Los responsables de ciberseguridad (CISO -Chief Information Security Officer) de todo el mundo coinciden en un diagnóstico claro: ya no basta con reaccionar ante los ataques, es imprescindible anticiparse. Así lo recoge el informe The Mind of the CISO: Closing the Gap Between Reaction and Readiness elaborado por Trellix a partir de encuestas y entrevistas a 500 CISOs de 13 países.
Asegurando que el 98 % de las organizaciones encuestadas ha sufrido algún tipo de ciberataque en los últimos 12 meses, recoge el estudio que los tipos de ataques más frecuentes fueron malware (45 %), ransomware (44 %) y phishing-as-a-service (41 %), y que se espera que estas mismas amenazas continúen siendo las principales preocupaciones durante el próximo año, agravadas por su creciente sofisticación y automatización, lo que deja claro que los ataques son los mismos, y que son los métodos los que cambian.
Uno de los factores que más preocupa es el uso de inteligencia artificial por parte de los atacantes, que permite mejorar el camuflaje de emails de phishing y generar ataques más precisos y difíciles de detectar.
Ransomware y actores estatales: los enemigos más temidos
El ransomware sigue siendo una amenaza crítica: el 93 % de los CISOs lo considera una preocupación prioritaria, y un 90 % opina que su peligrosidad ha aumentado en el último año. Los grupos más mencionados como amenaza directa fueron RansomHub (29 %), LockBit3 (26 %), KillSec3 (23 %) y Medusa (22 %).
Además, la línea entre grupos criminales y actores patrocinados por estados se difumina. El 89 % de los CISO afirma que los CEO y los consejos de administración les preguntan de forma habitual sobre amenazas provenientes de actores estatales, especialmente China (mencionado por el 53 %) y Rusia (22 %). Esta presión se traduce en decisiones estratégicas: el 87% asegura que las tensiones geopolíticas condicionan su estrategia de ciberseguridad, y el 85 % afirma que influyen directamente en su presupuesto.
Un 85% de los encuestados considera incluso que el sector privado debería tener autorización para llevar a cabo contraataques (“hack back”) como respuesta ante agresiones externas.
Una inteligencia de amenazas aún poco integrada
Aunque el 94 % reconoce que la inteligencia de amenazas (Threat Intelligence, TI) es esencial para identificar y mitigar amenazas emergentes, su uso sigue siendo en gran parte reactivo y operativo. Sólo el 44 % de las organizaciones ha logrado integrarla de forma plena en su estrategia, y el 56 % sigue usándola de manera reactiva.
Las principales barreras identificadas por los CISOs son:
- La velocidad de evolución de las amenazas (45 %)
- La dificultad de integración con sistemas existentes (39 %)
- Las restricciones regulatorias (38 %)
El informe señala que el uso más común de la TI es la formación del equipo (51 %) y la mejora de políticas y gestión del riesgo (48 %), mientras que áreas como el threat hunting o el desarrollo de negocio aún están poco explotadas.
Automatización e IA: aliados clave para la anticipación
La velocidad se ha convertido en un factor diferencial en ciberseguridad. El 33 % de los CISO considera que la analítica basada en IA mejoraría significativamente su rendimiento, y el 37 % reclama más automatización.
Actualmente, el 42 % ya utiliza plataformas SOAR (Security Orchestration, Automation and Response), y otro 46 % planea hacerlo en los próximos 12 meses. Las organizaciones con un enfoque proactivo son mucho más propensas a invertir en estas tecnologías, mientras que las reactivas muestran retraso en su adopción.
Sin embargo, la implementación de estas soluciones exige también cambios en las capacidades del equipo humano: mayor formación, pensamiento crítico y capacidad para interpretar decisiones automatizadas.
Comunicación interna y formación: tareas pendientes
Sólo el 55 % de las empresas ofrece formación en ciberseguridad a sus empleados, y un escaso 37 % cuenta con un plan formal de comunicación en caso de crisis. El 89 % de los CISO reconoce que los canales fragmentados dificultan la respuesta ante incidentes, y muchos admiten que la formación es básica o ineficaz.
Además, sólo el 51 % usa inteligencia de amenazas para formar a su equipo de seguridad, lo que limita su capacidad de respuesta frente a ataques complejos. Las organizaciones deben personalizar la formación según áreas (RR.HH., Finanzas, Ejecutivos) y proporcionar recursos continuos para el uso de tecnologías avanzadas.
