Estevenson Solano

Era una mañana importante para un laboratorio de biotecnología avanzada donde descubrió algo inquietante a través de una de sus avanzadas plataformas de investigación genómica, utilizada para diseñar tratamientos que salvan vidas basadas en el ácido desoxirribonucleico (ADN) de los pacientes, había sido comprometida silenciosamente. No faltaba ningún dato. No se había borrado nada. Aunque se podría sospechar de una «brecha de datos biológicos». En cambio, se habían alterado un par de bases en un conjunto de datos sobre el genoma del cáncer. De forma sutil. Inteligente. Maliciosa. La intersección entre la genómica y la Ciberseguridad no es solo una cuestión técnica, sino también humana: tiene implicaciones para la identidad, la privacidad y la confianza en la ciencia. En principio la alteración pasó desapercibida debido a las limitadas capacidades de Ciberseguridad y solo se detectó una anomalía durante un ensayo clínico. Las implicaciones eran aterradoras: alguien había manipulado el código genético, no solo los datos. El atacante no había robado un genoma, lo había corrompido. Unas pocas líneas de ADN sintético con malware incrustado habían pasado por el sistema de secuenciación del laboratorio, lo que permitía el acceso remoto a los servidores de investigación. La ciberamenaza ya no se limitaba a un virus o una brecha de datos, sino que había traspasado la frontera de la biología. Vulnerabilidad y riesgos en la protección de datos genómicos El NIST plantea que los datos genómicos se generan a partir del estudio de la estructura y la función del genoma de un organismo, que está compuesto por genes y otros elementos que controlan la actividad de los genes. Entre los ejemplos de datos genómicos se pueden incluir información sobre secuencias del ADN, variantes y actividad génica. Los ciberataques dirigidos a datos genómicos también pueden perjudicar a las personas al permitir la intimidación para obtener ganancias económicas, la discriminación basada en el riesgo de enfermedad y la pérdida de privacidad al revelar consanguinidad o fenotipos ocultos, incluyendo salud, estabilidad emocional, capacidad mental, apariencia y habilidades físicas. Además de los riesgos de privacidad que pueden surgir debido a un ciberataque, pueden surgir riesgos de privacidad no relacionados con la Ciberseguridad al procesar datos genómicos. Estos riesgos pueden surgir cuando hay previsibilidad, manejabilidad y disociabilidad insuficientes en el procesamiento de datos genómicos. La previsibilidad insuficiente en el procesamiento de datos puede resultar en problemas de privacidad si las personas no son conscientes de lo que está sucediendo con sus datos genómicos. La manejabilidad insuficiente en el procesamiento de datos puede surgir cuando no se tienen las capacidades para permitir una administración adecuadamente granular de los datos genómicos. Por ejemplo, es posible que las personas requieran la opción de eliminar parte o la totalidad de sus datos genómicos de un conjunto de datos. Permitir el acceso a datos genómicos sin procesar, en lugar de utilizar tecnologías adecuadas que mejoren la privacidad para extraer únicamente la información necesaria (sin revelar los datos sin procesar), presenta riesgos para la privacidad debido a la insuficiente disociabilidad en el procesamiento de datos. Cada uno de estos riesgos para la privacidad puede afectar la capacidad de obtener los beneficios del procesamiento de datos genómicos. A medida que los datos genómicos se convierten en un activo estratégico, son cada vez más objeto de ataques por parte de Estados, ciberdelincuentes y empresas con intenciones poco claras. Ciclo de vida de los datos genómicos Los datos genómicos se generan a partir del estudio de la estructura y función del genoma de un organismo. Los datos genómicos son en gran medida inmutables, asociativos y transmiten información importante sobre la salud, el fenotipo y la personalidad de las personas y sus parientes (pasados y futuros). En algunos casos, pequeños fragmentos de datos genómicos, desprovistos de identificadores, pueden utilizarse para reidentificar a personas, aunque la gran mayoría del genoma es compartido entre individuos. Fuente: Tomado del NIST IR 8432 Cybersecurity of Genomic Data, adaptaciones y elaboración propia de los atributos de cada una de las fases. Al igual que otros datos sensibles, en cada etapa del ciclo de vida de los datos genómicos, desde la creación hasta el almacenamiento y el análisis hasta la difusión, los datos pueden correr el riesgo de ser interceptados, corrompidos, sobrescritos o eliminados. Características de los datos genómicos Los datos genómicos comparten atributos con otros tipos de información sensible y, por lo tanto, reflejan su necesidad de almacenamiento y transferencia seguros. Por tanto, estos datos tienen siete atributos que la diferencian de otros tipos de datos, lo cual no es algo único, pero la combinación intrínseca de estas propiedades resalta su valor y sensibilidad. Fuente: Tomado del NIST IR 8432 Cybersecurity of Genomic Data, adaptaciones y elaboración propia las definiciones de los atributos. Con el avance de las tecnologías genómicas y su integración en la atención médica, la investigación y los servicios para consumidores, la protección de los datos genéticos representa un desafío considerable. El ADN, a diferencia de otros tipos de información personal, es inmutable y permite una identificación única, ya que contiene datos sensibles sobre la salud, identidad y ascendencia de cada individuo. Una brecha de datos genómicos no sólo compromete la privacidad de una persona, sino que puede exponer a familias enteras a riesgos a largo plazo, como la discriminación, la vigilancia o la explotación. El alto valor, la singularidad y la permanencia de la información genómica exigen un nuevo nivel de vigilancia en materia de Ciberseguridad y responsabilidad ética. Los modelos tradicionales de Ciberseguridad no están diseñados para abordar la permanencia y el alcance familiar de la información genética, lo que pone de relieve la necesidad de nuevos paradigmas. El ADN como reto y responsabilidad en la era digital Por tanto, para hacer frente a estos riesgos, deben desarrollarse capacidades solidad de Ciberseguridad genómica que equilibre la innovación con los controles de la privacidad, el consentimiento, el intercambio de datos y el almacenamiento a largo plazo. Los gobiernos, los proveedores de atención sanitaria, las empresas de pruebas genéticas y los investigadores deben colaborar en el establecimiento de infraestructuras seguras, políticas claras y normas mundiales para la protección de los datos genómicos. En definitiva, profundizar en el conocimiento de nuestro ADN exige asegurar una adecuada protección en su gestión, garantizando así que los avances en genómica no supongan riesgos para los derechos individuales, la confianza social ni la soberanía digital. AI & Data Medicina de precisión: tu ADN es una herramienta clave para cuidar tu salud 15 de julio de 2024

En 2024, una empresa de logística global se enfrentó a un dilema: tras invertir en IA para el mantenimiento predictivo, planificación de rutas automatizadas y el análisis de clientes, sus responsables seguían sin tener respuesta a una pregunta clave: “¿estamos preparados para confiar en la IA para la toma de decisiones críticas?” Aunque sus modelos de IA funcionaban en la mayoría de los casos, no era posible determinar si la organización contaba con la infraestructura, gobernanza, talento y capacidades necesarias en ética, privacidad, sostenibilidad y Ciberseguridad para cumplir con las nuevas regulaciones o prevenir posibles ciberataques. Lo que realmente se cuestionaban los responsables no era sobre la tecnología en sí, sino sobre la madurez en IA de su empresa. La falta de claridad sobre este aspecto podía generar incertidumbre en la toma de decisiones estratégicas en un entorno caracterizado por la volatilidad, regulación, competencia y conectividad. ■ La madurez de la IA no puede validarse únicamente mediante documentos o declaraciones: requiere demostraciones tangibles de que las prácticas, controles y mecanismos de gobernanza son operativos y eficaces. Esta incertidumbre es habitual. En la actualidad, las empresas reconocen que evaluar su nivel y capacidad de madurez en IA constituye una necesidad estratégica, más que un lujo. Esta determinación permite definir si la adopción de la IA se limita a proyectos piloto interesantes o si se integra como un componente resiliente, escalable y confiable dentro del ADN organizacional. ¿Por qué es necesario evaluar la madurez en IA? Una evaluación precisa, clara, exacta y rigurosa de la madurez en IA proporciona a las empresas una hoja de ruta para la inversión, poniendo en relieve las brechas y desafíos en las capacidades actuales y las ambiciones estratégicas. Sin ella, la adopción de la IA corre el riesgo de convertirse en una costosa colección de experimentos inconexos con rendimientos pocos claros y, en el peor de los casos, en un lastre en cuanto a la seguridad, privacidad, ética, sostenibilidad y cumplimiento. En la actualidad existen diversos instrumentos de evaluación de madurez de la IA de organismos como NIST, OWASP y MITRE, quienes han enfocado su misión en ayudar a las organizaciones a evaluar, implementar, orientar y mejorar el uso de la IA desde un enfoque práctico. ■ La madurez objetiva surge cuando las evaluaciones se prueban en contextos reales —a través del rendimiento, la resiliencia bajo rigor y la capacidad de adaptación— en lugar de en marcos teóricos alejados de la práctica. Marco y modelos para la evaluación de la madurez en IA NIST AI Risk Management Framework El marco NIST AI Risk Management Framework, puede ser de aplicación y utilidad de forma adaptativa para evaluar la madurez de la IA desde un enfoque adaptativo y de riesgos en sus capacidades de Gobernar, Mapa, Medir y Gestionar. Al enmarcar la madurez de la IA en términos de gobernanza, fiabilidad e integración sociotécnica, este marco permite a las organizaciones evaluar críticamente no solo si los sistemas de IA funcionan según lo previsto, sino también si son fiables, explicables, seguros y están alineados con las expectativas éticas y normativas. Desde este enfoque se refuerza la toma de decisiones al vincular la evaluación de la madurez con consideraciones de riesgos, lo que ayuda a las organizaciones a identificar las deficiencias en materia de resiliencia, rendición de cuentas y transparencia a lo largo del ciclo de vida de la IA. Sin embargo, desde un punto de vista crítico y analítico, transforma la evaluación de la madurez de un ejercicio de cumplimiento estático en un proceso dinámico de mejora continua, incorporando la consciencia del riesgo como piedra angular de la adopción responsable de la IA. OWASP AI Maturity Assessment (AIMA) El modelo OWASP AI Maturity Assessment (AIMA), tiene en cuenta los dominios de Responsabilidad, Gobernanza, Gestión de Datos, Privacidad, Implementación, Verificación y Operación, al tiempo que evalúa que los sistemas IA se alinean con los objetivos estratégicos, principios éticos y las necesidades operativas. Se trata de un modelo basado en el OWASP Software Assurance Maturity Model (SAMM). Hay que destacar que este modelo dispone de escalas de madurez definidas en tres niveles: Nivel 1: estrategia integral de IA con métricas. Nivel 2: mejora continua. Nivel 3: optimización. La aplicación de AIMA permite no solo evaluar la preparación para la IA, sino también identificar brechas que podrían dar lugar a riesgos éticos, operativos o de ciberseguridad. Lógicamente, esto facilita un proceso de toma de decisiones más basado en pruebas, lo que garantiza que la adopción de la IA se ajuste a los objetivos de resiliencia de la organización, las expectativas normativas y la sostenibilidad a largo plazo. Por tanto, la evaluación funciona como una herramienta para priorizar las inversiones, fomentar la mejora continua y construir ecosistemas de IA fiables que equilibren la innovación con la seguridad y la responsabilidad. MITRE AI Maturity Model Además, el MITRE AI Maturity Model en conjunto a su Herramienta de Evaluación (AT) se estructura acorde a los siguientes dominios que son reconocidos como críticos para la adopción exitosa de la IA: Uso Ético, Equitativo y Responsable; Estrategia y Recursos; Organización; Habilitadores de Tecnología; Datos; y Rendimiento y Aplicación. Fuente: Mitre. Estos pilares y dimensiones se evalúan a través de cinco niveles de preparación, adaptado al Modelo de Integración de Madurez de Capacidades (CMMI), de manera cualitativa y cuantitativa destinados a describir el progreso jerárquico y escalable a lo largo de la adopción de la IA. A diferencia de las evaluaciones ad hoc o con un enfoque limitado, este marco hace hincapié en la madurez en materia de gobernanza, gestión de riesgos, preparación de la plantilla o fuerza laboral, operatividad y alineación con los objetivos estratégicos. Fundamentalmente, este enfoque permite a las organizaciones no solo comparar su estado actual, sino también identificar deficiencias —como la supervisión ética, la resiliencia y la adaptabilidad— que a menudo se pasan por alto cuando se evalúa la IA únicamente a través de métricas de rendimiento. El modelo impulsa decisiones basadas en pruebas, relacionando los niveles de madurez de la IA con los resultados organizacionales y presentando su desarrollo como un proceso progresivo que requiere alinear personas, procesos y tecnología, no como un objetivo estático. Esto eleva la evaluación de la madurez de una lista de verificación de cumplimiento a una herramienta estratégica para la adopción sostenible y responsable de la IA. Evaluar la madurez de la IA es clave para la resiliencia y la innovación responsable Evaluar las capacidades de madurez ya no es un ejercicio teórico, sino una necesidad estratégica para empresas y organizaciones que se mueven en un entorno cada vez más digital e interconectado. Estas evaluaciones ayudan a entender no solo dónde están hoy las iniciativas de IA, sino también cómo alinear las inversiones, la gobernanza y las habilidades para lograr un valor sostenible mañana. Al examinar las capacidades de IA en dimensiones como preparación de los datos, infraestructura tecnológica, gobernanza, seguridad, talento y adopción ética, las organizaciones pueden transformar las evaluaciones de madurez en hojas de ruta viables para la innovación y la resiliencia. ■ En este sentido, evaluar la madurez de la IA no se trata tanto de cumplir con los requisitos sobre el papel, sino de demostrar, a través de acciones medibles, que una organización está preparada para aprovechar la IA de forma responsable, segura y sostenible. En última instancia, evaluar la madurez de la IA no trata tanto de alcanzar un destino final como de permitir un viaje continuo de adaptación, responsabilidad y confianza. Con el avance de los sistemas de IA y la evolución de los riesgos, oportunidades y marcos regulatorios asociados, las organizaciones que integran la evaluación de su madurez en el proceso de toma de decisiones estratégicas estarán mejor preparadas para implementar la IA de manera responsable, fortalecer su resiliencia y lograr una ventaja competitiva sostenible a largo plazo. Ciberseguridad Cuantificación del Ciberriesgo 28 de mayo de 2025

La expansión rápida de la exploración espacial, las redes satelitales y las empresas aeroespaciales comerciales han transformado el espacio en un dominio crítico para la seguridad global, la comunicación y la infraestructura económica. No obstante, esta evolución viene acompañada de una escalada de ciberamenazas. Los activos espaciales corren cada vez más peligro, desde la ciberguerra patrocinada por el Estado hasta las capacidades sofisticadas de actores maliciosos. He podido conocer de cerca algunas simulaciones de posibles compromisos de satélites o sistemas de comunicaciones que podrían perturbar y exacerbar los mercados financieros, interferir en operaciones militares o incluso poner en peligro vidas humanas en misiones espaciales. Debido a lo mucho que está en juego, la Ciberseguridad espacial ya no es una preocupación de nicho, sino una prioridad estratégica para naciones, empresas y organismos internacionales de gobierno. Tríada de activos: espaciales, terrestres y digitales Estos activos desempeñan un rol esencial en las comunicaciones globales y satelitales, pero como resultado están expuestos a ciberataques. Por eso, es urgente implementar medidas sólidas para proteger los activos espaciales, terrestres y digitales. No podemos dejar de lado a las personas y los procesos, además del entorno de operación, si queremos garantizar la integridad de los datos y salvaguardar las operaciones. El ámbito de la ciberseguridad aeroespacial necesita proteger sus operaciones tanto o incluso más que otros sistemas. La Ciberseguridad espacial es la protección integral de los activos espaciales y terrestres, desde satélites hasta personas, frente a las crecientes ciberamenazas. Hoy día, la gran dependencia de las tecnologías espaciales para la navegación GPS, las telecomunicaciones, la predicción meteorológica y las operaciones militares convierte a estos sistemas en blancos atractivos para los ciberataques. Una brecha de ciberseguridad puede provocar trastornos generalizados. Amenazas actuales: desde malware hasta espionaje De acuerdo con Enisa, se señalan diversas amenazas y riesgos, entre los que destacan interferencias, suplantación de identidad, inyecciones de malware, ransomware e intrusiones cibernéticas directas en las redes de control. Los actores Estado-nación pueden utilizar sus capacidades cibernéticas para inutilizar satélites enemigos, interrumpir comunicaciones o robar datos confidenciales. Los actores no estatales, incluidos ciberdelincuentes y grupos hacktivistas, pueden atacar satélites comerciales para obtener beneficios económicos, impulsar causas políticas o incluso financiarse a través de agentes externos. —Por ejemplo, un ciberataque bien coordinado contra proveedores de internet podría interrumpir la conectividad global, afectando por igual a empresas, gobiernos y consumidores. Hay que tener en cuenta que muchos satélites utilizan protocolos de seguridad obsoletos, lo que los hace vulnerables a ciberataques. Un cifrado débil en los sistemas de telemetría, seguimiento y control (TTC, por sus siglas en inglés) puede permitir a los adversarios secuestrar las operaciones de un satélite. Además, las estaciones de control en tierra suelen operar con software heredado que carece de protecciones y configuraciones robustas de ciberseguridad, lo que las convierte en una puerta de entrada. Las vulnerabilidades en la cadena de suministro agravan aún más el riesgo, ya que los actores maliciosos pueden introducir componentes comprometidos durante la fabricación de satélites o vehículos de lanzamiento, así como de cualquier otro activo. El espacio como nuevo campo de batalla El reconocimiento del espacio como dominio de guerra, junto con la tierra, el mar, el aire y el ciberespacio, ha llevado a algunos países a desarrollar ramas militares especializadas en operaciones espaciales, que incluyen capacidades cibernéticas para defender o perturbar activos espaciales. Un ciberataque satelital por parte de un enemigo podría ofrecer una ventaja estratégica al inutilizar sistemas de recopilación de información, comunicaciones o alertas de misiles. Esto tiene implicaciones geopolíticas significativas, ya que un ciberataque espacial podría intensificar tensiones y provocar conflictos internacionales. IA: aliada y amenaza Algunas tecnologías emergentes y disruptivas desempeñan un papel esencial en la ciberseguridad espacial, como la Inteligencia Artificial (IA). Por un lado, los sistemas de seguridad basados en IA pueden ayudar a detectar y responder a ciberamenazas en tiempo real, ofreciendo protección autónoma a satélites y naves espaciales. También contribuyen a mejorar las técnicas de cifrado y predecir vulnerabilidades antes de que sean explotadas. Al mismo tiempo, hay que tener presente que las ciberamenazas impulsadas por IA plantean riesgos significativos, ya que los algoritmos maliciosos podrían eludir las capacidades de ciberdefensa, automatizar ciberataques a gran escala o manipular datos satelitales para generar desinformación. El desafío radica en garantizar que esta tecnología se utilice como herramienta de protección y no como arma en los conflictos cibernéticos. Comercialización del espacio: nuevas oportunidades, nuevos riesgos La inversión de empresas privadas en tecnologías espaciales está impulsando la adopción de medidas avanzadas de ciberseguridad, como el cifrado de extremo a extremo, la detección de anomalías basada en IA y las arquitecturas de confianza cero. Sin embargo, la rápida comercialización del espacio también introduce nuevos riesgos. El despliegue masivo de satélites en órbita terrestre baja (LEO) amplía la superficie expuesta a ciberataques que podrían ser explotados por ciberdelincuentes. Al tiempo que, si un actor malicioso lograse controlar un solo satélite o una megaconstelación, podría interrumpir toda la red y afectar la conectividad global a internet. Impactos concretos: desde el GPS hasta la gestión agrícola Las comunicaciones satelitales y el GPS son esenciales para operaciones militares, transacciones financieras y cadenas de suministro globales. Un ciberataque contra los satélites GPS podría interrumpir los sistemas de navegación de aviones, barcos y vehículos civiles y militares. Del mismo modo, la manipulación de satélites de observación de la Tierra podría alterar datos climáticos, la gestión de la agricultura o las respuestas ante catástrofes. Las consecuencias económicas de tales ataques serían devastadoras, con efectos en industrias que van desde la logística hasta las finanzas. Por ejemplo, Un ciberataque a los satélites GPS podría interrumpir los sistemas de navegación de aviones, barcos y vehículos civiles y militares. Del mismo modo, la manipulación de los satélites de observación de la Tierra podría alterar los datos climáticos, el control de la agricultura o la respuesta ante catástrofes. ⚠️ Las consecuencias económicas de tales ataques podrían ser devastadoras, afectando a industrias que van desde la logística a las finanzas. La ciberseguridad debe evolucionar a medida que avanza la exploración espacial. Los ciberriesgos asociados a las ciberamenazas para los activos espaciales ya no son hipotéticos sino reales, lesivos, latentes y van en aumento. La seguridad del mundo digital y físico depende de la integridad de la infraestructura espacial. Ciberseguridad Un nuevo marco para la Ciberseguridad en la aviación civil 3 de marzo de 2025

En las playas del Caribe, entre arenas blancas y grises, la brisa marina soplaba suavemente mientras Lucía, Marcos y Pilar, ejecutivos jóvenes, disfrutaban de un cóctel en la terraza de su hotel frente al mar. Era su primer viaje juntos en varios meses y, como es habitual en su generación, utilizaban constantemente sus smartphones: capturaban imágenes, realizaban pagos mediante aplicaciones móviles, compartían contenido en redes sociales y accedían al wifi gratuito del hotel para consultar correos y resolver asuntos pendientes. Hasta que la tranquilidad se vio interrumpida cuando Marcos recibió una notificación inusual sobre movimientos no autorizados en su cuenta bancaria. En pocos minutos, lo que era una experiencia vacacional ideal, se transformó en una situación de emergencia digital. Lo que Marcos no sabía era que había sido víctima de un ciberataque mientras disfrutaba del sol, arena y una deliciosa piña colada. Al conectarse a redes públicas inseguras, compartir su ubicación en tiempo real y acceder a servicios sensibles sin protección, dejó abiertas puertas invisibles a los ciberdelincuentes. Su historia no es una excepción, sino un reflejo de lo que les ocurre a miles de viajeros desprevenidos. ¿Estás listo para proteger tu descanso sin renunciar a una conexión segura? Porque tus vacaciones también tienen un componente digital, protégelas siguiendo estas recomendaciones. Tu privacidad y seguridad no deben tomarse vacaciones, aunque tú sí lo hagas. Redes wifi públicas Evita realizar transacciones sensibles: ¿Necesitas consultar tu cuenta bancaria o hacer una compra online? Hazlo con tus datos móviles o espera conectarte a una red segura. —Las redes wifi públicas (aeropuertos, cafeterías, hoteles) son un nido para ciberdelincuentes esperando interceptar tu información. Utiliza una VPN: Si no te queda más remedio que conectarte a una red pública, utiliza una Red Privada Virtual (VPN). Cifra tu conexión y crea un túnel seguro para tus datos. —Es tu escudo digital en entornos desconocidos. “Nunca confiar, siempre verificar.” Desactiva la conexión automática: Configura tu dispositivo para que no se conecte automáticamente a redes wifi abiertas. —Revisa siempre a qué red te estás conectando. Tus recuerdos deben vivir en fotos, no en incidentes de Ciberseguridad. Redes sociales y geolocalización Retrasa tus publicaciones: ¿Realmente necesitas anunciar que tu casa está vacía publicando cada paso de tu viaje en tiempo real? Espera a volver para compartir tus fotos más detalladas. —Los ciberdelincuentes usan esta información para planear robos u otras acciones maliciosas. Desactiva la geolocalización: Revisa la configuración de tus aplicaciones. Desactiva la función de geolocalización automática en tus fotos y publicaciones. No le des a nadie la pista de dónde estás ni de dónde no estás. —Evita la sobreexposición de información y datos que te puedan comprometer. Revisa tu privacidad: Antes de irte, dedica unos minutos a revisar la configuración de privacidad de tus redes sociales. —Asegúrate de que solo tus contactos de confianza puedan ver tu contenido. Viajar ligero no significa dejar atrás la seguridad digital. Dispositivos extraviados Utiliza contraseñas robustas y bloqueo remoto: Todos tus dispositivos (móvil, tablet, portátil) deben tener una contraseña robusta y, si es posible, doble factor de autenticación. —Configura también la opción de borrado o bloqueo remoto. En caso de pérdida, podrás proteger tu información. Realiza copias de seguridad: Antes de salir, haz una copia de seguridad de todos tus datos importantes. —Si pierdes tu dispositivo, al menos no perderás tus fotos e informaciones valiosas. No guardes contraseñas: Evita almacenar contraseñas en el navegador o en notas no cifradas. —Si tu dispositivo cae en las manos equivocadas, no facilites el acceso a tus cuentas. Proteger tus datos, también es tu responsabilidad. Suplantación de identidad (Phishing) Verifica la fuente: Recibes un correo electrónico de tu hotel o de una empresa de alquiler vacacional pidiéndote confirmar datos o realizar un pago adicional. ¡STOP, CALMA! —Desconfía de cualquier correo que te pida información sensible, por tanto, siempre verifica. Comprueba el remitente: Mira bien la dirección de correo electrónico. A menudo, un pequeño error tipográfico u ortográfico revela el fraude. —No hagas clic en enlaces sospechosos. Contacta directamente: Si tienes dudas, no respondas al correo. —Llama directamente al hotel o a la empresa de alquiler usando el número de teléfono oficial que encuentres en su web (no el del email sospechoso) para verificar la información. Cuidado con las "ofertas" de último momento: Los ciberdelincuentes crean sitios web falsos que imitan a agencias de viajes o aerolíneas con ofertas irresistibles. —Antes de hacer clic, contacta, verifica y valida con la fuente oficial. Ahora Lucia, Marcos y Pilar cuando se van de viaje disfrutan de una experiencia maravillosa, pero dando prioridad a su seguridad digital manteniendo la calma, verificando antes de actuar y no dejándose llevar por el sentido de urgencia. De este modo se aseguran de que sus recuerdos de verano sean de diversión y relajación, no de cibersustos. ¡Disfrutar con seguridad empieza por ti! Telefónica Tech Ciberseguridad Ciberseguridad para el teletrabajo en vacaciones: trabaja desde donde quieras, con seguridad 16 de julio de 2025

La oficina se encontraba ya casi vacía, los equipos habían sido apagados y el ambiente reflejaba el inminente cierre por vacaciones. Carlos, gerente de una pyme tecnológica, repasaba cuidadosamente su lista de tareas pendientes: notificaciones enviadas, facturación actualizada, sistemas desconectados y mensajes de “Fuera de la oficina” activados. Todo parecía bajo control. Pero lo que no sabía era que, mientras sus empleados se desconectaban para disfrutar del verano, un ciberdelincuente se conectaba… a su red corporativa. Aprovechando una brecha en un sistema sin actualizar y una contraseña débil olvidada en un servidor expuesto, el atacante entró sin resistencia. Cuando Carlos regresó semanas después, encontró archivos cifrados, operaciones detenidas y una factura de rescate en su bandeja de entrada. Cada año, cientos de empresas bajan la guardia durante el verano, dejando “puertas digitales” abiertas sin saberlo. Para los atacantes, estos momentos de desconexión son oportunidades de oro. Y lo peor es que muchos incidentes no se descubren hasta que ya es demasiado tarde. ¿Cómo evitar que tus vacaciones terminen en una crisis cibernética? El verdadero descanso comienza cuando la seguridad está garantizada y es priorizada. Claves de empresa cibersegura en vacaciones Revisión y gestión de accesos Limitar los permisos: Antes de irte, revisa quién tiene acceso a qué sistemas y datos. Deshabilita temporalmente las cuentas de empleados que ya no trabajen contigo o que no necesiten acceso durante tu ausencia. Actualizar contraseñas críticas: Ten en cuenta que las contraseñas no se comparten, es un buen momento para cambiarlas a la vuelta. Y por supuesto, asegúrate de que todos usan contraseñas robustas complementadas con el doble factor de autenticación. Documentar los accesos: Ten un registro actualizado de todos los accesos y permisos. En caso de incidente, saber quién puede acceder a qué es crucial. Revisar los accesos y sistemas: Valida que tienes acceso a todas tus herramientas de trabajo y que recuerdas tus contraseñas. Backups automáticos Verifica tus copias de seguridad: Asegúrate de que tus sistemas de backup automático están funcionando correctamente y que las copias se están guardando en un lugar seguro y aislado (fuera de la red principal de trabajo, nube o en un disco externo cifrado). Prueba la recuperación: ¿De qué sirve un backup si no puedes restaurarlo? Haz una pequeña prueba de recuperación antes de irte. Te dará tranquilidad saber que puedes recuperar tus datos si algo va mal. Guarda copias offline: Considera realizar una copia de seguridad "fría" o offline de los datos más críticos, que no esté conectada permanentemente a la red. Esto protege contra ataques de ransomware que podrían cifrar tus backups online. Actualización de sistemas y software Instala todas las actualizaciones: Antes de cerrar, asegúrate de que todos los sistemas operativos (Windows, macOS, Linux), aplicaciones (ofimática, navegadores, software contable) y herramientas de seguridad (antivirus, firewall) están completamente actualizados. Los parches corrigen vulnerabilidades que los ciberdelincuentes buscan explotar. Deshabilita servicios innecesarios: Si hay servicios o aplicaciones que no se usarán durante tu ausencia, desactívalos para reducir la superficie de ataque. Bastionado de los equipos: Fortalece su seguridad aplicando endurecimiento a sus configuraciones y tomando en cuenta el “privilegio mínimo”, además dispón de un antivirus para complementar los mecanismos de seguridad. Monitorización remota y alertas críticas Configura alertas: Si tienes sistemas de monitorización de red o de seguridad, asegúrate de que las alertas críticas están configuradas para ser enviadas a una persona responsable (tú o un miembro de tu equipo) incluso durante las vacaciones. Delegación de responsabilidades: Designa a una persona de contacto (y a un suplente) que esté disponible para responder a alertas críticas o incidencias de seguridad mientras tú estás ausente. Asegúrate de que tienen toda la información y los accesos necesarios. Contacto con autoridades y grupo de interés: Mantén un listado por si tienes que contactar con organismos y entidades regulatorias para notificar cualquier incidente de seguridad e incluso aquellos que estén relacionados con la privacidad y protección de datos. Concienciación del personal Recordatorio de buenas prácticas: Si algunos empleados seguirán trabajando, recuérdales las buenas prácticas de Ciberseguridad, especialmente si van a teletrabajar (uso de VPN, no usar redes públicas, etc.). Phishing durante vacaciones: Advierte sobre el aumento de intentos de phishing durante las vacaciones, con correos que simulan ser proveedores, bancos o incluso colegas. Cultura de seguridad: Fomenta el desarrollo y construcción de una cultura de seguridad en toda la empresa, para fortalecer las capacidades del personal de forma proactiva y con un enfoque en la seguridad desde la prevención. ⚠️ Cerrar por vacaciones no significa dejar la seguridad de tu negocio en 'modo avión'. Para emprendedores y pymes, la ausencia puede ser una ventana de oportunidad para los ciberdelincuentes. En un mundo donde los ciberataques no toman vacaciones, proteger tu empresa antes de cerrar por descanso no es una opción, es una prioridad estratégica. Cada acción preventiva —por pequeña que parezca— puede marcar la diferencia entre unas vacaciones tranquilas y un retorno caótico. Y lo mejor es que no se trata solo de tecnología, sino de cultura, previsión y responsabilidad. Porque la Ciberseguridad no se va de vacaciones… tú tampoco deberías irte sin ella. Telefónica Tech Ciberseguridad Ciberseguridad para el teletrabajo en vacaciones: trabaja desde donde quieras, con seguridad 16 de julio de 2025

