Respuesta a Incidentes «Made in Germany»: cómo colaboran el BSI y las empresas

6 minutos de lectura

119 nuevas vulnerabilidades por día. 461 filtraciones de datos con vínculo a Alemania en doce meses. El 80 % de los ataques de ransomware afectan a la mediana empresa. Las cifras del Informe sobre la Situación de Ciberseguridad del BSI 2025 son alarmantes. Pero solo cuentan la mitad de la historia. La otra mitad: Alemania ha construido un ecosistema de respuesta a incidentes que no tiene parangón en Europa. CERT-Bund, la Organización Alemana de Ciberseguridad (DCSO) y el SOC de Deutsche Telekom, con 250 expertos, conforman un sistema de defensa en tres niveles que acoge a las empresas en caso de emergencia. La directiva NIS2 convierte la respuesta profesional a incidentes en una obligación legal. Y precisamente eso se está convirtiendo en una ventaja competitiva para el país.

El ecosistema de respuesta a incidentes en tres niveles

Lo que distingue a Alemania de otros países europeos no es una única autoridad ni una sola empresa, sino la interacción entre tres niveles: estatal (BSI/CERT-Bund), semiestatal (DCSO) y privado (SOC de Telekom y otros MSPS). Este sistema en tres niveles ha evolucionado orgánicamente y ha demostrado su eficacia en los grandes incidentes de los últimos años.

Nivel 1: CERT-Bund (estatal). El Equipo de Respuesta a Emergencias Informáticas del BSI es el punto de contacto central para incidentes de seguridad a nivel federal. CERT-Bund mantiene un servicio de guardia 24/7 en coordinación con el Centro de Situación Informática y el Centro de Reacción ante Crisis Informáticas. Su Servicio de Alerta e Información (WID) ofrece recomendaciones técnicas de seguridad en tiempo real. Como miembro de FIRST, CERT-Bund está integrado internacionalmente y comparte información sobre amenazas con equipos CERT de todo el mundo.

Nivel 2: DCSO (semiestatal/privado). La Organización Alemana de Ciberseguridad es un caso único: fundada en 2015 como una asociación público-privada, impulsada en partes iguales por Allianz, BASF, Bayer y Volkswagen. Sus 115 empleados, distribuidos entre sedes en Europa y Norteamérica, ofrecen servicios de inteligencia sobre amenazas y servicios de SOC. Su Consejo Asesor desarrolla estrategias contra la ciberdelincuencia, la espionaje industrial digital y los actos de sabotaje. La DCSO constituye el puente entre las grandes empresas y las autoridades.

Nivel 3: CERT de Telekom y SOCs privados. El SOC principal de Deutsche Telekom en Bonn, con más de 250 expertos en ciberseguridad, es uno de los mayores de Europa. Analiza diariamente cerca de mil millones de puntos de datos relevantes para la seguridad procedentes de aproximadamente 3.000 fuentes, mediante análisis basado en inteligencia artificial. Su CERT está certificado desde 2020 según la norma SIM3. Además, existen SOCs privados de G DATA, Atos, Sophos y decenas de MSPS especializados que atienden a la mediana empresa.

726

Notificaciones de incidentes relacionadas con infraestructuras críticas (KRITIS) recibidas por el BSI en 2024

24h

Plazo de notificación según NIS2

22 APTs

Grupos avanzados de amenazas activos en Alemania

Fuentes: Informe sobre la Situación de Ciberseguridad del BSI 2024, Ley de Transposición de NIS2 (NIS2UmsuCG)

250+

Expertos en ciberseguridad en el SOC principal de Deutsche Telekom en Bonn

Fuente: Informe de Responsabilidad Corporativa de Deutsche Telekom, 2024

Qué revela realmente el Informe sobre la Situación de Ciberseguridad del BSI 2025

El Informe sobre la Situación de Ciberseguridad del BSI 2025 (periodo de informe: julio de 2024 a junio de 2025) presenta por primera vez sistemáticamente indicadores cuantitativos, en lugar de limitarse a descripciones narrativas. 119 nuevas vulnerabilidades por día, un aumento del 24 % respecto al año anterior. 461 filtraciones de datos con vínculo a Alemania. El 47 % de todas las direcciones IP .de accesibles desde Internet exponen públicamente información sensible.

