En tiempo de predicciones CyberArk ha querido ir más allá de lo habitual, no sólo previendo no sólo lo que pasará en 2025 o 2026, sino pensando de manera diferente. Recuerda la compañía que hace apenas un año empezamos a dar nuestros primeros pasos con ChatGPT y que 2023 pasará a la historia como el año de la irrupción de la inteligencia artificial generativa (GenAI). Dos hechos que han provocado la reconfiguraron del panorama de amenazas y las estrategias de ciberseguridad, aunque lo que no ha cambiado ha sido la búsqueda de identidades por parte de los ciberdelincuentes para robarlas y utilizarlas.
En este sentido, ante un futuro lleno de riesgos, cambios e incertidumbres, CyberArk presenta sus predicciones anuales de 2024, avanzando, también, lo que nos espera en 2025 y 2026.
En 2024
El secuestro de sesiones eclipsará el tradicional robo de credenciales …
Cada vez más organizaciones pasarán a gestionar el acceso sin contraseña de las claves de acceso a la AMF, de ahí que los ciberdelincuentes evolucionarán sus tácticas para robar cookies de sesión y eludir los mecanismos de autenticación fuerte. En 2024, el secuestro de sesiones representará el 40% de todos los ciberataques, por lo que será fundamental proteger, supervisar y responder a las sesiones de usuario y al abuso de las cookies. Y con la promesa de Google de eliminar las cookies para siempre, los ciberdelincuentes encontrarán nuevas formas de atacar.
… pero el 30 % de las organizaciones pagará por su laxitud en la protección de contraseñas
El tradicional robo de credenciales será menos frecuente cuando el uso sin contraseña se imponga y se utilice correctamente, pero el robo de credenciales no va a desaparecer, ya que los atacantes se aprovecharán de la laxitud en la protección de las contraseñas. De ahí que el 30 % de las organizaciones experimentará un aumento de las filtraciones de datos relacionadas con el robo de credenciales.
El 55 % de las empresas acelerará la consolidación tecnológica para simplificar la seguridad
Los entornos informáticos y de seguridad de la mayoría de las organizaciones son ya demasiado amplios, complicados y difíciles de gestionar. Los equipos rara vez dominan todas las herramientas que deben implementar, lo que les obliga a contratar expertos externos. El incumplimiento de los acuerdos de nivel de servicio, la espiral de gastos generales y la peligrosa deriva de la seguridad empujarán al 55% de las empresas a acelerar la consolidación tecnológica, simplificar las operaciones y maximizar los recursos.
En 2025
La desprotección de los mecanismos de seguridad basados en IA alimentará un círculo vicioso de ciberriesgos
Aunque las organizaciones están adoptando GenAI para reforzar las ciberdefensas, el 80% no protegerá estos modelos de seguridad basados en IA, lo que aumentará el ciberriesgo. Obtener ventaja sobre los atacantes requerirá el entrenamiento de los modelos GenAI con muestras ofensivas y defensivas, la adopción del aseguramiento de modelos y la realización periódica de pruebas de estrés (incluidos el red teaming y las pen testing). Y aunque los gobiernos emitirán normativas al respecto, la integración de GenAI en la seguridad de los productos debe hacerse ahora.
Los CISO abogarán por la divulgación oportuna y transparente de las infracciones
La responsabilidad de la ciberseguridad se está volviendo algo personal. De hecho, el jefe de seguridad de Uber fue acusado de no revelar una brecha de datos de 2016 y este otoño, la SEC acusó a SolarWinds y a su CISO de fraude y fallo en los controles internos. Para 2025, el 60 % de los CISO de las empresas de Fortune 2000 defenderán prácticas de divulgación transparentes y rápidas, no solo por política, sino porque sus carreras y reputaciones estarán en juego.
En 2026
Casi la mitad de los consejos de administración de las empresas Fortune 500 buscarán un director de seguridad de IA
La ciberseguridad es el eje de la resiliencia empresarial. La mayoría de las organizaciones de Fortune 500 reconoce lo mucho que está en juego, por lo que están reforzando sus capacidades en ciberseguridad. Para 2026, el 45 % de estas empresas contará con un jefe de seguridad de IA en el consejo, que desempeñará un papel influyente en el avance de la innovación en IA, la gestión de los riesgos y la defensa de los modelos de seguridad basados en IA. El objetivo será ampliar los mecanismos de supervisión para mejorar las iniciativas de seguridad, la evaluación de riesgos y los planes de respuesta a incidentes.
Las multinacionales se enfrentarán a un ajuste de cuentas normativo
El 60 % de todas las organizaciones globales tendrá que luchar denodadamente para cumplir con los requisitos, cada vez mayores, de protección de datos y divulgación de infracciones, especialmente a medida que se amplíen los casos de uso de GenAI. Por ello, las multas, ya de por sí elevadas, seguirán aumentando.
Las principales potencias mundiales pedirán una Convención de Ginebra sobre Ciberseguridad
Los ataques sofisticados de los Estados-nación, en particular los dirigidos contra infraestructuras críticas, pueden poner en peligro la vida y provocar daños en las cadenas de suministro de software. La creciente preocupación por una escalada hacia la guerra convencional impulsará a las principales potencias mundiales a tomar medidas drásticas para mejorar la ciberresiliencia, los marcos jurídicos y la cooperación internacional. Como parte de ello, los países presionarán para establecer una Convención de Ginebra sobre Ciberseguridad.