La dinámica de las tecnologías innovadoras y disruptivas lleva a las empresas a actuar para evitar brechas que podrían comprometer la seguridad, la estabilidad financiera y la privacidad. Pero, ¿hasta qué punto son inminentes estos riesgos derivados o asociados, y qué medidas deben tomar las organizaciones y los gobiernos para mitigarlos de forma proactiva? La IA se ha convertido en esencial para sistemas tanto críticos como no críticos, y está presente en sectores que van desde las finanzas y la salud hasta la seguridad nacional. Además, permea profundamente el tejido del desarrollo socioeconómico y productivo. Sin embargo, su crecimiento y evolución exponencial generan una creciente preocupación por los riesgos relacionados con la Ciberseguridad, la propiedad intelectual, la privacidad y otros, incluyendo los desafíos éticos asociados a los ataques de actores maliciosos. Escudos dinámicos ante ciberamenazas, privacidad y retos éticos Los sandbox de IA o “cajas de arena” han surgido como entornos aislados que funcionan como herramientas esenciales frente a estos retos, proporcionando un espacio dinámico, controlado y seguro donde los modelos de IA pueden probarse, analizarse y protegerse antes de su despliegue. Los sandbox de IA permiten experimentar sin provocar repercusiones fuera del entorno confinado. En estos entornos, podemos probar los modelos y sistemas de IA contra diversas ciberamenazas, retos y exigencias de rendimiento y cuestiones éticas antes de su despliegue en el mundo real. A diferencia de los sandbox de software tradicionales, utilizados principalmente para analizar código, malware o vulnerabilidades en un entorno seguro, los sandbox de IA están diseñados específicamente para poner en mapa de calor situacional y las complejidades de la IA en su fondo y forma. Pruebas, amenazas y gobernanza: el papel estratégico de los entornos aislados En cuanto a los desarrolladores, estos entornos les permiten observar cómo interactúan los modelos de IA con distintos conjuntos de datos, simular posibles ciberataques e identificar fallos en sus procesos de toma de decisiones. Hace unas semanas, estuve evaluando un entorno de IA para probar un sistema de detección de fraudes basado en IA capaz de distinguir con precisión entre transacciones legítimas e intentos sofisticados de fraude, activando alertas de cumplimiento o due diligence. Al proporcionar un entorno seguro para la experimentación, modelado y análisis, estos espacios contribuyen a garantizar que los modelos funcionen correctamente antes de ser integrados en sistemas reales. Hay que tener presente que los sistemas basados en IA se están convirtiendo en objetivos prioritarios para los ciberataques, y los sandbox de IA son claves para detectar y mitigar estas amenazas mediante la simulación de escenarios reales y la evaluación de las respuestas de los modelos ante dichos escenarios. IA bajo presión: anticipar, detectar y resistir ataques sofisticados En uno de los análisis recientes que estuve realizando, identifiqué técnicas de aprendizaje automático (ML) utilizadas por actores maliciosos para manipular modelos de IA. En ese entorno, los desarrolladores expusieron los modelos a entradas adversas, modificaciones sutiles en los datos diseñadas para engañar al sistema, evaluando así su capacidad de resistencia. —Por ejemplo, si un sistema de seguridad basado en IA identifica erróneamente un correo electrónico malicioso como legítimo, el entorno aislado permite ajustar el modelo y reforzar su defensa. ■ Detectar estas brechas antes del despliegue ayuda a prevenir consecuencias que podrían poner en riesgo la operación de la organización. Fortalecer la gobernanza y anticipar amenazas desde la simulación Los ciberataquesson una de las ciberamenazas más acuciantes para los sistemas de IA. Suelen consistir en introducir datos manipulados para engañar a los modelos y provocar decisiones erróneas o incorrectas. El desarrollo de escenarios es clave para anticipar y comprender nuestro entorno y sus posibles cambios. En campos como la visión artificial, pequeñas modificaciones en una imagen (imperceptibles para los humanos) pueden hacer que un sistema basado en IA clasifique erróneamente objetos. —Por ejemplo, unas pegatinas en una señal de “stop” podrían hacer que un coche autónomo la interprete como una señal de límite de velocidad, con consecuencias peligrosas. ■ Los equipos de Ciberseguridad en los entornos de AI pueden generar modelos, patrones y ejemplos adversos y perfeccionar las defensas contra los ciberataques. Además, hay que tener en cuenta que estos entornos ayudan a abordar las alucinaciones de la AI, casos en donde los modelos de IA Generativa producen resultados falsos o engañosos, probando y refinando las respuestas generadas por la AI antes de su uso y despliegue. La IA bajo lupa: marcos regulatorios y pruebas de cumplimiento Reconociendo estos riesgos, las agencias reguladoras han comenzado a establecer marcos para asegurar el uso responsable de la IA. La Unión Europea, con su Reglamento de Inteligencia Artificial (RIA), y el NIST con su Marco de Gestión de Riesgos de IA, destacan la importancia de las pruebas, la transparencia, la privacidad y la seguridad, precisamente donde los sandbox tienen un papel esencial. Sin embargo, el cumplimiento regulatorio no equivale automáticamente a seguridad, si bien podríamos decir que propician un entorno estructurado y de buenas prácticas para evaluar y mitigar los riesgos. El RIA, por ejemplo, exige que los sistemas de alto riesgo pasen por pruebas rigurosas de sesgo, seguridad, ética y transparencia antes de ser desplegados, propiciando un entorno estructurado de buenas prácticas. Las normativas proporcionan las garantías adecuadas conforme a la práctica del control, riesgos, ética y aspectos legales. IA en sectores críticos: salud, finanzas y movilidad La IA está cada vez más integrada en aplicaciones críticas como los diagnósticos médicos, la detección de fraudes financieros y los vehículos autónomos. Garantizar su funcionamiento seguro y fiable es primordial. Los entornos aislados permiten validar rigurosamente su funcionamiento antes de integrarlos. En el sector sanitario, por ejemplo, los modelos de diagnóstico por imagen pueden estar sesgados si los datos de entrenamiento no son diversos. Sin embargo, los sesgos en los datos de entrenamiento o los ataques de adversarios podrían dar lugar a diagnósticos falsos, poniendo en peligro a los pacientes. Probarlos en sandbox permite garantizar su precisión para distintos grupos demográficos, minimizando el riesgo de errores graves. Es esencial equilibrar la seguridad y la usabilidad: controles demasiado estrictos dificultan la innovación, mientras que los demasiado laxos no detectan vulnerabilidades. Retos técnicos y éticos de los entornos sandbox de IA Diseñar sandbox eficaces no está exento de desafíos. Las ciberamenazas evolucionan constantemente, y ningún entorno puede simular todos los posibles escenarios reales. En estos entornos, es esencial equilibrar la seguridad y la usabilidad: controles demasiado estrictos dificultan la innovación, mientras que los demasiado laxos no detectan vulnerabilidades. Al mejorar la seguridad y la fiabilidad, los entornos aislados de IA ayudan a las organizaciones a generar confianza en los sistemas basados en IA y a evitar fallos potencialmente catastróficos. Por otro lado, surgen dilemas éticos al probar la AI en los entornos. Simular ciberataques podría generar brechas involuntarias que actores maliciosos podrían explotar. Por ello, es fundamental que el uso de estos entornos sea responsable y supervisado Y evitar así consecuencias imprevistas. Inteligencia sobre amenazas: del análisis al refuerzo de defensas Los entornos de AI pueden mejorar y fortalecer las capacidades de inteligencia sobre ciberamenazas al permitir la detección y análisis de ciberamenazas específicas de AI. Tal es el caso donde se utilizan estos entornos para probar sistemas de detección de malware, al tiempo que se asegura de que pueden identificar ciberamenazas sofisticadas. Al mejorar estas capacidades, se refuerzan las defensas. Además, los modelos GenAI, como los grandes modelos lingüísticos (LLM), plantean riesgos específicos: desinformación, sesgo o fuga de datos. Evaluarlos en sandbox ayuda a detectar estos riesgos antes de que afecten al entorno real. En un entorno de prueba es necesario evaluar los riesgos antes de la implementación, realizando análisis detallados, realistas y objetivos. Seguridad, transparencia y futuro de la IA responsable En esta era de entusiasmo por la IA, muchos desean adoptarla sin establecer los controles necesarios. El RIA marca una línea clara, y su régimen sancionador deja poco margen a la improvisación. Como advierto a menudo: todos quieren la IA, pero pocos están listos para gestionarla como un activo estratégico. Todos queremos aprovechar la IA, pero no priorizamos su control: la vemos como un recurso económico para el negocio. Los desarrolladores deben usar estos entornos para evitar que los modelos generen contenidos perjudiciales o engañosos. Para evaluar éticamente los modelos de IA y realizar pruebas de seguridad, resulta fundamental establecer mecanismos de control que mitiguen riesgos asociados a tecnologías como los deepfakes, campañas de desinformación y el fraude. La confianza en los sistemas de IA depende de su transparencia y explicabilidad, lo que permite comprender y justificar sus decisiones. Estos entornos ayudan a las organizaciones a probar y documentar cómo funcionan los modelos, asegurando que operen de forma justa e interpretable. —Por ejemplo, los modelos de scoring crediticio con IA deben ser explicables para evitar discriminación y proteger derechos fundamentales, por lo que los desarrolladores los ajustan antes de que impacten al usuario. ■ A medida que la AI evoluciona, los sandbox serán fundamentales para construir un futuro donde primen la seguridad, la privacidad, la ética, la gobernanza y el cumplimiento. Las organizaciones que hoy invierten en ellos estarán mejor preparadas para afrontar los retos y desafíos en un panorama cambiante y de alta complejidad. Ciberseguridad Cuantificación del Ciberriesgo 28 de mayo de 2025

El sol en tu cara, el canto de las aves, el sonido de las olas, y el portátil abierto para responder algunos correos. La línea entre ocio y trabajo se difumina cada vez más, especialmente para nómadas digitales y empleados en remoto que aprovechan las vacaciones para cambiar de aires sin dejar de ser productivos. Pero, ¿conoces los riesgos que implica combinar la playa con el teletrabajo? Esa imagen idílica podría volverse borrosa si tus datos corporativos acaban en las manos equivocadas por un descuido. Steve decidió combinar trabajo con descanso y alquiló una cabaña frente a un lago en un espacio de coworking en Asia. Utilizó el hotspot de su teléfono móvil y estableció su lugar de trabajo en la terraza con vista al bosque. Desde allí, respondió correos, asistió a reuniones y gestionó documentos en la nube. Sin embargo, en determinado momento, su computadora portátil comenzó a presentar fallos: los archivos se volvieron inaccesibles, aparecieron mensajes emergentes y la conexión a la red era inestable. Posteriormente, se identificó que había utilizado una red no segura, lo que permitió el acceso no autorizado a su información corporativa. Este tipo de situaciones son cada vez más comunes en la era del trabajo híbrido y la hiperconectividad. La movilidad es una gran ventaja, pero también un terreno fértil para riesgos invisibles: wifi públicos inseguros, dispositivos sin protección, malas prácticas digitales... todo puede convertirse en una amenaza cuando se trabaja fuera del entorno controlado de una oficina o sin las medidas de seguridad adecuadas. Mantén en todo momento tus datos y los de tu empresa seguro, estés donde estés. Redes wifi públicas Evita las redes wifi públicas abiertas de hoteles, aeropuertos, cafeterías o centros comerciales son extremadamente inseguras para trabajar. Son granjas de cultivo para ataques "man-in-the-middle" donde un atacante puede interceptar tu información al capturar tráfico de red. Si necesitas conectarte a una red wifi pública para alguna urgencia, siempre hazlo a través de una red privada virtual (VPN) de tu empresa. Cifra tu conexión y asegura que tus comunicaciones sean privadas y seguras, como si estuvieras en la oficina. Si tu empresa no te proporciona una, considera una VPN de confianza para uso personal y valida primero si sus políticas te lo permiten. Siempre que sea posible, utiliza la conexión de datos móviles de tu smartphone. Es mucho más segura que cualquier red wifi pública. Puedes usar tu teléfono como punto de acceso (hotspot) para tu portátil. Dispositivos personales y corporativos Trabaja solo con el portátil o dispositivos que tu empresa te ha facilitado. Suelen tener configuraciones de seguridad, cifrado y software de monitorización. No mezcles vida personal y laboral y evita acceder a información sensible o clasificada de la empresa desde tus dispositivos personales, a menos que sea absolutamente necesario y te cuentes con una autorización para acceder desde el personal y bajo estrictas medidas de seguridad. No dejes tus dispositivos sin vigilancia en lugares públicos (cafeterías, aeropuertos, habitaciones de hotel). Siempre que te levantes, llévatelos contigo o guárdalos bajo llave. Utiliza candados de seguridad si es posible. Cifrado de información sensible Asegúrate de que el disco duro de tu portátil (y si es posible, el tu smartphone) está cifrado. Si tu dispositivo se pierde o es robado, los datos serán inaccesibles sin la clave de cifrado. Si necesitas transportar documentos con información confidencial, guárdalos en carpetas cifradas o utiliza herramientas de gestión documental que ofrezcan cifrado. Evita usar memorias USB de origen desconocido o conectarlas a ordenadores públicos. Siempre que las uses, asegúrate de que están cifradas. Autenticación multifactor (MFA) Activa MFA en todo lo posible y para tus cuentas de trabajo (correo electrónico, acceso a la VPN, plataformas de colaboración, software en la nube), activa siempre la autenticación multifactor (también conocida como doble factor o 2FA). El MFA te pedirá, además de tu contraseña, un segundo método de verificación, como un código enviado a tu móvil, un token o una huella dactilar. Esto dificulta enormemente el acceso no autorizado incluso si tu contraseña se ve comprometida. Conciencia situacional y sentido de seguridad Desconfía de lo inusual: Los ataques de phishing (correos o mensajes falsos) aumentan en verano. Desconfía de ofertas increíbles, avisos bancarios urgentes o cualquier mensaje que te pida datos personales o que hagas clic en enlaces sospechosos. Cuidado con los puertos de carga públicos: Evita cargar tu dispositivo en puertos USB públicos (conocido como "juice jacking"). Podrían instalar malware o robar datos de tu dispositivo. Usa tu propio cargador o un adaptador de corriente. Minimiza la información compartida: Si trabajas en un lugar público, sé discreto. No hables en voz alta sobre información confidencial de la empresa y asegúrate de que nadie pueda ver tu pantalla. Viajar o trabajar desde el extranjero puede ser emocionante y enriquecedor, pero también implica riesgos que van más allá de lo visible. Al moverte por países con alta tensión geopolítica, niveles débiles de Ciberseguridad o presencia activa de grupos de ciberdelincuentes, aumentas significativamente tu exposición —y la de tu empresa— a amenazas digitales. Por eso, antes de conectar tus dispositivos en destinos internacionales, es clave informarte sobre el contexto local, seguir protocolos de Ciberseguridad reforzados y evitar prácticas que puedan comprometer tus datos o sistemas corporativos. En la era de la movilidad global, la seguridad digital debe viajar contigo. Antes de hacer la maleta y embarcarte hacia un nuevo destino, es tu deber informarte más allá del paisaje soñado: la Ciberseguridad también forma parte del viaje. Ciberseguridad Ciberseguridad para nómadas digitales, en remoto y protegido 25 de noviembre de 2024

Las amenazas actuales evolucionan rápidamente, requiriendo soluciones tecnológicas emergentes y una sólida planificación estratégica. Con ciberriesgos cada vez más complejos y cambiantes, es crucial que las organizaciones estén preparadas para anticipar y responder a estas amenazas. Pero, ¿están realmente preparadas?, ¿Cómo afecta esto a la ciberresiliencia?, ¿Y cómo influye en la toma de decisiones? La prospectiva estratégica no es predicción. En la era de la transformación digital que impulsa la interconexión global, la Ciberseguridad continúa siendo una preocupación importante para las organizaciones, gobiernos y la sociedad en general. El incremento de las capacidades de los actores maliciosos requiere un enfoque proactivo en la planificación de la seguridad. La prospectiva tradicional, basada en datos pasados para predecir tendencias, patrones y esquemas futuros, contrasta con la prospectiva estratégica, que explora una amplia gama de futuros potenciales ayudando a desarrollar capacidades de anticipación, prevención y preparación. Ante esto, debemos estar en atención y alerta, como impulso a replantearnos los enfoques, modelo de operación, imaginar, reimaginar, reinventarnos; no solo para sobreponernos, sobrevivir y triunfar, sino afrontar los retos y desafíos ya que esto no es una única cuestión del futuro, sino de ayudarnos a hacer lo que podemos y debemos hacer, aquí y ahora; demandando de nosotros mejorar y desarrollar los pensamientos de futuro, exponencial y sistémico. Importancia de la prospectiva estratégica en Ciberseguridad La Comisión Europea define la prospectiva estratégica como la disciplina que explora, prevé y configura el futuro para ayudar a conformar y utilizar la inteligencia colectiva de manera estructurada y sistémica a fin de anticiparse a los cambios. Esta se anticipa a las tendencias, los riesgos, las cuestiones emergentes y sus posibles implicaciones y oportunidades, a fin de obtener información útil para la planificación estratégica, la elaboración de políticas y la preparación. De acuerdo con Michel Godet y Philippe Durance sostienen que un principio de la prospectiva es que la construcción de escenarios no pretende predecir el futuro, dejando claro que toda forma de predicción es una impostura. El futuro no está escrito, está por construir. El futuro es múltiple, indeterminado y abierto a una gran variedad de futuros posibles. Las organizaciones aplican diversos controles defensivos, como firewall, cifrado y en algunos casos arquitecturas de confianza cero, para proteger sus activos digitales. No obstante, el ecosistema de la dinámica de las ciberamenazas demanda algo más que defensas reactivas, necesita un enfoque con visión de futuro anclado a la ciberresiliencia como aliado. La planificación de escenarios en Ciberseguridad El principal objetivo de adoptar un enfoque de prospectiva estratégica es mejorar la toma de decisiones en el presente anticipando las posibilidades futuras. Para que sea realmente eficaz, la prospectiva estratégica debe estar estrechamente alineada con la misión y los objetivos de una organización. Sin embargo, los beneficios de este enfoque de planificación pueden no ser inmediatamente visibles. Por ello, el éxito de la aplicación de la prospectiva estratégica depende a menudo de la comunicación eficaz de los conocimientos adquiridos, la aceptación de las principales partes interesadas y la traducción de esos conocimientos en planes viables. Este proceso requiere un compromiso para salvar la distancia entre la previsión y los resultados tangibles, garantizando que la planificación a largo plazo se traduzca en acciones significativas y prácticas. La planificación de escenarios se ha convertido en un enfoque indispensable para estudiar y comunicar la incertidumbre y la complejidad de las vías futura. Mi experiencia en la prospectiva estratégica me permite adquirir habilidades defensivas y evaluar de manera exhaustiva las formas o connotaciones de un ciberataque. La incertidumbre es una característica presente en el entorno de la seguridad, lo que desafía los esfuerzos de aplicación de controles defensivos para entender cómo responderán a este paradigma emergente, complejo y disruptivo. Métodos y técnicas de prospectiva estratégica La prospectiva estratégica consiste en utilizar marcos y metodologías para anticipar futuros retos y oportunidades. La planificación de escenarios, la exploración del horizonte y el método Delphi son algunas de las técnicas clave empleadas. La planificación de escenarios, por ejemplo, implica la construcción de narrativas detalladas sobre diferentes futuros potenciales basados en suposiciones variables sobre impulsores clave e incertidumbres. La planificación de escenarios en Ciberseguridad permite prever cómo las tecnologías emergentes o los cambios geopolíticos afectan las amenazas, desarrollando estrategias de defensa robustas. Los escenarios son simulaciones sobre cómo podría ser el futuro. En lugar de intentar predecir exactamente lo que ocurrirá, exploran distintas posibilidades teniendo en cuenta las tendencias actuales, los grandes cambios, las señales emergentes y los acontecimientos inesperados, además del contexto. Estos nos ayudan a comprender y prepararnos para una serie de futuros potenciales, guiándonos a través de la incertidumbre y ayudándonos a tomar mejores decisiones al ilustrar lo que podría estar por venir, y desarrollar estrategias y crear políticas de alto impacto, los escenarios son parte esencial de mejorar la comprensión del cambio y fortalecer las estrategias. Los escenarios plausibles son los que pueden suceder y parten de lo que ya está sucediendo aquí y ahora. Ilustración: Voros, J. (2003) A generic foresight process framework. De acuerdo con Jose Voros en su marco de procesos de prospectiva y anticipación esboza los tipos de escenarios de futuros alternativos que podrían bien ser como él establece conjunto o clases anidadas de futuro, desde la progresión hacia abajo, desde lo más amplio hasta lo más estrecho. A su vez, todo futuro es un futuro potencial, incluso los que ni siquiera podemos imaginar. Potencial: Todos los futuros concebibles, que representan toda la gama de posibilidades más allá del momento presente, basados en la creencia de que el futuro es indeterminado y abierto. Prepuestos: Futuros que parecen absurdos o imposibles, a menudo descartados por irreales pero valiosos para explorar los límites de lo que podría considerarse posible. Posibles: Futuros que podrían suceder, basados en conocimientos o tecnologías que podrían descubrirse o desarrollarse en el futuro. Plausible: Futuros que podrían ocurrir razonablemente, basándonos en nuestra comprensión actual de las leyes físicas, la dinámica social, entorno, contexto y otros factores conocidos. Probables: Futuros que es probable que ocurran, a menudo extrapolados a partir de tendencias y datos actuales. Preferibles: Futuros que deseamos o creemos que deberían suceder, basados en nuestros valores y normas, a menudo contrastados con resultados indeseables. Proyectado: El futuro por defecto o “normal”, que representa una continuación de las tendencias actuales sin cambios significativos. Previsto: El futuro que alguien afirma que sucederá, a menudo presentado con un alto grado de certeza. La importancia de la prospectiva estratégica en Ciberseguridad En la actualidad, mi labor en el campo de la ciberseguridad aplicada, junto con la prospectiva estratégica y la construcción de escenarios plausibles, son herramientas esenciales para desarrollar y fortalecer las capacidades de preparación y anticipación frente a amenazas presentes y futuras. A través del análisis sistemático de los posibles acontecimientos del futuro, Analizando sistemáticamente los posibles acontecimientos futuros, se puede identificar en una amplia variedad de riesgos emergentes, conocer y explorar de manera exhaustiva su impacto potencial como además diseñar y probar las estrategias proactivas de mitigación. En práctica este enfoque va más allá de la gestión de riesgos “tradicional”, que suele focalizarse en amenazas conocidas y datos del pasado. En su lugar, enfatiza en la adaptabilidad, resiliencia, teniendo presente que el panorama de ciberseguridad superficie de ataque, superficie de exposición y el ciberespacio es dinámico en evolución exponencial. Conclusión La prospectiva estratégica tiene un amplio espectro de impacto en la Ciberseguridad, permitiendo a las organizaciones priorizar las inversiones, asignar recursos de forma más eficaz en la gestión del gasto y crear una cultura aprender, desaprender y reaprender que favorece la adaptación continua. Donde nos encontramos hoy en un entorno muy sofisticado e interconectado anticiparse y prepararse hoy, ahora y mañana —presente y futuro— se transforma en una ventaja estratégica. Sin embargo, este enfoque también plantea importantes cuestiones sobre su aplicación y eficacia. ¿Cómo pueden las organizaciones equilibrar la necesidad de una preparación exhaustiva con el riesgo de prepararse en exceso para escenarios improbables? ¿Qué papel debe desempeñar la colaboración entre los sectores público y privado en el desarrollo y la puesta en común de la prospectiva estratégica? Estas reflexiones críticas destacan la importancia de adoptar metodologías prospectivas y de evaluar rigurosamente sus resultados y mejorarlas de manera continua, en respuesta a la evolución del panorama de amenazas. Ciberseguridad Cuantificación del Ciberriesgo 28 de mayo de 2025

Como hemos visto en entregas anteriores de esta serie sobre la Directiva NIS2, las organizaciones y empresas que no cumplan los requisitos establecidos se verán obligadas a enfrentarse a graves sanciones económicas, restricciones operativas y daños reputacionales que pueden socavar e incluso agravar su posición en el mercado. Estas amenazas van mucho más allá de las multas: constituyen riesgos existenciales para las organizaciones. El incumplimiento acarrea cuantiosas sanciones económicas, estructuradas según la gravedad de las infracciones y la categoría de la entidad afectada. Se contemplan multas de hasta 10 millones de euros o el 2 % del volumen de negocio global para entidades esenciales, y de hasta 7 millones de euros o el 1,4 % del volumen de negocio para entidades importantes. A diferencia de muchas otras normativas, la NIS2 vincula las multas a la facturación global, lo que implica que las organizaciones multinacionales podrían enfrentarse a pérdidas sustanciales. Imaginemos una empresa que incumple los requisitos: un descuido en materia de Ciberseguridad podría traducirse en sanciones directas millonarias, lo suficientemente significativas como para afectar los márgenes de beneficio y comprometer la confianza de los inversores. Más allá de las multas: medidas coercitivas y consecuencias legales Pero más allá de las sanciones económicas, también se contemplan restricciones empresariales, riesgos de responsabilidad civil profesional y posibles cierres. Los reguladores no se limitarán a imponer multas: tienen autoridad para suspender operaciones empresariales y exigir responsabilidades a los ejecutivos. El incumplimiento puede dar lugar a: Prohibiciones operativas. Auditorías obligatorias. Batallas legales y demandas. Multas administrativas. Inhabilitación para desempeñar funciones directivas. Responsabilidad penal. Demandas civiles Los incumplimientos podrían incluso conducir a reestructuraciones forzosas o a la salida del mercado, especialmente en sectores altamente regulados. Esto subraya que no cumplir puede desencadenar daños colaterales como la pérdida de asociaciones corporativas, la rescisión de contratos con proveedores y un mayor escrutinio por parte de los organismos reguladores. Esta realidad pone de manifiesto que la Ciberseguridad no es solo una cuestión técnica, sino un imperativo organizativo que debe integrarse en los órganos de gobierno corporativo. Un elemento fundamental es la responsabilidad tanto de los ejecutivos como de los miembros de los consejos de administración: deben asegurarse de que la gestión de los ciberriesgos sea una prioridad absoluta para evitar repercusiones legales, daños reputacionales y otros riesgos derivados. Ignorar o inhibirse de la Ciberseguridad es un riesgo profesional para los ejecutivos. El coste reputacional de una brecha Las repercusiones financieras y legales son graves, pero el impacto reputacional puede ser aún más perjudicial. En el modelo económico digital actual, la confianza es una ventaja competitiva, y una brecha de Ciberseguridad que se haga pública puede provocar: Pérdida de clientes que opten por competidores con prácticas de Ciberseguridad más robustas. Desconfianza de proveedores y socios, lo que puede derivar en rescisión de contratos e interrupciones en la cadena de suministro. Escepticismo de los inversores, que puede traducirse en una caída del precio de las acciones y pérdida de confianza de los accionistas. Las brechas de Ciberseguridad pueden convertirse en crisis públicas altamente visibles, especialmente si afectan a un gran número de clientes o interrumpen servicios esenciales. El coste de reconstruir la confianza tras un ciberincidente suele ser mayor que el de haber cumplido desde el inicio con las exigencias normativas. Un entorno regulatorio más exigente Los organismos reguladores ya han demostrado su voluntad de hacer cumplir las normativas en materia de Ciberseguridad. Un ejemplo claro es la GDPR, que ha impuesto multas multimillonarias a empresas por vulneraciones en la privacidad y protección de datos. En paralelo, DORA está ampliando su alcance en el sector financiero. Vemos un camino similar con la NIS2: es muy probable que los reguladores sean extremadamente rigurosos con el cumplimiento. En caso de incumplimiento, no se trata de si habrá sanciones, sino de cuándo ocurrirán. Garantizar el cumplimiento y mitigar los ciberriesgos exige un enfoque estratégico y proactivo. Las organizaciones deben tratar la Ciberseguridad como una prioridad al más alto nivel, integrándola en la estrategia empresarial global. Esto requiere una mentalidad integral, transversal y holística: En nuestras estrategias digitales nadie debe quedar fuera, las personas son el centro. ■ La implicación de todas las partes de la organización es esencial para impulsar iniciativas de cumplimiento, asignar recursos y fomentar una cultura de seguridad. Gobernanza sólida como palanca de resiliencia Sin una gobernanza sólida (sabemos que cuesta, pero también hay que tener mentalidad para transformar e impulsar el cambio), los esfuerzos y sinergias en Ciberseguridad pueden quedar fragmentados, dejando a las organizaciones expuestas tanto a sanciones como a ciberataques. La urgencia de cumplir con la NIS2 nunca ha sido mayor. Más allá de las consecuencias financieras, auditorías de última hora y revisiones de seguridad pueden interrumpir las operaciones corporativas y debilitar el posicionamiento competitivo. Por el contrario, aquellas organizaciones que desarrollen capacidades proactivas en gestión de Ciberseguridad y cumplimiento a tiempo, en clave de prevención y anticipación, obtendrán una ventaja estratégica y competitiva al demostrar resiliencia y fiabilidad en el mercado. La Ciberseguridad como activo estratégico Hoy en día, la gobernanza de la Ciberseguridad es una responsabilidad fundamental de la C-suite. Desde el gobierno corporativo (consejos de administración incluidos) debe priorizarse la inversión en capacidades digitales como parte integral de las estrategias de gestión de riesgos. Integrar el cumplimiento en la dinámica operativa refuerza la postura de seguridad, aumenta la confianza de las partes interesadas y asegura la sostenibilidad del negocio a largo plazo. El cumplimiento ya no consiste solo en evitar multas: representa una oportunidad clave para construir organizaciones resilientes y competitivas en un mundo digital. Las organizaciones que traten la Ciberseguridad como un activo estratégico no solo cumplirán con la normativa, sino que se posicionarán como líderes en seguridad y confianza. Ignorar el cumplimiento ya no es una opción. ■ Las organizaciones deben actuar ahora para asegurar su futuro, mitigar los ciberriesgos e impulsar un crecimiento adaptativo y sostenible en un entorno digital cada vez más complejo y exigente. MÁS DE ESTA SERIE Telefónica Tech Ciberseguridad Directiva NIS2 (I): Repensando la Ciberseguridad en un contexto complejo e hiperconectado 17 de junio de 2025 Telefónica Tech Ciberseguridad Directiva NIS2 (II): obligaciones de Ciberseguridad y su impacto en las empresas europeas 24 de junio de 2025 Telefónica Tech Ciberseguridad Directiva NIS2 (III): Principales obligaciones, medidas de seguridad y requisitos clave 2 de julio de 2025 Telefónica Tech Ciberseguridad SandaS GRC: nuestra solución integral para cumplir con las normativas NIS2, ENS y RGPD 23 de julio de 2025

Ante el aumento de las ciberamenazas y la dependencia digital, la Directiva NIS2 presenta sus directrices para mejorar la ciberseguridad de las infraestructuras críticas, asegurando asimismo la ciberresiliencia y la gobernanza de la cadena de suministro. ¿Quiénes deben cumplir con la directiva? ¿Qué disposiciones deben seguir? Es importante señalar que las directrices de la NIS2 abarcan una amplia gama de entidades consideradas "esenciales" o "importantes". Estas entidades pueden tener menos de 10 empleados o más y un volumen de negocio o balance general anual inferior o superior a 43 millones de euros, y deben cumplir con los requisitos establecidos. No obstante, aquellas entidades relevantes para la seguridad nacional o la estabilidad económica, independientemente de su tamaño, también pueden ser designadas como sujetas a las obligaciones de la NIS2. Clasificación de entidades y niveles de supervisión Conforme a la clasificación de las entidades en dos grupos en función de su importancia e impacto potencial: Esenciales: Estas están sujetas a la supervisión reglamentaría más estricta, que incluye auditorias periódicas y evaluaciones proactivas de ciberseguridad. Sus medidas deben ser de aplicación tanto “a priori como a posteriori” como es el caso de los posibles ciberincidentes lo cual podrá llevar suspensiones, multas o prohibiciones; es muy preciso tener en cuenta la “responsabilidad civil profesional” por los incumplimientos. Importantes: Estas se enfrentan a un régimen de aplicación menos estricto, con acciones de cumplimiento que normalmente se inician sólo después de incidentes o incumplimientos detectados. Aquí el régimen de supervisión, desempeñado por los profesionales cualificados también puede verse comprometidos por la “responsabilidad civil profesional” por los incumplimientos. Responsabilidades clave en la gestión de ciberriesgos Los órganos de dirección desempeñan un papel esencial, indistintamente de la clasificación que tenga la entidad, ya que el incumplimiento por su parte de la directiva puede traer consigo consecuencias significativas; por lo que han de ser responsables de: Aprobación de la adecuación de las medidas de gestión de ciberriesgos. Supervisión de la aplicación de las medidas de gestión de ciberriesgos. Formarse en aras de adquirir conocimientos y habilidades suficientes para identificar y evaluar los ciberriesgos y su impacto al negocio. Desarrollar una cultura de concienciación y formación periódica a todas las esferas estructura de la organización. Responsabilizarse del incumplimiento. Ciberseguridad Cuantificación del Ciberriesgo 28 de mayo de 2025 Estas acciones deben de materializarse a través de la implementación de medidas o controles técnicos, operativos y estratégicos acorde a la proporcionalidad para gestionar los ciberriesgos en aras de prevenir y minimizar su impacto en el negocio y los servicios en cadena de suministro de terceros. Sanciones y medidas ante el incumplimiento de la directiva NIS2 Por otro lado, NIS2 otorga a las autoridades de regulación nacional poderes sobre las entidades afectadas tras un incumplimiento. Estos poderes incluyen la suspensión, la imposición de multas, la designación de un responsable de supervisión, la orden de comunicar a las partes involucradas, la garantía de la aplicación de medidas y/o advertencias por incumplimiento. Es importante destacar que la medida de prohibición temporal del ejercicio de funciones directivas para el CEO o representante legal se aplicaría únicamente a entidades esenciales, no a entidades importantes. ■ Las sanciones por incumplimiento pueden incluir multas de hasta 10 millones de euros o el 2% del volumen de negocio global para las entidades esenciales, y de 7 millones de euros o el 1,4% del volumen de negocios para las entidades importantes. Conclusión Las nuevas exigencias financieras y operativas introducidas por NIS2 son claras, incluyendo inversiones en tecnologías, ciberseguridad, formación y la obligación del ciberseguro para mitigar la exposición financiera derivada de un ciberincidente. Para alinear estos costes y esfuerzos de cumplimiento con la estrategia empresarial, las organizaciones deben priorizar la cuantificación de ciberriesgos, el análisis de coste-beneficio y realizar inversiones estratégicas en una ciberseguridad sólida y proactiva. MÁS DE ESTA SERIE Telefónica Tech Ciberseguridad Directiva NIS2 (I): Repensando la Ciberseguridad en un contexto complejo e hiperconectado 17 de junio de 2025 Telefónica Tech Ciberseguridad Directiva NIS2 (II): obligaciones de Ciberseguridad y su impacto en las empresas europeas 24 de junio de 2025 Telefónica Tech Ciberseguridad Directiva NIS2 (IV): el coste del incumplimiento en Ciberseguridad 8 de julio de 2025 Telefónica Tech Ciberseguridad SandaS GRC: nuestra solución integral para cumplir con las normativas NIS2, ENS y RGPD 23 de julio de 2025

La Directiva NIS2 amplía significativamente el ámbito de aplicación de las obligaciones cibernéticas de empresas y organizaciones, abarcando una variedad de industrias y sectores dentro de la Unión Europea, independientemente de su tamaño (micro, pequeñas, medianas o grandes) o naturaleza pública o privada. Por ello, la directiva señala la Recomendación 2003/361/CE, para categorizar el ámbito de aplicación. Es importante considerar que se incluyen ciertas organizaciones más pequeñas debido a que la Directiva aborda tanto los sectores de alta criticidad como otros sectores críticos, donde factores como la seguridad nacional o la estabilidad económica son relevantes, independientemente de su tamaño. Además, garantiza que no solo las grandes organizaciones, sino también las empresas que desempeñan un papel esencial en la sociedad, deberán cumplir con estrictos controles de ciberseguridad. Quizás te preguntes: ¿de qué manera me afecta y como está sujeta mi organización a la normativa? Impacto de la Directiva NIS2 en las empresas según su tamaño y sector Esto dependerá de las distinciones establecidas en el Anexo I y II según su criticidad, sector, tipología de servicio, tamaño y otras variables que pueden incidir por que en principio nos movemos en entidades esenciales o entidades importantes. Es preciso señalar que el rigor o exigencia de los requisitos al mismo tiempo concede excepciones parciales a las pymes a las que no desempeñan u papel critico en la seguridad nacional o de la Unión Europea. Las empresas más grandes, según su clasificación, están sujetas a auditorías más frecuentes, plazos más estrictos para la notificación de ciberincidentes y un régimen de responsabilidad civil profesional directa para la alta dirección en situaciones de Ciberseguridad. ■ Es importante destacar que, aunque las pymes que forman parte de la infraestructura crítica o de las cadenas de suministro pueden estar generalmente obligadas a cumplir con la directiva en función de su sector y nivel de riesgo. Las micro y pequeñas empresas suelen estar exentas de esta obligación, salvo en casos donde provean servicios o infraestructura crítica. Las medidas de control de ciberseguridad están orientada a un enfoque basado en riesgos, que demanda que las organizaciones apliquen controles técnicos, organizativos y de gobernanza, incluyen: Todas las medidas han se ser proporcionales, en función del riesgo, tamaño, coste, impacto y gravedad de los incidentes. Además de tener en cuenta aspectos técnicos e incluso cuando proceda y según aplique las normas europeas e internacionales. Medidas proporcionales y gestión de incidentes significativos Hay que tener en cuenta que las entidades esenciales se exponen a un mayor escrutinio regulatorio, incluyendo las auditorias in situ, evaluaciones detalladas de riesgos y acciones directas para hacer cumplir la directiva. Al mismo tiempo las entidades importantes, deben cumplir las mismas medidas de ciberseguridad, pero con obligaciones de supervisión e información menos frecuentes. Por otro lado, la gestión de incidentes en cuanto a los incidentes significativos se considera así porque primero ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas y segundo ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales. Por lo cual las obligaciones de notificación son: Hay que señalar que la notificación en 24 horas obliga a mejorar en las organizaciones sus capacidades de monitoreo y respuesta, lo que pone en relieve una mayor inversión en centros se operaciones de Ciberseguridad (SOC) y en inteligencia de amenazas. ■ Las organizaciones más pequeñas pueden tener dificultades para cumplir este requisito, lo que puede generar riesgo de cumplimiento e incurrir en sanciones. Impacto de NIS2 en las organizaciones y su gestión de Ciberseguridad Las severas sanciones por incumplimiento, incluidas multas de hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales y de 7 millones de euros o el 1,4% del volumen de negocios para las entidades importantes. Al mismo tiempo, la C-suite, los miembros del consejo de administración pueden ser considerados como personalmente responsable responsabilidad civil profesional de no aplicar medidas de ciberseguridad con la posibilidad de ser inhabilitados temporalmente del ejercicio de funciones directivas. Lo que a su vez hace alinear la ciberseguridad con el gobierno corporativo, obligando a los directivos a priorizar las inversiones en seguridad y la gestión de riesgos. Por ello, cumplir con NIS2 demanda de un cambio estratégico en la gestión de las inversiones de Ciberseguridad, que impulsa mayores inversiones en gestión de ciberriesgos, tecnologías de seguridad avanzada, evaluaciones de terceras y cuartas partes, y equipos de cumplimiento además de las capacidades del talento humano del departamento de Ciberseguridad. A primera vista, es más factible que las grandes empresas puedan absorber estos costes con mayor facilidad. Sin embargo, las empresas más pequeñas enfrentan tensiones e incertidumbre financiera debido a la necesidad de personal especializado, infraestructura de Ciberseguridad y servicios jurídicos. No obstante, los beneficios a largo plazo incluyen una mayor ciberresiliencia, mitigación de riesgos de pérdidas financieras reducción derivadas producto de las infracciones y la mejora de la confianza de las partes interesadas. ■ Con la Directiva NIS2 se refuerza las capacidades de ciberresiliencia y se refuerza la seguridad de la cadena de suministro al tiempo que se reducen la exposición a las ciberamenazas procedentes de terceros países. La directiva influye en las políticas de ciberseguridad más allá de las fronteras. MÁS DE ESTA SERIE Telefónica Tech Ciberseguridad Directiva NIS2 (I): Repensando la Ciberseguridad en un contexto complejo e hiperconectado 17 de junio de 2025 Telefónica Tech Ciberseguridad Directiva NIS2 (III): Principales obligaciones, medidas de seguridad y requisitos clave 2 de julio de 2025 Telefónica Tech Ciberseguridad Directiva NIS2 (IV): el coste del incumplimiento en Ciberseguridad 8 de julio de 2025 Telefónica Tech Ciberseguridad SandaS GRC: nuestra solución integral para cumplir con las normativas NIS2, ENS y RGPD 23 de julio de 2025