La presidenta del BSI, Claudia Plattner, lo resume así: «Toda institución o persona accesible desde Internet está potencialmente amenazada. Los atacantes buscan de forma deliberada las superficies de ataque más vulnerables. Solo quien se protege activamente puede evitar daños».

Pero también hay avances: el número de ataques con motivación financiera descendió un 9 %, principalmente gracias a los éxitos investigadores del BKA y el BSI contra la ciberdelincuencia organizada. Y el descenso de los ataques de ransomware contra grandes hospitales es notable: de 35 ataques informáticos contra grandes clínicas en 2021/2022 a 21 en 2023 y tan solo 3 en 2024. El Programa de Inversiones KRITIS en el sector sanitario está dando resultados.

El panorama de amenazas está cambiando: actores rusos atacan de forma dirigida a empresas alemanas, municipios y particulares. Actores estatales apuntan a proveedores de energía, proveedores de servicios en la nube y la industria automovilística. La tendencia se desplaza desde el ransomware oportunista hacia la espionaje industrial dirigido y la sabotaje. Para la respuesta a incidentes esto significa: los incidentes se vuelven más complejos y requieren competencias distintas a las necesarias para restaurar copias de seguridad cifradas.

Dos incidentes que pusieron a prueba el sistema

Südwestfalen-IT (octubre de 2023): El ataque de ransomware del grupo Akira contra este prestador de servicios informáticos municipales fue uno de los incidentes cibernéticos más graves de la historia administrativa alemana. Más de 70 municipios de Renania del Norte-Westfalia resultaron afectados, y 1,6 millones de ciudadanos no pudieron realizar trámites administrativos digitales durante varios meses. La causa: una contraseña débil, la ausencia de autenticación multifactor (MFA) y un dispositivo VPN sin parchear. No se pagó rescate alguno. Dos directivos fueron cesados por violar obligaciones fundamentales de seguridad.

Para el ecosistema de respuesta a incidentes, este incidente supuso una prueba de estrés: CERT-Bund coordinó la comunicación entre los municipios afectados y el BSI. Equipos privados de respuesta a incidentes prestaron apoyo en el análisis forense. La lección aprendida: los prestadores de servicios informáticos municipales constituyen un riesgo sistémico y deben regirse por una regulación más estricta bajo el marco de la NIS2.

Continental AG (agosto de 2022): El grupo LockBit robó unos 40 terabytes de datos, incluida información potencialmente sensible de VW, BMW y Mercedes. El ataque permaneció sin detectar durante cuatro semanas. Continental rechazó el pago inicial de 50 millones de dólares estadounidenses, y posteriormente de 40 millones de dólares estadounidenses, como rescate. La investigación fue llevada a cabo por el FBI. También en este caso, el sistema en tres niveles demostró su fortaleza: investigación oficial (BKA/FBI), análisis forense privado y compartición transversal de información entre sectores industriales (DCSO) funcionaron de forma coordinada.

La advertencia más reciente llegó en febrero de 2026: un gran ataque DDoS contra bahn.de y la aplicación DB Navigator dejó inoperativo el sitio web de Deutsche Bahn de forma escalonada durante varias horas. Un incidente que evidenció que incluso las infraestructuras críticas del transporte de pasajeros siguen siendo vulnerables.

119 / día

Nuevas vulnerabilidades diarias (+24 % respecto al año anterior)

Fuente: Informe sobre la Situación de Ciberseguridad del BSI 2025

NIS2: cómo la obligación de notificación profesionaliza la respuesta a incidentes

Desde el 6 de diciembre de 2025 rige en Alemania la ley de transposición de la directiva NIS2. Para la respuesta a incidentes, el artículo 23 de la directiva NIS2 es decisivo, y se ha implementado en un sistema de notificación en tres niveles: 24 horas para la alerta temprana (¿existe sospecha de causa ilícita o maliciosa? ¿Hay efectos transfronterizos?). 72 horas para la notificación del incidente, con una primera evaluación de su gravedad y de los indicadores de compromiso (IoC). Un mes para el informe final.

