La ciberseguridad ya no es solo un tema TI, es un imperativo de cumplimiento: el asunto «Illumina»

En el entorno actual, la ciberseguridad deja de ser un “capricho tecnológico” para pasar a ser una obligación de cumplimiento normativo y contractual. El caso de Illumina marca un hito: la empresa llegó a un acuerdo de resolver reclamaciones basadas en la falta de implementación adecuada de controles de ciberseguridad, sin necesariamente que se hubiera producido una brecha pública, sino por la ausencia de cumplimiento de requisitos contractuales y regulatorios.  

¿Qué ocurrió?

• La U.S. Department of Justice (DOJ) acusó a Illumina de vender sistemas de secuenciación genómica al Gobierno de EE.UU. declarando que cumplían los requerimientos de ciberseguridad, cuando supuestamente no habían implementado controles adecuados, no habían corregido vulnerabilidades conocidas y no contaban con un programa sólido de seguridad en el ciclo de vida del producto.  
• Se considera que la demanda partía de la False Claims Act (FCA): se alegaba que Illumina había hecho certificaciones falsas al Gobierno respecto a sus productos.  
• La conclusión: no basta con tener una declaración de cumplimiento — la empresa debe poder demostrar que los controles de ciberseguridad realmente están implementados, mantenidos y auditados.  

Lecciones clave para el mercado español / europeo

Aunque el caso es estadounidense, el mensaje aplica igualmente en Europa. A continuación, algunas lecciones que las empresas deben incorporar urgentemente:

1. La ciberseguridad se integra en el cumplimiento legal y contractualNo se trata solo de cumplir con el RGPD, la NIS2, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) o estándares sectoriales: también se trata de cumplir con cláusulas contractuales (tanto con clientes como con proveedores) que pueden exigir controles específicos. Si esas cláusulas se incumplen, puede haber sanciones, pérdida de contratos, e incluso responsabilidades de tipo contractual o penal.
2. Documentar ≠ cumplir. Verificar ≠ bastar con un simple checklist.Illumina fue sancionada porque, aunque aparentemente se presentaron declaraciones de cumplimiento, las evidencias internas no mostraban que los controles estaban realmente activos, monitorizados y corregidos.En Europa, debemos tener en cuenta que los organismos reguladores (o los propios clientes) pueden exigir auditorías, pruebas de controles, pruebas de remediación, evidencias de gestión de vulnerabilidades, etc.
3. La cadena de suministro cuentaEn contratos con proveedores, subcontratistas o terceros, a menudo las obligaciones de ciberseguridad se “desprenden” (flow-down). Si tus proveedores no cumplen, tú puedes ser responsable. El caso Illumina resalta que no solo los grandes fabricantes quedan expuestos: los subcontratistas, los que participan en la cadena, también deben tener visibilidad, controles y verificación.
4. Cultura de remediación y reporte activoEncontrar un fallo → no ocultarlo → remediarlo / documentarlo → si es relevante, reportarlo proactivamente. Tener un incidente o vulnerabilidad sin gestión adecuada puede derivar en sanción, aún sin que haya un incidente externo de ataque.
5. Implícate en el ciclo de vida completo del activoNo basta con que “ahora esté bien”. Se trata de: diseño seguro, desarrollo seguro, instalación, operación, mantenimiento, eventual retirada o actualización. El ciclo de vida completo debe estar considerado. El caso resalta que Illumina no habría gestionado adecuadamente ese ciclo.  
6. El “sí, lo firmamos” ya no valeCuando se firma o certifica que un activo, un contrato o un sistema cumple con determinado estándar o control de ciberseguridad, esa firma se convierte en una promesa formal. Incumplirla puede conllevar responsabilidades. Las empresas deben poder auditar y demostrar qué controles existen, quién los supervisa, con qué métricas, cuándo se revisan, etc.

Para empresas medianas y grandes en España: ¿Qué pasos adoptar?