La Ciberseguridad es una pieza clave de las estrategias de cualquier organización. Navegamos en un panorama cibernético de gran complejidad, debido a que las ciberamenazas se han vuelto sistémicas, transnacionales y cada vez más sofisticadas. Por eso, la Unión Europea (UE) ha dispuesto la Directiva NIS2 2022/2555 que subraya la necesidad de solidas medidas en aras de reforzar las capacidades de ciberresiliencia. Los ciberataques dirigidos a infraestructuras críticas, cadenas de suministro e instituciones gubernamentales no solo están aumentado en frecuencia sino también en impacto, con consecuencias financieras, operativas y geopolíticas. ¿Deben por tanto las organizaciones replantearse todo su enfoque de la ciberseguridad y ciberresiliencia? Impacto de la Directiva NIS2 en la gobernanza y la Ciberseguridad empresarial La Directiva NIS2 es el marco actualizado de ciberseguridad de la Unión Europea, que reemplaza la Directiva NIS1 2016/1148 para abordar los retos y desafíos cibernéticos, así como las deficiencias regulatorias y las incoherencias en la aplicación por los diferentes Estados miembros. ■ La Directiva NIS1 estableció precedentes en las bases de la gobernanza de la Ciberseguridad, aunque se vio significativamente afectada por la fragmentación de las implementaciones nacionales, lo cual expuso vulnerabilidades en sectores críticos. En consecuencia, la Directiva NIS2 amplía su alcance al abarcar más sectores, reforzando los requisitos de seguridad e introduciendo mecanismos de control más estrictos, incluidas sanciones más elevadas y responsabilidad ejecutiva, diferenciándose de NIS1 por su flexibilidad de aplicación. La nueva directiva nos impone un enfoque unificado, basado en riesgos, en aras de garantizar una mayor ciberresiliencia en toda la UE. Por esto amplia significativamente el ámbito de las entidades reguladas, yendo más allá de los sectores tradicionales de infraestructuras criticas como la energía, el transporte y la sanidad para incluir a los proveedores de servicios digitales, la administración pública, la gestión de residuos y la industria manufacturera. La nueva directiva nos impone un enfoque unificado, basado en riesgos, en aras de garantizar una mayor ciberresiliencia en toda la UE. Con esta ampliación, la UE refleja el reconocimiento de que las ciberamenazas modernas que no se limitan a los sectores críticos tradicionales, sino que a su vez se extienden a las cadenas de suministro interconectadas o transnacionales y a los servicios esenciales. Las organizaciones categorizadas quedan identificadas como 'esenciales' e 'importantes', por lo que deben adherirse a estrictas medidas de ciberseguridad. Esto viene a transformar la idea de que la Ciberseguridad no es solo una cuestión de TI, sino un pilar esencial de la continuidad empresarial, resiliencia y la gestión de riesgos. Medidas y requisitos para garantizar la ciberresiliencia Por lo tanto, se introduce un conjunto de medidas mínimas para la gestión de ciberriesgos que todas las entidades bajo su alcance deben aplicar. Estas medidas incluyen la gestión de identidades y accesos, el cifrado, la autenticación robusta, la seguridad de la cadena de suministro y los planes de respuesta a ciberincidentes. Esto también requiere supervisión continua, evaluaciones periódicas de la seguridad y estrategias de gestión de crisis para asegurar que las organizaciones puedan detectar, responder y recuperarse de los ciberincidentes de manera efectiva. Además, el cumplimiento debe ser demostrable, con documentación clara de gobernanza, lo que hace que la Ciberseguridad sea una responsabilidad a nivel de dirección en lugar de una preocupación operativa. La Ciberseguridad es un pilar esencial de la continuidad empresarial, resiliencia y la gestión de riesgos. Algo muy significativo en esta directiva es su énfasis en la seguridad de la cadena de suministro, dando reconocimiento a que muchos ciberincidentes provienen de vulnerabilidades en proveedores de terceras y cuartas partes. Ahora se exige que se evalúen y se gestionen los riesgos relacionados con la cadena de suministro, asegurando el cumplimiento regulatorio y técnico de Ciberseguridad. En este contexto, se desplaza la responsabilidad de la mera protección de la infraestructura tecnológica a la supervisión activa y proactiva de la postura de Ciberseguridad de las terceras y cuartas partes, convirtiendo la Ciberseguridad en un esfuerzo de colaboración, capacidades y cooperación en lugar de una responsabilidad aislada. Sin embargo, hacer cumplir las normas de seguridad en cadenas de suministro complejas y globales sigue siendo un reto significativo. Sanciones y responsabilidades ejecutivas en Ciberseguridad Al mismo tiempo se introducen sanciones más estrictas para garantizar su cumplimiento, con multas económicas que alcanzan hasta 10 millones de euros o el 2% de la facturación anual global de una empresa categorizada como entidades esenciales y hasta 7 millones de euros o el 1,4% de la facturación para las entidades importantes. Por otro lado, los directivos y los miembros de los consejos de administración pueden ser considerados como responsabilidad civil profesional de las cuestiones de ciberseguridad. Estas sanciones ponen en relieve que la Ciberseguridad ha pasado de ser un problema de TI a ser una prioridad a nivel ejecutivo, lo que demanda a las organizaciones a integrar la seguridad en sus marcos de gobernanza. La gobernanza, por tanto, deja de ser una cuestión operativa o técnica para convertirse en una obligación estratégica y legal en todas las áreas del nivel ejecutivo. Los consejos de administración junto con los directivos deben supervisar activamente la gestión de los ciberriesgos, asegurando que los responsables de la toma de decisiones estén informados sobre el panorama corporativo de la Ciberseguridad, independientemente de la madurez que puedan exhibir y el impacto potencial de las ciberamenazas. La Ciberseguridad ha pasado de ser un problema de TI a ser una prioridad a nivel ejecutivo. Formación, notificación y estrategia empresarial en Ciberseguridad Los directivos están obligados a recibir formación de ciberseguridad y pueden ser considerados como “responsabilidad civil profesional” de los incumplimientos. Con esto vemos que este cambio tiene la misión de integral la ciberseguridad en la estrategia empresarial, empujando a las organizaciones a dar prioridad a una gestión proactiva en lugar del cumplimiento reactivo. Desde otro ámbito la notificación de ciberincidentes es muy estricta, obliga a las organizaciones a notificar ciberincidentes significativos. ■ Es fundamental no percibir la NIS2 como una carga adicional. Las organizaciones que poseen una visión y misión claras en sus estrategias pueden utilizar el cumplimiento de esta normativa como un elemento diferenciador en el mercado. Adoptar y superar proactivamente los requisitos establecidos mejora la capacidad de ciberresiliencia corporativa, genera confianza entre los clientes y contribuye a liderar sectores, demostrando un compromiso con la seguridad. Las prácticas sólidas de Ciberseguridad pueden constituir un argumento de venta convincente para las empresas que deseen atraer socios y clientes que valoren la seguridad. Asimismo, las organizaciones que integren el cumplimiento de la norma NIS2 en una estrategia de gestión de riesgos estarán más preparadas para adaptarse a futuros cambios normativos y enfrentar ciberamenazas. Conclusión Más allá del mero cumplimiento, un cambio en las ciberestrategias corporativas representa un momento importante en la evolución de la gobernanza de Ciberseguridad en Europa, ya que cambia el enfoque de los controles técnicos aislados a la ciberresiliencia estratégica en todas las organizaciones. Es importante destacar que el éxito de una organización con NIS2 dependerá no solo del cumplimiento, sino de cómo la organización se adapte, innove y gestione en un entorno cibernético cada vez más complejo. NIS 2 promueve una cultura de Ciberseguridad centrada en la ciberresiliencia, la innovación y la gestión proactiva de ciberriesgos. MÁS DE ESTA SERIE Telefónica Tech Ciberseguridad Directiva NIS2 (II): obligaciones de Ciberseguridad y su impacto en las empresas europeas 24 de junio de 2025 Telefónica Tech Ciberseguridad Directiva NIS2 (III): Principales obligaciones, medidas de seguridad y requisitos clave 2 de julio de 2025 Telefónica Tech Ciberseguridad Directiva NIS2 (IV): el coste del incumplimiento en Ciberseguridad 8 de julio de 2025 Telefónica Tech Ciberseguridad SandaS GRC: nuestra solución integral para cumplir con las normativas NIS2, ENS y RGPD 23 de julio de 2025

Las tecnologías cuánticas (QT, por sus siglas en inglés) están cada vez más cerca de redefinir el panorama tecnológico, prometiendo avances significativos en áreas como la metrología, la IA o la ciencia de los materiales. Sin embargo, al igual que con cualquier tecnología transformadora, la computación cuántica conlleva riesgos considerables, especialmente en el ámbito de la Ciberseguridad. La capacidad de los sistemas cuánticos para ejecutar cálculos a velocidades sin precedentes plantea una amenaza para los fundamentos criptográficos que sostienen nuestro mundo digital actual. La convergencia de oportunidades y riesgos en la computación cuántica requiere la atención de gobiernos, empresas y profesionales de la Ciberseguridad por igual. La nueva era del cómputo: ¿qué hace diferente a la computación cuántica? Se introduce un cambio de paradigma en la potencia de cálculo. A diferencia de los ordenadores tradicionales, que procesan los datos en bits binarios 0 y 1, los ordenadores cuánticos aprovechan los 'qubits' término acuñado por físico teórico Benjamin Schumacher, que existen múltiples estados simultáneos gracias a los principios de superposición y entrelazamiento. Esta capacidad permite a los sistemas cuánticos resolver problemas complejos exponencialmente más rápido que los ordenadores tradicionales, revolucionando la optimización, el descubrimiento de fármacos y la IA. Riesgos criptográficos: una amenaza existencial a la seguridad digital No obstante, este mismo poder crea una ciberamenaza existencial para los estándares actuales de cifrado. La criptografía de clave publica, que asienta las comunicaciones seguras y las transacciones digitales, es vulnerable a ciberataques cuánticos capaces de descifrar que los ordenadores tradicionales tardarían milenios en descifrar. Aunque la computación cuántica representa avances revolucionarios, obliga al mundo a reconsiderar las estrategias de Ciberseguridad. El algoritmo cuántico de Peter Shor desarrollado en 1994, que factoriza grandes números primos, un proceso que los ordenadores tradicionales tienen dificultades para realizar. Pone en manifiesto la capacidad de socavar directamente el cifrado RSA cuya seguridad se basa en la dificultad de la factorización de números primos y del mismo modo, la criptografía de curva elíptica (ECC), aplicada en comunicaciones seguras y firmas digitales, también está en riesgo. La ciberamenaza del HDNL se refiere a la posibilidad de que los ciberdelincuentes roben datos cifrados en la actualidad con la intención de descifrarlos en el futuro, una vez que los ordenadores cuánticos hayan alcanzado las capacidades necesarias. Esto implica que información financiera, gubernamental y personal sensible podría ser vulnerable dentro de algunos años, lo que haría que las medidas de seguridad actuales resulten insuficientes ante futuras amenazas cibernéticas. Respuesta global: hacia una criptografía poscuántica En respuesta a las ciberamenazas cuánticas, el NIST está trabajando en el desarrollo de algoritmos criptográficos poscuánticos (PQC) que sean resistentes a los ciberataques cuánticos. El NIST está finalizando nuevas normas de cifrado para reemplazar a RSA y ECC. No obstante, la transición a un cifrado robusto a ciberataques cuánticos plantea importantes desafíos donde las organizaciones deben revisar su infraestructura de seguridad actual, actualizar protocolos y garantizar la compatibilidad con versiones anteriores, todo ello manteniendo la integridad operacional. Es importante considerar que puede resultar complejo y desafiante para sectores que dependen de sistemas integrados e interconectados, como la banca y las telecomunicaciones; así como para el entorno OT, donde las actualizaciones de hardware y software son costosas y complicadas. La computación cuántica representa avances revolucionarios, pero obliga al mundo a reconsiderar las estrategias de Ciberseguridad. Nuevos vectores de ataque: IA cuántica y señal avanzada Al romper el cifrado, estas tecnologías introducen nuevos riesgos. Los ciberdelincuentes podrían aprovechar el aprendizaje automático impulsado por la inteligencia cuántica para desarrollar ciberataques más sofisticados, automatizando el descubrimiento de vulnerabilidades y optimizando los vectores de ataques. También la computación cuántica podría verse utilizada en el procesamiento avanzado de señales, lo que permitiría a los actores maliciosos romper las medidas de seguridad en las comunicaciones cifradas por data, voz, video y satélite. Existe una convergencia con la IA que acelera estos riesgos permitiendo su identificación y explotación de puntos débiles de Ciberseguridad con más eficacia que nunca. Supremacía cuántica y geoestrategia digital Las tecnologías cuánticas están llamadas a convertirse en la piedra angular de la ciberguerra y las operaciones de inteligencia. Diversos gobiernos están invirtiendo en estas tecnologías y reconociendo su potencial para mejorar las capacidades criptográficas e interrumpir las comunicaciones de los adversarios. La supremacía cuántica se convierte en un objetivo clave para los actores estatales. Ahora bien, las implicaciones estratégicas son inmensas debido a que las naciones que logren capacidades de sofisticados avances de descifrado cuántico podrían poner en riesgo la inteligencia, perturbar los sistemas financieros y socavar la estabilidad global. Es una gran carrera por el mundo cuántico en cuestión de seguridad nacional y poder geopolítico. Soluciones avanzadas, retos persistentes La distribución cuántica de claves (QKD, por sus siglas en inglés) se presenta frecuentemente como una solución avanzada para la seguridad de las comunicaciones en la era cuántica. Este método aprovecha los principios de la mecánica cuántica para establecer claves de cifrado que, de acuerdo con el teorema de no clonación, son teóricamente inmunes a manipulaciones. Aunque mejora la seguridad, no es una solución universal. Demanda de una infraestructura especializada, es vulnerable a los ataques de canal lateral y no potaje los datos en reposo ni los datos previamente cifrados expuestos mediante estrategias HNDL. ■ QKD es una herramienta esencial en la seguridad cuántica que debe complementarse con solidos estándares de cifrado de robustos. Infraestructuras críticas y consecuencias económicas Algunos ciberamenazas podrían interrumpir procesos, invalidar firmas, comprometer sistemas. Al tiempo que las infraestructuras críticas, incluidas las redes de energía y telecomunicaciones, corren el riesgo de sufrir ciberataques cuánticos que podrían dejar inútil los servicios esenciales. La cuestión no es si la tecnología cuántica perturbará la Ciberseguridad, sino cuándo y hasta qué punto estaremos preparados. Las cadenas de suministro globales, que dependen de intercambio de datos seguros podrían verse comprometidas por la capacidad de descifrado cuántico. Pero también las consecuencias económicas de no adoptar la seguridad cuántica podrían ser catastrófica, provocando inestabilidad financiera, espionaje y vulnerabilidades para la seguridad nacional. Recomendaciones: anticiparse con estrategia y talento Las organizaciones deben ir en aras de tomar acciones proactivas para prepararse en la era poscuánticos: Realizar evaluaciones de ciberriesgos cuánticos. Adoptar modelos híbridos de cifrado. Invertir en formación y talento especializado ■ Desarrollar hoy una estrategia de Ciberseguridad resiente a las tecnologías cuánticas es esencial para evitar tener soluciones improvisadas cuando las capacidades de descifrado se generalicen. Conclusión Es importante actuar ahora para no ser sorprendidos. Las tecnologías emergentes como la criptografía basada en celosías, los generadores cuánticos de números aleatorios y la Ciberseguridad impulsada por la IA configurarán el futuro de la seguridad cuántica. Las organizaciones deben mantener sus posturas de seguridad ágiles y actualizadas constantemente para adaptarse a estos avances. Esto representa tanto una revolución tecnológica sin precedentes como una crisis de seguridad inminente. La cuestión no es si la tecnología cuántica perturbará la Ciberseguridad, sino cuándo y hasta qué punto estaremos preparados. Descarga nuestra guía para proteger tus datos frente a la amenaza cuántica Desde Telefónica Tech proponemos un enfoque estratégico basado en la criptoagilidad, que permite adaptar los sistemas ante nuevas amenazas sin comprometer la operativa actual. ■ Invitamos a todas las organizaciones a descargar nuestra guía de Preparación estratégica para la Criptografía Poscuántica e iniciar cuanto antes su transición hacia una infraestructura criptográfica resiliente y preparada para la era cuántica.

La computación cuántica ya no es un concepto futurista; es una revolución tecnológica inminente que transformará industrias, economías y ciberseguridad. Si bien es cierto que sus capacidades prometen grandes avances en áreas como la criptografía, la Inteligencia Artificial y la solución de problemas de alta complejidad, también trae consigo la introducción de riesgos significativos, como el potencial de romper los algoritmos de encriptación tradicional y crear desequilibrios en el poder geopolítico. Por lo tanto, su gobernanza no es solo un reto técnico, sino también un aspecto estratégico para garantizar la seguridad, el uso ético y el acceso equitativo. A la vez que las naciones, empresas e instituciones académicas y científicas se lanzan a la carrera de alcanzar la supremacía cuántica, es necesario preguntarse: ¿Quién controla el desarrollo y el despliegue de estas tecnologías? ¿Cómo salvaguardamos la seguridad global al tiempo que se fomenta la innovación? ¿Qué modelos de gobernanza definirán la era cuántica? Principios clave para una gobernanza responsable Cuando hablamos de gobernanza de la computación cuántica o de las tecnologías cuánticas (QT, siglas en inglés) son los marcos, políticas y normativas que guían el desarrollo, despliegue y uso responsable de estas tecnologías. El Foro Económico Mundial (WEF, siglas en inglés) define los siguientes principios de gobernanza: Capacidades transformadoras: aprovechar esas capacidades de esas tecnologías y sus aplicaciones para el bienestar de la humanidad, gestionando al mismo tiempo los riesgos de forma adecuada. Acceso a la infraestructura de hardware: garantizar amplio acceso al hardware de computación cuántica. Innovación abierta: fomentar la colaboración y un entorno precompetitivo, que permita un desarrollo más rápido de la tecnología y la realización de sus aplicaciones. Crear conciencia: garantizar que la población en general y las partes interesadas en la computación cuántica sean conscientes, participen y estén suficientemente informadas para permitir un diálogo y una comunicación con supervisión y autoridad deberían poder tomar decisiones informadas sobre la computación cuántica en sus respectivos dominios. Desarrollo de la fuerza laboral y creación de capacidades: construir y mantener una fuerza laboral preparada para la tecnología cuántica. Ciberseguridad: garantizar la transición a un mundo digital cuánticamente seguro. Privacidad: mitigar los posibles riesgos para la privacidad de los datos violaciones mediante robo y procesamiento por computadoras cuánticas. Estandarización: promover normas y mecanismos de elaboración de hojas de ruta para acelerar el desarrollo de la tecnología. Sostenibilidad: desarrollar un futuro sostenible con y para la tecnología responsables y continuos; de computación cuántica. Lo esencial de la gobernanza radica en su impacto en la ciberresiliencia. Los ordenadores cuánticos tienen el potencial de romper protocolos criptográficos ampliamente usados dejando obsoletos los sistemas de seguridad actuales; lo que, sin un enfoque estructurado de gobernanza, los Estados adversarios o los actores maliciosos podrían explotar los avances cuánticos con fines maliciosos provocando pérdidas económicas y financieras, brechas de datos y amenazando la seguridad nacional. Establecer mecanismos claros de gobernanza garantiza que se contribuye a la innovación sin comprometer la Ciberseguridad. Las tecnologías cuánticas, al igual que la IA, corren el riesgo de convertirse en una herramienta de dominio geopolítico y económico si no se crean las condiciones apropiadas de regulación. Podemos entender que los países con capacidades cuánticas avanzadas pueden obtener una ventaja asimétrica en Ciberseguridad, finanzas y aplicaciones militares. Para evitar una brecha cuántica, es necesario la colaboración y cooperación internacional que garanticen un acceso equitativo a los recursos y el talento. Es necesario establecer directrices que regulen el uso de la tecnología cuántica para evitar su concentración en manos de unas pocas organizaciones. Donde las iniciativas e investigación cuántica de código abierto, los acuerdos de transferencia e intercambio tecnológico y la inversión en educación cuántica en las economías en desarrollo pueden ayudar a reducir la brecha. Además, garantizar que estas tecnologías se ajusten a las regulaciones internacionales sobre derechos humanos y ciberseguridad evitará su uso indebido. ■ Los ordenadores cuánticos; específicamente los que implementan el algoritmo de Shor, pueden romper algoritmos criptográficos de clave pública utilizados habitualmente como RSA y ECC. Siendo una vulnerabilidad conocida del HNDL. Para contrarrestarlo las organizaciones deben adoptar criptografía resistente a la computación cuántica, la criptografía poscuántica. Lo hemos podido ver con el NIST en el desarrollo de los algoritmos criptográficos poscuánticos (PQC, siglas en inglés), al tiempo que los gobiernos y las organizaciones deben iniciar su transición. La urgencia de una gobernanza cuántica global La gobernanza cuántica instaura e impone la necesidad de adopción de algoritmos PQC en todas las industrias críticas o sectores esenciales, regulación para la actualización del cifrado y la gestión de claves y la cooperación mundial para prevenir la ciberguerra cuántica. Se deben realizar evaluaciones de ciberriesgos cuánticos para valorar cómo podría afectar la computación cuántica a su infraestructura y arquitectura tecnológica, lo que subraya: Identificar la gestión de los datos cifrados. Identificar protocolos de cifrado vulnerables en los sistemas existentes. Aplicar la agilidad criptográfica proactiva, permitiendo a los sistemas la transición a un cifrado seguro con perspectiva cuántica. Analizar las ciberamenazas cuánticas. La gobernanza pone en relieve el desarrollo de una hoja de ruta corporativa para la transición cuántica, garantizando el cumplimiento de esquemas normativos de ciberseguridad emergentes y disruptivos antes de que se materialicen las ciberamenazas cuánticas. ■ En el contexto de las operaciones en el ciberespacio, la computación cuántica introduce una reconfiguración y cambio de paradigma en la ciberguerra y la inteligencia donde los gobiernos están invirtiendo en la criptografía cuántica y en capacidades de piratería cuántica para obtener ventajas de espionaje y ciberseguridad. Las naciones con supremacía cuántica buscarán obtener el poder de descifrar las comunicaciones, dejando muchas cosas al descubierto. Conclusión Es imperativo aunar esfuerzos de gobernanza como el desarrollo de tratados internacionales, directrices de ciberseguridad y privacidad para evitar el uso malicioso de las tecnologías cuánticas en conflictos cibernéticos patrocinados por los Estados, además del establecimiento de acuerdos de control de armas cuánticas que podrían ser necesarios para mantener la estabilidad global. Estas tecnologías transformarán directamente las industrias y la sociedad, por lo que la gobernanza está determinada por la normalización, la colaboración, los servicios cuánticos de computación en la nube, la armonización internacional de políticas, el desarrollo del talento y las capacidades, el tejido socioeconómico cuántico; por lo que se debe garantizar un futuro cuántico ético, seguro y viable. Ahora es el momento de actuar. Descarga nuestra guía para proteger tus datos frente a la amenaza cuántica Desde Telefónica Tech proponemos un enfoque estratégico basado en la criptoagilidad, que permite adaptar los sistemas ante nuevas amenazas sin comprometer la operativa actual. ■ Invitamos a todas las organizaciones a descargar nuestra guía de Preparación estratégica para la Criptografía Poscuántica e iniciar cuanto antes su transición hacia una infraestructura criptográfica resiliente y preparada para la era cuántica. Foto principal (cc) IBM Quantum System One en el Voorhees Computing Center.

Debido a la relevancia de las ciberamenazas en el ámbito financiero, la Cuantificación del Ciberriesgo (CRQ) es una necesidad estratégica para las organizaciones. Las evaluaciones de riesgos tradicionales, que a veces se basan en escalas cualitativas y juicios subjetivos, tienen el desafío de proporcionar la precisión y exactitud requeridas por el gobierno corporativo. Esta cuantificación, por el contrario, traduce el ciberriesgo en términos financieros logrando que las organizaciones mediante los órganos de dirección C-suite y gobierno corporativo, además de otras partes interesadas tomen decisiones basadas en datos, justificar inversiones en ciberseguridad e integral el ciberriesgo en marcos más amplio de la gestión del riesgo corporativo. ■ La Cuantificación del Ciberriesgo (CRQ) evalúa, identifica, valida, mide y analiza ciberriesgos mediante datos y técnicas matemáticas y estadísticas para cuantificar el impacto financiero y la frecuencia de ciberamenazas, ciberataques o ciberincidentes. De acuerdo con el Foro Económico Mundial (WEF) puede integrarse con el método de valor en riesgo (VaR). Cuantificación del Ciberriesgo Es común ver las evaluaciones de los ciberriesgos que aplican métodos cualitativos a escalas de riesgo alto, medio o bajo para evaluar las ciberamenazas y vulnerabilidades. Aunque desde este enfoque se puede tener una idea general de la ciberexposición, no obstante, carecen de precisión y a menudo no logran comunicar del todo el ciberriesgo en términos que gobierno corporativo y la C-suite puedan actuar en consecuencia. La Ciberseguridad deja de ser un centro de costes y se convierte en un activo estratégico cuando aporta valor medible, impulsa la responsabilidad y fortalece la cultura de resiliencia empresarial. Mediante CRQ ayuda a priorizar las inversiones en Ciberseguridad en función de las pérdidas potenciales monetarias. Al mismo tiempo, las evaluaciones de cualitativas deben de dar paso a lo cuantitativo porque las organizaciones tendrán la oportunidad de asignar presupuestos de forma eficaz, medir el ROI de las iniciativas de ciberseguridad y cumplir con las exigencias legales y regulatorias que cada vez más se abocan por métricas de riesgos cuantificables. —Por ejemplo, imaginemos el caso de una empresa que se enfrenta a un posible ataque de ransomware, una evaluación cualitativa podría simplemente etiquetar el riesgo como “alto”. Mientras CRQ, estimar la probabilidad de que se produzca el ciberataque, calculadora la perdida financiera esperada y determinar en qué medida los esfuerzos de mitigación; como la compra de una póliza de ciberseguro o la mejora de la seguridad de los activos podría reducir esa exposición. Trabajo con diversos marcos para la cuantificación, cada uno tendrá sus ventajas; pero me es de gran utilidad Factor Analysis of Information Risk (FAIR) es una metodología más extendida y desglosa el ciberriesgo en componentes como la frecuencia y la magnitud de la perdida para proporcionar un enfoque estructurado y cuantitativo. La excelencia de este modelo esta al momento de traducir los ciberriesgos en términos financieros, por lo que es ideal ya que permite justificar las inversiones necesarias en Ciberseguridad. Quienes toman decisiones a menudo se enfrentan a desafíos a la hora de priorizar inversiones, evaluar la rentabilidad y justificar presupuestos de Ciberseguridad. Metodologías y herramientas para la cuantificación del ciberriesgo Ahora bien, si quieres tener unas capacidades sofisticadas con y aprovechar todo el potencial de FAIR puedes integrarlo con NIST, ISO, CIS e incluso entrelazarlo con indicadores técnicos y tácticos de las operaciones de Ciberseguridad combinado con ciberinteligencia veras el foco holístico en la gestión de riesgos. Además, podemos tener en cuenta los indicadores clave de rendimiento KPI y los indicadores claves de riesgo KRI, algunos pasan la medición del ciberriesgo incluyen: Expectativa de perdida anualizada (ALE), la pedida esperada de incidentes cibernéticos por año. Exposición al riesgo en términos financieros, el valor monetario de los ciberriesgos potenciales basados en la probabilidad y el impacto. Tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR), indicadores de la capacidad organizacional para gestionar y mitigar las ciberamenazas. Retorno de la inversión en Ciberseguridad (ROI), rentabilidad de las iniciativas cibernéticas. Hay otras métricas aparte de estas. Además, las técnicas de modelado financiero, como las simulaciones de Monte Carlo y el análisis bayesiano, ayudan a las organizaciones a cuantificar mediante la estimación de inherentes escenarios de ciberataques y sus consecuencias financieras. —Por ejemplo, una empresa podría simular cómo un ciberataque interrumpiría su cadena de suministro y luego usar esta información para decidir si vale la pena invertir en herramientas de protección. ■ A diferencia de los riesgos de crédito, mercado y liquidez, cuyos modelos financieros han evolucionado y madurado durante décadas, el ciberriesgo es dinámico, impredecible y está influenciado por comportamientos adversos. Mientras que los riesgos financieros siguen tendencias históricas y comportamientos de mercado, el ciberriesgo está determinado por amenazas cibernéticas emergentes, cambios tecnológicos, factores geopolíticos, humanos e incluso el contexto específico. Integración del ciberriesgo en la gestión empresarial A pesar de las diferencias, el ciberriesgo debe integrarse en la gestión de riesgos empresariales (ERM), donde se puede usar el CRQ para traducir las ciberamenaza en exposición financiera, lo que permite gestión los ciberriesgos junto con los riesgos empresariales tradicionales. Por ejemplo, algunas entidades financieras suelen incluir el ciberriesgo dentro de sus modelos de valor de riesgo (VaR) para estimar perdidas potencias de los ciberataques. La inteligencia artificial, el aprendizaje automático y el análisis de macrodatos mejora la cuantificación del ciberriesgo: Identificación de patrones de ciberataques a partir de vastos conjuntos de datos. Predicción de ciberamenazas basados en ciberincidentes. Automatizar las evaluaciones de riesgos para mejorar la precisión y eficacia. Desarrollar capacidades de prospectiva y previsión estratégica. He trabajado en casos donde una entidad financiera deseaba utilizar un modelo de ciberriesgos basado en IA para analizar tendencias del ransomware y otros vectores de ataques en el sector, con el fin de predecir la probabilidad de ser atacada. En este proceso, se incorporaron inteligencia de amenazas, datos históricos y otros indicadores técnicos de las operaciones cibernéticas, lo que permitió refinar los modelos de cuantificación y mejorar los procesos de toma de decisiones. Sin datos cuantificables, el gasto en Ciberseguridad puede volverse ineficiente por una inversión excesiva en amenazas de bajo impacto o insuficiente en vulnerabilidades de alto impacto. Las aseguradoras cibernéticas o las que tienen pólizas de ciberseguro, se basan en la cuantificación para fijar primas y definir las coberturas. Algunos factores claves que consideran son: La postura de ciberseguridad corporativa. Gestión de las operaciones cibernéticas (ciberincidentes, ciberataques y brechas de datos). Capacidad de respuesta. El sector y el ámbito de cumplimiento regulatorio. Sostenibilidad, solvencia y liquidez económica y financiera. Riesgos derivados de otros riesgos y su relación con ciberseguridad. ■ Las organizaciones con modelos de cuantificación maduros podrían negociar mejores tarifas de ciberseguro demostrando estrategias de mitigación de riesgos y cuantificando las perdidas potencias. Importancia de la cuantificación en la Ciberseguridad Es preciso señalar que la cuantificación es un proceso vivo y que se puede integrar a cualquier normativa de Ciberseguridad que demanda de una gestión de ciberriesgos, por ejemplo, los marcos de ciberseguridad de la SEC, GDPR, NIS2, DORA, ENS y otras. Lo cual se alinea con esos marcos al proporcionar métricas de cuantificables de riesgos, haciendo que los esfuerzos de cumplimiento sean más estructurados, transparentes, objetivos y defendibles. La C-suite y gobierno corporativo cada vez más exigen análisis de costes y beneficios para aprobar las inversiones y la gestión de recursos de Ciberseguridad. La cuantificación permite a los CISO presentar las inversiones cibernéticas como decisiones financieras mostrando como una inversión de 2 millones de euros podría evitar 20 millones en perdidas cibernéticas potencias. Cuantificar los ciberriesgos en términos financieros mejora la comunicación entre equipos técnicos y ejecutivos, facilitando la gobernanza y la aceptación de decisiones estratégicas. Al tiempo que se aprovecha la cuantificación para alinear la ciberseguridad con las estrategias empresarial, se garantizan que las ciberestrategias contribuyan de manera significativa a la resiliencia corporativa y la estabilidad financiera. ■ Los ciberriesgos sistémicos, como los ataques de ransomware generalizados o a infraestructuras críticas, pueden afectar negativamente a economías globales. La cuantificación ayuda a modelar los efectos de los riesgos en cascada e identificar las vulnerabilidades sistémicas. En el sector financiero, se puede simular cómo un ciberataque contra el sistema de pagos podría causar contagios en los mercados globales y extenderse a otros sectores. Las tecnologías innovadoras y disruptivas redefinirán la cuantificación en varios aspectos: Los modelos de inteligencia artificial mejoraran el análisis predictivo de los ciberriesgos. La integridad de los datos para las evaluaciones de riesgos puede ser mejora por blockchain. La computación cuántica podría crear nuevos riesgos como también mejorar los modelos de seguridad en el ámbito criptográfico. En vista de la evolución constante de las ciberamenazas, la cuantificación se ha vuelto esencial para navegar en la economía digital. Proporciona a las organizaciones la precisión y claridad necesarias para gestionar el ciberriesgo como una integración estratégica empresarial de alto impacto. Guía descargable: Caso práctico de cuantificación del ciberriesgo Después de un ciberataque de ransomware, una hipotética entidad financiera busca cuantificar el ciberriesgo que afecta a sus servicios de banca online. Este ataque cifró los datos de transacciones e interrumpió los servicios. La organización sigue las directrices del estándar ISO 27005 como marco de gestión de riesgo, complementado con la NIST 800-30 para la evaluación cualitativa de riesgos, y emplea FAIR para cuantificar la exposición financiera. Existe incertidumbre sobre la pérdida financiera potencial debido a la interrupción del negocio, los costes de recuperación, las multas o sanciones legales y regulatorias, así como el daño estratégico y reputacional. Por lo tanto, se necesita evaluar el impacto financiero de la brecha y determinar la estrategia óptima para mitigar el riesgo. Además, se realiza el análisis bayesiano y la simulación Montecarlo. ■ Descarga el Caso práctico de cuantificación de ciberriesgo →

