ELSA y la guía de gestión del riesgo del INCIBE permiten analizar la exposición digital de una organización desde dentro y desde fuera. Santiago Sánchez explica cómo la criminología ayuda a entender y prevenir el delito digital en el entorno corporativo.
La digitalización ha cambiado la forma en que operan las organizaciones. Cada servicio expuesto, cada configuración y cada rutina laboral puede convertirse en una oportunidad delictiva. Lo que antes era un fallo aislado, como una contraseña débil, un servicio olvidado o un proveedor mal supervisado, hoy puede comprometer toda la infraestructura. Informes técnicos muestran que muchos incidentes nacen de errores cotidianos más que de ataques sofisticados.
La criminología lleva décadas explicando este fenómeno. Según la teoría de las actividades rutinarias de Cohen y Felson, el delito aparece cuando coinciden tres elementos: una oportunidad, un actor motivado y la ausencia de controles eficaces. En el entorno digital esta convergencia es constante. Un puerto abierto sin justificación o una API expuesta no son simples fallos técnicos, son escenarios donde la falta de supervisión facilita la acción delictiva.
➡️ Te puede interesar: Armas del futuro: ¿la inteligencia artificial definirá la seguridad y la defensa del siglo XXI?
España cuenta con dos herramientas institucionales que permiten observar este riesgo desde ángulos complementarios. La guía de gestión del riesgo del INCIBE ayuda a ordenar la incertidumbre interna: activos, amenazas, vulnerabilidades y consecuencias. Por su parte, ELSA, la solución del CCN-CERT, muestra qué ve un atacante al analizar una infraestructura desde fuera. Integrar ambas miradas con un enfoque criminológico permite entender el riesgo digital como un fenómeno híbrido donde tecnología, comportamiento humano, cultura organizativa y estructura interna se entrelazan.
Elsa e INCIBE: dos miradas complementarias para entender la exposición digital
Comprender el riesgo digital exige observar la organización desde dentro y desde fuera. ELSA aporta la visión externa. Identifica activos conectados a Internet, servicios visibles y configuraciones expuestas. Su valor criminológico es claro, revela oportunidades delictivas invisibles que pasan desapercibidas por falta de inventario o por rutinas laborales que normalizan ciertos fallos. Muestra lo mismo que vería un atacante al escanear una infraestructura.
Desde la teoría de las actividades rutinarias, permite detectar cuándo un objetivo vulnerable coincide con la ausencia de un «guardián capaz». En el entorno digital, ese guardián es un control técnico, como una autenticación robusta, una segmentación adecuada o una supervisión continua. Cuando estos controles fallan, la oportunidad delictiva aparece.
La guía de gestión del riesgo del INCIBE aporta la mirada interna. Propone un proceso estructurado para identificar activos, amenazas y vulnerabilidades, y para evaluar las consecuencias de un incidente. Esta metodología permite que la organización deje de reaccionar a problemas aislados y empiece a comprender el riesgo como un proceso continuo. También obliga a reflexionar sobre responsabilidades, dependencias, procesos críticos y niveles de tolerancia al riesgo.
➡️ Te puede interesar: ¿Qué es el cibercrimen y cómo protegerse?
Su aportación criminológica es indirecta pero esencial. Al ordenar la complejidad interna, reduce la probabilidad de que fallos organizativos, como la falta de supervisión, la ausencia de métricas o la inexistencia de procedimientos claros, se conviertan en oportunidades delictivas. La gestión del riesgo se convierte así en un mecanismo preventivo que refuerza la capacidad de anticipar incidentes.
| Elemento | ELSA del ccn-cert | Guía de gestión del riesgo del INCIBE |
| Perspectiva | Externa (lo que ve un atacante) | Interna (cómo se entiende el riesgo desde dentro) |
| Objetivo | Detectar exposición y oportunidades delictivas | Ordenar activos, amenazas y vulnerabilidades |
| Valor criminológico | Identifica ausencia de «guardianes capaces» | Reduce fallos organizativos que generan oportunidades |
| Resultado | Radiografía de la superficie de ataque | Modelo continuo de gestión del riesgo |
ELSA y la guía del INCIBE se complementan perfectamente. Esta tabla resume sus aportes clave y su valor criminológico en la prevención del riesgo digital. Con esta combinación de visión externa e interna, las organizaciones pueden detectar y reducir las oportunidades delictivas de forma más efectiva.
