La Unión Europea ha aprobado un nuevo paquete de sanciones contra actores implicados en ciberataques contra Estados miembros y países socios. En total, el Council of the European Union ha sancionado a cinco actores: tres empresas y dos individuos, en una decisión que refuerza la respuesta comunitaria frente al aumento de amenazas digitales.
A diferencia de lo que podría sugerir una lectura superficial, no se trata de cinco medidas distintas, sino de un mismo régimen sancionador aplicado a cinco responsables identificados. Las restricciones incluyen la congelación de activos en territorio europeo, la prohibición de recibir financiación de ciudadanos o empresas de la UE y, en el caso de las personas físicas, la imposibilidad de entrar o transitar por la Unión.
Estas son las empresas sancionadas por la UE
Entre los actores señalados figuran dos compañías chinas y una iraní, a las que Bruselas atribuye actividades de ciberespionaje, intrusión en sistemas críticos y filtración de datos.
La primera de ellas es Integrity Technology Group, una empresa que, según el Consejo, ha proporcionado herramientas utilizadas para comprometer dispositivos en Europa y otras regiones. Entre 2022 y 2023, estas capacidades habrían facilitado el hackeo de más de 65.000 dispositivos en seis Estados miembros, lo que evidencia el alcance de las operaciones.
También ha sido incluida en la lista Anxun Information Technology, otra empresa china acusada de ofrecer servicios de intrusión dirigidos contra infraestructuras críticas y funciones esenciales tanto en la Unión Europea como en terceros países.
El tercer actor empresarial es Emennet Pasargad, una compañía iraní vinculada a múltiples incidentes de ciberseguridad. Según la UE, esta entidad accedió de forma ilícita a una base de datos de suscriptores en Francia y posteriormente ofreció su contenido en la dark web.
Dos individuos sancionados por su implicación directa
Junto a las empresas, el Consejo ha sancionado a dos individuos, identificados como cofundadores de Anxun Information Technology. Ambos habrían participado directamente en la planificación y ejecución de ciberataques contra Estados miembros, lo que ha motivado su inclusión en el régimen de sanciones.
En su caso, además de la congelación de activos y la prohibición de recibir fondos, se les aplica una restricción de viaje que impide su entrada o tránsito por territorio comunitario.
Ciberataques y desinformación: una amenaza híbrida
Los casos recogidos por la UE no se limitan al acceso ilegal a sistemas o al robo de datos. En el caso de Emennet Pasargad, las autoridades europeas también atribuyen a la empresa operaciones de desinformación durante los Paris 2024 Olympic Games, tras comprometer paneles publicitarios para difundir contenido manipulado.
Además, la compañía habría atacado un servicio de SMS en Suecia, afectando a un gran número de ciudadanos europeos. Este tipo de acciones reflejan un patrón cada vez más habitual: la combinación de ciberataques técnicos con campañas de influencia.
Las sanciones se enmarcan en el llamado “ciber diplomacy toolbox”, el conjunto de herramientas que la UE utiliza desde 2017 para prevenir, disuadir y responder a actividades maliciosas en el ciberespacio. Este mecanismo permite aplicar medidas restrictivas contra actores que supongan una amenaza para la seguridad y la integridad de la Unión.
Con esta nueva decisión, el régimen europeo de sanciones por ciberataques alcanza ya a 19 individuos y 7 entidades, consolidando una estrategia que combina presión diplomática, medidas económicas y coordinación internacional.
Un mensaje claro desde Bruselas
Desde el Council of the European Union, la lectura es clara: la Unión Europea está dispuesta a actuar frente a actividades cibernéticas maliciosas que afecten a sus Estados miembros. Más allá del impacto directo de estas sanciones, el objetivo es enviar una señal disuasoria a otros actores que operan en el ciberespacio.
En un contexto de creciente tensión digital, donde los ciberataques forman parte de estrategias geopolíticas más amplias, la UE refuerza así su posicionamiento como actor activo en la defensa de un entorno digital seguro.
La decisión, publicada en el Diario Oficial de la Unión Europea, marca un nuevo paso en la consolidación de la ciberseguridad como uno de los pilares clave de la política exterior comunitaria.
