La transformación digital ha convertido a la ciberseguridad en uno de los grandes ejes tanto para las empresas como para las Administraciones públicas. En un escenario marcado por la aceleración de la inteligencia artificial, el aumento de la dependencia tecnológica y la creciente sofisticación de los ataques, la resiliencia ya no se mide solo por la capacidad de prevenir incidentes, sino por la rapidez para detectarlos, contenerlos y garantizar la continuidad del negocio. Marc Martínez, socio responsable de Ciberseguridad de KPMG en España analiza los principales desafíos que afrontan las organizaciones españolas ante el nuevo escenario de ciber riesgo, desde la presión regulatoria europea hasta el impacto de la IA generativa en la seguridad, pasando por la concentración de proveedores tecnológicos y la necesidad de reforzar la gobernanza y la autonomía en la toma de decisiones críticas.
Si analizamos la madurez digital del tejido empresarial español, especialmente en grandes compañías y sector público, ¿existe realmente una brecha de resiliencia frente a nuestros socios europeos o pesa más la diversidad del entorno digital que las diferencias reales de preparación?
Sí, hay una brecha frente a algunos países del norte de Europa, pero no es homogénea. En grandes compañías y en parte del sector público se han dado pasos sólidos en gobierno, capacidades y respuesta. Donde se nota más la diferencia es en la complejidad: convivir con sistemas antiguos, nube, entornos industriales (OT) y muchos terceros amplía la superficie de ataque. Por eso, más que “tener más controles”, la resiliencia se mide por lo rápido que una organización detecta, contiene y recupera sin parar el negocio.
Cuando un incidente de seguridad llega a afectar la continuidad de una organización en España, ¿qué suele ser el detonante del fallo? ¿La obsolescencia tecnológica, la falta de cultura de gestión del riesgo en la alta dirección, la dependencia de proveedores críticos u otros factores?
Normalmente no falla una sola cosa, sino una cadena de eventos. Un acceso inicial “típico” (phishing, credenciales robadas o una vulnerabilidad) se agrava si no hay buena segmentación, si las copias de seguridad no se pueden restaurar o si la respuesta llega tarde. La tecnología obsoleta influye, pero suele pesar más la gobernanza del riesgo: decisiones que priorizan el corto plazo y no dimensionan el impacto operativo. Y cuando hay proveedores críticos, la falta de planes conjuntos de crisis puede convertir un incidente gestionable en una interrupción real.
“La resiliencia ya no se mide por prevenir ataques, sino por la capacidad de recuperarse rápido”
En los últimos 18 meses, la inteligencia artificial generativa ha cambiado el panorama de amenazas. ¿Qué está modificando más la forma en que operan los ataques? ¿la velocidad, la escala o la personalización?
El mayor cambio es que la IA acelera todo el “ciclo” del ataque. Además de escalar campañas, modelos avanzados como Claude Mythos permiten analizar grandes volúmenes de código y configuraciones para detectar muchas más vulnerabilidades en menos tiempo. Eso se traduce en exploits generados y ajustados mucho más rápido, e incluso en la identificación de nuevas cadenas de ataque (combinando fallos y pasos intermedios) que antes requerían semanas de trabajo humano especializado. En resumen: más velocidad, más alcance y más capacidad para encontrar caminos novedosos hacia el objetivo.
La IA está reduciendo de forma notable las barreras de entrada para actores con menos capacidades técnicas. ¿Están las organizaciones preparadas para un escenario en el que los incidentes complejos ya no proceden solo de grupos altamente especializados?
La preparación es desigual. Muchas organizaciones han reforzado su SOC y la respuesta a incidentes, pero no siempre han actualizado su modelo de amenazas para un escenario donde la IA “democratiza” capacidades. El punto clave es que un ataque sofisticado ya no implica necesariamente un actor muy experto: puede apoyarse en herramientas accesibles y bien orquestadas. Por eso, hoy son críticos los controles de identidad (MFA resistente a phishing), la gestión continua de exposición y la detección basada en comportamiento. Y, en paralelo, formar a equipos y usuarios para reconocer ataques de phising cada vez más convincentes.
La integración de modelos de razonamiento avanzado, como Claude Mythos Preview, en procesos críticos introduce un nuevo nivel de dependencia tecnológica. ¿En qué punto la eficiencia que aportan estos sistemas empieza a limitar la autonomía real de las organizaciones en la toma de decisiones?
Estos modelos empiezan a recortar autonomía cuando el modelo deja de ser un “asistente o copiloto” y se convierte, de facto, en el “piloto” del proceso. Si los equipos aceptan recomendaciones por defecto, se pierde criterio, capacidad de contraste y se consolidan dependencias difíciles de revertir. Esto suele ocurrir cuando hay presión de tiempo y se rediseñan flujos para encajar con la herramienta. Para evitarlo, conviene fijar qué decisiones deben seguir siendo humanas, exigir trazabilidad (por qué se aceptó una recomendación) y diseñar un plan de salida: alternativas, portabilidad y continuidad si el proveedor cambia condiciones.
