En 2024, el Parlamento Europeo reveló una filtración de datos de su plataforma de contratación PEOPLE que expuso los datos personales de más de 8.000 empleados, tanto actuales como anteriores . La filtración pasó desapercibida durante meses y comprometió documentos como documentos de identidad, documentos de residencia y certificados de matrimonio, todos ellos lo suficientemente sensibles como para permitir el robo de identidad o el chantaje.
Reutilizar contraseñas tras una filtración de datos aumenta el riesgo para la seguridad personal y organizacional. Como reveló esta investigación, el problema persiste, pero también es prevenible. Esto indica la urgente necesidad de educar a los empleados sobre la higiene de las contraseñas y las implicaciones de reutilizar las mismas credenciales.
Las instituciones con puntuaciones bajas se enfrentan a vulnerabilidades técnicas generalizadas
Los datos muestran una correlación directa entre las puntuaciones de ciberseguridad y las vulnerabilidades críticas a nivel de sistema. Se identificaron problemas de configuración de SSL/TLS en el 100 % de las instituciones con calificación F, el 92 % de las con calificación D y el 100 % de las con calificación C. Estas vulnerabilidades exponen los sistemas a ataques de intermediario y debilitan los protocolos de comunicación seguros.
Las vulnerabilidades de alojamiento de sistemas fueron igualmente prevalentes. El 92 % de las instituciones con clasificación D y F contaban con entornos de alojamiento inseguros, mientras que el problema persistió también en todas las instituciones con clasificación C. Se encontraron dominios vulnerables a la suplantación de correo electrónico en todas las organizaciones con clasificación C y en el 96 % de las de clasificación D y F, lo que permitió intentos de suplantación de identidad potencialmente peligrosos.
Se descubrieron credenciales corporativas expuestas en el 96 % de las instituciones con calificación F y en el 83 % de las con calificación D. En contraste, solo el 12 % de las organizaciones con calificación C habían filtrado credenciales, lo que subraya la brecha en la higiene básica de seguridad entre las organizaciones de bajo y medio rendimiento. Si bien el conjunto de datos incluyó relativamente pocos casos de vulnerabilidades críticas señaladas, la mitad de las instituciones con calificación F mostraron indicios de vulnerabilidades web de alto riesgo.
