El año 2025 se presenta desafiante para las empresas en materia de ciberseguridad. Así lo señala Francisco Valencia, CEO de Secure&IT, quien advierte que las organizaciones enfrentarán una mayor presión regulatoria y nuevas estrategias de extorsión por parte de los ciberdelincuentes.
Asegura el directivo que 2025” viene marcado por más gestión regulatoria y legislativa en ciberseguridad, con la entrada en vigor de normativas clave como NIS2, DORA y la regulación de la inteligencia artificial”, unas normativa que, impulsadas por la Unión Europea, buscan coordinar y fortalecer la seguridad digital en las organizaciones.
Además de la presión regulatoria, el CEO de Secure&IT señala la evolución del ransomware como una amenaza creciente asegurando que “ahora los ciberdelincuentes no sólo cifran los datos de la empresa atacada, sino que también extorsionan a sus clientes para forzar el pago del rescate”.
Hablando de ransomware e IA
Ante la amenaza del ransomware, Valencia subraya la importancia de adoptar medidas básicas pero efectivas, al tiempo que asegura que “las empresas deben ser disciplinadas en seguridad” porque “muchas veces los grandes ataques se producen por descuidos básicos, como contraseñas robadas o vulnerabilidades sin parchear. Es fundamental no dejar de lado estos aspectos esenciales”, enfatiza.
La inteligencia artificial (IA) está cambiando el panorama de la ciberseguridad, y no sólo para las empresas. Según Valencia, los ciberdelincuentes están utilizando la IA generativa para mejorar sus ataques, lo que lleva a que “ahora pueden analizar grandes volúmenes de datos robados y generar ataques más precisos y personalizados. Desde campañas de phishing más convincentes hasta la suplantación de identidad con voces clonadas”, alerta.
Por otro lado, en el ámbito defensivo, la IA sigue utilizándose más para el análisis de amenazas que para la generación de respuestas automáticas. “La IA generativa no es tan útil en ciberseguridad defensiva. Lo que realmente necesitamos es IA predictiva, que nos ayude a identificar patrones y prevenir ataques”, sostiene Valencia.
Cadenas de suministro en el punto de mira
Los ataques a la cadena de suministro son otra preocupación creciente y están en el foco de NIS2. Asegura durante la entrevista Francisco Valencia que históricamente sólo se analizaba la seguridad de los proveedores directos, pero no se consideraba la cadena completa, mientras que ahora, “la NIS2 obliga a evaluar todos los eslabones, incluyendo aquellos que no son proveedores directos, pero que pueden afectar a la continuidad del negocio”.
Desde Secure&IT, la estrategia para ayudar a las empresas a hacer frente a la normativa es centra en realizar auditorías para identificar los puntos débiles de la cadena de suministro y prevenir ataques. “No se trata sólo de revisar contratos, sino de analizar la exposición real de los proveedores en internet, detectar vulnerabilidades y tomar medidas antes de que sea tarde”, asegura Francisco Valencia.
Ante la escasez de profesionales en ciberseguridad, muchas empresas recurren a la automatización y al uso de herramientas SOAR (Security Orchestration, Automation and Response). Sin embargo, Valencia advierte que estas tecnologías no pueden sustituir a los expertos. “El SOAR ayuda a mitigar ataques de forma rápida, pero siempre es necesario un especialista que valide las acciones tomadas. La seguridad no puede depender únicamente de la automatización”, señala.
Cómo afrontar el tsunami regulatorio
Junto a NIS2, la Ley de Protección de Infraestructuras Críticas o el Esquema Nacional de Seguridad, lo cierto es que las empresas deben adaptarse a un entorno normativo cada vez más exigente. En opinión del CEO de Secure&IT “el marco regulatorio actual se basa en la gestión de riesgos. No se trata de cumplir normativas de manera aislada, sino de adoptar un enfoque integral que garantice la seguridad del negocio”, explica Valencia.
Desde Secure&IT, la estrategia para ayudar a las empresas es clara: “No se trata solo de cumplir con NIS2 o cualquier otra norma, sino de proteger los activos clave de la empresa. Si logras gestionar los riesgos correctamente, el cumplimiento normativo vendrá solo”, afirma.
A pesar de la creencia de que las pymes no pueden protegerse, Valencia considera que la ciberseguridad es accesible para todas las empresas. “Es un problema cultural, no económico. No se trata sólo de tecnología, sino de aplicar buenas prácticas y contar con servicios adaptados a cada tipo de organización», argumenta.
¿Qué esperar de 2025?
Francisco Valencia se muestra optimista, aunque con reservas. “Hasta ahora, la digitalización ha crecido más rápido que el cibercrimen. Sin embargo, la inteligencia artificial podría cambiar esto y hacer que los ataques sean más sofisticados y efectivos”, advierte.
Además, apunta a una posible evolución de la regulación. “NIS2 es una directiva, lo que significa que cada país la implementa a su manera. Se está debatiendo la posibilidad de crear una regulación más unificada y de obligado cumplimiento para toda Europa, algo que evitaría discrepancias entre países”, concluye.
Con este panorama, 2025 se presenta como un año clave para la ciberseguridad, en el que empresas, reguladores y expertos deberán redoblar esfuerzos para protegerse de un entorno de amenazas en constante evolución.