Dado que nuestro foco es en empresas de entre ~50 y ~100 empleados, con alto uso de tecnología e IA, y también aquellas mayores que operan en múltiples jurisdicciones, aquí un plan de acción estratégico, alineado al servicio que Qubit CyberDefence ofrece:

1. Diagnóstico de cumplimiento de ciberseguridad

• Evaluar qué contratos y qué regulaciones aplican: ¿se opera con entidades públicas? ¿existen cláusulas de seguridad o de cumplimiento en los contratos con clientes o proveedores?
• Mapear los activos críticos, evaluar su ciclo de vida, identificar cuáles podrían generar obligaciones contractuales o regulatorias.
• Verificar si actualmente se dispone de evidencias de cumplimiento (auditorías, tests de penetración, gestión de vulnerabilidades, políticas revisadas, registros de incidentes, formación, trazabilidad).

2. Diseño de la gobernanza de ciberseguridad como pilar de cumplimiento

• Definir roles y responsabilidades claras (CSO/CISO, comité de Ciberseguridad/Cumplimiento, equipo Técnico, Jurídico, Compliance).
• Establecer políticas que articulen no solo “qué” se hace, sino “cómo” se documenta, “cuándo” se revisa y “quién” lo firma.
• Incorporar el cumplimiento de controles de ciberseguridad dentro del marco de cumplimiento general (por ejemplo, como parte de compliance penal, protección de datos, continuidad de negocio).
• Planificar revisiones periódicas: auditorías internas/externeas, KPIs de seguridad, simulacros de incidentes.

3. Evidencia, mantenimiento y mejora continua

• Asegurar que cada control declarado esté operando efectivamente. Por ejemplo: escaneos de vulnerabilidades, parches aplicados, pruebas de intrusión, gestión de logs, respuesta a incidentes con métricas de tiempo de detección y remediación.
• Adoptar un enfoque de mejora continua: no basta con “hoy está bien”, hay que mantenerlo, documentarlo y revisarlo.
• Preparar reporting interno y externo que muestre que el sistema de ciberseguridad está vivo: informes trimestrales/semianuales al comité directivo, al consejo, y a clientes que lo soliciten.

4. Subcontratistas y proveedores: asegurar la cadena

• Incluir cláusulas contractuales que obliguen al proveedor/subcontratista a cumplir con determinados controles, y que permitan auditoría.
• Verificar que los proveedores efectivamente cumplen: generar evidencias, pedir certificaciones, visitas, auditorías puntuales.
• Preparar contingencia: ¿qué pasa si un proveedor falla? ¿cómo se mitiga? ¿hay alternativa?

5. Comunicación y reputación: ser proactivo

• En un entorno donde los requisitos de ciberseguridad están ligados a cumplimiento normativo y contractual, la reputación importa: un incidente o una mala auditoría puede afectar a clientes, inversores, reguladores.
• Preparar un plan de comunicación de crisis, y contar con un discurso claro de cómo se protege la empresa, qué evidencias hay, cómo se actúa.
• Convertir la ciberseguridad en ventaja competitiva: en ofertas a clientes, mostrar que se cumple más allá del estándar, que se monitoriza, que se audita, que se integra en la cultura empresarial.

Conclusión

El caso de Illumina transmite un mensaje nítido para las empresas en España y Europa: la ciberseguridad es ya un componente esencial del cumplimiento, tanto contractual como regulatorio. No basta con tener la “mejor solución tecnológica”, sino que debe integrarse en la gobernanza, documentarse, mantenerse e involucrar toda la cadena de valor (proveedores, subcontratistas, clientes).

Para Qubit CyberDefence, esto representa una gran oportunidad de enfoque: acompañar a las empresas en este tránsito de “seguridad tecnológica” a “ciberseguridad como obligación de cumplimiento + valor competitivo”. Ofrecemos, para ello, servicios que cubren diagnóstico, diseño de gobernanza, operativa continua, auditoría y evidencia, gestión de proveedores y respuesta a incidentes.

Si estás interesado en que revisemos cómo tu empresa puede anticipar estos riesgos y convertir la ciberseguridad en un activo estratégico —en lugar de un coste o una obligación—, podemos agendar una sesión de exploración sin compromiso.