Los sistemas de AI su nivel de integración y transformación por su capacidad en el tejido empresarial es cada vez mayor, lo que pone en escena la necesidad de estrategias de gestión de incidentes sólidas y con visión de futuro. La tradicional gestión de respuesta a incidentes ya no es suficiente cuando se trata de gestionar las complejidades de las tecnologías de innovación emergente y disruptiva basada en AI. Donde debemos tener presente sus características y particularidades únicas, como su naturaleza, probabilidades, sus capacidades de autoaprendizaje y su habilidad de operar de forma autónoma, lo cual subraya el replantearse el enfoque de la gestión de incidentes. Por tanto, los sistemas de AI no son como los sistemas tradicionales. Por lo que la propia naturaleza de la AI basada en algoritmos de aprendizaje automático que predicen o generan contenido identificando patrones en grandes conjuntos de datos, demuestra lo difícil que pueden comportarse de formas complejas de predecir y controlar. La AI es vulnerable a los ataques de actores maliciosos y propensa a errores, sesgos y comportamientos no intencionados. La necesidad de un enfoque holístico en la gestión de AI Un ciberincidente es aquel que afecta la confidencialidad, disponibilidad e integridad de los datos o de los sistemas de información. Para la Inteligencia Artificial (AI), las dimensiones de la ciberseguridad son esenciales; además, las organizaciones deben conocer de manera amplia y visible los aspectos relacionados con la AI desde el principio hasta el fin, lo cual facilitará un enfoque sistémico y holístico en la gestión de estos incidentes. Tras la aprobación del Reglamento AI Act, muchas organizaciones han empezado a definir sus políticas de AI, pero no la definen correctamente, lo que exacerba en las brechas de sus estrategias de gestión y respuesta a incidentes. Por tanto, de acuerdo con la OECD, lo principal que toda organización debe saber es que la AI se define como: “Un sistema basado en una máquina que, por objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar salidas tales como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales. Los distintos sistemas de IA varían en sus niveles de autonomía y capacidad de adaptación tras su despliegue”. Implementación de políticas y estrategias para la AI Recientemente, las organizaciones están dejando de especificar lo que no es AI, lo que puede generar confusión al gestionar incidentes de esta naturaleza. La AI se está integrando cada vez más en aplicaciones, incluidas aquellas de uso tradicional. Por lo tanto, es fundamental considerar el alcance de la AI dentro de un sistema completo, incluyendo sus dependencias e integraciones, ya que esto será clave. Por otra parte, el Institute for AI Policy and Strategy (IAPS) plantea un marco a alto nivel esbozando un proceso de cuatro fases inspirado en las prácticas de respuesta a ciberincidentes del National Institute of Standards and Technology (NIST), siendo las siguientes fases de preparación, monitoreo y análisis, ejecución y recuperación y seguimiento; lo cual permite determinar los enfoques de respuesta a incidentes para la inteligencia artificial. Fuente: IAPS. Proceso integral para aplicar la gestión de incidentes de AI Fase 1: Preparación Modelo de gobernanza de AI: Establecimiento de modelos de gobernanza claros para agilizar la toma de decisiones en situaciones críticas, orientado a las prácticas regulatorias de AI Act. Gestión de riesgos: Mejora y fortalece la preparación mediante la integración de la evaluación integral de riesgos en los marcos de seguridad y privacidad de AI. Además, evaluar las interdependencias más amplias dentro de las cadenas de suministro y los ecosistemas así sean terceras, cuartas y enésimas partes. Capacidad interna de la organización: Crear herramientas, procedimientos y marcos de toma de decisiones para responder rápidamente a los incidentes. Esto incluye la identificación de amenazas, el establecimiento de medidas correctivas y de mitigación en conjunto a la definición de protocolos de respuesta. Gestión de la continuidad: La definición de soluciones alternativas ayuda a mitigar el impacto de las interrupciones del servicio en los usuarios, garantizando la resistencia y la fiabilidad. Enfoque en ciberresiliencia: Ampliación de la preparación para incluir controles de defensa proactivos, intercambio de inteligencia sobre amenazas y simulaciones basadas en escenarios para incidentes de ciberseguridad impulsados por IA e inclusive aquellos que no tengan connotación “ciber”, hay que tener presente la privacidad. Gestión de crisis: Establecer un plan de respuesta estructurado que integre la gestión de incidentes de AI con estrategias más amplias de ciberseguridad, privacidad y continuidad del negocio. Fase 2: Monitorización y análisis Recolección de datos: Disponer de la visibilidad correspondiente del modelo o sistema de AI para recopilar datos de diversas fuentes en aras de evaluar las capacidades, el comportamiento y el uso de un modelo o sistema de AI en tiempo real. Detección de anomalías: Tras la recopilación de datos es muy relevante el análisis para identificar anomalías y los incidentes según su categorización y así escalar a los responsables de la toma de decisiones para una intervención oportuna. Integración con modelados de amenazas: Los resultados pertinentes según se considere podrían ser incorporado a los procesos de modelado de amenazas para mejorar las capacidades de las medidas de seguridad y fortalecer la madurez de las evaluaciones de riesgos de AI. Fase 3: Ejecución Decisión e implementación de acciones de mitigación: En cuanto se ha identificado un incidente de AI es preciso determinar las acciones correctivas y ejecutar los ajustes necesarios en el modelo o sistema. Cumplimiento regulatorio: Notificar, alertar y colaborar con las autoridades reguladoras pertinentes para garantizar la alineación con las normas legales y del sector. Mitigación del impacto: Valorar la implementación de medidas alternativas y la notificación a las partes interesadas según alcance del modelo o sistema en aras de garantizar que ante una interrupción mínima se puedan evitar disturbios mayores. Fase 4: Recuperación y seguimiento Recuperación y restauración: Las acciones se centran en el modelo o sistema de AI para restablecer la funcionalidad normal de los servicios afectados y garantizar las operaciones del negocio. Lecciones aprendidas: Realización de revisiones exhaustivas del incidente para extraer lecciones clave y mejorar las estrategias de respuesta futuras. Además, garantizar que las conclusiones de los incidentes sirvan de base para actualizar las políticas, mejorar la gobernanza de AI y aplicar las mejores prácticas en todo el sector. Colaboración y cooperación externa: Compartir conocimientos e intercambio de información con reguladores y socios del sector refuerza la preparación y alinea las estrategias de respuesta en todo el ecosistema. ■ Aquí te comparto algunas bases de datos de Incidentes de AI como fuentes de información, lo cual permite tener una panorámica de lo que está ocurriendo, tal como el MIT AI Incident Tracker, AIID AI Incident Database, AI Controversy Repository, MITRE AI Risk Database, OECD AI Incidents Monitor (AIM), DAIL The Database of AI Litigation, Label Errors Database, Goals, Methods, and Failures (GMF) y el Center for Security and Emerging Technology (CSETv1), lo cual pueden ser de gran ayuda y utilidad su organización. Conclusión En una era en la que los sistemas de AI están cada vez más integrados en operaciones críticas, es esencial contar con un marco sólido de respuesta a incidentes. El futuro de los incidentes de AI no se basa únicamente en reaccionar ante, sino en anticiparse a ellos antes de que ocurran. A medida que los modelos o sistemas de inteligencia artificial se vuelven más sofisticados e integrados en infraestructuras críticas, su resiliencia frente a incidentes ya no es opcional, sino fundamental. Mediante la implementación de un enfoque estructurado que incluya la preparación, la supervisión, la ejecución y el seguimiento posterior al incidente, las organizaciones pueden asegurar respuestas rápidas y efectivas, así como mejoras sostenibles en la seguridad, la privacidad y la confiabilidad. El futuro de los incidentes de AI no se basa únicamente en reaccionar ante, sino en anticiparse a ellos antes de que ocurran. Sin embargo, la verdadera resiliencia va más allá de los controles internos. El futuro de AI depende de una gobernanza proactiva, un aprendizaje continuo y un compromiso con la adaptabilidad, porque en el panorama en rápida evolución de la inteligencia artificial, la mejor defensa es una estrategia preparada, receptiva y con visión de futuro. De manera similar a como los frenos permiten a los automóviles moverse más rápido al proporcionar control a los conductores, un plan de respuesta a incidentes de IA bien elaborado permite a las organizaciones acelerar la adopción de la IA al asegurar que pueden abordar y recuperarse rápidamente de posibles problemas. Con las estrategias adecuadas, las organizaciones pueden aprovechar el poder de la IA con confianza, sabiendo que están preparadas para cualquier desafío que pueda surgir. Telefónica Tech Riesgos de la IA: una mirada integral a la gestión de incidentes y seguridad de la Inteligencia Artificial 14 de mayo de 2025

La IA se está convirtiendo en una parte esencial de las operaciones empresariales, con un potencial significativo para transformar diversas industrias. Sin embargo, junto con sus capacidades de eficiencia, agilidad e innovación, la IA también introduce riesgos que las empresas deben tener en cuenta. Estos riesgos pueden ir desde fallos algorítmicos hasta ciberataques impulsados por la AI, lo que hace que el panorama de posibles incidentes relacionados con la inteligencia artificial sea tan variado como impredecible. Los riesgos de la IA pueden ir desde fallos algorítmicos hasta ciberataques impulsados por AI, lo que hace que el panorama de posibles incidentes sea tan variado como impredecible. Clasificación y definiciones de incidentes de IA De acuerdo con el OECD, un Incidente de AI es un evento, circunstancia o serie de eventos en los que el desarrollo, uso o mal funcionamiento de un sistema de AI provoca directa o indirectamente daños reales, como lesiones a personas, interrupciones de infraestructuras críticas, violaciones de los derechos humanos, de la legislación laboral o de los derechos de propiedad intelectual, y daños a la propiedad, a las comunidades o al medio ambiente. Esta definición está asociada con lo establecido en el Reglamento de la Unión Europea de Inteligencia Artificial, atendiendo a Incidente Grave. Por el contrario, un Peligro de AI es un evento en el que un sistema de IA tiene el potencial de causar daño, pero aún no lo ha hecho, lo cual si no se gestiona adecuadamente puede convertirse en un incidente con importantes consecuencias y este también podría atender a ser Peligro Grave de AI. No obstante, el peligro real se produce cuando un riesgo se materializa en un daño real, como daños a las personas, a la propiedad o al medio ambiente, y se asocia al concepto de incidente. Fuente: OECD. Clasificación de los incidentes y peligros de IA en función de la gravedad del daño. Un desastre de IA es un incidente grave de IA que perturba la “disrupción”, el funcionamiento de una comunidad o una sociedad y que puede poner a prueba o superar su capacidad para hacer frente a la situación, utilizando sus propios recursos. Los efectos de una catástrofe de IA pueden ser inmediatos y localizados, o generalizados y duraderos. Un cuasi incidente es un evento en el que un sistema de IA estuvo a punto de causar daños, pero éstos se evitaron por una cuestión circunstancial y no debido a medidas de seguridad. Fuente: OECD. Conceptos de incidentes de AI como niveles. Fuente: OECD. Diferencias clave entre incidentes, peligros y «cuasi accidentes» de AI. Para mayor comprensión, participé en pruebas controladas de un proyecto de significativo impacto global sobre la aplicación de la IA en el diagnóstico sanitario o clínico de pacientes. Un incidente de AI es un evento en el que el mal funcionamiento de un sistema de IA provoca daños reales, como interrupciones de infraestructuras críticas o violaciones de derechos. Un ejemplo en el ámbito sanitario Un hospital de renombre internacional en avances científicos y tecnológicos para la salud buscaba integrar un sistema de diagnóstico basado en IA para asistir a los médicos en la detección proactiva de enfermedades mediante el análisis de imágenes médicas. Este sistema se entrenó con grandes conjuntos de datos para identificar condiciones clínicas y patológicas como cáncer, fracturas e infecciones. Sin embargo, durante todo este proceso, procuramos evaluar constantemente los riesgos y posibles fallos relacionados con incidentes asociados a la IA. Tras mi participación en el proyecto, tuve la oportunidad de realizar una investigación exhaustiva debido a la ocurrencia de un Incidente Grave. Este incidente se debió a un diagnóstico erróneo que resultó en un pronóstico incorrecto de bajo riesgo para un paciente que, en realidad, presentaba una patología agresiva. La implementación de sistemas de IA en el sector salud debe ser acompañada por rigurosas medidas de seguridad y protocolos de gestión de incidentes para garantizar la protección de los pacientes y la integridad de las operaciones sanitarias. Esta situación podría haber provocado un retraso crítico en su tratamiento, lo cual podría empeorar significativamente el estado del paciente y causar daños irreversibles. Al evaluar el escenario, siempre consideramos los resultados y procesos rutinarios del diagnóstico del paciente sin la intervención de este tipo de tecnología. Como seguimiento al incidente anterior, identificamos un Incidente de IA. Al analizar la causa raíz, descubrimos que una actualización de software introdujo un error en el algoritmo, aumentando los falsos negativos en la detección de la patología. Esto podría llevar a que pacientes en fases iniciales sean dados de alta sin pruebas adicionales, lo que retrasaría el tratamiento necesario. Ya por último, al ver Near Misses donde el personal médico revisaba los resultados generados por la AI y se dio cuenta de que el sistema marcaba incorrectamente patologías benignas como malignas en el escáner de los pacientes. Aquí vimos que fue muy importante la detección por parte del personal médico del error, antes de la administración del tratamiento lo cual evita un procedimiento innecesario e invasivo. ■ Además y en paralelo, descubrimos mediante Hazards que el modelo de AI tenía sesgos en sus datos de entrenamiento, demostrando un rendimiento significativamente mejor en paciente de ciertos grupos patológicos mientras tiene problemas con otros. Valoramos la gran secuela de los diagnostico erróneos, lo que podría exacerbar en problemas éticos y normativos. Conclusión La AI pone relieve una intersección crítica entre la Ciberseguridad, la privacidad y la protección de datos: la gestión de incidentes de AI requiere no solo vigilancia técnica, sino también una gobernanza integral del riesgo. Por tanto, a medida que los sistemas dependen cada vez más de la IA, es fundamental implementar una supervisión exhaustiva, protocolos seguros, estrategias y prácticas de control del software, así como marcos de respuesta a incidentes para prevenir, detectar y mitigar los riesgos. En el ámbito de la IA, salvaguardar los resultados de cualquier sistema depende de asegurar tanto la tecnología como los procesos que la regulan. En última instancia, la gestión de los riesgos de la IA no consiste sólo en prevenir, sino en fomentar una cultura de seguridad, responsabilidad y mejora continua que permita a la IA prosperar al tiempo que minimiza los daños. Sólo abordando estos riesgos podremos construir un futuro en el que la IA sirva como una poderosa herramienta para el progreso, la innovación y el beneficio social. Telefónica Tech Anticiparse a lo impensable: ¿Cómo pueden prepararse las empresas para la gestión de los incidentes de IA? 21 de mayo de 2025

Imaginemos un escenario en que un actor malicioso intercepta o almacena grandes cantidades de datos cifrados secretos comerciales, inteligencia corporativa y militar o registros financieros, sin que exista forma inmediata de descifrarlos. Por el momento, los datos estarían a salvo. Pero, ¿qué sucedería en la próxima década cuando los ordenadores cuánticos alcancen la capacidad de descifrar el cifrado actual? El actor puede descifrar todo de forma retroactiva, exponiendo años de comunicaciones confidenciales, transacciones e información clasificada de alto impacto y relevancia que puede socavar intereses y la naturaleza operativa y sistémica de organizaciones o grupos específicos. Esto es, en esencia, la ciberamenaza Harvest Now, Decrypt Later (HNDL, siglas en ingles), una preocupación creciente a medida que se aceleran los avances cuánticos. Esta amenaza pone en relieve a que las organizaciones deben actuar hoy para evitar futuras brechas que podrían comprometer la seguridad nacional, la estabilidad económica y financiera e incluso la privacidad. Pero, hemos pensado ¿hasta qué punto son inminente estos riesgos y que medidas se deben tomar para mitigarlos? La amenaza de la computación cuántica Las organizaciones deben actuar hoy para evitar futuras brechas que podrían comprometer la seguridad nacional, la estabilidad financiera y la privacidad personal. Pero, ¿hasta qué punto es inminente este riesgo y qué medidas deben tomar las empresas y los gobiernos para mitigarlo? HNDL se refiere a la práctica en la que los actores maliciosos y los agentes de los Estados-nación recopilan y almacenan grandes cantidades y volúmenes de datos cifrados con algoritmos comunes actuales, aunque no puedan descifrarlos inmediatamente. Donde subyace esta estrategia es que en los futuros y próximos avances de la computación cuántica los métodos actuales de cifrado quedarían obsoletos, lo cual permitirá y dará la posibilidad a que estos actores descifren y exploten la información almacenada. Si analizamos este planteamiento, subraya una gran preocupación cada vez más mayor porque el cifrado es la base de la ciberseguridad moderna, y de volverse vulnerable a los ciberataques cuánticos, la confidencialidad de los datos a largo plazo estaría en un gran peligro. Lo que hoy es seguro puede estar comprometido mañana. Un algoritmo cuántico, desarrollado por el matemático Peter Shor, está diseñado para factorizar números grandes y solucionar problemas de logaritmos discretos, que son los fundamentos matemáticos de los sistemas criptográficos ampliamente utilizados como Rivest, Shamir y Adleman (RSA) y Elliptic Curve Cryptography (ECC). El algoritmo de Shor es una de las principales razones por las que la computación cuántica supone una amenaza para el cifrado tradicional. Si sus datos más sensibles fueran robados hoy, ¿cuán perjudiciales podrían ser si fueran descifrados dentro de 10 o 20 años? A día de hoy, los ordenadores clásicos (convencionales) tienen dificultades para descifrar estos métodos de cifrado porque la factorización de grandes números llevaría millones de años. No obstante, un ordenador cuántico con las capacidades suficientes que ejecute el algoritmo de Shor podría romper el cifrado RSA en horas o incluso en cuestión de minutos, dejando en obsolescencia los actuales sistemas criptográficos de clave pública. ■ Esta vulnerabilidad crea la necesidad inmediata de adoptar una criptografía más robusta y resistente a la computación cuántica, antes de que su despliegue esté disponible en la práctica del día a día La urgencia de la transición a la criptografía poscuántica Al mismo tiempo, el valor del robo de los datos se extiende más allá del presente porque muchos tipos de información siguen siendo útiles durante décadas. Pensemos, por ejemplo, que los registros financieros y los datos de tarjetas de crédito pueden ser explotables por mucho tiempo después de ser robados, permitiendo transacciones fraudulentas, ingeniería social o el robo de identidades. He estado muy de cerca envuelto en temas de seguridad y defensa de Estado-nación y no se imaginan los secretos gubernamentales y los informes de inteligencia; aunque se intercepten hoy, podrían tener implicaciones estratégicas a largo plazo si se descifran años después, exponiendo a la luz pública las operaciones de seguridad nacional o las estrategias geopolíticas. Si pasamos al sector salud, el historial de los pacientes consiente información personal sensible que podría utilizarse para chantajes o fraudes a las aseguradoras en el futuro. Y no se queda, el robo de la propiedad intelectual es otra de las grandes preocupaciones, ya que la investigación confidencial, las patentes y los secretos estratégicos o comerciales podrían descifrarse en la era postcuántica, lo que conlleva grandes desventajas económicas y competitivas para las partes afectadas. Las graves implicaciones del descifrado cuántico tienen grandes implicaciones para industrias como la banca, la salud, la administración pública y otros sectores críticos o esenciales. En los bancos, el cifrado es utilizado para proteger la banca en línea, las transacciones digitales y las operaciones bursátiles. Ahora bien, si los ordenadores cuánticos rompen el cifrado tradicional, el fraude digital y la manipulación del mercado podrían proliferar. El sector de la salud apuesta por la encriptación para la protección de los datos de los pacientes y la investigación medica. No obstante, una fecha cuántica podría exponer los historiales médicos y comprometer el desarrollo científico y farmacéutico. Además, los gobiernos de todo el mundo utilizan encriptación para proteger las comunicaciones militares, canales diplomáticos y la inteligencia en el marco de la seguridad y soberanía nacional de un país. Sin embargo, si estas comunicaciones se descifran en el futuro, puede comprometer la seguridad nacional. Pero más allá, este descifrado a gran escala podría irrumpir incluso en las cadenas de suministro transnacionales, erosionar la confianza en las transacciones digitales y facilitar el espionaje a gran escala. ¿Están los gobiernos y las organizaciones preparados para la amenaza cuántica, o subestiman la urgencia de la transición al cifrado seguro? Iniciativas para la transición a la criptografía poscuántica Algunas iniciativas globales ya están haciendo precedentes para contrarrestar las ciberamenazas cuántica, en el campo investigación, desarrollo e innovación (I+D+i, siglas en inglés) se están viendo desarrollos de la Criptografía Postcuantica (PQC, siglas en ingles), con el enfoque de que los algoritmos de cifrado estén diseñados para resistir a los ciberataques cuánticos. Desde el NIST de EE UU se están aunando esfuerzos y sinergias para identificar y normalizar estos algoritmos. El NIST pone en relieve su apoyo a la criptografía hibrida y enfatiza los siguientes aspectos: Los algoritmos tradicionales de firma digital y los esquemas de establecimiento de claves como RSA y la ECC, que ya no proporcionarán protección suficiente en 2030. A partir de 2035, la familia de algoritmos de firma digital dejará de admitir claves de 128 bits para el algoritmo de firma digital RSA o Edwards-Curve (EdDSA, siglas en ingles). Para 2030, las claves de 112 bits para RSA y Algoritmo de Firma Digital de Curva Elíptica (ECDSA) se eliminarán gradualmente, lo que hará necesarios métodos criptográficos más fuertes y resistentes a la cuántica. Para las organizaciones que mantienen RSA y ECC, recomienda utilizar el mecanismo de encapsulación de claves (KEM) para una encriptación segura. En las firmas digitales híbridas, se deben utilizar firmas duales, firmar dos veces con dos o más firmas en el mismo mensaje para mejorar la seguridad. Los cifrados por bloques como AES y las funciones hash, incluidas SHA1, SHA2, SHA3, y las funciones de salida ampliables (eXtendable-Output Functions, XOFs), forman parte integral de la estrategia de transición y de la futura infraestructura criptográfica. Estas herramientas están evolucionando para seguir siendo robustas frente a las amenazas cuánticas. Al mismo tiempo el NIST traza una hoja de ruta que subraya la necesidad de colaboración intersectorial y mundial para lograr una infraestructura resistente a la cuántica cohesionada y segura. Que requerirá cooperación y la adopción de normas unificadas, al mismo tiempo desde la Unión Europea, algunos países están dando pasos a ello. Otros la están considerando como arma geopolítica para aumentar sus capacidades ofensivas y defensivas, lo que es una preocupación estratégica con implicaciones para la seguridad nacional. ■ NIST ha elegido Kyer para el cifrado y Dilithium para las firmas digitales como principales candidatos para resistir ataques cuánticos. Basados en problemas matemáticos complejos, estos algoritmos PQC reemplazarán esquemas vulnerables como RSA y ECC para asegurar comunicaciones frente a amenazas cuánticas. ¿Redefinirá la era cuántica la ciberseguridad mundial, beneficiando a quienes inviertan hoy en seguridad poscuántica? Los desafíos de la transición hacia la criptografía poscuántica Las organizaciones se enfrentan a desafíos importantes al momento de migrar a un cifrado robusto al cuántico. Poniendo en relieve los obstáculos en la revisión de la infraestructura necesaria para actualizar los sistemas y algoritmos criptográficos en redes, bases de datos y aplicaciones de software. Gran parte de la infraestructura actual está profundamente arraigada en el cifrado RSA y ECC, lo que se traduce en un reto para una transición fluida. Otro aspecto clave es la interoperabilidad, ya que las organizaciones deben garantizar que sus sistemas sigan siendo compatibles con los de sus proveedores, socios y clientes que todavía utilicen protocolos criptográficos más antiguos. No podemos dejar de lado que la transición a un cifrado seguro desde una perspectiva cuántica requiere una inversión considerable en hardware, software y formación en capacidades del talento. Las organizaciones tienen carencias de conocimientos necesarios para gestionar los procesos y estrategias de transición, lo que complica un poco más el escenario. Es necesaria la puesta de atención en la seguridad de la cadena de suministro, ya que se debe asegurar que los proveedores de terceras y cuartas partes adopten cifrado robusto a la tecnología cuántica. ■ Las organizaciones deben tomar medidas proactivas para proteger sus datos de futuras ciberamenazas cuánticas; desde un enfoque crítico es la criptoagilidad que demanda el diseño de sistemas que puedan cambiar a nuevos estándares criptográficos a medida que estén disponibles. Conclusión Es importante analizar y evaluar la aplicación de medidas criptográficas híbridas, que utilicen cifrado tradicional y poscuántico para garantizar la seguridad durante los procesos y estrategias de transición. Se recomienda disponer de un inventario criptográfico, identificando todos los datos cifrados y evaluando su vulnerabilidad al descifrado cuántico y otros métodos, con enfoque en riesgo y aplicación práctica para comprender la magnitud de sus efectos. La gran pregunta es cuándo llegarán las ciberamenazas cuánticas. Aunque sigue siendo incierto, los expertos en computación cuántica estiman que los ordenadores criptocuánticos serán relevantes entre 2030 y 2040. Es importante tener en cuenta que la transición podría llevar años, por lo que las organizaciones deben empezar a definir sus preparativos. Retrasar la acción aumenta el riesgo de que los datos sensibles queden expuestos cuando los ordenadores cuánticos sean suficientemente potentes para romper el cifrado actual. He trabajado en estrategias de ciberseguridad para la ciberresiliencia cuántica, aplicando métodos criptográficos adaptativos, evaluaciones continuas de riesgo, desarrollo de capacidades y colaboración con iniciativas globales. El futuro de la ciberseguridad no solo implica proteger los datos actualmente, sino también asegurar su seguridad a largo plazo. Es fundamental definir una estrategia sólida para prepararse ante los retos de la computación cuántica. Descarga nuestra guía para proteger tus datos frente a la amenaza cuántica Desde Telefónica Tech proponemos un enfoque estratégico basado en la criptoagilidad, que permite adaptar los sistemas ante nuevas amenazas sin comprometer la operativa actual. ■ Invitamos a todas las organizaciones a descargar nuestra guía de Preparación estratégica para la Criptografía Poscuántica e iniciar cuanto antes su transición hacia una infraestructura criptográfica resiliente y preparada para la era cuántica. Imagen de apertura (cc) Interior de un ordenador cuántico de IBM Research.

La gran dependencia e interconexiones tecnológicas en la aviación ha hecho la ciberseguridad un pilar esencial de la seguridad área y operacional. Teniendo en cuenta esta realidad la Unión Europea ha introducido el Reglamento 2022/1645 como marco fundamental para la seguridad aérea de la UE, que entra en vigor el 16 de octubre del 2025. Las nuevas directrices se aplican a los a operadores de eropuertos y los proveedores de servicios de dirección de plataforma (PDS, siglas en ingles), en aras de garantizar que integren practicas solidas de ciberseguridad para evitar disrupciones e interrupciones que puedan comprometer las operaciones de aviación. Su enfoque se introduce para hacer frente a la evaluación del panorama de las ciberamenazas en el que los ciberataques a las infraestructuras criticas como aeropuertos y redes de comunicación del tráfico aérea, se ha convertido en una preocupación creciente. La UE impone controles y prácticas de seguridad exhaustivas para mejorar la ciberresiliencia, detectar ciberamenazas y mitigar riesgos en la aviación. Importancia de la Ciberseguridad en la aviación En una industria en el que la seguridad siempre ha sido la máxima prioridad, ¿se trata realmente la Ciberseguridad con el mismo nivel de urgencia que la seguridad física y operacional? A medida que los sistemas de aviación está más interconectados, ¿necesitan evolucionar las culturas tradicionales que dan prioridad a la seguridad para integrar plenamente la ciberseguridad en todos los aspectos de las operaciones? Hay que destacar que entre que las organizaciones implicadas en funciones críticas de la aviación tienen implicaciones potenciales para la ciberseguridad, la cual están obligadas a cumplir con prácticas mejoradas de gestión de la seguridad de la información para protegerse contra los ciberincidentes y abordar los ciberriesgos asociados a la transformación digital de innovaciones emergentes y disruptivas en el sector de la aviación. Los requisitos se han ampliado más allá de las preocupaciones tradicionales de seguridad física para abarcar evaluaciones de ciberriesgo, planificación de ciberresiliencia y notificación obligatoria de ciberincidentes. El reglamento acota un enfoque orientado en la aplicación de controles de ciberseguridad basado en ciberriesgo que se ajusten a los objetivos de la seguridad área, la realidad y dinámica corporativa, las operaciones, la complejidad, la naturaleza, entre otros. Desde mi experiencia, al analizar la normativa tiene consideraciones muy atinadas con las metodologías de evaluaciones de ciberriesgo, gestión de vulnerabilidades, inteligencia y cacería de amenaza, gestión de incidentes y continuidad de negocio. ■ Debido a la complejidad y naturaleza de los actores maliciosos, el cumplimiento no debe considerarse un esfuerzo aislado, sino un proceso continuo de supervisión, adaptación y mejora constante. Existen diversas normas que pueden ayudar a cumplir con las exigencias regulatorias, como ISO 27001 y NIST CSF 2.0. No obstante, es necesario considerar tanto el fondo como la forma de las especificidades del sector aéreo. Esfuerzos de adaptación y cumplimiento continuo Para su adaptación y cumplimiento, es necesario un compromiso firme, responsabilidad y liderazgo, tanto en la gobernanza como en la estrategia de Ciberseguridad. Es necesario designar responsables de Ciberseguridad, establecer líneas claras de responsabilidad y asegurar que la seguridad esté integrada en los marcos de gobernanza enfocados en el riesgo. Los mecanismos de cumplimiento juegan un papel importante como las auditorias periódicas, evaluaciones de seguridad y adhesión a modelos de madurez por lo que será imprescindible el mantenimiento de documentaciones detallada de las políticas de Ciberseguridad y, sobre todo, evidencias de su cumplimiento. Podemos ver que también aborda la notificación de ciberincidentes, comparado con la directiva NIS2 que es más específica en los plazos de la alerta temprana de 24 horas y antes de 72 horas para su actualización inicial. Con la implementación del Reglamento 2022/1645, habrá disposiciones que deberán armonizarse. Es esencial gestionar eficazmente los ciberincidentes para minimizar las interrupciones operativas y evitar efectos en cascada que afecten a múltiples partes interesadas del sector aéreo. ■ Estas directrices están alineadas con las disposiciones de la Agencia de Seguridad Aérea de la Unión Europea (AESA) y aseguran la coherencia entre el cumplimiento normativo y las disposiciones de la seguridad operativa. Las directrices de AESA se centran en enfoques basados en ciberriesgo para la ciberresiliencia, la colaboración y cooperación sectorial, y el intercambio de inteligencia sobre ciberamenazas. El Reglamento 2022/1645 instruye a las organizaciones a crear, implementar y mantener un sistema de gestión de la seguridad de la información (ISMS) para mejorar sus capacidades cibernéticas. La seguridad en la cadena de suministro y la inversión en ciberseguridad Un aspecto calve es la importancia de la seguridad de la cadena de suministro. El reglamento es muy claro en relación con los procesos contractuales y/o de terceros. Hay que tener en cuenta que muchos ciberincidentes pueden tener diversas fuentes, y los terceros no están exentos de ello. Especialmente en relación con las vulnerabilidades que surgen cuando no se tiene visibilidad adecuada de la infraestructura del proveedor más allá del servicio proporcionado. Los ciberatacantes aprovechan estos puntos débiles. Con el reglamento las organizaciones deberán, por tanto, realizar evaluaciones de ciberriesgo de la cadena de suministro. De este modo pueden asegurarse de que sus terceras partes se adhieren a prácticas de ciberseguridad basado en evidencias para garantizar el cumplimiento. Aquí, medidas clave como las auditorias, los controles de ciberseguridad obligatorios por contratos, y el monitorización de terceras partes favorece en los procesos de due diligencie para la protección de la cadena de suministro de la aviación. No se trata solo de finanzas y cumplimiento, pero hay resaltar que requiere de inversión en la infraestructura y arquitectura tecnológica, como además de las capacidades de Ciberseguridad, formación del personal y la gestión de ciberriesgos y ciberresiliencia. ■ Aunque los costes pueden representar una carga significativa, son esenciales para prevenir o mitigar situaciones potencialmente devastadoras. Por lo tanto, las organizaciones deben reconsiderar sus estrategias de Ciberseguridad y encontrar un equilibrio entre los costes de cumplimiento y la eficiencia operativa. Esto se consigue priorizando inversiones en Ciberseguridad sostenibles, adaptativas y estratégicas. Impacto y sanciones por incumplimiento El incumplimiento puede tener varias consecuencias jurídicas y financieras. Por ejemplo, la norma NIS2 establece claramente los valores económicos de las multas y otras sanciones correspondientes. Aunque este reglamento no especifica sanciones, en la práctica el sector aéreo está sujeto a otras regulaciones, lo que podría resultar en sanciones derivadas de dichas normativas. Además, se debe considerar el impacto reputacional de un riesgo derivado de una brecha de seguridad en la aviación, ya que puede resultar en la pérdida de confianza de los clientes, inestabilidad financiera y un mayor escrutinio por parte de los entes reguladores. Desde un enfoque metódico en fondo y forma, el Reglamento 2022/1645 tiene como objetivo desarrollar capacidades prácticas de proactividad, previsión y anticipación, contribuyendo así al fortalecimiento y mejora continua de la ciberseguridad, la ciberresiliencia y la gestión de ciberriesgos. ■ En el caso de NIS2, las autoridades regulatorias tienen la capacidad de imponer multas, restringir operaciones y aplicar medidas correctivas a las organizaciones que no cumplan con las disposiciones establecidas en el ámbito de la ciberseguridad. Conclusión De cara al futuro, todo esto representa un cambio significativo en la gobernanza de la Ciberseguridad en el sector de la aviación. Todas las partes interesadas deben mantenerse ágiles para adaptarse a las nuevas tendencias cibernéticas, asegurando el cumplimiento con las regulaciones y anticipándose a los futuros cambios que darán forma al panorama de ciberresiliencia de la industria aeronáutica. El aumento de las tensiones geopolíticas, el incremento de las actividades de ciberdelincuentes y los rápidos avances tecnológicos subrayan la necesidad de un ecosistema aeronáutico seguro y resiliente. Por tanto, es imperativa la adopción proactiva de esta regulación. No solo mejora la postura de ciberseguridad, sino que también contribuye al objetivo más amplio de garantizar operaciones de aviación seguras para el futuro. ■ Acceso al Reglamento Delegado (UE) 2022/1645 de la Comisión de 14 de julio de 2022 →

