El Reglamento eIDAS de la UE establece normas para los sistemas de identidad electrónica y los servicios de confianza en Europa, los sistemas nacionales de identificación electrónica, la interoperabilidad transfronteriza y el reconocimiento. eIDAS se adoptó en julio de 2014 y entró en vigor en 2016. Uno de los objetivos de eIDAS es garantizar que las firmas electrónicas puedan tener el mismo valor jurídico que las firmas tradicionales y eliminar los obstáculos al comercio electrónico y a todo tipo de transacciones electrónicas en la UE. El reglamento eIDAS pretende garantizar que las personas y las empresas puedan utilizar voluntariamente sus propios sistemas nacionales de identificación electrónica (eID) para acceder a los servicios públicos disponibles en línea en otros países de la UE; y crear un mercado interior europeo de servicios de confianza garantizando que funcionen a través de las fronteras y tengan el mismo estatuto jurídico que sus equivalentes tradicionales en papel. El presente informe, el Informe Anual sobre Incidentes de Seguridad de los Servicios de Confianza 2022, ofrece una visión general agregada de las violaciones notificadas para 2022. Un pronunciado descenso de los incidentes notificados: en 2021 los incidentes notificados aumentaron en torno al 18 %, igual que el crecimiento observado en 2020. Sin embargo, en 2022 sólo se notificaron 35 incidentes, lo que supone un descenso de alrededor del 25%. Dado que se notificó el 33% de los incidentes menores, la razón de este descenso podría deberse a que varios incidentes menores no se notificaron. Esto sugiere que las autoridades deberían reforzar la necesidad y la importancia del proceso de notificación de infracciones y sensibilizar a los PSV sobre sus obligaciones en virtud del eIDAS. El número de incidentes de gran repercusión ha aumentado ligeramente: en 2022, se notificaron 12 incidentes de gran repercusión, continuando la tendencia observada en los últimos años. En comparación, en 2020 solo 3 incidentes se caracterizaron por haber tenido un «gran impacto», frente a 2021, cuando se habían notificado 11 incidentes de este tipo (lo que se traduce en un aumento de aproximadamente el cuádruple). Además, en 2022 se notificaron 2 incidentes de impacto muy grande. La proporción de incidentes notificados relativos a servicios fiduciarios cualificados con respecto a los no cualificados sigue siendo elevada. En 2022, el 75% de los incidentes totales tuvieron un impacto en servicios fiduciarios cualificados, frente a aproximadamente un 15% de incidentes notificados sobre servicios fiduciarios no cualificados y un 10% de incidentes sobre los que no se facilitó información relevante. Aunque los servicios de confianza no cualificados se utilizan ampliamente, los operadores no se esfuerzan tanto en la notificación de incidentes relacionados.

En la mayoría de los casos, las notificaciones son realizadas por un TSP que ofrece todo tipo de servicios (cualificados y no cualificados), informando de un incidente que ha afectado tanto a sus servicios cualificados como a los no cualificados. Cabe destacar que en 2021 se observó una mejora significativa en este ámbito concreto en comparación con 2020, cuando se realizó la observación por primera vez, y esta tendencia persiste en 2022. Esto demuestra el valor del trabajo sobre la notificación de incidentes y el análisis pertinente, que tuvo un impacto positivo directo en el proceso global. Sin embargo, debemos destacar el 10% de incidentes notificados que carecen precisamente de este dato: proporcionar información precisa y completa sobre los incidentes notificados es esencial para un análisis y unas acciones de seguimiento adecuados. Aunque los servicios de confianza no cualificados son ampliamente utilizados por ciudadanos y empresas, parece que los respectivos operadores de servicios de confianza no se esfuerzan mucho por notificar los incidentes relacionados. En la mayoría de los casos, la notificación la realiza un PSC que también ofrece servicios cualificados, informando de un incidente que ha afectado tanto a sus servicios cualificados como a los no cualificados. Dicho esto, en comparación con 2021, en 2022 se observa una ligera tendencia a la baja en este sentido, con la notificación de 7 incidentes que afectan únicamente a servicios no cualificados (dado el descenso del 25% en el total de incidentes notificados, la tendencia a la baja está justificada).  ENISA seguirá apoyando a los organismos nacionales de supervisión en la aplicación de la notificación de infracciones en virtud del artículo 19 del eIDAS y trabajando para que este proceso sea eficiente y eficaz, y proporcione datos útiles, tanto para los organismos de supervisión como para las autoridades nacionales, así como para los proveedores de servicios de confianza y las organizaciones que confían en estos servicios de confianza.

Durante el año 2022, Trust Services Security Incidents experimentó una serie de incidentes que desafiaron la integridad y la seguridad de sus servicios. Estos eventos impactaron significativamente en la confianza y la percepción de la empresa, planteando preocupaciones sobre su capacidad para salvaguardar la información sensible de sus usuarios. A lo largo del año, se identificaron varios tipos de incidentes de seguridad, desde intentos de acceso no autorizado hasta brechas de datos, que comprometieron la privacidad y la confidencialidad de la información. Entre los incidentes más destacados se encontraron los intentos de intrusión en los sistemas de la empresa, lo que generó un análisis exhaustivo de las vulnerabilidades de seguridad existentes y la implementación de medidas preventivas más sólidas. Además, se detectaron varias brechas de datos que expusieron información confidencial de los usuarios, lo que llevó a Trust Services Security Incidents a tomar acciones inmediatas para mitigar los daños y reforzar sus protocolos de seguridad. La respuesta de la empresa ante estos incidentes fue crucial. Se implementaron evaluaciones de riesgos exhaustivas y se llevaron a cabo mejoras significativas en las medidas de seguridad para evitar futuros contratiempos. Además, se fortalecieron los procedimientos de respuesta a incidentes y se reforzó la colaboración con expertos en ciberseguridad para mantener la integridad de los sistemas y la protección de los datos sensibles. Trust Services Security Incidents aprendió lecciones valiosas de estos eventos, reconociendo la importancia de la constante actualización y mejora de sus prácticas de seguridad. Se comprometió a una mayor transparencia con sus usuarios y partes interesadas, priorizando la confianza y la seguridad como pilares fundamentales en sus operaciones futuras.

Para leer más ingrese a:

https://www.enisa.europa.eu/publications/trust-services-security-incidents-2022

https://www.enisa.europa.eu/publications/trust-services-security-incidents-2022/@@download/fullReport