La seguridad digital se encuentra en un punto de inflexión. El impacto económico de los ciberataques no deja de crecer —solo en Alemania, los daños a empresas se estiman en cerca de 289.000 millones de euros en el último año— mientras el ecosistema tecnológico introduce nuevas variables de riesgo. La inteligencia artificial y el avance de la computación cuántica están cambiando la naturaleza de las amenazas, haciéndolas más complejas, menos predecibles y con efectos a largo plazo, especialmente sobre datos cifrados hoy que podrían descifrarse mañana bajo el enfoque de “recoger ahora, descifrar después”.
Desde esta perspectiva, Utimaco identifica tres grandes tendencias que, a su juicio, condicionarán la resiliencia real de las organizaciones en el horizonte de 2026.
Soberanía digital: más allá del proveedor dominante
Los recientes ataques a infraestructuras críticas europeas han puesto de relieve un problema estructural: la dependencia de un número muy reducido de proveedores tecnológicos en ámbitos clave como la criptografía. Cuando funciones básicas de seguridad descansan sobre soluciones opacas o cadenas de suministro poco transparentes, el riesgo se amplifica.
En este contexto, la soberanía digital deja de ser un concepto político para convertirse en una exigencia técnica. Diversificar proveedores, entender cómo funcionan los componentes críticos y garantizar su verificabilidad pasa a ser un requisito de seguridad. Iniciativas regulatorias como NIS2 en Europa o los nuevos marcos de resiliencia en Reino Unido y Singapur refuerzan esta visión, obligando a las empresas a incorporar factores geopolíticos y de confianza tecnológica en sus decisiones de compra, más allá del precio.
Criptografía postcuántica: el reloj ya está corriendo
El progreso de la computación cuántica plantea un desafío directo a los algoritmos de criptografía asimétrica actuales. Aunque el llamado Q-Day todavía no tiene fecha concreta, las previsiones sitúan el riesgo real dentro de la próxima década. La amenaza no es futura: los atacantes ya están almacenando datos cifrados hoy con la expectativa de descifrarlos mañana.
La criptografía postcuántica (PQC) se perfila como la respuesta estratégica, pero su adopción exige planificación. La hoja de ruta europea obliga a los Estados miembros a definir planes nacionales antes de finales de 2026, mientras que el NIST prevé dejar de respaldar los algoritmos actuales a partir de 2035. En este escenario, las organizaciones con datos de larga vida —como las del sector financiero o las infraestructuras críticas— no pueden permitirse esperar.
El primer paso pasa por disponer de un inventario criptográfico completo y avanzar hacia infraestructuras criptoágiles, capaces de evolucionar sin sustituir toda la base tecnológica.
IA generativa: el dato como nuevo perímetro
La adopción acelerada de la IA generativa está reabriendo el debate sobre la protección del dato. El crecimiento de modelos y conjuntos de datos introduce nuevas superficies de ataque, desde la filtración involuntaria de información sensible hasta técnicas avanzadas como la inyección de comandos. No es casualidad que la seguridad y la privacidad figuren entre los principales frenos a la adopción de estas tecnologías.
El enfoque tradicional, centrado en el perímetro, resulta insuficiente. La protección debe aplicarse directamente sobre los datos: cifrado coherente, clasificación rigurosa de la información sensible y controles que actúen antes de que los datos entren en los entornos de entrenamiento o inferencia. A ello se suma un factor humano crítico: sin políticas claras y formación continua, el uso no controlado de herramientas de GenAI se convierte en un riesgo adicional.
Como resume Nils Gerhardt, CTO de Utimaco, “no se trata sólo de defenderse de las amenazas actuales, sino de invertir estratégicamente en un futuro independiente, cuánticamente seguro y resistente a la IA”. Una advertencia que apunta a 2026 como un año clave para tomar decisiones estructurales en materia de seguridad y resiliencia digital.