La Ciberseguridad ya no es solo una cuestión técnica, sino un imperativo estratégico. A la escala que avanzan y crecen en complejidad las ciberamenazas, la Ciberseguridad es el ancla de la estrategia empresarial. No solo protege la arquitectura e infraestructura tecnológica de la empresa, sino que también facilita una ventaja competitiva al acelerar su posicionamiento en el mercado. La capacidad de salvaguardar y proteger los datos, garantizar la continuidad y ciberresiliencia operativa, y proteger la confianza de los clientes es un factor importante en el mercado. Esto es relevante especialmente en sectores donde el cumplimiento y la fiabilidad son esenciales mediante prácticas que mejoren y transformen la postura de Ciberseguridad, la reputación de la marca, la atracción de nuevos clientes e inversiores, y en la exploración de nuevas oportunidades de negocio. Integración de la Ciberseguridad en la estrategia empresarial Prácticas sólidas y en mejora continua de Ciberseguridad llevan a las organizaciones a proteger su propiedad intelectual e industrial, datos confidenciales de sus clientes y empleados y su integridad operativa que es crucial, haciendo que obtengan ventaja sobre sus competidores que tal vez podrían sufrir brechas más frecuentes o graves. Una organización que demuestra un enfoque proactivo de la seguridad, le es posible evitar los daños y efectos colaterales y adversos financieros y reputacionales que puede llevar una brecha de datos, garantizar la resiliencia y continuidad de las operaciones sin interrupciones elevadas en cuanto a costes es crucial además de construir relaciones firmes con socios, inversores y clientes. ■ Dando prioridad a la Ciberseguridad se puede aprovechar como capacidad en el argumento de venta, asegurando las prácticas de la cultura de seguridad proyectándose como referencia en confianza y fiabilidad. Indistintamente del tipo de empresa, tamaño e importancia sistémica, la Ciberseguridad debe ser prioridad y aliada estratégica. La Ciberseguridad no debe tratarse como una función separada o reactiva, sino como un pilar transversal e integral de la estrategia empresarial. Esto implica incorporar los principios de Ciberseguridad en el desarrollo de productos, la gestión de riesgos y las iniciativas de transformación digital. El gobierno corporativo y toda la organización deben reconocer la Ciberseguridad como un habilitador crítico de la continuidad y resiliencia operativa y la innovación asegurando su alineación con los objetivos y perspectivas de crecimiento corporativo conjunto a las expectativas de las partes interesadas. Cuando incorporamos la Ciberseguridad en todos los niveles de toma de decisiones, por ejemplo desde la gestión de la cadena de suministro hasta las estrategias de compromiso con el cliente, ahí podemos asegurar la mitigación de los ciberriesgos sin sofocar la agilidad de los procesos y actividades del negocio. La Ciberseguridad como ventaja competitiva La ciberseguridad no debe verse como fuerza opuesta a la innovación. Las organizaciones pueden y deben innovar con un enfoque de Ciberseguridad desde el diseño, porque la seguridad no se puede aplicar a posteriori. Tengamos en cuenta que el concepto DevSecOps (desarrollo, seguridad y operaciones) permiten integrar la seguridad en ciclos de desarrollo ágiles, fomentando la innovación mientras se minimizan los riesgos. Las pruebas de seguridad, el monitoreo continuo y el aseguramiento de la calidad garantizan que los despliegues nuevos cumplan con los estándares de seguridad sin comprometer la innovación. El mercado percibe a las organizaciones con sólidas prácticas de Ciberseguridad como más confiables y seguras. Esto puede resultar en una mayor fidelidad por parte de los clientes, incrementos en las inversiones y el establecimiento de más alianzas estratégicas, particularmente en sectores que gestionan datos o que operan en entornos regulados. Las organizaciones que demuestran transparencia en Ciberseguridad atraen a clientes que valoran la seguridad, pudiendo obtener precios superiores por sus productos o servicios. En cambio, aquellas con prácticas débiles pueden sufrir pérdidas financieras y daños en su reputación. Debemos de tener en cuenta que nadie está exento a sufrir un ciberataque, trabajamos día a día para mitigar riesgos en una dinámica de aceleración tecnológica. La confianza y la fidelidad de los clientes se basan en gran medida en la seguridad de sus datos. Cuando los clientes perciben que sus datos están protegidos, es probable que utilicen productos y servicios, repitan sus compras y realicen recomendaciones. Por otro lado, una brecha de datos puede erosionar la confianza rápidamente y tener consecuencias a largo plazo en la retención y lealtad de los clientes. En sectores donde la información se intercambia constantemente, la Ciberseguridad no solo es una cuestión defensiva, sino también fundamental para mantener las relaciones y la fidelidad hacia la marca. En algunos sectores el cumplimiento normativo (como GDPR, CCPA, HIPAA y otros) ayudan a las empresas a transformarse amplificando su oportunidad en ventaja competitiva, al posicionar la organización como referente en privacidad y protección de datos. Aunque algunos directivos lo perciben como costoso y confuso, aquellas que empresas van más allá de los requisitos mínimos se diferencian al demostrar su compromiso con la seguridad, evitando multas y problemas legales, y fortaleciendo su posición en el mercado. He tenido la oportunidad de analizar empresas que emplean prácticas de Ciberseguridad como su ventaja competitiva. Por ejemplo, he observado cómo se ha comercializado sistemáticamente productos con altos niveles de seguridad y un enfoque integral y holístico en la privacidad. O cómo se posicionan líderes en seguridad en Cloud, haciendo que sus servicios sean más atractivos realizando inversiones significativas para ofrecer soluciones integrales que los diferencian de otros proveedores de infraestructuras de red. Los indicadores financieros son importantes, pero la Ciberseguridad afecta todas las áreas del negocio. Con la acelerada transformación digital, la Ciberseguridad es, cada vez más, un componente crítico de la estrategia empresarial. La Ciberseguridad está evolucionando desde una postura defensiva a una que impulsa el crecimiento empresarial, permitiendo la adopción de nuevas tecnologías como computación cuántica, IoT, AI o Blockchain, entre otras. Además, su enfoque se está desplazando hacia la prevención y la resiliencia operativa. En este sentido, las organizaciones que lideran estas áreas no solo protegen sus operaciones, sino que también fortalecen su posición competitiva en un mercado cada vez más digital. Ciberseguridad Inversiones sostenibles y adaptativas en Ciberseguridad 5 de febrero de 2024

Todo puede cambiar de repente, lo que representa un gran reto para la Ciberseguridad debido a la complejidad, incertidumbre y volatilidad del entorno. ENISA en su Informe de Previsión de las Amenazas de Ciberseguridad 2030, pone en relieve que la evolución tecnológica, la geopolítica, y el panorama de la Ciberseguridad, exige a las empresas estar preparadas para hacer frente a desafíos previstos o no previstos. Por eso, es esencial una retrospectiva y prospección. De acuerdo con Alberto J. Ray en su libro 'Riesgos Líquidos', el término 'mundo líquido' fue acuñado por Zygmunt Bauman. Este concepto plantea que las realidades son fluidas y cambiantes, lo cual representa un desafío para la identificación, análisis y respuesta a ciberamenazas emergentes e híbridas. Las organizaciones, por tanto, necesitan mantener su seguridad, estabilidad y resiliencia. Los riesgos líquidos son globales, adaptables y difíciles de contener; se esparcen fácilmente. Ray plantea que un riesgo es líquido porque su forma cambia y se adapta al entorno, es difícil de contener y se esparce fácilmente. Aunque es intangible, sus efectos son reales e incontenibles para quienes deciden explotarlos. Es necesario gestionar la incertidumbre con flexibilidad y rapidez. Desafíos de la seguridad en un mundo líquido En la dinámica de operaciones cibernéticas con el despliegue de capacidades proactivas y reactivas, era común abordar las amenazas por su tipología o patrón. En ocasiones, era posible presenciarlas, conocer sus capacidades e indicios, y observar diferencias en su impacto o comportamiento según su entorno y alcance temporal y espacial, así como su capacidad de trasladarse a otros activos tecnológicos, permitiendo incluso determinaciones anticipadas. Sin embargo, estas amenazas, caracterizadas como riesgos líquidos, poseen capacidades sofisticadas con enfoques emergentes y disruptivos, capaces de aparecer, desaparecer, recrearse y mutar de manera diferente, sistémica e independiente, adoptando apariencias del entorno y traspasando fronteras en espacio y tiempo debido a las interconexiones de la infraestructura y arquitectura tecnológica. Los actores de amenazas líquidas son difíciles de identificar, ya que se camuflan y ocultan fácilmente. En estos tiempos de hiperconexión y dependencias en la cadena de suministro, las amenazas son más anónimas, ubicuas e impredecibles que nunca debido a las capacidades avanzadas de los actores. Estos riesgos surgen por la falta de comprensión del entorno, causada por la rápida globalización y los avances tecnológicos. Estos riesgos incluyen amenazas tales como vulnerabilidades de día cero, ataques a la cadena de suministro, ransomware y malware sofisticado que se transforma dinámicamente para evadir controles. Además, pueden originar diversas variables como entornos dinámicos en la nube, cadena de suministro o integración de IA y aprendizaje automático, al introducir vulnerabilidades novedosas e impredecibles. Característica de un riesgo líquido A diferencia de los riesgos estáticos que pueden mitigarse mediante controles predefinidos, los riesgos líquidos requieren monitorización y adaptación continua debido a su naturaleza mutable e impredecible. La esencial característica de este riesgo es por sus capacidades de: Adaptabilidad: Se transforman y evolucionan en respuesta a nuevas defensas o circunstancias en su entorno, haciendo que las defensas tradicionales resulten ser inadecuadas. Imprevisibilidad: Por su naturaleza, son difíciles de prever, evaluar y gestionar. Permeabilidad: Pueden filtrarse en varias capas de la arquitectura e infraestructura tecnológica, desde vulnerabilidades de software hasta socavar los ecosistemas de proveedores externos. Procedencia y fuentes Su procedencia y sus fuentes puede ser muy diversa, aquí exploro algunas de ella: Evolución y crecimiento exponencial de las tecnologías: Tras la constante transformación digital que converge en las organizaciones como la adopción de la IA, computación en la nube o los dispositivos IoT, hace que la superficie de exposición y de ataques se extienda aún más lo que introduce vulnerabilidades y desafía las capacidades de los adversarios. Actores de amenazas sofisticados y dinámicos: A través de la ciberdelincuencia y los actores del Estado-nación evolucionan constantemente sus capacidades integradas con sus técnicas, tácticas y procedimientos (TTP), haciendo que sus estrategias de ataque y amenazas puedan adaptarse y evolucionar en tiempo real, ya todo apunta a socavar la capacidad sistémica, liquidez y otros aspectos operativos de las organizaciones. Complejidad e hiperconectividad de la cadena de suministro: Hoy esto se extiende más allá de las interdependencias fluidas entre proveedores de 3ras, 4tas y enésimas partes debido a que introducen riesgos que transforman rápidamente en función de las amenazas o vulnerabilidades externas o internas en la infraestructura y arquitectura tecnológica. Actualizaciones y parches: La inseguridad en algunos procesos debido a los constantes cambios en ocasiones no formalizados bajo prácticas seguras pueden originar nuevas vulnerabilidades, debido a algunos factores tales como el apresuramiento, malas prácticas y otras que pueden depender de procesos de aseguramiento de calidad esto varía mucho en cada organización. Impacto para las empresas Estos riesgos desafían de manera latente y agresiva a las medidas de seguridad en las que confían las organizaciones, donde encontramos antivirus tradicionales, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Security Information and Event Management (SIEM), o cortafuegos en los cuales “descargan la responsabilidad de la seguridad”. También evolucionan y pueden eludir las defensas. Por ello, las organizaciones deben pasar de una postura de seguridad reactiva a una proactiva, centrada en el monitoreo continuo, la detección en tiempo real y estrategias defensivas adaptativas. Además, pueden erosionar la resiliencia corporativa aprovechando los puntos ciegos en sus defensas, especialmente en entornos tecnológicos complejos e interconectados. A lo largo del tiempo, si no se gestionan, pueden causar brechas de seguridad, fugas de datos, daños reputacionales e incluso sanciones estratégicas y de otra naturaleza. Detección de riesgos líquidos La detección de estos riesgos requiere de técnicas muy avanzadas más allá de los métodos comunes basados en firmas: Análisis de comportamiento de todos los componentes de la infraestructura tecnológica teniendo en cuenta (procesos, personas, tecnologías, información y entorno), ayudan a identificar anomalías que pudieran dar indicios a significar un riesgo líquido. Inteligencia sobre amenazas mediante fuentes en tiempo real, ayudarán a que su organización se mantenga actualizada ante amenazas y vulnerabilidades emergentes y disruptivas, es oportuno el desarrollo de capacidades retrospectiva y prospectiva a través del estado situacional. IA y aprendizaje automático a través del uso de estas tecnologías se pueden detectar patrones y anomalías con énfasis en los datos a través de la identificación en la cual permite reconocer desviaciones sutiles del comportamiento normal. Monitoreo continuo es necesario la visibilidad en tiempo real del tráfico de nuestra red, actividades, usuarios y las operaciones de software para ayudar a detectar cambios rápidos en los perfiles de riesgos, aquí es muy importante la capacidad de análisis. Equipo rojo y simulaciones de adversarios nos permite probar activamente las capacidades de defensa corporativa a través de ataques sofisticados simulados que pueden descubrir potenciales vulnerabilidades fluidas antes de que sean explotadas o vistas por actores maliciosos. La prevención de los riesgos líquidos requiere un planteamiento flexible y a varios niveles desde la realización de las evaluaciones dinámicas de riesgos, gestión proactiva de la Ciberseguridad, infraestructura y arquitectura “confianza cero”, gestión de parches, actualizaciones y bastionado, cacería de amenazas, gestión de la cadena de suministro y proveedores o procesos de debida diligencia, entre otras. A la hora de responder a estos riesgos, las organizaciones deben ser ágiles y adaptables con planes de respuesta y recuperación a incidentes y sus pruebas correspondientes, estrategias de mitigación, análisis del incidente, entre otros; todos deben estar actualizados e ir en pro a hacer frente a un panorama en evolución. De nada nos sirve tener planes si no hacemos pruebas y ejercicios para conocer sus capacidades. Casos de riesgo líquido Tras analizar numerosos ataques e incidentes de Ciberseguridad, se puede mencionar como un riesgo líquido el caso del ataque a SolarWinds donde los ciberdelincuentes se infiltraron en el proceso de actualización del software. La puerta trasera propagada afectó a miles de redes en todo el mundo, explotando vulnerabilidades en la cadena de suministro y afectando a gobiernos y organizaciones. Su capacidad para evitar su detección durante meses muestra su comportamiento dinámico. Otro ejemplo es el ataque del ransomware WannaCry. Un ciberriesgo sistémico puede convertirse en un riesgo líquido, dependiendo de las vulnerabilidades y amenazas, como se observa en los riesgos de la cadena de suministro . El ataque NotPetya es un ejemplo de cómo una amenaza puede propagarse rápidamente a través de redes y trascender fronteras a nivel global mediante actualizaciones de software confiables. Este ataque mostró características de adaptabilidad al evolucionar y aprovechar las vulnerabilidades de los sistemas, mejorando sus capacidades incluso cuando se intentaba mitigar el riesgo. Por ello, los riesgos líquidos y mutantes están relacionados, ya que los primeros evolucionan con el tiempo y los segundos cambian dinámicamente para eludir los controles. Ciberseguridad Riesgo Cibernético Sistémico: una amenaza para las organizaciones y la sociedad 26 de agosto de 2024

Desarrollo estratégico del talento humano en Ciberseguridad para fortalecer capacidades Los directivos deben priorizar la gestión del talento sostenible en Ciberseguridad. En la era digital disruptiva y emergente, la Ciberseguridad enfrenta retos y oportunidades. La rápida evolución tecnológica y la creciente sofisticación de las ciberamenazas exigen un enfoque proactivo en Ciberseguridad. El desarrollo estratégico y la gestión del talento humano cualificado son clave. Las organizaciones deben priorizar una fuerza laboral capacitada en Ciberseguridad actual y adaptable al futuro. A medida que las amenazas cibernéticas se vuelven más complejas y generalizadas, la gran necesidad de talentos cualificados que puedan proteger la información, servicios esenciales y las infraestructuras es una prioridad muy importante. Sin embargo, la brecha de profesionales en Ciberseguridad sigue siendo un reto muy importante para muchas organizaciones y sectores de la economía global. ■ La demanda de profesionales en Ciberseguridad nunca ha sido tan alta como en estos tiempos, tal y como plantea el Word Economic Forum (WEF) la fuerza laboral de Ciberseguridad creció un 12,6 % entre 2022 y 2023, que hay una escasez global crítica de casi 4 millones de profesionales. Atraer, educar, reclutar y retener el talento es un imperativo estratégico que exige enfoques viables. Estrategias para cerrar la brecha Para cerrar esta brecha, es esencial aplicar una estrategia colaborativa en educación, formación, atracción, retención y crecimiento profesional. Al invertir en el desarrollo del personal, las organizaciones pueden crear un equipo ciberresiliente contra amenazas. Las organizaciones enfrentan una tendencia de escasez en Ciberseguridad que no parece estar presente en los procesos de reclutamiento. Esta situación se debe al compromiso, criticidad y demanda de las cualificaciones en Ciberseguridad, lo que se conoce como "escasez", tal como lo describe el WEF, donde acota la: Escasez de habilidades: competencias o habilidades técnicas y sociales específicas requeridas para roles particulares dentro del campo de la Ciberseguridad. Escasez de talento: falta de personas que posean el conjunto más amplio de habilidades, conocimientos y atributos necesarios para sobresalir en diversas funciones de Ciberseguridad. Escasez de capacidad: se extiende más allá del personal de Ciberseguridad y abarca aspectos como la infraestructura digital y los marcos regulatorios necesarios para establecer y mantener medidas de seguridad sólidas en el panorama digital. Escasez de experiencia: se refiere a la falta de conocimientos prácticos y técnicos para abordar los problemas de Ciberseguridad del mundo real. Las organizaciones enfrentan dificultades para encontrar personas motivadas. Es importante formar a los expertos en recursos humanos en contratación de talentos en Ciberseguridad para que comprendan mejor la industria, las habilidades y cualificaciones necesarias según los roles. Esto asegura coherencia y entendimiento de los requisitos y expectativas en las descripciones de puestos, facilitando la selección de candidatos idóneos. De acuerdo con el WEF, el desarrollo estratégico y sostenible del talento en Ciberseguridad es convergente y dinámico en componentes con un enfoque integral y holístico que no deben de considerarse de manera aislada sino interconectada para las organizaciones, siendo clave: Atracción del talento Disponer de estrategias y esfuerzos para atraer a las personas cualificadas al campo de la Ciberseguridad. Esto implica crear una narrativa convincente en torno a la industria, destacar la importancia y el impacto de la Ciberseguridad y mostrar las diversas oportunidades profesionales disponibles. También incluye iniciativas de divulgación para grupos subrepresentados, promover la inclusión y generar conciencia sobre el campo entre estudiantes y profesionales. Las organizaciones pueden participar en eventos de la industria, colaborar con instituciones educativas y ofrecer pasantías o aprendizajes para atraer a candidatos potenciales. Educación y formación del talento Es necesario dotar a las personas de los conocimientos, las habilidades duras y blandas y las competencias necesarias que se requieren en Ciberseguridad. Esto incluye programas de educación formal y certificaciones, así como capacitación práctica a través de laboratorios, simulaciones y experiencias del mundo real. El aprendizaje continuo es esencial debido a la naturaleza rápidamente evolutiva de las amenazas cibernéticas, lo que hace que sea crucial que los profesionales se mantengan actualizados con las últimas tecnologías, herramientas y mejores prácticas. Las organizaciones deben invertir en programas de desarrollo profesional para mejorar la experiencia de su fuerza laboral. Reclutamiento del talento Como parte central de los procesos y estrategias utilizados para identificar, evaluar e incorporar a personas capacitadas en una organización. Esto implica crear descripciones de trabajo efectivas, específicas y coherentes, buscar candidatos a través de varios canales y realizar entrevistas y evaluaciones para encontrar el mejor candidato para roles específicos. Las estrategias de reclutamiento deben ser ágiles y adaptables para satisfacer las demandas cambiantes del panorama de la Ciberseguridad. Además, las organizaciones deben centrarse en construir una marca de empleador sólida y ofrecer paquetes de compensación competitivos para atraer a los mejores talentos. Retención del talento Es esencial crear un entorno que aliente a los empleados a permanecer en la organización a largo plazo. Esto incluye ofrecer oportunidades de desarrollo profesional, salarios y beneficios competitivos y fomentar una cultura laboral positiva. Además, es fundamental proporcionar rutas claras de progresión profesional, oportunidades de aprendizaje continuo y reconocimiento por los logros. Garantizar el equilibrio entre el trabajo y la vida personal y brindar apoyo para la salud mental y el bienestar también son aspectos importantes para retener el talento. Las estrategias de retención efectivas ayudan a reducir la rotación, mantener el conocimiento organizacional y construir una fuerza laboral estable y experimentada. Por tanto, hoy más que nunca, disponer de una estrategia y su implementación es significativa para atraer talento incorporando prácticas que ayuden a su organización a identificar e involucrar a personas que no sólo desempeñarían un puesto, sino que también permanecerían en la organización. El desarrollo estratégico y sostenible del talento en Ciberseguridad permea en una cultura corporativa que inspire y motive a las personas también debe crear un entorno en el que los empleados se sientan empoderados y tengan la oportunidad de fomentar un sentido de propósito y pertenencia más allá de la productividad. Ciberseguridad Hacia una gestión estratégica de las inversiones en Ciberseguridad 15 de enero de 2024

La economía global actual ha evolucionado. El término 'economía digital' se refiere a la integración de las tecnologías de la información en todo el ciclo de vida de bienes y servicios abarcando producción, comercialización y consumo. Esencialmente, este concepto subraya cómo las industrias aprovechan el crecimiento exponencial de las tecnologías para innovar, creando o adaptando productos y servicios para seguir siendo competitivas en un entorno cambiante. En su Informe del Panorama de Amenazas 2024 ENISA identificó siete amenazas principales a la Ciberseguridad encabezadas por el ransomware, malware, ingeniería social, amenaza contra los datos, amenazas contra la disponibilidad: denegación de servicio (DDoS), manipulación e interferencia de información y ataques a la cadena de suministro. Todo esto al observar 11.079 incidentes, 322 de ellos dirigidos específicamente a dos o más estados miembros de la Unión Europa. Además, se atribuyen distintos tipos de motivaciones vinculadas a los actores de amenazas, como el beneficio económico, espionaje, destrucción e ideología. Ciberamenazas para los nómadas digitales Por tanto, el contexto es un mundo marcado por las tensiones geopolíticas, la complejidad, la aceleración y la incertidumbre, ¿cómo pueden las organizaciones posicionar a su personal nómada digital para enfrentar los retos de ciberseguridad ligados a diferentes normativas, amenazas de Estado-nación e inestabilidad? Cada vez más personas utilizan dispositivos conectados a Internet, como teléfonos móviles, ordenadores, relojes y pulseras inteligentes. Esta conectividad permite la participación en un entorno global sin restricciones de tiempo y espacio. Como resultado, la economía digital se vuelve accesible para millones de personas en todo el mundo, facilitando el intercambio de bienes y servicios tanto para los proveedores como para los consumidores. ¿Sabías que cada destino nuevo y conexión en redes públicas, como hoteles o cafeterías, puede ser una potencial amenaza cibernética? ✅ De acuerdo con World Youth Student and Educational Travel Confederation (WYSETC) estimó que la cantidad de nómadas digitales superaba los 40 millones en 2023, con un crecimiento previsto de aproximadamente 60 millones para 2030 en todo el mundo. Cultura del nomadismo digital Tras ver todo lo que está aconteciendo en la dinámica actual con los 'nómadas digitales' es preciso trasladarnos a conocer el ciberespacio donde tiene su origen en el ecosistema digital y fue introducido por el escritor estadounidense William Gibson en 1984 en su novela “Neuromante”. El ciberespacio abarca elementos como Internet, las redes de telecomunicaciones, los sistemas informáticos y los procesadores integrados que se encuentran en industrias críticas o de servicios esenciales. El ciberespacio es un entorno sofisticado donde interactúan individuos, software y servicios mediante dispositivos tecnológicos y redes conectadas. A diferencia del mundo físico, el ciberespacio es un dominio global complejo. Conocido como el quinto dominio, tiene importancia estratégica junto con la tierra, el mar, el aire y el espacio. Dada la naturaleza en constante evolución de las amenazas cibernéticas, ¿Cómo pueden las organizaciones cultivar una cultura de adaptabilidad, resiliencia y aprendizaje continuo entre los nómadas digitales para contrarrestar eficazmente las amenazas emergentes, desde sofisticados esquemas de ciberataques? Foto: Windows, Unsplash. Ahora bien, nómada digital, termino acuñado en 1997 por Tsugio Makimoto y David Manners, se refiere a una persona que combina e integra el potencial y las posibilidades de las tecnologías actuales, emergentes y disruptivas con su impulso natural de viajar, logrando vivir, trabajar y existir en movimiento. Por lo regular, estos teletrabajan y eligen lugares como sus casas, coworking, work café, países, cafeterías o bibliotecas públicas en lugar de un espacio de trabajo fijo tradicional. ¿Pero cuáles son los riesgos cibernéticos a los que están expuestos? ¿Cómo pueden protegerse? ¿Qué impacto provoca este estilo de vida en la dinámica de la cultura de ciberseguridad de las organizaciones? La cultura nómada digital representa un estilo de vida moderno y una tendencia profesional marcada por la adaptabilidad, la resiliencia y la flexibilidad horaria. Estas personas desafían las estructuras y jerarquías empresariales tradicionales. Riesgos y amenazas de ciberseguridad para los nómadas digitales En un mundo cada vez más interconectado, muchos profesionales trabajan desde cualquier lugar con Internet. Este estilo de vida ofrece libertad y flexibilidad, pero también plantea retos únicos de ciberseguridad. Los nómadas digitales suelen usar redes Wi-Fi públicas o privadas y dispositivos personales, lo que los hace vulnerables a diversas amenazas cibernéticas. ¿Cómo pueden las organizaciones equilibrar la autonomía concedida a los nómadas digitales con el imperativo de mantener un marco de ciberseguridad centralizado? ¿Qué enfoques innovadores pueden emplearse para capacitar a los individuos al tiempo que se garantiza la resistencia colectiva de la ciberseguridad? El panorama de las ciberamenazas es dinámico y diverso, y refleja la naturaleza cambiante de los retos de la ciberseguridad en la era de la transformación digital emergente y disruptiva. Más allá de la protección de los datos profesionales, su información personal sigue en constante riesgo. Para ellos, la ciberseguridad no es solo una capa adicional de protección, sino un imperativo, especialmente a medida que navegan por los diversos terrenos digitales en todo el mundo. La superficie de exposición y de ataques de los nómadas digitales puede ser muy amplia y diversa, ya que inciden distintas variables. Desde mi experiencia al emprender mi destino como nómada considero aspectos como, entre otros: Posicionamiento internacional del país con perspectiva geopolítica y tensiones. Perfil de riesgo del país. Postura de Ciberseguridad, blanco de ciberataques, situaciones y novedades. Marco legal de ciberseguridad y protección de datos. Seguridad física y del entorno. Seguridad aeroportuaria, software y tecnologías que permiten ser usadas en ese país y las que no. Métodos de confiscación y control por parte de las autoridades del país. Principales medios de comunicación, agencias y cuerpos de seguridad, Estos son algunos riesgos a los que podemos encontrarnos expuestos: Redes Wi-Fi públicas e inseguras. Aspectos políticos, legales y estratégicos. Suplantación de identidad e ingeniería social. Interceptación o alteración de las comunicaciones. Intervenciones telefónicas y espionaje. Seguridad física y del entorno. Seguridad de los dispositivos. Seguridad en la nube. Descarga de archivos o software maliciosos. Sincronización entre dispositivos. Métodos de autenticación débiles. Software obsoleto. Geolocalización. Estrategias de seguridad para un entorno de ciberamenazas Para navegar por este panorama, existen responsabilidades compartidas entre los nómadas digitales y las organizaciones donde deben adoptar una postura proactiva en materia de ciberseguridad. Incluyendo: Mejorar sus prácticas y ciberhigiene con el uso de tecnologías de comunicación seguras y cifradas. Aplicación de métodos de autenticación robustos. Adopción de redes privadas virtuales (VPN, siglas en inglés). Mantenerse informado sobre las últimas amenazas de ciberseguridad, geopolítica y mejores prácticas. Monitorización permanente y periódico de los controles de seguridad. Protección de las actividades en línea para mitigar los riesgos y mantenerse seguro y resiliente. ✅ Desde mi experiencia en esta cultura de nomadismo digital y en empresas nativas digitales, es esencial tener conciencia de la información que manejamos y su tratamiento: no sabemos quién está a nuestro alrededor ni tenemos control del entorno. Es importante priorizar y equilibrar los esfuerzos de los controles de seguridad para proteger los datos confidenciales y sus propiedades. Por ello, se recomienda contar con una política integral de Ciberseguridad que incluya directrices claras para el teletrabajo y la movilidad. Las herramientas de colaboración deben ser seguras y aprobadas por la organización para reducir los riesgos asociados y sus posibles efectos negativos. Pero esto no solo se queda en los controles tecnológicos, sino que es preciso fomentar una cultura de concienciación y formación en ciberseguridad con enfoque en riesgos en aras de garantizar que los nómadas puedan estar alerta y asumir la responsabilidad de mantener un entorno digital seguro en su ecosistema. La prevención es el catalizador de la concienciación. La dinámica del trabajo remoto, el nomadismo digital y las empresas nativas digitales se sustenta en una mentalidad consciente de la ciberseguridad, donde coexiste la responsabilidad compartida de fortificar nuestro entorno digital, garantizando la seguridad, resiliencia y confianza. Recuerda que la VPN no lo es todo, hay otras cosas en seguridad. ■ Acceso al informe Panorama de Amenazas 2024 de ENISA → ______ Ciberseguridad Sector turístico y ciberresiliencia: desafíos y prácticas clave 21 de octubre de 2024

