— Edición 1.247 52 trackers verificados
ES EN
Política · Tecnología · Regulación digital  ·  donde los datos hablan antes que los titulares
Cifras del cierre
Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7 Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7
/ trackers / operational-resilience-cyber
Compliance · Ciberresiliencia

Resiliencia operacional y ciberseguridad (DORA / NIS2 / SEC)

Rastrea el endurecimiento regulatorio de la resiliencia operacional digital: la entrada en enforcement de DORA y NIS2 en la UE, las reglas de divulgación de incidentes de la SEC en EE.UU., los plazos de reporte de CIRCIA y la responsabilidad personal de los directivos. Cada entrada documenta la norma, el plazo, el alcance extraterritorial y la sanción.

Snapshot · 8 de junio de 2026
4
hitos regulatorios
↑ 4 hitos de resiliencia operacional documentados; 2026 es el primer ciclo real de enforcement de DORA y NIS2, con responsabilidad personal de directivos, alcance extraterritorial y plazos de reporte de 72 horas para incidentes y 24 horas para pagos de ransomware

Evolución

Análisis de los datos

Lecturas estadísticas derivadas de los atributos de cada caso registrado. Todas las cifras proceden de los eventos documentados; los importes se calculan solo sobre los casos con cantidad expresada en la moneda indicada, sin convertir entre divisas.

Marco regulatorio

DORA, NIS2, SEC cyber disclosure o CIRCIA: qué régimen genera la obligación.

Jurisdicción

UE, EE.UU., Reino Unido u otras: dónde aplica, con alcance extraterritorial frecuente.

Tipo de obligación

Reporte de incidentes, gestión de riesgo de terceros, responsabilidad de directivos o divulgación pública.

Lectura de los datos

En 2026 la ciberseguridad deja de ser un asunto que un consejo puede delegar en su CISO: DORA y NIS2 entran en su primer ciclo de enforcement con responsabilidad personal de los directivos, alcance extraterritorial y plazos de reporte que se miden en horas.

AM
Alexandra A. Medina · Experta en tecnología · Ciudad de México
8 de junio de 2026 · 5 min de lectura

Durante años, los dos regímenes europeos de ciberresiliencia —el Reglamento de Resiliencia Operativa Digital (DORA) y la Directiva NIS2— se vivieron en los equipos de cumplimiento como fechas en un horizonte lejano. En 2026 eso cambia. DORA, aplicable desde enero de 2025 para entidades financieras, entra en su primer ciclo genuino de supervisión, y los reguladores han señalado que actuarán sobre fallos de reporte de incidentes y deficiencias persistentes en el Registro de Información.

La responsabilidad sube al consejo

NIS2 hace a los órganos de dirección responsables de aprobar y supervisar las medidas de gestión de riesgo, les exige formación y prevé que respondan por los fallos de la entidad. DORA deposita igualmente la responsabilidad última del marco de riesgo TIC en el órgano de dirección. La ciberseguridad ya no es delegable como asunto operativo: es una obligación de gobernanza con consecuencias personales.

Por qué afecta a empresas de EE.UU. y LATAM

El alcance de estas normas es extraterritorial: entidades no europeas quedan dentro de su radio si tienen presencia significativa o prestan servicios al mercado de la UE. Para América Latina, donde muchas empresas operan como proveedores de servicios digitales a clientes europeos, esto significa que el marco europeo de resiliencia se convierte en una exigencia de facto. En EE.UU., la SEC exige a las empresas cotizadas establecer gobernanza de riesgo cibernético para su divulgación anual, y CIRCIA contempla reportar incidentes significativos en 72 horas y pagos de ransomware en 24 horas.

NIS2 amplía el alcance a más de 100.000 entidades en 18 sectores, un salto enorme respecto a la directiva original. El plazo de transposición venció en octubre de 2024, pero solo un número limitado de Estados miembros lo había incorporado a tiempo, lo que crea un mapa desigual que las empresas multinacionales deben rastrear país por país.