Para las empresas esto significa: la respuesta a incidentes ya no es una opción. Quien carezca de un plan documentado de respuesta a incidentes, de un equipo capaz de formular una alerta temprana dentro de las 24 horas o de un proceso para cumplir con la notificación en 72 horas, infringirá la ley vigente desde el primer incidente. Los directivos responden personalmente.

El efecto: la obligación de notificación según NIS2 impulsa la profesionalización. Las empresas que hasta ahora, tras un incidente, simplemente llamaban primero al departamento de TI (que quizás no estaba disponible durante el fin de semana) deben ahora disponer de un proceso operativo las 24 horas. Esto incrementa la demanda de servicios gestionados de seguridad y de contratos de retención profesional con prestadores de servicios de respuesta a incidentes.

La presidenta del BSI, Plattner, califica así la urgencia: «No podemos permitirnos esta incertidumbre». En el contexto de los aproximadamente 179.000 millones de euros que la ciberdelincuencia cuesta anualmente a Alemania, la respuesta profesional a incidentes no es solo un requisito de cumplimiento, sino un imperativo económico.

Posición internacional de Alemania

El Instituto Internacional de Estudios Estratégicos (IISS) clasifica a Alemania como una «potencia cibernética de segundo nivel», en el mismo nivel que los Países Bajos y Singapur. Primer nivel: únicamente Estados Unidos. La fortaleza de Alemania radica en su ecosistema estructurado de equipos CERT con múltiples niveles: CERT-Bund, CERT para ciudadanos, CERT de la Bundeswehr, equipos CERT específicos por Länder y equipos CERT privados como el de Telekom y la DCSO.

En cuanto a capacidades cibernéticas ofensivas, Alemania queda detrás de sus socios clave, Estados Unidos y Reino Unido. Pero para Alemania como ubicación económica, lo decisivo es el lado defensivo: ¿pueden las empresas alemanas detectar los ataques, responder a ellos y limitar los daños? La infraestructura para ello existe y se refuerza aún más mediante la NIS2.

En la European Cybersecurity Challenge (ECSC) 2025, Alemania alcanzó el tercer puesto, tras Italia y Dinamarca. Esto demuestra que el talento emergente en seguridad está presente, y que la formación en la Universidad Técnica de Darmstadt, la Universidad Ruhr de Bochum y la Universidad del Sarre produce profesionales competitivos a nivel internacional.

La postura crítica sincera

El sistema en tres niveles presenta lagunas. La mayor: la mediana empresa. CERT-Bund está destinado a las autoridades federales y apenas llega a las pequeñas empresas. La DCSO atiende a grandes corporaciones. El SOC de Telekom es un servicio comercial. Quien dirija una empresa de 80 empleados y detecte un ataque de ransomware a las dos de la madrugada, a menudo se encuentra completamente solo.

La obligación de notificación según NIS2 ayuda teóricamente, pues obliga a establecer procesos. Pero 24 horas para una alerta temprana son ambiciosas si el único «equipo de respuesta a incidentes» es el director general con su portátil personal. Los servicios gestionados de seguridad son la solución, pero cuestan entre 500 y 2.000 euros mensuales, y muchos empresarios de la mediana empresa los consideran un lujo en lugar de una necesidad.

Además: el 47 % de todas las direcciones IP .de accesibles desde Internet exponen información sensible. Esto muestra que incluso las medidas básicas de higiene cibernética faltan en casi la mitad de las organizaciones alemanas. La respuesta a incidentes es importante, pero la prevención sería mejor.

Cinco pasos hacia una respuesta profesional a incidentes

1. Redactar y probar un plan de respuesta a incidentes. Un plan escrito de respuesta a incidentes con funciones definidas, listas de contactos y niveles de escalado. Debe realizarse al menos una vez al año una simulación tipo «tabletop». El plan debe integrar los plazos de notificación según NIS2 (24 h / 72 h / 1 mes).

2. Firmar un contrato de retención con un prestador de servicios de respuesta a incidentes. Quien no tenga un especialista propio en respuesta a incidentes necesita un socio externo disponible en cuestión de horas. DCSO, Telekom Security, G DATA Advanced Analytics o boutiques especializadas como HiSolutions ofrecen dichos contratos de retención.

