En febrero de 2024, un empleado de la firma de ingeniería Arup en Hong Kong recibió una invitación a una videollamada con el director financiero de la empresa en Londres. Durante la reunión, el CFO y varios compañeros le pidieron que autorizara una serie de transferencias urgentes. El empleado ejecutó quince operaciones por un total de 200 millones de dólares de Hong Kong —unos 25,6 millones de dólares—. Una semana después, al verificar con la sede central, descubrió que ninguna de las personas en aquella llamada era real. Todas habían sido generadas por inteligencia artificial
El caso Arup no es una anécdota exótica. Es la señal de que el fraude corporativo ha entrado en una fase donde la confianza visual y auditiva ya no sirven como mecanismos de verificación. Y España no está al margen: INCIBE gestionó 97.348 incidentes de ciberseguridad en 2024, un 16,6% más que el año anterior. El fraude online representó el 43% de los casos. No hablamos de ataques sofisticados a infraestructuras críticas, sino de engaños dirigidos a personas concretas que trabajan en empresas concretas.
El giro regulatorio que cambia las reglas
La Unión Europea ha decidido que la ciberseguridad deje de ser «cosa de IT». La Directiva NIS2 introduce un cambio que debería quitar el sueño a más de un consejero: el órgano de administración es ahora legalmente responsable de aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad. No puede delegar esta función en el departamento técnico y desentenderse. Los administradores deben recibir formación específica y pueden ser personalmente responsables por incumplimientos. Las multas pueden alcanzar el 2% de la facturación global
La brecha que nadie quiere ver
Aquí está el problema real: los consejos de administración españoles no están preparados para asumir esta responsabilidad.
El IV Informe de Transparencia en Ciberseguridad de Watch&Act, publicado en 2020, reveló que solo el 7% de los consejeros del IBEX 35 tenía experiencia en el ámbito digital. No se ha vuelto a medir este indicador en informes posteriores, lo cual es en sí mismo revelador: quizás nadie quiere actualizar un dato tan incómodo
Esta brecha entre lo que la regulación exige y lo que los consejos pueden hacer es el verdadero riesgo. No es que la ciberseguridad sea «importante» —eso ya lo sabe cualquiera que lea un periódico—. Es que hay una disonancia estructural entre la responsabilidad legal que asumen los administradores y su capacidad real para ejercerla. Un consejero que no entiende qué es una superficie de ataque difícilmente puede evaluar si las medidas que le presentan son proporcionales al riesgo
Por qué esto es un problema ESG
Desde la perspectiva de quien trabaja con datos ESG, la ciberseguridad no es solo un tema sobre el que reportar. Es una precondición para que el resto del reporte sea fiable. Si los sistemas de una empresa están comprometidos, sus datos de emisiones, de cadena de suministro o de impacto social tampoco son de fiar. La integridad del dato depende de controles que muchas empresas dan por supuestos sin haberlos verificado
Una pregunta para el Safer Internet Day
El Día de Internet Seguro de 2026 coincide con un momento en que las empresas españolas operan bajo una presión regulatoria sin precedentes y frente a amenazas que hace tres años parecían ciencia ficción. La tentación será publicar un comunicado sobre concienciación y seguir adelante.
Quizás sería más útil que cada consejo de administración se hiciera una pregunta incómoda: si mañana recibimos una videollamada del director financiero pidiendo una transferencia urgente, ¿tenemos un protocolo para verificar que es quien dice ser? Y si no lo tenemos, ¿quién en esta mesa entiende por qué deberíamos tenerlo?