Fuentes: ComplianceHub; Moody's; AIGovHub; VinciWorks. Este rastreador distingue entre fecha de vigencia, fecha de transposición y primer caso de aplicación efectiva, y no anticipa sanciones no impuestas.

Eventos documentados (4)

10 de febrero de 2026 US confirmed

EE.UU. · La SEC exige gobernanza de riesgo cibernético para la divulgación anual de las cotizadas

Las reglas de ciberseguridad de la SEC exigen a las empresas cotizadas establecer procesos de gestión y gobernanza de riesgo cibernético para su divulgación anual en el formulario 10-K, incluyendo supervisión del consejo, responsabilidad de la dirección y procesos para evaluar y gestionar riesgos materiales. Tras el primer año de aplicación, el patrón muestra que la mayoría de los incidentes no terminan teniendo impacto material confirmado, aunque las empresas divulgan de forma temprana por precaución. La unidad de la SEC también incrementó el escrutinio sobre las afirmaciones de IA ('AI washing').

5 de marzo de 2026 US confirmed

EE.UU. · CIRCIA: reportar incidentes en 72 horas y pagos de ransomware en 24 horas

La Ley de Reporte de Incidentes Cibernéticos para Infraestructura Crítica (CIRCIA, 2022) exigirá reportar incidentes cibernéticos significativos en un plazo de 72 horas y los pagos de ransomware en 24 horas. Mientras se finaliza la regla definitiva (prevista para 2025-2026), las organizaciones de sectores de infraestructura crítica deben prepararse para registrar sus sistemas de reporte ante la CISA. El marco se suma a un panorama global —junto a NIS2, DORA y las reglas de la SEC— que exige divulgación más rápida y transparente de incidentes con plazos y formatos distintos.

20 de enero de 2026 EU confirmed

UE · NIS2 alcanza a más de 100.000 entidades en 18 sectores, con responsabilidad de directivos

La Directiva NIS2 amplía su alcance a más de 100.000 entidades grandes y medianas en 18 sectores —energía, transporte, banca, infraestructuras de mercado financiero, salud, agua, infraestructura digital, administración pública y espacio—, un aumento significativo respecto a la directiva original. Hace a los órganos de dirección responsables de aprobar y supervisar las medidas de gestión de riesgo, con multas máximas superiores a las de DORA. El plazo de transposición venció el 17 de octubre de 2024, pero solo un número limitado de países lo había incorporado a tiempo.

15 de enero de 2026 BE confirmed

UE · DORA entra en su primer ciclo real de enforcement para entidades financieras

El Reglamento de Resiliencia Operativa Digital (DORA), aplicable desde enero de 2025 para entidades financieras de la UE, entra en 2026 en su primer ciclo genuino de supervisión. Los reguladores han señalado que actuarán sobre fallos de reporte de incidentes y deficiencias persistentes en el Registro de Información. A diferencia de NIS2, DORA es un reglamento de aplicación directa en todos los Estados miembros, sin necesidad de transposición nacional, y sus estándares técnicos quedaron finalizados, lo que habilita la supervisión efectiva.

Metodología

Tipo
event-log
Construcción
Multi-fuente verificada
Cadencia
evento a evento

Se documentan hitos verificables del marco de resiliencia operacional digital: fechas de aplicación y enforcement de DORA y NIS2, reglas de divulgación de la SEC, plazos de CIRCIA y casos que ilustran la responsabilidad de los órganos de dirección. Cada evento se clasifica por norma, jurisdicción, plazo y tipo de obligación. Se distingue entre fecha de vigencia, fecha de transposición y primer caso de aplicación efectiva.

Fuentes consultadas

  1. ComplianceHub — DORA enforcement arrives and NIS2 hits its October deadline (2026) ↗ press
  2. Moody's — Understanding the NIS2 regulation: staying compliant ↗ press
  3. AIGovHub — Cybersecurity incident response: NIS2, DORA, CISA & SEC compliance (2026) ↗ press