3. Implementar una vigilancia 24/7. Ya sea mediante un SOC propio o un servicio gestionado: sin monitoreo continuo, los ataques solo se detectarán cuando ya haya causado daños. Continental estuvo comprometida durante cuatro semanas antes de ser descubierto.

4. Configurar los canales de notificación del BSI. Conocer y probar con antelación el portal del BSI para notificar incidentes. Quien busque el formulario de notificación solo en medio de la crisis perderá horas valiosas.

5. Institucionalizar el aprendizaje derivado de los incidentes. Tras cada incidente (incluso los que se han repelido con éxito): ¿qué funcionó? ¿qué no? El incidente de Südwestfalen-IT costó a dos directivos sus puestos. La pregunta «¿habríamos podido prevenir el ataque?» debe responderse antes de que ocurra el siguiente.

Conclusión

El ecosistema alemán de respuesta a incidentes es mejor de lo que su reputación sugiere. CERT-Bund, DCSO y los SOCs del sector privado conforman un sistema en tres niveles que no tiene equivalente en Europa. La NIS2 refuerza aún más este sistema mediante obligaciones vinculantes de notificación y responsabilidad personal. Los incidentes de Südwestfalen-IT y Continental han demostrado: el sistema funciona bajo presión. Pero aún no alcanza suficientemente a la mediana empresa. Para Alemania como ubicación económica, una respuesta profesional a incidentes no es un factor de coste. Es la condición previa para que los 735.000 millones de euros de la iniciativa «Made-for-Germany» se inviertan en una infraestructura digital segura.

Preguntas frecuentes

¿Qué es CERT-Bund y cuándo debo contactarlo?

CERT-Bund es el Equipo de Respuesta a Emergencias Informáticas del BSI. Coordina la respuesta a incidentes de seguridad a nivel federal y mantiene un servicio de guardia 24/7. Las empresas sujetas a la NIS2 deben notificar los incidentes a través del portal del BSI. También las empresas no sujetas a la NIS2 pueden contactar a CERT-Bund, aunque no recibirán apoyo individualizado en la respuesta a incidentes, sino únicamente alertas y recomendaciones técnicas.

¿Qué es la DCSO y quién puede convertirse en miembro?

La Organización Alemana de Ciberseguridad es una sociedad limitada (GmbH) impulsada por Allianz, BASF, Bayer y Volkswagen. Ofrece servicios de inteligencia sobre amenazas y servicios de SOC. La membresía está abierta, en principio, a empresas dispuestas a participar en los costes y compartir información sobre amenazas. Para la mediana empresa no existe una membresía directa, pero las conclusiones de la DCSO fluyen, a través del panorama de amenazas del BSI, a las alertas generales.

¿Cuánto cuesta un SOC gestionado para la mediana empresa?

Entre 500 y 2.000 euros mensuales para un monitoreo básico (SIEM/XDR como servicio, alertas 24/7, informe mensual). Los contratos de retención dedicados para respuesta a incidentes cuestan además entre 1.000 y 5.000 euros mensuales, según la garantía de tiempo de respuesta. La alternativa (un SOC propio con tres analistas en turnos rotatorios) cuesta a partir de 300.000 euros anuales.

¿Qué ocurre si no notifico un incidente NIS2 dentro de las 24 horas?

Multas de hasta 10 millones de euros o el 2 % de la facturación anual global. Los directivos responden personalmente. Además, el BSI puede exigir informes intermedios y, en caso de infracciones repetidas, imponer medidas que van desde la supervisión hasta la exclusión temporal de la dirección.

¿Cómo me preparo para un incidente de respuesta a incidentes?

Tres acciones inmediatas: primero, redactar un plan de respuesta a incidentes con funciones y contactos definidos. Segundo, firmar un contrato de retención con un prestador de servicios de respuesta a incidentes. Tercero, llevar a cabo una simulación tipo «tabletop» en la que el equipo pruebe el plan bajo condiciones de estrés. Quien haya completado estos tres pasos estará mejor preparado que el 80 % de la mediana empresa alemana.