La Inteligencia Artificial Generativa (GenAI) está transformando el panorama tecnológico, desarrollando grandes avances en creatividad, innovación, eficiencia y productividad. Sin embargo, también plantea desafíos y retos éticos, normativos, cibernéticos y sociales que exigen soluciones urgentes con enfoque en la gobernanza, tal y como señala el Foro Económico Mundial (WEF), en su informe 'La gobernanza en la era de la IA generativa: un enfoque de 360º para una política y una regulación resiliente'. Dada la magnitud y complejidad de los desafíos en inteligencia artificial, los sistemas GenAI como los modelos lingüísticos y la tecnología de deep learning pueden transformar industrias pero también conllevan riesgos. He observado falsificaciones avanzadas y sesgos en algoritmos, que pueden ser mal utilizados y causar daños generalizados. WEF destaca que reconoce estos riesgos, enfatizando en que los marcos legales y regulatorios van a la zaga del rápido desarrollo de la IA. Además, subraya la importancia de desarrollar y articular políticas que puedan mitigar los riesgos como adaptarse a los futuros avances. Por tanto, debemos preguntarnos, ¿Puede la velocidad actual de la evolución normativa mantener el ritmo del crecimiento exponencial de las tecnologías? Desafíos éticos y normativos en la era de la IA generativa La IA generativa cuenta con capacidades únicas, donde vemos la creación de textos, audiovisuales y medios muy convincentes que suponen un cambio significativo relacionado con las anteriores tecnologías de IA, centradas en la automatización y el reconocimiento de patrones. A diferencia de los anteriores avances, la IA generativa puede producir contenidos totalmente nuevos, lo que complica la verificación y validación de cuestiones de autoría y propiedad intelectual. Teniendo en cuenta que sus resultados son menos predecibles, lo que aumenta las posibilidades de uso indebido o consecuencias no deseadas, como la difusión de información errónea o la creación de contenidos nocivos. Nos enfrentamos a riesgos sin precedentes por la capacidad de los sistemas GenAI de crear contenidos hiperrealistas, deepfakes y medios sintéticos. Esto presenta desafíos únicos para verificar su autenticidad e idoneidad, alimentando la desinformación y manipulando la opinión pública. Además, desde el punto de vista ético, estos modelos suelen reflejar los sesgos inherentes a los datos con los que son entrenados. Además, no se puede quedar la privacidad, consentimiento y el monitoreo, sobre todo cuando la inteligencia artificial se usa para suplantación de identidad o la generación de contenidos; ocasionando una agravación de estos riesgos por la opacidad con la que estos modelos toman decisiones, lo que limita la rendición de cuentas. La capacidad la GenAI añade nuevas capas de complejidad a la gobernanza, confianza, ética y privacidad. Esta publicación del WEF, tiene la misión de abarcar todos los aspectos centralizados en la gobernanza de la IA a través de la participación de todas las partes interesadas, desde un enfoque multidimensional y sectorial. Sus pilares son: Desarrollo ético de la IA. Transparencia y responsabilidad. Coordinación global. Resiliencia y adaptabilidad. Los esfuerzos de estos pilares están centralizados en su exhaustividad, pero su éxito dependerá de la colaboración de todas las partes interesadas, lo que lleva a preguntarnos ¿Puede existir la duda en la viabilidad de lograr un consenso mundial sobre la regulación de IA? Impulsores clave en el desarrollo ético y normativo No obstante, aunque es esencial incluir a las partes interesadas en la gobernanza de la IA para garantizar la inclusión, esto no asegura completamente que sean escuchadas las comunidades infrarrepresentadas. Observamos desequilibrios de poder, representación desigual y falta de acceso a los espacios de toma de decisiones que suelen marginar estas voces. Por tanto, si no se realizan esfuerzos deliberados para centrar estas comunidades mediante cuotas, participación local, incidencia y visibilidad en foros, persiste el riesgo de que los actores influyentes tal es el caso de las empresas y gobiernos dominen los debates, perpetuando aun así las desigualdades y brechas existentes. Este modelo 360º, su fuerza reside en un enfoque global, pero existe el riesgo de ampliar demasiado el marco. Teniendo en cuenta de que al intentar abarcar todos los aspectos de la gobernanza IA desarrollo ético, transparencia, coordinación global, etc., sin un orden de prioridades claro y coherente, el modelo puede tener dificultades para su aplicación. Considerando que los amplios modelos pueden diluir su enfoque, dificultando el establecimiento de responsabilidades y la consecución de sus resultados tangibles que impactan de manera directa e indirecta. Para evitar estas cuestiones, el marco debe delinear políticas específicas y ejecutables y garantizar la existencia de mecanismos de supervisión eficaces para evitar la ineficacia burocrática. Se ha podido ver como los sistemas regulatorios actuales no están adaptados a la rápida evolución velocidad de IA; lo que sugiere como enfoques innovadores para sus pruebas y experimentos sin comprometer la seguridad los sandboxes regulatorios normativos y los marcos políticos adaptativos. La idea de una gobernanza ágil es atractiva; asegurar que los reguladores estén preparados para enfrentar los riesgos presentes y futuros de la IA requiere una inversión constante y colaboración internacional. Los entornos regulatorios asilados Los entornos regulatorios asilados ofrecen un espacio controlado para probar tecnologías de IA sin restricciones de normativas plenas, haciéndola un habilitador para que florezca la innovación al tiempo que se puedan conocer y controlar riesgos potenciales. No obstante, su eficacia depende de límites y mecanismos de monitoreo claramente definidos. Ahora bien, desde espacios bien estructurados y aislados se puede lograr un equilibrio que permita la experimentación al tiempo que se abordan las preocupaciones sobre la ética, transparencia, privacidad y ciberriesgos. Pero sin un monitoreo riguroso, se corre el riesgo de convertir estos espacios en indulgentes donde se ignoran las normas y prácticas en favor de un progreso sin control. Además, los marcos de gobernanza flexibles son esenciales para gestionar y adaptar la rápida evolución de la IA, considerando que su adaptación permite a los responsables políticos ajustar la normativa a medida que surgen nuevas capacidades de IA, a la vez promoviendo la innovación y manteniendo al mismo tiempo las normas de seguridad. Por tanto, el reto consiste en evitar que estos marcos se conviertan en capas burocráticas ineficaces. Muy importante es que, para seguir siendo eficaces, estos modelos deben dar prioridad a la agilidad y la capacidad de respuesta, con garantía de no ralentizar la toma de decisiones ni que creen una complejidad normativa innecesaria. El riesgo es real, está presente; pero puede mitigarse con procesos racionalizados y una supervisión transparente. Gobernanza de la IA basada en principios éticos El WEF aboga firmemente por fundamentar la gobernanza de la IA en principios éticos, especialmente con enfoque en las garantías y libertades en torno a los derechos humanos, privacidad de los datos y la no discriminación. Además, advierte del posible mal uso de las tecnologías de IA, como la vigilancia o la manipulación. Desde mi experiencia en la gestión y desarrollo de modelos de IA para Ciberseguridad y riesgos la Unión Europea (UE) está dando pasos firmes y un hecho es el Reglamento de Inteligencia Artificial (RIA). El informe destaca que la transparencia es esencial, y un gran desafío aún muy importante hacer que el funcionamiento de los modelos de IA sofisticados sea comprensible para los no expertos. Por tanto, exigir responsabilidades cuando algo va mal, sea a través de la jurisprudencia o por organismos de control y supervisión ética, sigue siendo un obstáculo relevante. Las garantías de transparencia y rendición de cuentas en los sistemas de IA, especialmente en modelos complejos como las redes neuronales, es un desafío impactante debido a su naturaleza y contexto de caja negra. Los organismos de regulación pueden exigir una documentación más clara de los procesos de toma de decisiones de IA, exigir que se expliquen los resultados de los modelos e insistir para que usen modelos interpretables cuando sea factible. Aquí las auditorias de los sistemas de IA juegan un rol protagónico, junto con la notificación obligatoria de los fallos, incidentes y sesgos de la IA que puede ayudar a imponer la rendición de cuentas. Hemos visto como los modelos de código abierto o las revisiones externas también pueden fomentar la transparencia y permitir a expertos inspeccionar u comprender el funcionamiento interno de nuestros sistemas de IA. Desde mi experiencia he podido ver los sectores en los que hay mucho en juego, como la sanidad y la aplicación de la ley, donde deben existir mecanismos solidos que garanticen la rendición de cuentas de los sistemas de IA cuando fallen o no volvemos a la UE con RIA donde este marco jurídico establece y exige a los desarrolladores, operadores y otras partes interesadas de la IA demostrar que sus sistemas cumplen con los requisitos previstos donde prevalece la ética, privacidad, riesgos e imparcialidad. Nuestros sistemas de IA tienen que garantizar que se comportan como se espera de ellos al igual como lo espera la regulación más allá de nuestros intereses. Las organizaciones deben ir aplicando políticas de uso y responsabilidad de IA teniendo en cuenta los daños que pueden provocar los sistemas de IA en aras de garantizar que las partes se acaten a lo que establece el marco regulatorio. Es muy esencial disponer de mecanismos claros de recurso para los efectores por errores de IA, como vías de apelación o revisiones por supervisión humana. El WEF plantea desde una dimensión socioeconómica los efectos son perturbadores de la IA, especialmente entorno al desplazamiento de puestos de trabajo y la reestructuración de merco laboral. Aunque hay que tener presente que la IA promete nuevas eficiencias e innovaciones, pero también amenaza los modelos de empleo tradicionales, sobre todo aquellos sectores o áreas vulnerable a la automatización. Además, que existe un claro reconocimiento de que, si bien la IA puede generar e impactar en el desarrollo del crecimiento económico, sin una gestión adecuada podría exacerbar las desigualdades. Por tanto, los políticos deben dar prioridad a las estrategias de crecimiento inclusivo garantizando que los beneficios de la IA se compartan equitativamente. Soluciones en la regulación de la IA Demos una mirada retrospectiva donde en las revoluciones industriales anteriores nos enseñan que los avances tecnológicos pueden provocar cambios sociales significativos, traduciéndose en el progreso económico como en el trastorno a gran escala. La lección clave aprendida es la importancia de una adaptación proactiva. Los gobiernos, las empresas, las instituciones educativas y los actores del ecosistema de IA deben anticiparse a los cambios y aplicar políticas que minimicen las repercusiones negativas como la desigualdad o el desempleo al tiempo que maximizan los beneficios de la innovación. Las redes de colaboración y cooperación con una perspectiva a largo plazo facilitan la gestión de las transiciones. Los planes educativos y las cualificaciones serán esenciales, pero deben diseñarse para ir a la par de los avances tecnológicos emergentes y disruptivos. Para ser eficaces los modelos y planes educativos deben centrarse en fomentar y desarrollar la adaptabilidad, el pensamiento crítico, la alfabetización digital y la ciberseguridad; desarrollando capacidades que no solo tengan sean técnicas, sino también para la vida como es el caso de colaborar con los sistemas de IA. WEF resalta que la IA es un problema mundial que requiere colaboración, cooperación e interoperabilidad global. Por lo tan ven que los enfoques fragmentados de la gobernanza de la IA pueden dar lugar a conflictos o carreras competitivas, en las que la indulgencia normativa de un país incentiva el despliegue de IA más arriesgado. He podido ver lo atinado que van los organismos internacionales como la Organización para la Cooperación y el Desarrollo Económico (OCDE) y la Organización de las Naciones Unidas (ONU) que desempeñan un papel esencial, pero lograr un consenso mundial está condicionado a las tensiones políticas y culturales. El reto sigue siendo crear normas capaces de superar estas divisiones. Coordinación global para la gobernanza de la IA La coordinación global en la gobernanza de la IA es compleja debido a las significativas diferencias filosóficas, culturales, políticas y jurídicas entre los países. Observamos que la Unión Europea está implementando algunos de los marcos regulatorios más robustos con un énfasis en ética, privacidad y transparencia, mientras que Estados Unidos favorece la innovación y los enfoques dirigidos por el mercado. En contraste, China se enfoca en el control estatal y en el uso estratégico de la IA para alcanzar sus objetivos nacionales. Al ver estas prioridades contrapuestas dificultan la armonización, pero es posible cierta coordinación a través de principios compartidos como la seguridad, la responsabilidad y la equidad. Aunque las normas existentes fomentan la colaboración y la confianza, pueden ahogar ventajas competitivas de las naciones que dan prioridad al rápido desarrollo de la IA. Hay países que invierten mucho en IA de punta sin restricciones éticas o normativas fuertes, pueden percibir las normas mundiales como barreras a su liderazgo en IA. No obstante, a través de marcos bien diseñados se pueden crear condiciones equitativas fomentando la innovación responsable y al mismo tiempo mitigando los riesgos de un desarrollo incontrolado de la IA. Es esencial encontrar un equilibrio entre la regulación y la libertad de innovación para asegurar que las normas no impidan el avance. WEF fija posición en desarrollar bases sólidas para abordar las complejidades de la gobernanza de la GenAI. No obstante, la gran prueba será la resiliencia y flexibilidad de los marcos a medida que la IA siga evolucionando de forma que quizás aún no se comprenda del todo. Conclusión Las políticas actuales sobre IA suelen estar desfasadas respecto al ritmo del desarrollo tecnológico, resultando insuficientes para enfrentar el futuro de la IA, lo que requiere mejora continua. Aunque los marcos existentes abordan riesgos actuales como la parcialidad, transparencia, responsabilidad, privacidad y ciberseguridad, carecen de flexibilidad y previsión para gestionar avances imprevistos en sistemas más autónomos. Las normativas no deben estancarse ni quedarse obsoletas para abordar las complejidades de futuros desarrollos. Es esencial que los marcos de gobernanza de la IA se mantengan flexibles y sean continuamente actualizados; esto requiere revisiones periódicas y la participación activa de las partes interesadas. Los gobiernos deben promover un enfoque regulatorio modular, permitiendo que las normas se adapten conforme evolucionan las tecnologías. Asimismo, estos marcos deben integrarse con el modelo de gobernanza existente e incluir mecanismos de aplicación claros, como auditorías, sanciones y sistemas de monitoreo en tiempo real, para asegurar la rendición de cuentas sin frenar el progreso. La colaboración y cooperación global es crucial para armonizar las regulaciones y abordar los desafíos transfronterizos de la IA. La mirada 360º del Foro Económico Mundial nos da un importante punto de partida para abordar los retos y desafíos de la gobernanza ■ Descarga el informe completo La gobernanza en la era de la IA generativa: un enfoque de 360º para una política y una regulación resiliente → Imagen: Rawpixel.com / Freepik.

Cuando se trata de comunicar a vapor sin esencia en fondo y forma de lo que se transmite, para ganar, views, engagement, posicionamiento, la comunicación se convierte en un riesgo que lacera la reputación, incertidumbre y el estímulo de las partes interesadas. No se trata de correr y acelerar, las cosas que ocurren en ciberseguridad son coberturas en desarrollo que hay que saber comunicar. Dado que los ciberataques pueden tener efectos globales devastadores, los medios de comunicación son clave para moldear la percepción pública de estos incidentes. Ya sea un ataque de ransomware a un hospital, una brecha de datos en una empresa o el acceso no autorizado a un sistema gubernamental, la cobertura mediática puede influir en todo, desde la confianza pública a la estabilidad del mercado. Teniendo en cuenta que su propósito es comunicar con objetividad e independencia los medios de comunicación como instrumento y forma de contenido por el cual se realiza el proceso de comunicación están en permanente evolución a través de los años los avances tecnológicos han logrado incrementar su difusión e inmediatez. Estos medios son una gran fuente de poder e influencia social que trasciende considerada como el cuarto poder aludiendo a los poderes legislativo, ejecutivo y judicial por su capacidad en la opinión pública. La importancia de una comunicación mediática efectiva en Ciberseguridad Cada vez más las organizaciones se enfrentan al complejo reto de gestionar las consecuencias de un ciberataque, un aspecto que se pasa por alto, pero que es igualmente crítico es la comunicación. ¿Como se informa del incidente?, ¿Qué mensajes se transmiten al público?, y ¿Cómo se desarrolla la cobertura mediática a través de diversas plataformas que puede marcar la diferencia entre un golpe a la reputación y la recuperación? En la actualidad se ha visto que en este campo predomina la manipulación de la información y fakenews, los estereotipos y partes interesadas que condicionan la difusión y transmisión del mensaje. La Teoría de la comunicación, como parte de la Teoría de la información, explica cómo una mente puede influir en otra. La comunicación en su esencial es la intersección del lenguaje, la semiótica y los medios de comunicación. Su objetivo es permitir el intercambio de información para transmitir o recibir datos y opiniones diversas. Por otro lado, la cobertura mediática se refiere a los contenidos elaborados por periodistas, escritores o agencias sobre un tema u organización específica, lo cual puede influir en la reputación, percepciones, opiniones y decisiones. Estos medios son el principal canal de difusión de información ante incidentes y ciberataques, y contribuyen a la concienciación y comprensión de estos por parte del público. Cuando se informa sobre alguna ciberamenaza o cualquier ciberataque indistintamente de su categoría, los medios proporcionan actualizaciones esenciales sobre amenazas emergentes y su impacto en organizaciones, gobiernos y la sociedad en general. Esta cobertura dicta la rapidez con la que se difunde la información, influyendo en el tiempo de respuesta tanto de las organizaciones afectadas como de las demás partes interesadas. Por tanto, Los medios de comunicación actúan como vigilantes, responsabilizando a las organizaciones de su postura, transparencia y estrategias de respuesta en materia de Ciberseguridad. La cobertura mediática se entrelaza con las relaciones públicas porque ambas buscan fortalecer los lazos con diferentes públicos, escuchándoles, informándoles y persuadiéndoles para lograr consenso y apoyo en el presente y futuro. Utilizan técnicas de publicidad, mercadotecnia, diseño, psicología, política, sociología y periodismo. ✅ Por su influencia en la percepción pública al determinar la urgencia y la magnitud de las amenazas, las coberturas mediáticas sensacionalistas amplifican el miedo y la incertidumbre haciendo creer al público que los ciberataques son más inminentes e incontrolables de lo que podría ser. Aún más cuando las organizaciones no han dado detalle y la información que se conoce de primera mano es limitada. El impacto de la comunicación en la percepción pública de la Ciberseguridad Es necesario, tener equilibrio y precisión de la información, ya que puede ayudar a desmitificar los ciberincidentes complejos capacitando a personas y organizaciones a tomar las precauciones adecuadas: no se trata de correr al dar la información, se trata de saber comunicar. En el ecosistema digital la confianza del público puede verse afectada por el tono y la precisión de la cobertura mediática, afectando a todo, desde el cliente hasta sus estrategias y reputación. La corriente de sensacionalismo y la precisión es una combinación muy delicada, y muchos medios dan prioridad a lo primero para captar atención. Una evidencia de esto son los titulares sensacionalistas, diseñados para atraer audiencia, que a veces exageran y exacerban el alcance o el impacto de un incidente. Esto alimenta el miedo o la incomprensión del público, que se intensifica aún más cuando hay más voces tergiversando los hechos y generando confusión. Los medios deben de comprometerse con la integridad y ética enfocada en la precisión, proporcionando información detallada y contrastada que permita al público comprender los matices de los ciberriesgos. Se hace esencial el equilibrio ya que el exceso de sensacionalismo genera desconfianza tanto en los medios como en los afectados y sus partes interesadas. ✅ Los medios deben entender que un empleado, aunque trabaje en una entidad afectada por un incidente, ya sea del departamento de ciberseguridad u otro, no está obligado a dar declaraciones ante la prensa, por mínimas que sean. Hagamos una retrospectiva y viajemos al 2017 cuando la filtración de datos de Equifax y el ataque de ransomware WannaCry, fue muy evidente la como la cobertura mediática influye en el discurso público. El caso de Equifax no solo se destacó la magnitud de la brecha, sino que también expusieron la respuesta tardía de la empresa y las medidas de seguridad inadecuadas. La cobertura supuso un golpe significativo para la reputación y un mayor escrutinio por parte de entes reguladores. Con WannaCry la cobertura mediática de todo el mundo destacó su propagación a infraestructuras críticas como sistemas sanitarios, amplificando la preocupación por las vulnerabilidades de los servicios esenciales a las ciberamenazas. ✅ Debido a la gran incidencia de las coberturas y connotación de estos ataques provocaron cambios normativos y condicionaron las expectativas del público en torno a la preparación en ciberseguridad. Estamos en tiempo en que un ciberataque no debe de sorpendernos. Una comunicación estratégica basada en investigación, planificación y evaluación es clave para la gestión de la identidad corporativa. El papel de los medios en la gestión de ciberataques Los medios tienen la responsabilidad ética de garantizar la exactitud, evitar el pánico innecesario y respetar la privacidad de las partes afectadas. Este campo de la ciberseguridad por su naturaleza técnica y compleja, los periodistas y demás actores de los medios de comunicación deben verificar los hechos y evitar atribuir culpables prematuramente, o identificar a los actores de la amenaza sin pruebas concretas. Obviamente, es esencial comunicar sobre el alcance de un ataque. Pero los medios deben abstenerse a dar detalles sensacionalistas y emitir juicios de valor que puedan dañar la reputación o alimentar el caos, incertidumbre y alarmismo. Además, deben respetar los debidos procesos y la confidencialidad de la información sensible que, si se divulga prematuramente, podría exacerbar el impacto del ataque o dificultar los esfuerzos y procesos de investigación. Comunicarse con los medios de forma clara, transparente y oportuna En tiempos de cibercrisis, la comunicación clara, transparente y oportuna con los medios de comunicación es trascendental para gestionar la percepción y mitigar los daños. La necesidad de contar con equipos especializados en comunicación de crisis y gestión se vuelve cada vez más evidente, ya que su coordinación con el área de ciberseguridad asegura la precisión de los mensajes transmitidos. Esto abarca: Actualizaciones periódicas sobre la situación, reconocer el alcance del ataque, o esbozar las medidas que se están tomando para mitigar los daños demuestra responsabilidad y fomenta la confianza. Cuidar el lenguaje para que no sea demasiado técnico y mantener la transparencia sobre lo ocurrido, sin especular sobre aspectos no resueltos o en curso, puede ayudar a reducir la desinformación y el pánico. Fomentar una información precisa manteniendo relaciones proactivas con los medios de comunicación y con periodistas especializados en ciberseguridad y crisis. Ofrecer opinión con rigor y experiencia, sesiones informativas y mantener líneas de comunicación con medios especializados en tecnología y Ciberseguridad. Estas realizaciones, establecidas antes de que se produzca una crisis, ayudan a las organizaciones a garantizar que la cobertura de los medios durante los incidentes se base en hechos y contexto en lugar de comunicaciones. ✅ Los portavoces deben formarse ante los medios de comunicación ya que pueden garantizar una comunicación eficaz y profesional cuando interactúen con la prensa durante un incidente. Los medios deben entender que debido a investigaciones y regulaciones, no siempre es posible proporcionar todos los detalles que desean para informar al público. El impacto de los ciberataques en la comunicación Durante un ciberataque la estrategia de comunicación corporativa debe estar enfocada en la puntualidad, coherencia y transparencia; las organizaciones deben reconocer el incidente, su naturaleza, impacto teniendo en cuenta no revelar detalles demasiados sensibles que puedan obstaculizar los procesos de investigación. Además, hay una labor que sucede en paralelo y son las actualizaciones periódicas, garantizando que los medios y partes interesadas estén al tanto de los esfuerzos que se están realizando. La coraza de la comunicación debe hacer hincapié en el compromiso de resolución y la prevención, por lo cual un plan de respuesta a incidentes claro, coherente, probado y preestablecido que incluya protocolos de acción e interacción con los medios de comunicación garantiza el control de la información y evita espirales de desinformación que se pueden articular. ✅ Ante un abordaje de la prensa, es importante practicar la escucha activa y ser cuidadoso al dar declaraciones para no comprometer la investigación, especialmente considerando el tipo de preguntas, ya que pueden contener tanto elementos objetivos como subjetivos en la búsqueda de información. Debemos comprender que el sensacionalismo, el tabloidismo, el morbo, además de otros factores condicionan la cobertura mediática de los ciberataques debido a la naturaleza intrínsecamente dramática de estos. Los ciberataques son fáciles de sensacionalizar porque juegan con los mejores del público o la pérdida de datos, daños financieros, legales, reputacionales y la vulnerabilidad tecnológica. Lo que además hace que la complejidad de los ciberataques pueda llegar a una información excesivamente simplificada, que elimina los matices en favor de titulares alarmistas. En el ecosistema digital la carrera por los clics y la atención en el panorama mediático moderno exacerba gravemente esta tendencia, ya que los medios se esfuerzan por captar y despertar interés de la audiencia con narraciones exageradas. Con una mala gestión de comunicación con los medios durante un ciberataque puede tener consecuencias elevadas transfronterizas o a escalas globales. Teniendo en cuenta que la gran desinformación, ya sea por la falta de transparencia o informes inexactos, puede propagarse y trascender rápidamente, generando pánico en los mercados internacionales y dañando la confianza mundial en las organizaciones afectadas. Esto repercute en pérdidas económicas como ha sido el caso de organizaciones que dependen de la confianza de los consumidores y de su estabilidad en mercados financieros y de valores. ✅ Imaginemos si un incidente afecta a una multinacional o a una infraestructura crítica: una comunicación inadecuada puede dificultar la coordinación de las respuestas de entre distintos países y entes reguladores, agravando su impacto en las cadenas de suministro y servicios transfronterizos. Conclusión Desde mi experiencia veo que a medias que las ciberamenazas van evolucionando. Es probable que las tendencias a futuro en la cobertura mediática consideren un análisis más matizado y contextual de estas cuestiones por parte de expertos calificados, dado que la complejidad de los ciberataques requiere un periodismo especializado capaz de interpretarlos sin excesiva simplificación. Además, el aumento de la ciberguerra y los ciberataques patrocinados por estado-nación recibirán más atención provocando un aumento en el discurso y las narrativas en los medios de comunicación. Existe la posibilidad de que la cobertura se enfoque en una mayor responsabilidad, examinando no solo el impacto inmediato de los incidentes, sino también la capacidad de respuesta a largo plazo de organizaciones y gobiernos. La corriente de desinformación impulsada por tecnologías emergentes y disruptivas como es el caso de la inteligencia artificial y la manipulación de las narrativas de los medios de comunicación traerá nuevos retos por lo que la alfabetización mediática y la comprobación de los hechos serán determinantes para los periodistas y el público. Ciberseguridad OSINT: un arma infrautilizada por el periodismo para combatir las fake news 8 de noviembre de 2023 Foto: Nijwam Swargiary / Unsplash.

En tiempos donde la tecnología y la digitalización son esenciales, es imprescindible contar con una Ciberseguridad sólida. Las naciones enfrentan crecientes amenazas y sofisticadas tácticas de ciberdelincuentes que buscan perturbar economías, comprometer la seguridad nacional y erosionar la confianza pública. El desafío no solo radica en combatir la ciberdelincuencia, sino también en mejorar las capacidades en materia de Ciberseguridad. ¿Cuáles son los principales impulsores de estas capacidades en los distintos países? La Unión Internacional de las Telecomunicaciones (ITU, siglas en inglés) en la 5ª edición de su Índice Global de Ciberseguridad (GCI, siglas en inglés), recientemente publicada, analiza las capacidades de preparación de los países en el ámbito digital. Estamos ante un panorama rodeado de complejidades e incertidumbre de un mundo hiperconectado. Por lo cual es preciso comprender mejor los esfuerzos mundiales para proteger el ciberespacio e identificar los retos que nos aguardan. La Ciberseguridad un imperativo estratégico para los gobiernos, así como para los sectores críticos y no críticos de la sociedad. El panorama cibernético actual resalta la necesidad constante de mejorar y adaptar la Ciberseguridad. Por tanto, evaluar los esfuerzos en ciberseguridad es esencial para que los gobiernos fomenten el desarrollo en este campo. ✅ Según el índice desarrollado por la ITU, aunque una puntuación perfecta refleja un fuerte compromiso siempre es necesario seguir trabajando en medidas y respuestas adecuadas. GCI resalta los esfuerzos de muchos países en cinco pilares fundamentales: jurídico, técnico, organizativo, desarrollo de capacidades y cooperación. En este escenario global las naciones están expandiendo los servicios digitales y conectando a la gente, pero aún tienen trabajo para integrar la Ciberseguridad en sus objetivos de conectividad. Existen brechas significativas en capacidad cibernética y retos en recursos como personal, equipos y financiación. Algunos países avanzan en ciberseguridad pese a tener un desarrollo limitado de TIC. Según el Índice de Desarrollo de TIC (IDI), países con altos niveles de TIC enfrentan riesgos de ciberespacio inseguro por falta de recursos, afectando la resiliencia y confiabilidad. Ámbito legal Muchos países han implementado medidas legales que aclaran las preocupaciones vinculadas con la Ciberseguridad, abarcando la privacidad y protección de datos e inclusive hasta las actividades ilegales en línea. Destacan ir en aras de una mayor armonización entre las leyes y regulaciones, tal es el caso de la alineación con el Reglamento General de Protección de Datos o Reglamento (RGPD) y los tratados internacionales de ciberdelitos. Esto ha permitido que estén agregando o actualizando medidas con un lenguaje tecnológicamente neutral, creando más flexibilidad en la interpretación y la alineación entre los delitos u obligaciones en línea y fuera de línea. No obstante, algunos países presentan ambigüedades en las exigencias de notificación de brechas y sus aplicaciones (como el Reglamento de Ciber resiliencia de la UE), aún es necesario aunar más esfuerzos para generar un mayor impacto en garantizar la especificidad y la aplicación del cumplimiento legal y regulatorio. ✅ Hay que señalar que RGPD y otras leyes similares han impulsado un aumento en el número de países con leyes de privacidad y requisitos de notificación de brechas. Sin embargo, la tendencia se ha estabilizado y muchos necesitan aclarar más sus esquemas legales y regulatorios en términos de privacidad, protección de datos y notificación. Además, estos esfuerzos pueden complementarse con el desarrollo de capacidades, para garantizar que los actores pertinentes estén bien capacitados y sean conscientes de las amenazas actuales a la ciberseguridad. Medidas técnicas Una Ciberseguridad con fundamentos sólidos requiere una combinación de personas competentes, procesos, procedimientos bien documentados y tecnologías. Existe aún disparidad en la implementación de medidas técnicas como vínculo para apoyar los esfuerzos en ciberseguridad. Los equipos de respuesta a incidentes de seguridad informática (CSIRT) son esenciales para la detección, prevención, respuesta y mitigación de ciberamenazas. Funcionan como puntos focales nacionales e internacionales, fomentando la cultura de divulgación, concienciación y formación. Aunque menos comunes, los CSIRT sectoriales juegan un papel fundamental, especialmente a nivel regional, permitiendo compartir recursos y esfuerzos conjuntos para abordar problemas comunes. Cada sector enfrenta amenazas y necesidades específicas, especialmente aquellos que forman parte de la infraestructura crítica y su cadena de suministro. Personas, procesos, tecnologías, información y entornos permiten preparar y empoderar a las naciones para prevenir, proteger y responder eficazmente a los ciberincidentes. Sin embargo, la implementación de los CSIRT sectoriales enfrenta desafíos debido a la falta de recursos y capacidades en varios países. Sobre todo en países de bajos ingresos y pequeños Estados insulares, los esfuerzos se centran en el desarrollo de los CSIRT nacionales. Con el avance de la infraestructura TIC, las necesidades sectoriales podrán ser cubiertas a nivel nacional o mediante CSIRT regionales. Además, es esencial realizar simulacros y ejercicios de Ciberseguridad con la participación de todas las partes interesadas. Medidas organizativas Se necesita una mayor coordinación y alineación para dar forma a iniciativas nacionales de ciberseguridad más inclusivas y basadas en datos. La postura de Ciberseguridad de un país requiere de la implementación de sólidas medidas organizativas que ayuden a guiar de manera efectiva. Los países exhiben progresos significativos en la existencia de sus objetivos estratégicos claros, con un plan de acción, ejecución y medición. GCI pone en manifiesto que, si no existe una red de socios bien definida que trabaje conjuntamente con la industria, la sociedad civil y el mundo académico, los esfuerzos en diferentes sectores e industrias se vuelven dispares e inconexos, frustrando los esfuerzos hacia la armonización nacional en el desarrollo de la ciberseguridad. Las Estrategias Nacionales de Ciberseguridad (NCS, siglas en inglés) se han convertido en una pieza fundamental cada vez más común para que los gobiernos se organicen en torno a la Ciberseguridad, quienes además se encuentran trabajando para desarrollar métricas y medidas claras para entender cómo realizar un seguimiento de los resultados de la Ciberseguridad a nivel nacional. También para realizar un seguimiento en profundidad de las aportaciones de la ciberseguridad, como las auditorías. Trasladar estos parámetros a la política y a la aplicación requiere funciones y responsabilidades claras, así como marcos organizativos receptivos. Además, ponen en evidencia las revisiones y actualización de las estrategias existentes. La amplitud y profundidad de las NCS varían considerablemente, pero en algunos países estipulan al menos: Ciberseguridad de las infraestructuras críticas. Principios de gestión del ciclo de vida. Compromiso de las partes interesadas. Un plan de acción. “Tener un plan de acción no garantiza que se prioricen o incorporen todas las mejores prácticas”. El informe señala que prevalece en los países la implementación de prácticas como la participación de las “partes interesadas” y la “gestión del ciclo de vida” al inicio o al final de la NCS, a lo que instan a incorporar estos aspectos en todo el ciclo de vida de la estrategia. Como resultado, se genera la pérdida de información valiosa y el valor agregado de la estrategia con las partes interesadas para alinearse en prioridades claves y oportunidades de adaptación que ayude a que la estrategia sea relevante, sostenible y eficaz. GCI destaca que las auditorías son una práctica común para evaluar la Ciberseguridad y los riesgos cibernéticos. Sin embargo, muchos países no las incluyen en sus planes de acción. Además, los esfuerzos en infraestructuras críticas a menudo carecen de medidas legales de respaldo. También subraya que los profesionales en Ciberseguridad están bien capacitados para gestionar riesgos y responder a incidentes. Muchos países tienen sistemas nacionales y organismos responsables que proporcionan capacitaciones específicas en este ámbito. La implementación de estrategias e iniciativas de protección infantil en línea sigue siendo limitada. La protección infantil en el ámbito digital es fundamental en las políticas públicas y requiere la colaboración de toda la sociedad. Aunque muchas leyes ya incluyen medidas contra ciberdelincuencia y explotación sexual, solo algunos países cuentan con estrategias integrales de protección infantil que incluyen campañas de concienciación para educadores, policías y canales de denuncias, apoyando a los niños y jóvenes en sus viajes digitales y ayudándoles a comprender los riesgos en línea. A medida que los niños acceden a internet, es necesario protegerlos y empoderarlos para que se convertiertan en participantes activos en la creación de un ciberespacio seguro y confiable. Desarrollo de capacidades Los esfuerzos de capacitación y concientización son fundamentales para crear un ecosistema de ciberseguridad sólido. Los países corren el riesgo de erosionar los avances logrados en la mejora de la conectividad plena y universal si no apoyan la creación de capacidades y la concienciación en este aspecto. La gran mayoría de países realizan actividades en el marco del desarrollo de capacidades y en su mayor parte son campañas de concienciación. Además, los países se encaminan en desarrollar y potencializar el talento cualificado en la industria. Los sectores privados y públicos, la docencia , los espacios para la investigación y el desarrollo (I+D) forman parte de los esfuerzos por fomentar la capacitación nacional. Cada vez más los países se dirigen a grupos demográficos específicos como parte de sus campañas de concientización. La creación de una cultura de la Ciberseguridad es un desafío permanente para todos los países. Se desarrollan o apoyan campañas de concienciación que buscan informar a los usuarios y cambiar comportamientos. ✅ GCI puntualiza que las campañas dirigidas son esenciales para identificar y educar sobre las amenazas a la Ciberseguridad. Sin embargo, su eficacia depende de las métricas empleadas para medir su impacto, especialmente en redes sociales. Las métricas superficiales como "me gusta" y compartidos no reflejan con precisión el verdadero alcance. Es necesario adoptar enfoques centrados en el ser humano, que aborden las preocupaciones y desafíos específicos de las personas para navegar en un ciberespacio seguro. Esto incluye adaptar las campañas a diversos públicos, considerando factores culturales y socioeconómicos. Priorizar la participación significativa y los resultados conductuales sobre las métricas superficiales puede garantizar campañas que verdaderamente empoderen a las personas y contribuyan a un entorno en línea más seguro para todos. Todavía la carencia de programas de desarrollo de habilidades en ciberseguridad en todos los niveles educativos supone un reto. Cooperación y colaboración público-privada Siendo la Ciberseguridad de naturaleza transnacional, una respuesta eficaz exige la cooperación y colaboración entre los sectores público, privado y gubernamental. Además, los esfuerzos han aumentado en el contexto de los acuerdos internacionales, regionales y sectoriales en torno a la Ciberseguridad. Aun así, muchos países no forman parte de estos acuerdos, ya sea por conflictos, falta de recursos humanos o beneficios poco claros. “La operacionalización y el impacto de los acuerdos y marcos siguen siendo un desafío”. Cabe destacar que la colaboración con el sector privado ofrece a los gobiernos la oportunidad de aprovechar los conocimientos y la experiencia de este sector para mejorar la Ciberseguridad. Casi la mitad de los países cuentan con procesos interinstitucionales en ciberseguridad en sus gobiernos. No obstante, la colaboración con el sector privado es menos común: menos de la mitad de los países forman parte de asociaciones público-privadas con empresas nacionales o extranjeras. No debemos hacer esfuerzos de ciberseguridad dispares, inconexos y frustrantes, que es un problema complejo e interconectado que demanda de un enfoque holístico, integral y transversal. “El éxito de los acuerdos, alianzas y procesos es si van más allá del papel y pasan a la acción”. El fomento del intercambio de información, la creación de capacidad y la evaluación conjunta de las amenazas permite a la comunidad internacional poder abordar con mayor eficacia el cambiante panorama cibernético, incluida la creciente intersección de la Ciberseguridad y la IA. La creación de colaboración nacional sigue siendo un área que necesita mejoras. La Ciberseguridad es más que una cuestión de hardware o software: la coordinación entre actores nacionales competentes es un componente importante para lograr compromisos coherentes. Hay avances alentadores, ya que los organismos responsables pueden ayudar a impulsar enfoques más cohesivos y colaborativos en Ciberseguridad. ◾ Descarga el informe completo Global Cybersecurity Index 2024 → ____ Ciberseguridad IA & Data La CIA publica un informe sobre deepfakes y cómo manejar esta amenaza 18 de octubre de 2023 Imagen: Wirestock / Freepik.