Tecnología y cultura: la aportación criminológica al riesgo digital
La criminología ofrece un marco útil para entender por qué las oportunidades delictivas emergen con tanta facilidad en el entorno digital. La teoría de las actividades rutinarias explica que el delito ocurre cuando un actor motivado encuentra un objetivo vulnerable sin un guardián capaz. En el mundo digital, cada dispositivo conectado y cada configuración insegura puede convertirse en una puerta abierta.
Pero el riesgo no es solo técnico. La teoría del control social de Hirschi recuerda que las personas cumplen las normas cuando existen lazos de apego, compromiso, involucramiento y creencias compartidas. Cuando estos lazos se debilitan, aumentan las negligencias, las omisiones y los comportamientos desviados. En las organizaciones, esto se traduce en procesos que no se revisan, proveedores que no se supervisan o responsabilidades difusas.
➡️ Te puede interesar: Protección de datos personales: cómo mantener tu información segura en línea
Integrar ambas teorías permite entender que la prevención del delito digital requiere actuar en dos planos simultáneos. Por un lado, reducir oportunidades mediante controles técnicos como la autenticación multifactor, la segmentación de redes o la monitorización continua. Por otro, reforzar la cultura organizativa para disminuir la probabilidad de desviación interna. La tecnología sin cultura es insuficiente; pero la cultura sin tecnología también.
Este enfoque da lugar a un modelo de cibercompliancecriminológico. No se limita al cumplimiento normativo, sino que combina controles técnicos y controles sociales para reducir tanto las oportunidades delictivas como las conductas desviadas.
Cuatro dinámicas que explican el riesgo digital corporativo
Del análisis conjunto de marcos institucionales y teorías criminológicas emergen cuatro dinámicas que explican cómo se construye el riesgo digital en la práctica.
La primera es la existencia de oportunidades técnicas delictivas. La superficie digital de una organización, es decir, sus servicios expuestos, sus configuraciones y sus dispositivos, se convierte en un escenario donde pequeñas decisiones cotidianas pueden abrir puertas a actores malintencionados. Investigaciones recientes muestran que los atacantes aprovechan fallos rutinarios más que vulnerabilidades sofisticadas. ELSA permite visualizar estas oportunidades antes de que sean explotadas.
➡️ Te puede interesar: El papel de ENISA en la nueva arquitectura de ciberseguridad europea
La segunda dinámica tiene que ver con los defectos organizativos. Muchas vulnerabilidades no nacen de la tecnología, sino de la estructura interna: planes de continuidad no probados, supervisión insuficiente de proveedores, reporting irregular o culturas de seguridad débiles. La metodología de Indicadores para la Mejora de la Ciberresiliencia del INCIBE insiste en medir y evaluar estos aspectos para reducir la incertidumbre. Desde la teoría del control social, estos fallos representan déficits de supervisión y compromiso.
La tercera dinámica se refiere a los mecanismos preventivos y capacidades forenses. Los centros de operaciones de seguridad (SOC), los equipos de respuesta a incidentes (CSIRT), las plataformas de análisis de eventos (SIEM) y marcos como NIST o MITRE actúan como guardianes capaces institucionalizados. Cuando están bien integrados, permiten detectar anomalías, responder a incidentes y aprender de ellos. Su función no es solo técnica, sino que generan orden y disciplina.
La cuarta dinámica tiene que ver con los desafíos arquitectónicos. La tecnología impone límites reales a la prevención y a la investigación. El cifrado por hardware, el sandboxing o la fragmentación en ciertos sistemas dificultan la obtención de evidencia. Estos límites recuerdan que la seguridad no es absoluta y que la prevención debe adaptarse a las restricciones técnicas del entorno.
La comprensión integrada del riesgo digital muestra que la prevención no depende solo de herramientas o de normas, sino de la capacidad de combinar controles técnicos, cultura organizativa y una lectura criminológica del entorno. Esta mirada permite anticipar incidentes y construir organizaciones más resilientes en un ecosistema digital cada vez más complejo.
➡️ Si quieres ser un experto en Ciberseguridad, te recomendamos el siguiente curso formativo:
