El presente informe ofrece información anonimizada y agregada sobre los principales incidentes de seguridad en las telecomunicaciones ocurridos en 2022. La notificación de incidentes de seguridad es un rasgo distintivo de la legislación de la UE en materia de ciberseguridad. Es un importante facilitador de la supervisión de la ciberseguridad y una herramienta de apoyo para la elaboración de políticas a nivel nacional y de la UE. En la Unión Europea, los operadores de telecomunicaciones notifican los incidentes de seguridad significativos a sus autoridades nacionales. Al comienzo de cada año natural, las autoridades nacionales envían un resumen de estos informes a ENISA. El Código Europeo de Comunicaciones Electrónicas (EECC 2018/1972) refuerza las disposiciones para la notificación de incidentes, aclarando qué incidentes entran en su ámbito de aplicación, así como las directrices técnicas y los criterios de notificación. Los proveedores de comunicaciones electrónicas de la UE tienen que notificar los incidentes de seguridad que tengan un impacto significativo en la continuidad de los servicios de comunicaciones electrónicas a las autoridades nacionales de reglamentación de las telecomunicaciones (ANR) de cada Estado miembro de la UE. Cada año, las ANR facilitan a ENISA un resumen de los incidentes más significativos en función de una serie de umbrales acordados a escala de la UE. Este documento, Telecom Security Incidents Report 2022, agrega los 155 informes de incidentes recibidos en 2022 y ofrece una visión general de los incidentes de seguridad de las telecomunicaciones en la UE. El Código Europeo de Comunicaciones Electrónicas (EECC), incluye un ámbito más amplio sobre los requisitos para la notificación de incidentes en el artículo 40 y requiere la notificación obligatoria de incidentes con un enfoque específico en los incidentes de seguridad con un impacto significativo en el funcionamiento de cada categoría de servicios de telecomunicaciones. A lo largo de los años, las autoridades reguladoras han acordado centrarse en las interrupciones de redes/servicios. Este año, ENISA también recibió cinco informes de incidentes relacionados con violaciones de la confidencialidad, un informe de incidente recibido relativo al impacto en la redundancia y un informe de incidente relativo a un incidente casi fallido. A finales de 2020, el EECC entró en vigor en toda la UE. En 2022, los Estados miembros avanzaron en su aplicación. En virtud del artículo 40 de la EECC, los requisitos de notificación de incidentes tienen un amplio alcance, que incluye no solo las interrupciones, sino también las violaciones de la confidencialidad. Además, se incluyen más servicios: no solo los operadores de telecomunicaciones tradicionales, sino también los proveedores OTT de servicios de comunicaciones, por ejemplo, servicios de mensajería como Viber y WhatsApp y servicios de comunicaciones interpersonales basados en el número y/o servicios de comunicaciones interpersonales independientes del número. Los años 2020 y 2021 se caracterizaron por la pandemia de COVID-19, que transformó radicalmente la forma de vivir y trabajar de las personas en todo el mundo, impulsando hacia una mayor digitalización. A continuación, el año 2022 se vio sacudido por la guerra de agresión rusa contra Ucrania y las numerosas perturbaciones en las redes y servicios de telecomunicaciones similares.
Cabe señalar que en esta configuración ENISA actúa como punto de recogida, anonimizando, agregando y analizando los informes de incidentes. En la configuración actual, las ANR pueden buscar incidentes en la herramienta de notificación (CIRAS), pero los propios informes de incidentes no hacen referencia a países o proveedores, lo que hace que el proceso general de notificación resumida sea menos sensible a los proveedores de telecomunicaciones. Se hace un seguimiento detallado de las causas de todos los incidentes, además de las categorías de causas raíz. Un incidente suele ser una cadena de acontecimientos. Por ejemplo, un incidente puede desencadenarse por una tormenta, que derriba la infraestructura de suministro eléctrico, cortando los cables y, por tanto, la energía, lo que a su vez provoca un corte en las telecomunicaciones. En este ejemplo, la causa raíz del incidente sería el fenómeno natural y las causas detalladas serían: fuerte viento, corte de cables, corte de electricidad y agotamiento de la batería. La causa detallada que aparece con más frecuencia en los informes de incidentes de 2022 es el fallo del hardware, seguido de los errores de software, los cortes de electricidad y los cambios/actualizaciones de software defectuosos. A continuación se ofrece una visión general de las causas detalladas y las horas perdidas por los usuarios para cada categoría de incidentes, en un esfuerzo por ofrecer claridad y transparencia para las causas fundamentales específicas, que difieren significativamente entre las categorías de incidentes. Cada informe de incidente describe también los activos (secundarios) afectados durante el incidente. Otros» significa que no se facilitó información detallada. En el futuro, los Estados miembros deberán facilitar más información para mejorar el análisis de los incidentes. Por cierto, también será necesario reevaluar la taxonomía de los activos para mejorar la notificación de incidentes. ENISA ha publicado directrices técnicas sobre la notificación de incidentes en el marco de la EECC, incluidos los umbrales, la estimación de la gravedad y el cálculo de las horas perdidas. Desde 2017, se observó una disminución notable y constante de los informes de incidentes extremadamente graves, que se detuvo ligeramente en 2022. Por el contrario, se ha producido un aumento constante de los incidentes leves y graves desde 2019. Estos resultados apuntan, por un lado, a la creciente madurez de los proveedores de comunicaciones electrónicas en lo que respecta al proceso de notificación de incidentes y, por otro, a la creciente importancia de las comunicaciones electrónicas. Estos resultados apuntan, por un lado, a la creciente madurez de los proveedores de comunicaciones electrónicas en lo que respecta al proceso de notificación de incidentes y, por otro, a la mejora de la capacidad de recuperación y la prestación de servicios de seguridad (incluida la propia notificación de incidentes) que ha dado lugar a un menor número de incidentes graves de gran magnitud.
El informe analiza los incidentes de seguridad en las redes de telecomunicaciones en Europa durante el año 2022. El informe destaca que los ataques cibernéticos a las redes de telecomunicaciones continúan siendo una preocupación importante, con una serie de incidentes que afectaron a operadores de telecomunicaciones y a sus infraestructuras críticas. Se observa un aumento en la sofisticación y diversificación de los ataques, lo que subraya la necesidad de una mayor atención a la seguridad cibernética en este sector. Uno de los principales hallazgos del informe es que los ataques de denegación de servicio (DDoS) siguen siendo una amenaza significativa para las redes de telecomunicaciones, con un aumento en la frecuencia y la magnitud de estos ataques. Estos incidentes pueden afectar la disponibilidad de los servicios de telecomunicaciones y causar interrupciones en la conectividad de los usuarios. Además, se observa un aumento en los ataques dirigidos a la infraestructura de red, incluidos los dispositivos de red y los sistemas de gestión, lo que resalta la importancia de implementar medidas de seguridad sólidas en estos componentes críticos. El informe también identifica una serie de tendencias emergentes en los incidentes de seguridad en el sector de las telecomunicaciones, incluido el aumento en los ataques de ransomware dirigidos a operadores de telecomunicaciones y la explotación de vulnerabilidades en tecnologías emergentes como 5G y Internet de las cosas (IoT). Estas tendencias subrayan la necesidad de una mayor colaboración entre los operadores de telecomunicaciones, los reguladores y otros actores relevantes para abordar de manera efectiva las amenazas cibernéticas en este sector en evolución rápida. En general, el informe destaca la importancia de fortalecer la ciberseguridad en el sector de las telecomunicaciones para garantizar la integridad, disponibilidad y confidencialidad de las redes y servicios de telecomunicaciones en Europa. Se enfatiza la necesidad de que los operadores de telecomunicaciones implementen medidas de seguridad proactivas, como la monitorización continua de la red, la aplicación de parches de seguridad y la sensibilización del personal, para mitigar los riesgos cibernéticos y proteger la infraestructura crítica de telecomunicaciones.