Contexto situacional del riesgo de cuartas partes El ecosistema empresarial converge ante una realidad latente y compleja debido a la hiperconectividad en el día de hoy, donde la gestión de riesgos se extiende abarcando terceras, cuartas y enésimas partes; siendo la piedra angular de la resiliencia corporativa. Muchas organizaciones enfocan sus esfuerzos en proteger sus propios sistemas, infraestructura y arquitectura tecnológica y cibernética. Pero la realidad es que el verdadero riesgo a menudo reside en entornos de nuestra superficie de ataque y de exposición cibernética que es invisible y no monitoreada; pero, además, en muchas ocasiones aunque se tenga visibilidad no se cuenta con el control total de aplicar acciones que minimicen la exposición. Una sola vulnerabilidad en un proveedor puede exponer a toda la su organización a consecuencias catastróficas. Gestión de riesgos en la cadena de suministro ¿Eres consciente de hasta qué punto tus proveedores están integrados en tus operaciones? ¿Has considerado los efectos en cascada ante una disrupción cibernética en uno de los sistemas de tus proveedores? ¿Sabías que los efectos pueden ser igual u opuestos en proporción? A medida que profundizamos en las complejidades de la gestión de riesgos, queda claro que salvaguardar tu organización exige un enfoque holístico, que evalúe y mitigue rigurosamente los riesgos en toda la cadena de suministro. También que tenga en cuenta que es probable que los proveedores estén llevando actividades críticas a otros proveedores. Todo es parte transversal de las operaciones. Así como nosotros queremos eficientizar costes y mejorar nuestra gestión, también lo quieren los proveedores. Sin embargo, los contratos de nuestros proveedores con terceros introducen riesgos operativos, legales, estratégicos, financieros, de ciberseguridad y de cumplimiento que son adicionales para tu empresa. Una brecha puede desencadenar una cascada de multas reglamentarias, dañar la confianza de los clientes y provocar pérdidas financieras significativas. Antes de conocer algunos detalles, es importante considerar que la gestión de proveedores incluye tanto a los proveedores de nuestros proveedores como a aquellos que subcontratan servicios sin nuestro control ni visibilidad. Esta vasta, intrincada y compleja red de relaciones comerciales interrelacionadas representa una gran amenaza. La falta de conciencia de los riesgos que existen dentro de esta red deja vulnerable a tu organización. ¿Qué es la Gestión de Riesgos de Cuartas Partes (FPRM)? La Gestión de Riesgos de Cuartas Partes (Fourth Party Risk Management o FPRM, en inglés) es el proceso que implica identificar, evaluar y reducir los riesgos de ciberseguridad presentados por los proveedores de sus proveedores de terceros. A medida que la transformación digital difumina las líneas entre los ecosistemas de TI, cualquiera de sus proveedores podría transformarse en un punto crítico de vulnerabilidad y en un potencial riesgo sistémico de ciberseguridad. A pesar de la concienciación en torno a los riesgos de terceros, a menudo se pasan por alto los riesgos de cuarta parte. Esta negligencia crea vulnerabilidades porque las organizaciones pueden no ser plenamente conscientes o no gestionar las prácticas de seguridad de sus proveedores de terceros. Esta gestión de riesgos es esencial porque aborda las vulnerabilidades que a menudo se pasan por alto y que pueden surgir de la extensa red de proveedores externos de una organización. Más aún cuando esta se asocia con un tercero, confía implícitamente en las medidas de seguridad de esa entidad. Sin embargo, el tercero puede depender de otros proveedores “cuartos” para sus operaciones. ⚠️ Si estas cuartas partes tienen prácticas de seguridad inadecuadas, pueden introducir riesgos significativos en la red de la organización principal. Esta cadena de confianza ampliada puede convertirse en una vía para las ciberamenazas, las violaciones de datos y otros incidentes de seguridad. ✅Por tanto, es esencial gestionar y mitigar los riesgos de los proveedores directos y también de sus proveedores. Cumplimiento normativo y privacidad de los datos Además, las leyes de cumplimiento normativo y privacidad de datos son cada vez más estrictas, lo que exige que las organizaciones garanticen una seguridad sólida en toda su cadena de suministro. Si no se gestionan los riesgos de terceros, pueden producirse sanciones normativas, responsabilidades legales y daños a la reputación. Mediante la implantación de un programa integral de gestión de riesgos de cuarta parte, las organizaciones pueden obtener una mejor visibilidad de toda su cadena de suministro, identificar posibles vulnerabilidades y aplicar normas de seguridad estrictas en todos los niveles de su red de proveedores. Este enfoque proactivo no sólo refuerza la postura global de seguridad de la organización, sino que también ayuda a mantener el cumplimiento y a generar confianza con los clientes y las partes interesadas. ✅ Debemos tener en cuenta que la diferencia entre la gestión de riesgos de terceros y la gestión de riesgos de cuartas y enésimas partes radica en el alcance y el enfoque de las entidades que se gestionan y evalúan para detectar riesgos de seguridad. Gestión de riesgos de terceras y cuartas partes La Gestión de Riesgos de Terceros (TPRM, Third Party Risk Management) se centra en identificar, evaluar y mitigar los riesgos asociados a terceros vendedores, proveedores o prestadores de servicios con los que una empresa se relaciona directamente. El objetivo principal es garantizar que estas entidades externas cumplen los requisitos normativos, respetan las obligaciones contractuales y no introducen vulnerabilidades en las operaciones de la empresa. Desde esta gestión TRPM implica actividades como la diligencia debida, la supervisión periódica, las auditorías y la implantación de controles para gestionar los riesgos relacionados con la seguridad de los datos, la estabilidad financiera y el rendimiento operativo de terceros. En cambio, la Gestión de Cuartas Partes (FPRM) amplía esta supervisión a los propios subcontratistas o proveedores de servicios de las terceras partes, gestionando eficazmente los riesgos introducidos por la cadena de suministro ampliada. Estas cuartas partes, aunque no hayan sido contratadas directamente por la empresa principal, pueden afectar significativamente a sus operaciones y a su perfil de riesgo. ✅ La gestión del riesgo de las cuartas partes requiere visibilidad de las prácticas de gestión del riesgo de las terceras partes y, a menudo, implica obtener garantías de que estas entidades derivadas también se adhieren a normas estrictas. Este nivel de gestión del riesgo garantiza un enfoque más completo para asegurar la cadena de suministro y mitigar las posibles interrupciones o problemas de cumplimiento derivados de las relaciones indirectas. La influencia de la geopolítica y la ciberdiplomacia en la gestión del riesgo de cuartas partes La geopolítica y la ciberdiplomacia forman parte integrante de la gestión de los riesgos transfronterizos y transnacionales de cuartas partes, ya que configuran los entornos normativos, influyen en la cooperación internacional en materia de ciberseguridad y afectan a las actividades de los actores de las ciberamenazas. Al navegar por las complejidades geopolíticas, participar en los esfuerzos de la ciberdiplomacia y mantenerse informadas sobre el panorama mundial de las ciberamenazas, las organizaciones pueden mejorar su resistencia frente a los ciberriesgos transnacionales. Este enfoque global es esencial para salvaguardar la seguridad y la integridad de sus cadenas de suministro ampliadas en un entorno global interconectado y dinámico. Los riesgos de cuarta parte son especialmente insidiosos porque a menudo se encuentran a varios niveles de distancia de su control directo. Estos riesgos se originan en los proveedores de sus proveedores, entidades con las que es posible que no tenga comunicación directa ni supervisión. Esta complejidad crea un escenario en el que las medidas de seguridad de un proveedor aparentemente distante pueden afectar directamente a la postura de seguridad de su organización. ✅ Un ejemplo sería el caso en el que un proveedor de cuarta parte maneja datos o servicios críticos. Si esta entidad sufre una brecha, el impacto reverbera a través de la cadena de suministro, interrumpiendo potencialmente las operaciones y exponiendo información sensible. Esta red interconectada significa que su seguridad es tan fuerte como el eslabón más débil de su red extendida. Mitigar los riesgos de cuarta parte Para mitigar los riesgos de cuarta parte, las organizaciones deben implementar medidas tanto proactivas como reactivas. De forma proactiva, esto implica procesos de investigación rigurosos para los proveedores externos, exigiendo que revelen sus propias prácticas y medidas de seguridad de la cadena de suministro. El monitoreo continuo y las auditorías periódicas de estas prácticas garantizan que sus proveedores mantienen los más altos estándares de seguridad. Las medidas reactivas son igualmente importantes. Es esencial desarrollar un plan de respuesta sólido a incidentes que incluya protocolos para violaciones de terceros y cuartos. Este plan debe esbozar canales de comunicación claros, pasos para mitigar los daños y procedimientos para notificar a las partes interesadas y a los organismos reguladores. Un sólido plan de respuesta a incidentes debe incluir protocolos para violaciones de seguridad de terceras y cuartas partes. Conclusión A medida que evoluciona el panorama de las ciberamenazas también deben hacerlo las prácticas de gestión de riesgos. Las tendencias futuras indican un énfasis creciente en las estrategias de defensa colaborativas, en las que las industrias trabajan juntas para compartir inteligencia sobre amenazas y mejores prácticas. Además, los requisitos normativos son cada vez más estrictos, lo que exige una mayor transparencia y responsabilidad por parte de las organizaciones en lo que respecta a las medidas de seguridad de su cadena de suministro. Cyber Security Cómo las soluciones DRP (Digital Risk Protection) defienden tu negocio de las ciberamenazas 6 de noviembre de 2023 Imagen: Drazen Zigic / Freepik.

Contexto situacional del riesgo cibernético sistémico En el panorama de la ciberseguridad, la navegación por los riesgos sistémicos exige un delicado equilibrio entre previsión y preparación, un equilibrio que puede definir la supervivencia o la catástrofe de las industrias en general. En la era digital, las tecnologías de la información y la comunicación (TIC) son el soporte de sistemas complejos utilizados en actividades cotidianas. Mantienen nuestras economías en marcha en sectores e industrias claves (agropecuario, manufactura, automovilístico, energía, hostelería, financiero, salud, educación, transporte marítimo, aéreo, espacial y terrestre), que día a día mejoran el funcionamiento del mercado global. El aumento de la digitalización y la interconexión también amplifica el riesgo relacionado con las TIC, y hace que la sociedad en su conjunto, y en sectores e industrias, sean más vulnerables a las ciberamenazas o a las perturbaciones de las TIC. Si bien el uso generalizado de los sistemas de TIC y la alta digitalización y conectividad son hoy en día características fundamentales de las actividades de la dinámica global socioeconómica, sigue siendo necesario abordar e integrar mejor su resiliencia digital en sus operaciones. Qué es el riesgo cibernético sistémico Teniendo en cuenta todo este panorama, el G10 en 2001 define el riesgo cibernético sistémico como el riesgo de que un evento cibernético (ataque(s) u otro(s) evento(s) adverso(s) en un componente individual de un ecosistema de infraestructura critica cause retrasos, denegaciones, averías, interrupciones o pérdidas significativas de tal modo que los servicios se vean afectados no sólo en el componente que lo origina, sino que las consecuencias también caen en cascada en los componentes relacionados (lógica y/o geográficamente) del ecosistema, lo que resulta en efectos adversos significativos para la salud o seguridad pública, la seguridad económica o la seguridad nacional. El efecto cascada se refiere a un proceso en el que un fallo o interrupción inicial en un sistema desencadena una reacción “igual u opuesta” en cadena de fallos posteriores. En los sistemas donde un pequeño problema puede propagarse a través de componentes interconectados, el efecto cascada puede provocar consecuencias generalizadas y a menudo imprevisibles. Este concepto es especialmente pertinente en entornos muy interdependientes en los que el mal funcionamiento de un elemento puede comprometer todo el sistema. Una estrategia exitosa para los ciberdelincuentes Los ciberataques suelen tener un efecto cascada en la ciberseguridad debido a la naturaleza intrincada e interconectada de los sistemas digitales modernos. Estos sistemas se basan en una red de componentes interdependientes, incluidos hardware, software, redes y almacenamiento de datos, lo que significa que una brecha o fallo en un componente puede afectar rápidamente a los demás. Esta interconexión crea múltiples puntos de vulnerabilidad, lo que permite que un solo ataque se propague a través del sistema y cause una interrupción generalizada. Si damos una mirada retrospectiva, han habido ciberataques con efecto cascada y uno de ellos es el paradigmático ransomware WannaCry en mayo de 2017 que explotó una vulnerabilidad (CVE-2017-0144) en el protocolo Server Message Block (SMB) del sistema operativo de Microsoft Windows utilizando una herramienta llamada EternalBlue, una vez que el ransomware infectó una sola máquina, utilizó esta vulnerabilidad para propagarse a otros sistemas vulnerables dentro de la misma red de forma automática. En cuestión de horas este ataque afectó a más de 360.000 dispositivos electrónicos de más de 180 países alrededor del mundo amplificando su impacto global. Los ciberriesgos sistémicos se ciernen sobre nosotros, ya que la interconexión de nuestros ecosistemas digitales plantea no sólo una amenaza, sino un reto fundamental para la resistencia de las infraestructuras mundiales. Según el Foro Económico Mundial (WEF), es crucial comprender que el riesgo sistémico es fundamentalmente diferente del riesgo no sistémico debido a sus consecuencias más amplias y complejas. El riesgo sistémico implica fallos que afectan a sistemas enteros y no sólo a partes o componentes individuales. Estos fallos surgen de la intrincada red de conexiones, dependencias e interdependencias dentro de un sistema, provocando consecuencias en cascada y a menudo imprevistas. Además, WannaCry puso de manifiesto problemas sistémicos en las prácticas de ciberseguridad, como la gestión inadecuada de parches, la escasa segmentación de la red y las estrategias insuficientes de respuesta a incidentes. Estas debilidades sistémicas contribuyeron a la propagación rápida y generalizada del ransomware. La capacidad del ataque para aprovecharse de estas deficiencias comunes revela cómo los ciberriesgos sistemáticos pueden explotar las vulnerabilidades estructurales de los sistemas interconectados. ✅ Para hacer frente a estos riesgos es necesario un enfoque holístico de la ciberseguridad, que incluya una sólida gestión desde la prevención, una detección proactiva de las amenazas y una respuesta integral ante los incidentes. Los riesgos sistémicos desafían los cimientos de la confianza Los riesgos sistémicos pueden producirse de forma repentina e inesperada, o pueden acumularse con el tiempo si no existen políticas tecnológicas o de gestión adecuadas para hacerles frente. En este último caso, incluso puntos de inflexión menores pueden combinarse para causar fallos significativos. Por ejemplo, los riesgos que se materializan a través de vectores de amenaza comunes a múltiples empresas y ecosistemas pueden provocar efectos agregados sustanciales, especialmente cuando la vulnerabilidad es inherente a las operaciones compartidas por todas las empresas. En esencia, la naturaleza interconectada de los sistemas modernos significa que los riesgos que afectan a una parte pueden propagarse rápidamente, amplificando el impacto global. Esta interconexión requiere estrategias globales para mitigar los riesgos sistémicos, ya que sus repercusiones pueden ser de gran alcance y complejidad, afectando simultáneamente a numerosas entidades. Durante mis labores en el día a día al gestionar este tipo de riesgo veo que los riesgos más significativos de hoy en día no son ni abstractos ni remotos, sino que son inmediatos e impactantes. Las repercusiones económicas y de seguridad reales de los riesgos sistémicos materializados suelen derivarse de perturbaciones importantes de la confianza o la certidumbre en relación con los servicios críticos y la integridad de los datos. Estos impactos se manifiestan a través de interrupciones en las operaciones y pueden llevar a la incapacitación o destrucción de activos físicos. Los riesgos sistémicos desafían los cimientos mismos de la confianza que sustenta la estabilidad económica y operativa. Cuando las partes interesadas pierden la confianza en la fiabilidad de los servicios esenciales o en la integridad de los datos, puede desencadenarse un pánico generalizado que provoque importantes repercusiones económicas y la desestabilización de los marcos de seguridad. En medio de las complejidades de la ciberguerra moderna, hacer frente a los riesgos sistémicos no consiste únicamente en defender los datos, sino en salvaguardar el tejido mismo de nuestras economías y sociedades interconectadas. Estas perturbaciones pueden causar un efecto dominó, en el que la pérdida inicial de confianza o el fallo operativo se propagan en cascada por los sistemas interconectados, exacerbando el impacto global. La incapacitación de los activos físicos agrava aún más el problema, ya que no sólo perturba las operaciones en curso, sino que también socava los futuros esfuerzos de recuperación. Esta fragilidad interconectada pone de relieve la importancia de contar con estrategias sólidas de gestión de riesgos y resiliencia para evitar que los pequeños problemas se conviertan en fallos a gran escala. Además, la destrucción o inutilización de activos físicos críticos puede tener efectos perjudiciales a largo plazo, ya que la reconstrucción y restauración de estos activos requiere tiempo y recursos considerables. Esto, a su vez, afecta a las cadenas de suministro, la prestación de servicios y la estabilidad económica general. ✅ Para hacer frente a los riesgos sistémicos es necesario un enfoque holístico que tenga en cuenta las interdependencias de los servicios, la integridad de los datos y los activos físicos para protegerse contra amenazas generalizadas y complejas. Más allá de la mera minimización de riesgos, es esencial adoptar estrategias proactivas que anticipen, se adapten y respondan eficazmente a los riesgos sistémicos. Esto requiere un marco sólido centrado en generar y compartir datos y análisis de alta calidad. Al aprovechar la información exhaustiva de los datos, las organizaciones pueden comprender mejor los riesgos y vulnerabilidades interconectados, lo que les permite aplicar medidas preventivas y mejorar la resistencia. Además, invertir en cadenas de suministro “just in case” y en estrategias de “friend shoring”, donde los suministros y recursos críticos se diversifican entre socios y regiones fiables, puede mitigar la dependencia de fuentes únicas y reducir la probabilidad de interrupciones en cascada. Este enfoque no sólo refuerza la continuidad operativa, sino que también fortalece el ecosistema en general frente a perturbaciones imprevistas. ✅ También es primordial integrar la resiliencia en todas las facetas de los procesos de planificación y toma de decisiones. Esto implica integrar las consideraciones de resiliencia en las iniciativas estratégicas, los marcos operativos y las inversiones tecnológicas. Por su diseño, los sistemas resilientes son adaptables y pueden resistir los choques, lo que permite a las organizaciones mantener servicios y operaciones esenciales en medio de amenazas cambiantes. Hacer hincapié en la escalabilidad garantiza que las medidas de resiliencia puedan adaptarse eficazmente al crecimiento y a los cambios en los escenarios de riesgo, salvaguardando la estabilidad y la sostenibilidad a largo plazo. En última instancia, un enfoque anticipatorio y adaptativo permite a las organizaciones sortear las complejidades e incertidumbres inherentes a los riesgos sistémicos, fomentando la agilidad y la resiliencia en un entorno mundial cada vez más interconectado. ✅ La Unión Europea (UE) ha puesto en marcha varias estrategias y normativas para hacer frente al riesgo sistémico en las organizaciones, centrándose en mejorar la ciberseguridad, la protección de datos y la ciberresiliencia de las infraestructuras críticas, los hemos visto en diversas normativas, pero ahora hay un foco importante en DORA y NIS2. Con la aplicación de estas medidas, la UE pretende crear un ecosistema digital resistente que pueda mitigar eficazmente los riesgos sistémicos. Estas iniciativas mejoran la postura de ciberseguridad de las organizaciones, garantizan la protección de las infraestructuras críticas y fomentan un enfoque colaborativo para hacer frente a las amenazas emergentes, reduciendo así el potencial de perturbaciones generalizadas. Ciberseguridad Conectividad e IoT SOC de Misión Crítica: La clave para la resiliencia de los sistemas ciberfísicos 18 de abril de 2024 Imagen: rawpixel.com / Freepik.

Transformando el modelo de las inversiones cibernéticas A medida que las organizaciones navegan por las complejidades de las amenazas cibernéticas, el equilibrio adecuado entre la inversión y la mitigación de riesgos emerge como un determinante clave de la resiliencia de la ciberseguridad. Su organización ha experimentado un aumento de las ciberamenazas y reconoce la necesidad de reforzar sus medidas de ciberseguridad. El equipo directivo está preocupado por las posibles pérdidas financieras, los daños a la reputación y las sanciones normativas en caso de que se produzca una violación de la seguridad. Donde se ha visto que tiene deficiencias es en los equipos de seguridad de red debido a la obsolescencia, ya que hace tres años el fabricante indicó que estos equipos en seis meses estarían fuera de soporte. Por tanto, ya no hay medidas de seguridad para compensar su continuidad en la infraestructura y arquitectura tecnológica. Debido a esto desde gobierno corporativo solicitan realizar una evaluación de las inversiones que se van a realizar y de qué forma se gestionará el uso de los recursos. ¿Cuáles son los criterios a considerar y a establecer en el proceso de adquisición? Imagínese que ha recibido seis propuestas de diversos proveedores y de estos hay dos ofertas que le han llamado la atención donde los costes son de 45.000 y 57.000 euros. ¿Considera que esos son criterios suficientes para evaluar su toma de decisión ante el informe que debe de presentar? Si usted lo consideraba le digo que no es el camino correcto. Su acción debió de ser más exhaustiva y no sólo focalizada en el coste sino ir más allá. Es por eso que aquí le ayudaré a cómo evaluar una inversión con enfoque sostenible y adaptativo en Ciberseguridad. La postura de ciberseguridad de una organización es tan fuerte como su eslabón más débil; por lo tanto, la gestión estratégica de recursos se extiende más allá de las finanzas para incluir personal, capacitación e infraestructura tecnológica. La inversión en Ciberseguridad debe ser una prioridad para las organizaciones. A pesar de la dificultad en calcular su retorno financiero exacto (como en toda inversión en seguridad, sea del tipo que sea), dada la cada vez mayor frecuencia de los ciberataques y el gran impacto que tienen tanto en afectación al servicio prestado como en salvaguarda de la información y reputación de la propia organización, no debe existir ninguna duda en llevarla a cabo. Tal y como plantea Gartner define el Coste Total de Propiedad (TCO, siglas en inglés) como una evaluación exhaustiva de los costes de las tecnologías de la información (TI) u otros costes a través de los límites de la empresa a lo largo del tiempo. En el caso de las TI, el TCO incluye la adquisición de hardware y software, la gestión y el soporte, las comunicaciones, los gastos del usuario final y el coste de oportunidad del tiempo de inactividad, la formación y otras pérdidas de productividad. La naturaleza dinámica de las ciberamenazas requiere una reflexión continua sobre la adecuación y adaptabilidad de las medidas de ciberseguridad, empujando a las organizaciones a reevaluar regularmente sus estrategias de inversión. Este es un marco diseñado para ayudar a evaluar los costes globales asociados a la adquisición de cualquier activo informático. En lugar de centrarse únicamente en el precio de compra inicial, como cuando se compra un firewall, este modelo fomenta una evaluación exhaustiva. Esto incluye considerar no sólo el coste del ordenador, sino también otros elementos como los gastos de traslado, las necesidades de espacio, el consumo de energía, los costes de implantación, los gastos de mantenimiento y los costes relacionados con el personal. Al sopesar y agregar estos costes diversos, el modelo facilita la toma de decisiones de inversión más informadas, ofreciendo una perspectiva holística de los costes reales asociados a un activo informático a lo largo de todo su ciclo de vida. Más allá de las métricas tradicionales de los costes monetarios, el verdadero valor de las inversiones en ciberseguridad reside en la mitigación de los daños a la reputación, la preservación de la confianza de los clientes y el evitar sanciones regulatorias. Durante mi día a día para ayudar a las organizaciones trabajo con indicadores financieros que tienen perspectiva en la Ciberseguridad como una inversión en donde buscó evaluar su rentabilidad positiva o negativa y como puede verse la seguridad. Algunos de estos indicadores son: Retorno de la inversión (ROI): Medida de los beneficios más ahorros en costes en proporción al gasto. Retorno de la inversión en seguridad (ROSI): Medida de los beneficios (de seguridad) más ahorros en costes (reducción de pérdidas por incidentes) en proporción al gasto en seguridad. Tasa interna de retorno (IRR): Se calcula sobre unos cuantos años; por ejemplo, 5. Visto el gasto como una inversión, ¿cuál es la rentabilidad para el organismo? Sirve para determinar si sería mejor haber puesto el dinero en un activo financiero remunerado. Valor neto presente (VNP): Se calcula sobre unos cuantos años; por ejemplo, 5. Sirve para estimar en valor de la inversión habiendo corregido la depreciación del gasto. Por ejemplo, corrige el efecto de la inflación. En la práctica el cálculo de las inversiones en Ciberseguridad implica un enfoque estructurado para evaluar los costes asociados a la implantación y el mantenimiento de diversas medidas de ciberseguridad. Aunque los cálculos específicos pueden variar en función del tamaño de la organización, el sector y el perfil de riesgo, a continuación se indican los pasos generales para guiar el proceso: 1. Realizar una evaluación de riesgos Identificar y evaluar los riesgos potenciales de Ciberseguridad para la organización. Cuantificar el impacto potencial y la probabilidad de varias amenazas y vulnerabilidades. 2. Definir los objetivos de seguridad Esbozar claramente los objetivos de seguridad de la organización en función de los riesgos identificados. Determinar el nivel de seguridad requerido para los diferentes activos y sistemas de información. 3. Determinar los controles de seguridad necesarios Identificar y priorizar los controles de seguridad y las tecnologías necesarias para mitigar los riesgos identificados. Considerar las mejores prácticas de la industria, los requisitos reglamentarios y las necesidades específicas de la organización. 4. Estimar los costes de implantación Calcule los costes iniciales asociados a la implantación de los controles de seguridad seleccionados. Incluya los gastos de hardware, software, licencias, formación y cualquier servicio de consultoría externa. 5. Considerar los costes operativos Tenga en cuenta los costes operativos corrientes, como el mantenimiento, las actualizaciones, la supervisión y el personal. Calcule el coste de las auditorías de seguridad periódicas, las evaluaciones y los programas de formación. 6. Evaluar el ahorro potencial de costes Evalúe el ahorro potencial de costes derivado de la mejora de la seguridad, como la reducción de incidentes, el tiempo de inactividad y las consecuencias legales. Considere el impacto en la reputación de la organización y la confianza del cliente. 7. Calcular el rendimiento de la inversión (ROI) Compare los costes estimados con los beneficios y ahorros potenciales. Calcule el ROI dividiendo la ganancia neta (beneficios menos costes) por la inversión inicial y multiplicando por 100 para obtener un porcentaje. ROI = (Ahorro de la inversión - Coste de la inversión) / Coste de la inversión * 100%. 8. Considerar el valor de los activos de información Evaluar el valor de los activos de información que se protegen. Priorizar las inversiones en función de la criticidad y sensibilidad de estos activos. 9. Alineación con los objetivos empresariales Asegúrese de que las inversiones en Ciberseguridad se alinean con los objetivos empresariales generales. Priorizar las inversiones que contribuyan directamente a alcanzar los objetivos estratégicos. 10. Revisión y ajuste periódicos Revisar y ajustar periódicamente las inversiones en Ciberseguridad en función de los cambios en el panorama de amenazas, la tecnología y el entorno empresarial. Tenga en cuenta los resultados de las auditorías de seguridad, los incidentes y la eficacia de las medidas existentes. Conclusión El intrincado panorama de la inversión en Ciberseguridad y la gestión de recursos exige una comprensión astuta de la interacción dinámica entre las consideraciones financieras, la mitigación de riesgos y la resistencia estratégica. El análisis subraya que las medidas eficaces de Ciberseguridad trascienden las meras inversiones económicas; requieren una asignación juiciosa de recursos financieros y no financieros. Las organizaciones deben reflexionar sobre la naturaleza integral de la ciberseguridad, reconociéndola como un proceso continuo y en evolución que exige previsión estratégica, adaptabilidad y colaboración en todas las facetas de la empresa. En el ámbito digital en constante evolución, la reflexión sobre la inversión en Ciberseguridad y la gestión de recursos sirve de brújula que guía a las organizaciones hacia una postura de seguridad equilibrada y sostenible. La eficacia de estas medidas no reside únicamente en las cifras monetarias, sino en la alineación estratégica de las inversiones con los objetivos de la organización, la capacidad de adaptarse a las amenazas emergentes y el cultivo de una cultura de ciberseguridad resistente. De cara al futuro, las organizaciones que adopten un enfoque holístico de la Ciberseguridad, integrándola sin fisuras en su estrategia empresarial, estarán mejor posicionadas para navegar por las complejidades de un panorama digital en evolución con confianza y previsión. Medir el riesgo cibernético permite a las organizaciones evaluar y abordar sistemáticamente las amenazas emergentes de forma estructurada. Ciberseguridad Hacia una gestión estratégica de las inversiones en Ciberseguridad 15 de enero de 2024

Invertir más dinero puede mejorar su protección, mientras que ahorrar dinero puede dejarle menos seguro. Sin embargo, invertir dinero en el problema no garantiza una defensa perfecta. Numerosas organizaciones han intentado este enfoque y, a pesar del aumento del gasto, no han conseguido una protección infalible. De hecho, algunas están experimentando consecuencias negativas que dificultan su eficacia operativa. ¿Cómo pueden las organizaciones encontrar el equilibrio adecuado entre inversión y eficacia a la hora de mejorar su postura de ciberseguridad? En mi constante en interacción con las juntas de gobierno corporativo de organizaciones, empresas y países alrededor del mundo, los directivos y tomadores de decisiones me trasladan sus inquietudes: ¿Cómo mejorar nuestro presupuesto? ¿Cómo transformar nuestra postura de ciberseguridad? ¿Cómo podemos destinar un presupuesto para la ciberseguridad? ¿Como hacemos inversiones sostenibles y adaptativas para nuestra estrategia de Ciberseguridad alineada al negocio? Como también la frase: "Ya tenemos un programa de Ciberseguridad, pero no sabemos qué hacer." Ante esto, hay muchos sesgos y mitologías convergentes en la dinámica comunicativa de los líderes de ciberseguridad, ya que esto ha pasado de ser un problema técnico a un desafío empresarial. A lo que uno se pregunta: ¿Cómo pueden los consejos de administración comprender mejor la gestión de la Ciberseguridad como un problema empresarial? y, ¿cómo pueden los ejecutivos orientar eficazmente las decisiones de inversión cibernética en el marco de las consideraciones empresariales? Los responsables de Ciberseguridad y las soluciones tecnológicas no son una varita mágica o un faro de luz de deseos fugaces, es una gran realidad sobre la gestión deficiente de las inversiones en ciberseguridad. Los CISO deben ser agnóstico a los proveedores y a las soluciones tecnológicas y dejar de vender el discurso que cumplimiento es Ciberseguridad cuando son realidades que requieren adentrarse en la exhaustiva de las prácticas del dia a dia, ya que muchas organizaciones han pasado por el trago amargo de sus malas decisiones sobre sus inversiones. En ocasiones una gran pregunta es: ¿Por qué las organizaciones no adoptan los ciberejercicios y los Table Top Exercise (TTX, siglas en inglés)? Y también, ¿Por qué recurren a realizar esta práctica cuando ya estaba embarcado en una disrupción cibernética? Lo que no saben es que adoptar estas prácticas impacta de manera directa en su postura de Ciberseguridad y en cómo y dónde focalizar sus recursos y esfuerzos. Desde las juntas de gobierno corporativo en la dinámica de la cultura organizativa, las tomas de decisiones Ciberseguridad implican un imperativo de gran relevancia sobre cuestiones cotidianas donde requiere un equilibrio entre los costos y las oportunidades sobre una adecuada gestión que en momento se arma una cortina de humano porque no se tienen cuestiones muy claras y salen a relucir ciertas interrogantes: ¿Dónde enfocamos los recursos? ¿Cuáles son las necesidades priorizadas? ¿En qué medida se ajusta la inversión actual en Ciberseguridad de la organización a su estrategia y objetivos empresariales generales? ¿Cómo consigue la organización un equilibrio entre la inversión en medidas preventivas y las capacidades de detección y respuesta? ¿De qué manera puede la organización mejorar su capacidad para detectar y responder a las amenazas avanzadas y persistentes? En el ámbito de la dinámica cibernética, el gasto en que se incurre no se limita únicamente a los costes monetarios. En este intrincado entorno, el peaje se extiende más allá de las implicaciones financieras, abarcando un espectro más amplio de recursos. Incluso en escenarios donde los recursos son limitados y escasos, la inversión requerida trasciende la dimensión monetaria. Las complejidades de la Ciberseguridad exigen una comprensión matizada que va más allá de las consideraciones financieras, reconociendo la naturaleza polifacética de los costos y la necesidad de una asignación estratégica de recursos finitos. Ciberseguridad estratégica para mantener una postura de seguridad resistente y duradera Cada vez más los datos sobre el aumento del cibercrimen y los ciberataques son abrumadores y ponen en duda la confianza sobre la que se debe construir el mundo y la economía digital. Por lo que las organizaciones deben de repensar sus esfuerzos y enfoque donde las inversiones convergen en un entorno cibernético sostenible que es el establecimiento y mantenimiento de una postura de seguridad resistente y duradera que pueda adaptarse a la evolución de las amenazas, los cambios tecnológicos y la dinámica organizativa a largo plazo. Deben ir más allá del enfoque tradicional de limitarse a reaccionar ante las amenazas inmediatas y se centra en construir un marco de seguridad sólido y duradero. ✅ La Ciberseguridad sostenible implica una estrategia holística que tiene en cuenta factores medioambientales, sociales, económicos y tecnológicos para garantizar la viabilidad a largo plazo de los esfuerzos de seguridad de una organización. Es ahí donde se reviste de importancia y de impacto significativo la Ciberseguridad estratégica siendo enfoque proactivo y global que adoptan las organizaciones para proteger sus sistemas de información, redes y datos frente a las ciberamenazas. Implica el desarrollo y la aplicación de un plan a largo plazo que se alinee con la estrategia y los objetivos empresariales generales de la organización. El objetivo de la Ciberseguridad estratégica no es sólo prevenir y responder a las amenazas inmediatas, sino también construir un ecosistema digital ciberresiliente y seguro que pueda adaptarse a la evolución de los ciberriesgos. ¿Cómo se asegura la organización de que su plan de Ciberseguridad está estratégicamente alineado con los objetivos generales del negocio, y cómo puede esta alineación contribuir a la resiliencia de la organización frente a las ciberamenazas? ◾De acuerdo con el Instituto Nacional de Ciberseguridad (Incibe) el programa o plan director de Ciberseguridad es un conjunto completo y estructurado de actividades, iniciativas y medidas diseñadas para proteger los sistemas de información, las redes, los datos y los activos digitales en general de una organización frente a las ciberamenazas. Implica la planificación estratégica, la aplicación y la gestión de diversas medidas de Ciberseguridad para garantizar la confidencialidad, integridad y disponibilidad de la información. Es esencial destacar que el diseño del plan debe ir alineado con los objetivos estratégicos de la organización, teniendo en cuenta el entorno, procesos, tecnologías, personas e información, ya que en este se trazan acciones partiendo de un análisis situacional retrospectivo, prospectivo y panorámico que ayudan a mejorar la postura y el perfil de Ciberseguridad de la organización, pero se debe de tener en cuenta que para que esto sea realidad ya que sus acciones son a corto, mediano y largo plazo requiere un compromiso de toda la organización. El programa o plan director de Ciberseguridad no se debe dejar morir, debe de mantenerse vivo, dinámico, adaptativo y sostenible. Defensa unificada y resistente contra las ciberamenazas El programa de Ciberseguridad no es un esfuerzo puntual, sino una iniciativa continua y evolutiva que se adapta a los cambios en el panorama de las amenazas, la tecnología y la propia organización. Requiere la colaboración de varios departamentos y niveles de la organización para crear una defensa unificada y resistente contra las ciberamenazas. El objetivo último de un programa de Ciberseguridad es reducir la exposición al riesgo de la organización, proteger la información confidencial y garantizar la continuidad de las operaciones empresariales frente a los desafíos de la ciberseguridad. Si tienes en mente repensar y consolidar los esfuerzos de inversión y gestión de la estrategia de Ciberseguridad, no lo pienses dos veces y embárcate. Pero antes ten en cuenta que el programa de Ciberseguridad de cada organización es único y varía según: El tipo y tamaño de organización. Su complejidad Su importancia sistémica. Su perfil de riesgo. El modelo de gobernanza. Su capacidad de madurez tecnológica y cibernética. El contexto legal y regulatorio. La naturaleza y tipología de información gestionada. Otros aspectos organizativos. En el ámbito empresarial, la Ciberseguridad trasciende las meras consideraciones técnicas: es una decisión estratégica de negocio. El objetivo principal de un programa de seguridad no es la meta inalcanzable de la prevención absoluta de ataques cibernéticos. Por el contrario, su esencia radica en alcanzar un delicado equilibrio entre salvaguardar los activos y garantizar unas operaciones empresariales sin fisuras ciberresilientes. El nivel óptimo de seguridad es aquel que puede justificarse y defenderse ante las principales partes interesadas, ya sean ciudadanos, clientes, accionistas o reguladores. El objetivo final es alinear las medidas de seguridad con las necesidades intrincadas de la empresa, reconociendo que un equilibrio pragmático es clave para navegar por las complejidades de un panorama digital. Inversión orientada a resultados Hoy día la discusión debe ir inversión orientada en resultados, no en herramientas y capacidades. Se debe tener en cuenta que la madurez cibernética es una cuestión dimensionada en todas las capacidades de Ciberseguridad estratégicas, operativas y tácticas. En conclusión, el panorama de la inversión en Ciberseguridad exige un enfoque matizado y estratégico que vaya más allá de las consideraciones financieras. El análisis revela que la eficacia de las medidas de Ciberseguridad no viene determinada únicamente por la cantidad de dinero invertido, sino más bien por una estrategia holística y bien pensada. Las organizaciones deben reflexionar sobre la naturaleza dinámica de las ciberamenazas, la evolución del panorama tecnológico y la necesidad de una adaptación continua. En el ámbito de la gestión de los recursos, la reflexión subraya la importancia de optimizar la asignación de los recursos financieros y no financieros. La Ciberseguridad no es un mero gasto; es una inversión esencial para salvaguardar la integridad de la organización, su reputación y la confianza entre las partes interesadas. Lograr un equilibrio entre la responsabilidad fiscal y la asignación estratégica de recursos es primordial. En esta era digital en constante evolución, las organizaciones que abordan la inversión en Ciberseguridad con previsión, adaptabilidad y un conocimiento exhaustivo de los riesgos estarán mejor posicionadas para navegar por las complejidades del panorama cibernético. Telefónica Tech Ciberseguridad IA & Data El CNI publica un informe sobre la intersección entre IA y Ciberseguridad 7 de diciembre de 2023

