Skip to content

Sanciones contra los ciberataques

La UE puede imponer sanciones para impedir los ciberataques que constituyen una amenaza externa para la UE o sus Estados miembros y responder a ellos.

Ciberataques que amenacen a la UE o a sus Estados miembros

En mayo de 2019, el Consejo estableció un marco de sanciones que permite a la UE imponer medidas restrictivas específicas para impedir los ciberataques que constituyen una amenaza externa para la UE o sus Estados miembros y responder a ellos.

Más concretamente, este marco permite por primera vez a la UE imponer sanciones a las personas o entidades responsables de ciberataques o tentativas de ciberataques, o que prestan para ello apoyo financiero, técnico o material o están implicadas de algún otro modo en dichos ataques.

Este régimen de sanciones abarca los ciberataques que tengan consecuencias importantes y se originen, o se cometan, desde el exterior de la UE, utilicen infraestructura fuera de la Unión, hayan sido cometidos por personas o entidades establecidas o que tengan actividad fuera de la UE o hayan sido cometidos con el apoyo de personas o entidades que tengan actividad fuera de la UE.

Las sanciones incluyen la prohibición de entrada en la Unión para las personas y la inmovilización de activos para las personas y las entidades. Además, se prohíbe la provisión de fondos y otros recursos económicos, directa o indirectamente, a las personas y entidades sancionadas o en su beneficio.

El régimen de sanciones se aplica actualmente a 19 personas y 7 entidades y se ha prorrogado por última vez hasta el 18 de mayo de 2027.

Entre los ciberataques que constituyen una amenaza para los países de la UE se incluyen los que afecten a los sistemas de información relacionados con:

  • las infraestructuras críticas que resulten esenciales para el funcionamiento vital de la sociedad, o para la salud, la seguridad, la protección y el bienestar económico o social de la ciudadanía;
  • los servicios necesarios para las actividades sociales o económicas esenciales, especialmente la energía, el transporte, la actividad bancaria, las finanzas, la asistencia sanitaria, el agua potable y las infraestructuras digitales;
  • las funciones vitales del Estado, en particular la defensa, la gobernanza y el funcionamiento de las instituciones, las elecciones públicas, las infraestructuras económicas y civiles, la seguridad interior y las relaciones exteriores, incluidas las misiones diplomáticas;
  • el almacenamiento o el tratamiento de información clasificada;
  • los equipos de respuesta de emergencia del Estado.

Entre las personas sancionadas en virtud de este régimen de sanciones figuran nacionales rusos responsables de una serie de ciberataques perpetrados contra la UE y sus Estados miembros, entre ellos el ataque de 2015 contra el Parlamento Federal alemán y los ataques de 2020 contra varios ministerios del Gobierno de Estonia.

Entre las entidades sancionadas figuran empresas que prestan servicios de piratería informática y productos utilizados para poner en peligro los dispositivos de los Estados miembros de la UE y acceder a ellos. Estas entidades tienen su sede en países no pertenecientes a la UE, como Rusia, China e Irán.

Impulsar la ciberdiplomacia

En junio de 2017, la UE estableció un marco para una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas, el denominado «conjunto de instrumentos de ciberdiplomacia». Este marco permite a la UE y sus Estados miembros recurrir a todas las medidas contempladas en la política exterior y de seguridad común (PESC), incluidas las sanciones en caso necesario, para prevenir, desincentivar e impedir las actividades informáticas malintencionadas dirigidas contra su integridad y su seguridad y darles respuesta.

El conjunto de instrumentos de ciberdiplomacia se revisó en 2023 para permitir el desarrollo de estrategias sostenidas, adaptadas, coherentes y coordinadas dirigidas contra los agentes de ciberamenazas persistentes.

La Estrategia de Ciberseguridad de la UE, adoptada en diciembre de 2020 por la Comisión Europea y el Servicio Europeo de Acción Exterior (SEAE), refuerza la respuesta diplomática de la UE a los ciberataques.

El 8 de octubre de 2024, el Consejo estableció un nuevo marco de sanciones en respuesta a las acciones desestabilizadoras que Rusia lleva a cabo en el exterior.

Este marco permite a la UE poner en su punto de mira a las personas y entidades que participan en acciones y medidas, como los ciberataques, del Gobierno de la Federación de Rusia que menoscaban los valores fundamentales, la seguridad, la independencia y la integridad de la UE y sus Estados miembros, y también de organizaciones internacionales y terceros países.

Véase también

¿Por qué adopta sanciones la UE?

¿Por qué adopta sanciones la UE?

Amenazas híbridas

Amenazas híbridas

Ciberdefensa

Ciberdefensa

Última revisión: 13 de julio de 2026