“Es posible regular sin frenar la innovación si el enfoque es proporcional al riesgo y aporta certidumbre”
Cuando estos modelos se integran en sistemas financieros, operativos o de infraestructura, ¿hasta qué punto es realmente posible auditar o entender sus decisiones en tiempo real? ¿Quién debería asumir la responsabilidad cuando su comportamiento no es completamente explicable para la propia organización?
En tiempo real se puede auditar “lo observable”: qué datos entraron, qué salida produjo el modelo, qué fuentes consultó y qué controles se aplicaron. Lo que no siempre es posible es explicar con total detalle el porqué interno de cada resultado, especialmente en modelos complejos. Por eso se combinan observabilidad, pruebas, validación continua y salvaguardas (guardrails) para acotar comportamientos. La responsabilidad última debe recaer en la organización que lo usa en su proceso crítico, apoyada por obligaciones claras del proveedor (seguridad, documentación, actualizaciones y SLAs). Y, como en otros sistemas críticos, con un marco de accountability: dueño del proceso, auditorías y gestión de incidentes específica para IA.
Si sectores como el financiero o las infraestructuras críticas dependen de un número reducido de proveedores globales para analizar o anticipar vulnerabilidades, ¿qué tipo de concentración de riesgo se está generando fuera del alcance de los marcos regulatorios nacionales o europeos?
El riesgo se vuelve más “sistémico”: si muchas entidades dependen de pocos proveedores, se crean puntos únicos de fallo que amplifican cualquier interrupción, vulnerabilidad o cambio contractual. Además, la falta de transparencia en modelos y cadenas de suministro dificulta evaluar la exposición real y encajarla en marcos regulatorios clásicos. Esto obliga a tratarlo como riesgo de infraestructura: diversificar, exigir resiliencia, probar continuidad y definir niveles mínimos de transparencia. También entran factores de soberanía tecnológica y geopolítica, que pueden afectar a la continuidad operativa incluso si el cumplimiento regulatorio está en regla.
Europa intenta equilibrar la protección del ciudadano con la necesidad de competir en la carrera global por la inteligencia artificial. ¿Es posible mantener el ritmo regulatorio sin perder capacidad de innovación frente a Estados Unidos y China? ¿Cómo ven, desde KPMG, la Ley de IA de la UE?
Es posible regular sin frenar la innovación si el enfoque es proporcional al riesgo y aporta certidumbre. La Ley de IA de la UE va en esa dirección al clasificar usos y elevar exigencias donde el impacto es mayor, aunque el reto será aplicarla con guías claras y sin cargas innecesarias para pymes y proyectos de I+D. Desde KPMG, lo vemos como una oportunidad para acelerar una adopción responsable y homogénea en el mercado europeo. Para competir con EE. UU. y China, además de regulación, Europa necesitará impulsar talento, inversión, acceso a infraestructura y colaboración público-privada.
“En tiempo real se puede auditar ‘lo observable’: qué datos entraron, qué salida produjo el modelo y qué controles se aplicaron”
En un escenario donde la inteligencia artificial participa en la gestión de infraestructuras críticas, ¿cómo debería definirse la responsabilidad en caso de un fallo grave?
La responsabilidad debe definirse por capas: quien desarrolla el sistema y sus salvaguardas, quien lo integra en el proceso y quien lo opera en el servicio crítico. En infraestructuras críticas, el operador debería mantener la responsabilidad última, pero con obligaciones explícitas para proveedor e integrador en seguridad, pruebas, actualización y transparencia. Es clave exigir evaluación previa de riesgos, escenarios de fallo, modo degradado y capacidad de desconexión segura cuando sea necesario. Y complementarlo con auditorías periódicas y mecanismos de reporte de incidentes, para aprender y reforzar controles con rapidez.
Si miramos a los próximos cinco años, ¿qué cree que cambiará más la forma en que las organizaciones entienden la ciberseguridad?
Veremos un cambio de “evitar todo” a “gestionar y recuperarse mejor”: asumir que habrá incidentes, contener rápido y restaurar servicios con impacto mínimo. La identidad y el enfoque Zero Trust serán el eje, junto con automatización defensiva y detección basada en comportamiento para anticipar anomalías. La ciberseguridad se integrará aún más en la estrategia de negocio, con métricas ligadas a continuidad y riesgo, no solo a cumplimiento. También crecerán las exigencias regulatorias y de cadena de suministro, elevando el listón a terceros. Y la IA será un doble filo: acelerará ataques, pero también permitirá defensas más predictivas si se gobierna con rigor.