Cómo vimos en el artículo anterior de esta serie, el impacto del metaverso sobre la desinformación, la seguridad de los niños, su evolución y su potencial para extender la discriminación y las desigualdades dependerá de cómo se desarrolle, regule y utilice la tecnología por parte de individuos y organizaciones. Actualmente, persisten muchas incertidumbres: ¿Producirá el metaverso más o menos desinformación? ¿Estarán los niños a salvo de contenidos inapropiados? ¿Impulsarán su evolución los juegos y la pornografía? ¿Incrementará la discriminación y las desigualdades? No lo sabemos, pero es importante abordar algunas cuestiones de forma proactiva para garantizar que el metaverso sea un espacio seguro, inclusivo y beneficioso para todos: La desinformación puede crear nuevas oportunidades para la difusión de información y noticias falsas, sobre todo en entornos sociales virtuales donde la gente puede interactuar y compartir información. Sin embargo, también es posible que el metaverso ofrezca nuevas herramientas y técnicas para verificar la información, comprobar los hechos y combatir la desinformación. La seguridad de los menores presenta nuevos riesgos y desafíos, especialmente en lo que se refiere a contenidos inapropiados, ciberacoso y captación de menores en línea. Sin embargo, también es posible que el metaverso ofrezca nuevas herramientas y técnicas para garantizar la seguridad de los niños, como filtros de seguridad virtual, controles parentales y herramientas de moderación. En cuanto a la evolución del metaverso, es probable que los juegos y la pornografía sigan impulsando su desarrollo dada la popularidad de estas industrias y su presencia actual en entornos virtuales. Sin embargo, también es posible que surjan otras industrias y aplicaciones, como aquellas aplicadas la educación, la sanidad y los negocios, que podrían configurar el metaverso de diferentes maneras. La discriminación y la desigualdad, puede agravar los problemas existentes, sobre todo si la tecnología no se diseña teniendo en cuenta la diversidad, la equidad y la inclusión. Sin embargo, también es posible que el metaverso ofrezca nuevas oportunidades para que las personas se conecten, colaboren y aprendan unas de otras, independientemente de su origen o identidad. AI of Things El metaverso será para las empresas un medio, no un fin 20 de junio de 2022 Impactos potenciales más significativos del metaverso El impacto de los riesgos tecnológicos y cibernéticos en el metaverso puede ser significativo y de gran alcance. He aquí algunos de los impactos potenciales: Pérdida de privacidad y seguridad de los datos: Si los datos personales se ven comprometidos, podría dar lugar a robos de identidad, fraudes financieros y otras actividades maliciosas. Esto podría tener graves consecuencias tanto para los particulares como para las empresas. Pérdidas financieras: Los ataques cibernéticos que resultan en el robo de activos o monedas virtuales podrían conducir a pérdidas financieras significativas para los individuos y las empresas que operan en el metaverso. Daños a la reputación: Si la presencia virtual de una empresa o individuo es hackeada o comprometida, podría provocar daños en su reputación y pérdida de confianza entre sus seguidores y clientes. Problemas de salud: La adicción al metaverso y el uso excesivo de la tecnología de realidad virtual podrían provocar problemas de salud física y mental, como fatiga visual, dolores de cabeza y aislamiento social. Limitación de la innovación y la creatividad: Si el metaverso se centraliza y pasa a estar controlado por unas pocas entidades poderosas, podría limitar la innovación y la creatividad, ahogando el potencial del mundo virtual. A medida que el metaverso se generalice, será esencial implantar protocolos y normativas de seguridad sólidos para garantizar una experiencia segura y positiva para todos los usuarios. AI of Things Principales retos para la adopción del metaverso 4 de julio de 2022 Mitigar los riesgos y minimizar su impacto Como destacan los expertos, algunos de estos riesgos pueden afectar no sólo a los individuos, sino afectar también a las empresas, los gobiernos y la sociedad en su conjunto. Algunos de los impactos potenciales incluyen, además de los ya mencionados, también robo de identidad, ciberacoso y exposición a contenidos nocivos. Estos riesgos también pueden conducir a una falta de confianza en el metaverso y obstaculizar su adopción y crecimiento. Foto: Billetto Editorial / Unsplash Además, la naturaleza interconectada del metaverso puede amplificar el impacto de los ciberataques, afectando potencialmente a múltiples usuarios y plataformas de forma simultánea. También la complejidad de la infraestructura tecnológica del metaverso y el rápido ritmo de innovación y desarrollo pueden plantear nuevos e importantes retos para la Ciberseguridad. Para mitigar estos riesgos y minimizar su impacto potencial, las organizaciones y los individuos deben tomar medidas proactivas para garantizar la seguridad y la privacidad de sus datos e interacciones en el metaverso. Esto incluye la aplicación de medidas sólidas de Ciberseguridad, la promoción de la alfabetización digital y la sensibilización, y la adopción de prácticas éticas y responsables. El impacto de los riesgos tecnológicos y cibernéticos en el metaverso pone por tanto de manifiesto la importancia de dar prioridad a la Ciberseguridad y la privacidad en el desarrollo y uso de los entornos virtuales. 🔵 Primera parte de este artículo: Cyber Security AI of Things Metaverso (I): amenazas en un entorno inmersivo y multisensorial 11 de abril de 2023 Foto de apertura: Stem.T4L / Unsplash

A medida que crece el debate y el entusiasmo en torno el metaverso, también hay sentimientos de duda, temor, preocupación e incertidumbre por los riesgos potenciales en un entorno en el que los límites entre el mundo físico y el virtual irán diluyéndose cada vez más. Para simplificar, se puede pensar en el metaverso como la siguiente iteración de internet, que comenzó como un conjunto de destinos online independientes y asilados que, con el tiempo, se han convertido en un espacio virtual compartido, de forma similar a como se desarrollará un metaverso. El metaverso es un espacio colectivo virtual compartido, creado por la convergencia de la realidad física y digital mejorada. —Gartner. ¿Apuesta el metaverso a la Ciberseguridad? El WEF (World Economic Forum) sostiene que el metaverso es un entorno virtual persistente e interconectado en el que los elementos sociales y económicos son un reflejo de la realidad. Los usuarios pueden interactuar con el metaverso y entre sí a través de dispositivos y tecnologías inmersivas, mientras que también se relacionan con activos y propiedades digitales. El metaverso no es independiente del dispositivo ni pertenece a un único proveedor. Es una economía virtual independiente, habilitada por monedas digitales y tokens no fungibles (NFT). Como innovación combinatoria, para que un metaverso funcione es necesario aplicar múltiples tecnologías y tendencias. Entre ellas se encuentran la realidad virtual (RV), la realidad aumentada (RA), los estilos de trabajo flexibles, los visores HMD, Cloud, IoT (Internet de las Cosas), conectividad 5G y redes programables, Inteligencia Artificial (IA)…y, por supuesto, la Ciberseguridad. Retos y desafios del metaverso para las organizaciones Los retos a los que se enfrentan las organizaciones en materia de Ciberseguridad cuando operan en el metaverso pueden tener implicaciones significativas para la seguridad y la privacidad de sus activos y usuarios. Estos retos incluyen: El robo de activos virtuales puede acarrear importantes pérdidas económicas a las organizaciones el robo de identidades puede poner en peligro información y recursos sensibles. Los ataques de malware pueden infectar entornos virtuales enteros, causando daños generalizados, la ingeniería social intenta engañar a los usuarios para que revelen información confidencial o realicen acciones no autorizadas. La falta de estandarización en el metaverso puede dificultar a las organizaciones el desarrollo de protocolos de seguridad coherentes y garantizar la interoperabilidad entre distintos entornos virtuales. La novedad del metaverso y la escasa concienciación de los usuarios en materia de seguridad pueden dar lugar a malas prácticas de seguridad, haciéndolos más vulnerables a los ciberataques. Metaverse Alliance plantea que, en el uso tradicional de internet, los usuarios no tienen una identidad digital completa que les pertenezca. En su lugar, proporcionan su información personal a sitios web y aplicaciones que pueden utilizarla para diversos fines, incluido ganar dinero con ella. Sin embargo, en el metaverso, los usuarios necesitarán una identidad digital única y completa que controlen y que puedan utilizar en distintas plataformas. Esto requerirá nuevos sistemas y normas para garantizar la privacidad y seguridad de los usuarios. En el metaverso, los usuarios necesitarán una identidad digital única y completa que controlen y que puedan utilizar en distintas plataformas. En pocas palabras, los usuarios necesitan poseer y controlar su identidad digital en el metaverso, en lugar de dejarla en manos de sitios web y aplicaciones de terceros. Es muy preocupante que la mayoria de los internautas no tienen una identidad digital propia. AI of Things El metaverso será para las empresas un medio, no un fin 20 de junio de 2022 Comprender el nuevo entorno virtual y sus riesgos Statista espera que el mercado metaverso crezca significativamente en los próximos años. Prevé que los ingresos generados por el mercado metaverso aumenten a una tasa de crecimiento anual compuesto (TCAC) superior al 40% entre 2021 y 2025. También que el crecimiento se vea impulsado por la creciente adopción de tecnologías de realidad virtual y aumentada (VR y RA), con dominio de las industrias de juegos y eSports, y el creciente interés en las experiencias sociales virtuales. Tras la pandemia de Covid-19 se ha acelerado el cambio hacia experiencias digitales y virtuales, impulsando aún más el crecimiento del mercado metaverso. Estas previsiones presentan importantes oportunidades para empresas e inversores, sobre todo en los sectores del entretenimiento y las redes sociales. Sin embargo, el mercado también plantea retos en términos de regulación, Ciberseguridad y estandarización que deben abordarse para garantizar su crecimiento sostenible. El metaverso no es inmune a las ciberamenazas Como cualquier tecnología, el metaverso no es inmune a los riesgos y vulnerabilidades. He aquí algunos de los riesgos asociados al metaverso: En el metaverso, los usuarios crearán y compartirán grandes cantidades de datos personales. Esto incluye información como datos biométricos, preferencias personales y patrones de comportamiento. Garantizar la seguridad y privacidad de estos datos será fundamental para evitar filtraciones y accesos no autorizados a información sensible. A medida que el metaverso se haga más popular, atraerá la atención de los ciberdelincuentes. Cibercrímenes como ataques de denegación de servicio distribuido (DDoS), malware y estafas de phishing podrían comprometer la seguridad del mundo virtual y de sus usuarios. Es probable que el metaverso implique el intercambio de monedas y activos virtuales. Si estos activos no están adecuadamente protegidos, podrían ser vulnerables a robos, fraudes y piratería informática. Con la naturaleza inmersiva del metaverso, los usuarios pueden volverse adictos y pasar un tiempo excesivo en el mundo virtual. Esto podría provocar problemas de salud física y mental, así como aislamiento social. El metaverso podría llegar a estar dominado por unas pocas empresas o individuos poderosos, dando lugar a un mundo virtual centralizado y controlado. Esto podría limitar la libertad y la innovación de los usuarios. Como veremos en el siguiente artículo de esta serie, es esencial desarrollar protocolos de seguridad y normativas sólidas para prevenir estos riesgos y garantizar que el metaverso sea un entorno seguro para todos los usuarios. 🔵 Si quieres seguir leyendo al respecto: CYBER SECURITY AI OF THINGS Metaverso (II): el desafío de construir un espacio virtual seguro, inclusivo y en beneficio de todos 19 de abril de 2023 Foto de apertura: Julien Tromeur / Unsplash

En los últimos años, los conflictos y la estabilidad del ciberespacio se han convertido en una preocupación cada vez mayor para muchos países y organizaciones que consideran el ciberespacio como un dominio estratégico, por lo que han fortalecido sus capacidades de ciberdefensa, ciberinteligencia y ofensa. El Instituto Nacional de Estándares y Tecnología (NIST, siglas en inglés) define que el ciberespacio es un dominio global dentro del entorno de la información que consiste en la red interdependiente de infraestructuras de sistemas de información. El término “ciberespacio” se debe al escritor estadounidense William Gibson, quien lo utilizó en 1984 en su novela 'Neuromante' Esto incluye internet, redes de telecomunicaciones, sistemas informáticos y procesadores y controladores integrados en industrias críticas. Se caracteriza por ser un complejo entorno resultante de la interacción de personas, software y servicios por medio de dispositivos tecnológicos y redes conectadas a él, que no existe en ninguna forma física. El ciberespacio, el quinto dominio El ciberespacio se ha ganado el apelativo de "quinto dominio", de igual importancia estratégica que la tierra, el mar, el aire y el espacio. Esto ha intensificado la competencia internacional en este campo con las grandes potencias compitiendo por dominar el ciberespacio. ¿Preocupado por cómo priorizar tantas actividades de seguridad en medio de un panorama tan cambiante? ¿Estamos aunando esfuerzos para repensar la ciberseguridad? ¿Cuál es el impacto del ciberespacio en el crecimiento económico y el desarrollo? ¿Comprendemos con precisión la connotación, las características y la esencia del ciberespacio? La naturaleza dinámica del ciberespacio puede introducir desafíos en la toma de decisiones. Los líderes se enfrentan rutinariamente a decisiones difíciles en la gestión del riesgo cibernético, ya que la exposición al riesgo cibernético puede amenazar la reputación, la confianza del cliente y el posicionamiento competitivo, y posiblemente resultar en multas y demandas. Ciberseguridad Entendiendo la dinámica de los incidentes de seguridad con Ransomware 5 de enero de 2023 Nuevos desafíos de Ciberseguridad En este contexto, los líderes deben hacer frente simultáneamente a las cambiantes prioridades organizativas, los cambios en los presupuestos, las tecnologías y los recuentos de empleados, así como la evolución de las tácticas adversarias y los eventos de seguridad emergentes, entre otras cosas. El ciberespacio se ha enfrentado a muchos desafíos de seguridad como el rastreo de identidades, el robo de identidad, el terrorismo, espionaje y guerra. El continuo crecimiento exponencial de los ciberataques presiona más a los responsables de la toma de decisiones ejecutiva para que se mantengan a la vanguardia. El ciberespacio conecta todo y a todos con aplicaciones, datos, compras, servicios y comunicaciones... Asegurarlo es esencial para proteger a las organizaciones, el entorno y la sociedad. Reaccionar después del hecho puede ser muy costoso y aumentar las necesidades de evaluación y sanción regulatoria ex post. vemos y entendemos que el riesgo cibernético es de naturaleza dinámica, y debemos actuar en consecuencia. Los desarrollos y cambios recientes en el ciberespacio, como el aumento de las amenazas cibernéticas, el cambio al trabajo híbrido y la capacidad de llevar su propio dispositivo al entorno de trabajo, han aumentado las discusiones sobre la necesidad de mejorar la postura general de ciberseguridad en todas las organizaciones. Retos para la gestión de las cibercrisis La confianza cero o zero trust ha surgido como una solución potencial y un desafío que crea confusión en los círculos de ciberseguridad sobre su eficacia. ¿Qué políticas, prácticas y asociaciones se necesitan para prevenir una pandemia cibernética? ¿Están nuestras organizaciones preparadas para enfrentar una confrontación en el ciberespacio? También revela dónde se encuentran los mayores retos para la gestión de las cibercrisis, estas inducidas al ciberespacio tienen características que las hacen difíciles de afrontar, como por ejemplo el hecho de que pueden ser inducidas a distancia y de forma instantánea en múltiples lugares. A medida que los peligros se transforman, también deben cambiar nuestras respuestas; las amenazas digitales exigen vigilancia, determinación y determinación para reaccionar con precisión ante un riesgo en constante crecimiento. Además, las crisis cibernéticas no siempre son fácilmente rastreables, y a veces es difícil ver que la causa de una crisis concreta en el mundo offline es un acto en el ciberespacio. Por último, la naturaleza sin fronteras del ciberespacio conduce a una potencial propagación geográfica a gran escala de las cibercrisis y ciberesiliencia. La complejidad del sistema de seguridad, creada por tecnologías dispares y la falta de experiencia interna, puede amplificar estos costes. Pero las organizaciones con una estrategia integral de Ciberseguridad, gobernada por las mejores prácticas y automatizada utilizando análisis avanzados, Inteligencia Artificial (IA) y aprendizaje automático, pueden luchar contra las ciberamenazas de manera más efectiva y reducir el ciclo de vida y el impacto de las infracciones cuando se producen. Cyber Security ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? 20 de abril de 2022 Una superficie de riesgo en expansión De hecho, la superficie de riesgo todavía se está expandiendo, con miles de nuevas vulnerabilidades que se informan en aplicaciones y dispositivos antiguos y nuevos. Y las oportunidades de error humano, específicamente por parte de empleados o contratistas negligentes que causan una violación de datos sin querer, siguen aumentando. Aunque los profesionales de la Ciberseguridad trabajan duro para cerrar las brechas de seguridad, los atacantes siempre están buscando nuevas formas de evadir las medidas de defensa y explotar las debilidades emergentes. La digitalización ha llevado a una mayor exposición de nuestros activos tecnológicos en el ciberespacio, lo que exige una cosmovisión de riesgos, resiliencia y confianza. Las últimas amenazas de ciberseguridad están dando un nuevo giro a las amenazas "conocidas", aprovechando los entornos de trabajo desde casa, las herramientas de acceso remoto y los nuevos servicios en la nube. Las organizaciones de hoy están conectadas como nunca antes. Sus sistemas, usuarios y datos viven y operan en diferentes entornos. La seguridad basada en perímetros ya no es adecuada, pero la implementación de controles de seguridad dentro de cada entorno crea complejidad. El resultado en ambos casos es una protección degradada para sus activos más importantes. Una estrategia focalizada en la confianza cero al ciberespacio y el entorno asume el compromiso y establece controles para validar cada usuario, dispositivo y conexión en el negocio para la autenticidad y el propósito. Para ejecutar con éxito una estrategia de confianza cero, las organizaciones necesitan una forma de combinar la información de seguridad para generar el contexto (seguridad del dispositivo, ubicación, etc.) que informa y aplica los controles de validación. El ciberespacio está ampliándose cada vez más y requiere una mayor coordinación entre todos . Necesita el desarrollo de normas para proporcionar un entorno estable y seguro. Una organización cibernéticamente resiliente ante disrupciones desde el ciberespacio es aquella es una que puede identificar, prevenir, detectar, contener y recuperarse de una miríada de amenazas graves contra datos, aplicaciones e infraestructura de tecnología de la información (IT) y operaciones tecnológicas (OT). Recordemos que una estrategia de defensa en profundidad nos ayuda dirigir un enfoque de ciberseguridad que utiliza múltiples capas de seguridad para una protección holística. CYBER SECURITY El impacto de los ataques de ciberseguridad en pymes y grandes empresas 2 de diciembre de 2021 La importancia de una defensa en capas Una defensa en capas ayuda a las organizaciones de seguridad a reducir las vulnerabilidades, contener amenazas y mitigar el riesgo. En términos simples, con un enfoque de defensa en profundidad, si un mal actor rompe una capa de defensa podría estar contenido en la siguiente capa de defensa. Los modelos tradicionales de seguridad de TI basados en el perímetro, concebidos para controlar el acceso a redes empresariales de confianza, no son adecuados para el mundo digital. Hoy en día, las empresas desarrollan e implementan aplicaciones en centros de datos corporativos, nubes privadas y nubes públicas y también aprovechan soluciones SaaS. La mayoría de las empresas están evolucionando sus estrategias de defensa en profundidad para proteger las cargas de trabajo en la nube y defenderse de los nuevos vectores de ataque que acompañan a la transformación digital. El mundo digital ha revolucionado la forma en que vivimos, trabajamos y jugamos. Sin embargo, es un mundo digital que está constantemente abierto a ataques, y debido a que hay tantos atacantes potenciales, necesitamos asegurarnos de tener la seguridad adecuada para evitar que los sistemas y las redes se vean comprometidos. Los riesgos abundan, pero también lo hacen las soluciones, incluidas las basadas en la inteligencia artificial y el modelo de "Zero Trust". Desafortunadamente, no hay un solo método que pueda proteger con éxito contra cada tipo de ataque. Aquí es donde entra en juego una arquitectura de defensa en profundidad. Repensar y reenfocar la ciberseguridad Aunque el ciberespacio se ha convertido en un elemento central de todos los procesos vitales de la economía mundial y de la vida social de las personas, también conlleva una gran variedad de riesgos. Enmarcar estos riesgos no es tarea fácil: algunos provocan daños en el propio ciberespacio, mientras que otros lo hacen también en el mundo offline. Además, a veces los daños se producen intencionadamente, mientras que otras veces pueden ser el resultado de accidentes. El "modelo de daño cibernético" reúne estos retos y ofrece la oportunidad de obtener una visión global de los diferentes tipos de incidentes relacionados con el ciberespacio. Las crisis cibernéticas también conllevan una serie de retos específicos para el liderazgo, especialmente en lo que respecta a la creación de sentido, la toma de decisiones, la terminación y el aprendizaje. Dirigir sin una ciberestrategia es como jugar a un juego de 'whack-a-mole': tan pronto se acaba con un incidente, aparece otro. Las estrategias de ciberseguridad orientadas a cubrir los grandes retos y desafíos se caracterizan por tener un enfoque holístico, transversal e integral como catalizador de valor agregado desde los esquemas de gobernanza, riesgo y cumplimiento. Incluyendo el establecimiento de ejes, principios, estructuras y prácticas necesaria para su diseño, construcción, implementación, seguimiento y mejora, desde el nivel estratégico hasta lo táctico y operativo, resulta su innovación emergente y disruptiva. Es importante, repensar y reenfocar la ciberseguridad al momento de establecer una ciberestrategia dando alcance en su espectro a cubrir los preparativos y las precauciones tomadas contra los ciberdelitos, ciberguerras, ciberataques, ciberincidentes y ciberamenazas de la superficie cibernética. Hoy más que nunca, hay muchas cosas positivas. Hemos hecho un camino al andar un recorrido largo en corto tiempo y estamos haciendo un buen trabajo, pero la clave es no conformarse, es reafirmar el compromiso de hacerlo mejor, ya que nuestro adversario viene con nuevas habilidades.

Miedo, pánico e incertidumbre son algunos de los sentimientos que se viven constantemente en el liderazgo corporativo. En los comités de dirección cada vez más se plantea la gran pregunta: ¿está funcionando nuestra seguridad cibernética? Y otras como ¿Qué tipos de ciberataques y/o ciberamenazas nos afectan con más frecuencia? ¿Cuáles son los nuevos patrones de comportamiento de los adversarios? ¿Cómo se entiende el ciberespacio para definir el diseño, construcción e implementación de una estrategia de ciberseguridad? ¿Cómo se percibe el panorama de amenazas cibernéticas? O también, ¿estamos considerando los aspectos retrospectivos, prospectivos y panorámicos para definir una estrategia de ciberseguridad transversal e integral? El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en ingles) define la resiliencia como “la capacidad de una organización para trascender (anticiparse, resistir, recuperarse y adaptarse) a cualquier tensión, fallo, peligro y amenaza a sus recursos cibernéticos” dentro de la organización y su ecosistema, de manera que la organización pueda cumplir su misión con confianza, mantener su cultura de empresa y preservar su forma de operar. Comprender de manera exhaustiva el impacto de los riesgos cibernéticos en una organización es un factor complejo pero crítico para fortalecer la resiliencia cibernética. Por tanto, se necesitan marcos y herramientas para equipar al talento humano; a fin de que comprendan y comuniquen los ciberriesgos predominantes además de su impacto. La resiliencia cibernética debe considerarse un imperativo estratégico. La ciberresiliencia y sus beneficios deben estar claros para el liderazgo corporativo. Por lo tanto, es importante traducir el impacto del estado de la ciberresiliencia en las operaciones, la estrategia y la continuidad del negocio. Siendo un compromiso para posicionar la resiliencia cibernética como un imperativo estratégico. Sin embargo, las cifras y los acontecimientos actuales indican que se necesita mucho trabajo para cerrar la brecha de capacidad y rendimiento en la ciberresiliencia entre los ecosistemas de la industria y dentro de las organizaciones. Cyber Security ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? 20 de abril de 2022 El informe Global Cybersecurity Outlook 2022 del Foro Económico Mundial (WEF, por sus siglas en ingles) encontró que sólo el 19% de los encuestados se sienten seguros de que sus organizaciones son ciberresistentes, lo que indica que una gran mayoría sabe que sus organizaciones carecen de la ciberresistencia que necesitan para ser proporcionales a los riesgos a los que están expuestas. Además, el informe descubrió que el 58% de los encuestados cree que sus socios y proveedores son menos resistentes que su propia organización, y el 88% está preocupado por la ciberresistencia de las pequeñas y medianas empresas que forman parte de su ecosistema. En otro informe de Accenture, el 81% de los encuestados afirmó que “adelantarse a los atacantes es una batalla constante y el coste es insostenible”, frente al 69% de 2020. No importa el tamaño, sector o perfil de riesgo de tu organización: todas ellas están expuestas a ciberataques cada vez más sofisticados. Esto indica que, a medida que las organizaciones, los ecosistemas, las cadenas de suministro y las relaciones con proveedores se vuelven más interconectadas e interdependientes —y se acelera el ritmo de los cambios y procesos de transformación— no solo se retrasa la capacidad de recuperación, sino que falta un enfoque cohesivo sobre la forma de diseñar la capacidad de recuperación. Cada vez está más claro que, a pesar de esta interconexión, no existe una alineación para superar de forma conjunta los eventos cibernéticos perturbadores. CYBER SECURITY La importancia de la ciberseguridad en las empresas, tambien para las pymes 16 de mayo de 2019 ¿Está tu organización preparada para lo que viene?, ¿Sabrías medir la capacidad de tu organización ante distintos ataques, amenazas o incidentes que puedan sufrir? Es preciso resaltar que no importa el tamaño, sector económico, perfil de riesgo de tu organización: todas las empresas están expuestas a sufrir ataques cibernéticos cada vez más sofisticados y en constante evolución e innovación. Hay una realidad que tienen destacadas y muchas organizaciones están poco preparadas para demostrar sus capacidades de resistir frente a comportamientos sofisticados de los ataques cibernéticos. ¿Qué nos hace falta? ¿Dónde estamos aunando esfuerzos para avanzar? ¿Contamos con las capacidades operativas, técnicas y estratégicas? ¿Cómo podemos trazar una hoja de ruta? ¿Qué estamos haciendo y cómo podemos mejorar? “Muchas organizaciones están poco preparadas para resistir frente a sofisticados ataques cibernéticos.” Resiliencia cibernética no es crear un plan de contingencia y continuidad de las operaciones, es algo que va más allá de garantizar disponibilidad que se enfoca en la resistencia tras la situación que vive la infraestructura tecnológica. ¿Cómo está nuestra organización preparada y el fortalecimiento de sus capacidades para identificar, detectar, prevenir, cancelar, recuperar, cooperar y mejorar continuamente contra las amenazas cibernéticas? De acuerdo con el informe The Cyber Resilience Index: Advancing Organizational Cyber Resilience 2022 del (WEF, por sus siglas en ingles) encontró que las cuatro razones principales por las que la ciberresiliencia es limitada en los ecosistemas actuales son que muchas organizaciones: Tienen una perspectiva estrecha de la ciberresiliencia, centrada principalmente en la respuesta y la recuperación de la seguridad Carecen de una comprensión común de lo que debe incluir una capacidad de ciberresiliencia completa Les resulta difícil medir con precisión el rendimiento de la ciberresiliencia de la organización o comunicar su verdadero valor a la dirección de la empresa Luchan por ser transparentes dentro de su organización y con los socios del ecosistema acerca de las deficiencias de su postura de ciberresiliencia y sus experiencias con los eventos perturbadores. CYBER SECURITY El impacto de los ataques de ciberseguridad en pymes y grandes empresas 2 de diciembre de 2021 Características de una organizacion ciberresiliente El enfoque de la ciberresiliencia también debe estar libre de las limitaciones impulsadas por el miedo y causadas por la mera preservación del statu quo que tan a menudo son seguidas por los intentos de volver a un estado demostrablemente frágil, cuando la interrupción se produce previsiblemente. La recompensa de hacer que la ciberresiliencia forme parte de la ética es una mayor oportunidad de asumir riesgos saludables, innovar y capturar responsablemente el valor de la economía digital del mañana. Algunas técnicas de resiliencia que pueden implementar para madurar sus programas de seguridad y mejorar su capacidad de proporcionar servicios a los clientes durante un incidente cibernético: Respuesta adaptativa: Optimizar la capacidad de responder de manera oportuna y adecuada a las condiciones adversas. Monitoreo analitico: Maximizar la capacidad de detectar posibles condiciones adversas y revelar el alcance de las condiciones adversas. Protección coordinada: Requiere que un adversario supere múltiples salvaguardas. Engaño: Engañar o confundir al adversario u ocultar activos críticos del adversario. Diversidad: Limitar la pérdida de funciones críticas debido al fallo de componentes comunes replicados. Posicionamiento dinámico: Impedir la capacidad de un adversario para localizar, eliminar o corromper la misión o los activos comerciales. Representación dinámica: Apoyar la conciencia situacional, revelar patrones o tendencias en el comportamiento adversario. No persistencia: Proporcionar un medio para reducir la intrusión de un adversario. Restricción de privilegios: Restringir los privilegios según los atributos de los usuarios y los elementos del sistema. Reordenación: Reducir la superficie de ataque de la organización defensora. Redundancia: Reducir las consecuencias de la pérdida de información o servicios. Segmentación: Limitar el conjunto de posibles objetivos a los que se puede propagar fácilmente el malware. Integridad comprobada: Detectar intentos de un adversario para entregar datos, software o hardware comprometidos, así como modificaciones o fabricación exitosas. Confianza cero: Implica cuestionar las prácticas y políticas de seguridad de la organización derecho a pedir, y esperar, respuestas claras. Imprevisibilidad: Aumentar la incertidumbre de un adversario con respecto a las protecciones del sistema que pueden encontrar. La ciberresiliencia debe formar parte no sólo de los sistemas técnicos, sino también de los equipos, la cultura organizativa y la forma de trabajo día a día Para el éxito de una organización ciberresiliente es imperativo diseñar, construir y gestionar la ciberresiliencia y, a continuación, hacer bien los fundamentos. La ciberresiliencia debe formar parte no sólo de los sistemas técnicos, sino también de los equipos, la cultura organizativa y la forma de trabajo día a día. Dentro de las organizaciones y sus ecosistemas, la ciberresiliencia debe ser una mentalidad omnipresente sostenida por un enfoque holístico. Por décadas, la gestión de la ciberresiliencia ha estado poco representada y se han confundido con otros principios en los programas de ciberseguridad. Hoy más que nunca hay muchas cosas positivas. Hemos recorrido un largo camino en poco tiempo. Pero la clave está en no confiarse y no conformarse, reafirmar nuestro compromiso de mejora y reconocer que el atacante volverá con nuevas capacidades y habilidades.