2024 ha sido un año muy negativo para la ciberseguridad: grandes ciberataques han marcado la agenda de empresas y de administraciones, que han visto como nuevas técnicas de ataque -más sofisticadas- y nuevos agentes -más virulentos- han impactado con éxito en sus redes y sistemas, demostrando -una vez más- que la dependencia tecnológica de las grandes organizaciones es un riesgo elevado y de difícil gestión técnica y empresarial.
Ataques a proveedores y a la cadena de suministro
Por citar alguno, el caso de Crowdstrike ha sido una buena muestra de cómo un incidente en la cadena de suministro puede tener un impacto crítico y generalizado.
Y es que los ciberataques a los proveedores han demostrado un alto nivel de eficacia, aprovechando la cada vez mayor superficie de exposición de empresas públicas y privadas, causada por las exigencias de digitalización. Todo ello ha favorecido a las organizaciones cibercriminales quienes, gracias a la disponibilidad de recursos, han podido aumentar la presión sobre este tipo de entidades (especialmente en el sector financiero y de salud), las cuales suelen contar con limitados niveles de seguridad cibernética.
A pesar del incremento en inversión en ciberseguridad que se prevé por parte de las empresas para el próximo año, no cabe duda de que las amenazas en el ecosistema de los proveedores seguirán siendo una tendencia al alza, configurándose como uno de los principales retos para las empresas del sector público y privado.
Nueva regulación de ciberseguridad
Es más, nueva normativa va a incrementar la presión regulatoria en las empresas de cierto tamaño y relevancia. En efecto, se espera para principios de año las transposiciones de la Directiva NIS2 y de la de operadores críticos, además de la exigencia de DORA para el 15 de enero. Además de la -varias veces anunciada- ley de ciberseguridad promovida por el Gobierno de España, la cual -previsiblemente- replantee el actual modelo de gobernanza de la ciberseguridad española; y la aprobación de una nueva Estrategia Nacional de Ciberseguridad, donde se recojan los principales objetivos y líneas de acción que se propongan seguir a nivel político para el próximo lustro.
Este nuevo escenario va a suponer una ordenación de competencias internas, donde los CISO (quizás convertidos ya en Responsable de Seguridad de la Información), los Delegados de Protección de Datos, los Compliance Officer y los Chief Artificial Intelligence Officers, deberán asumir una serie de exigentes y complejas tareas en materia de seguridad de la información. En este río revuelto, las empresas certificadoras en ISO y ENS parece que van a jugar un papel muy relevante de cara a poder facilitar y promover el nivel de cumplimiento de las empresas en esta materia.
Ciberdelitos y cibercrimen
En cuanto a ciberdelitos, el ransomware y los fraudes cibernéticos, en particular la suplantación de identidad en sus formas de fraude del CEO y BEC, continuarán siendo una constante segura en 2025, a la vista de los buenos resultados obtenidos por los cibercriminales durante estos últimos tiempos, tal y como reflejan las memorias publicadas por los organismos competentes, como Europol o Fiscalía.
El crecimiento de la inteligencia artificial
En todos estos casos, la generalización del uso de la Inteligencia Artificial será un gran potenciador para la comisión de nuevos tipos de fraudes, aprovechando el -todavía- bajo nivel de sensibilización y concienciación de la ciudadanía (especialmente de los colectivos más vulnerables) y de la de muchos profesionales.
Pero también las tecnologías disruptivas parece que van a incrementar las capacidades para descubrir y explotar vulnerabilidades de día cero, lo que supone un grave peligro para entidades de marcado contenido económico (bancos, empresas de investigación, sector salud, plataformas de cripto, etc.), pero sin olvidar a otras vinculadas al sector defensa (pe., ciberataques a satélites) y a la seguridad nacional (caso de la desinformación, por ejemplo).
Ataques al IoT
También es previsible que aumenten los ataques e incidentes relacionados con el IoT, aunque se espera que la reciente aprobación de normativa europea centrada en la ciberseguridad del internet de las cosas (Cyberresilience Act) consiga mejorar la seguridad de los objetos conectados a internet.
Quantum
Y aunque no será un año clave todavía, comenzaremos a escuchar muchas noticias relacionadas con el desarrollo de las tecnologías cuánticas y de los riesgos que ello supone para la seguridad de la información.
Gobernanza empresarial
En otro orden de cosas, el diseño e implementación de los marcos de gobernanza regulatorios en las empresas, así como el desarrollo de la responsabilidad legal directa de los administradores y directivos va a ser un elemento muy relevante a partir de ahora, en particular en lo que tiene que ver con el uso de información privilegiada en empresas cotizadas.
Todo ello tendrá -con toda seguridad- implicaciones en la contratación de pólizas de ciberseguro. Y, confiemos, también en el desarrollo de elementos relacionados con la responsabilidad social empresarial y el buen gobierno corporativo, donde las buenas prácticas en ciberseguridad tienen un lugar destacado, aunque no todas las empresas han sido capaces de verlo.
En cualquier caso este nuevo año trae consigo numerosas novedades en materia de ciberseguridad, donde la nueva regulación va a suponer uno de los principales desafíos para las entidades, no sólo por la dificultad de su implementación, sino también por la mayor capacidad sancionadora que se prevé conceder a los -cada vez más- organismos con competencias en la materia y la regulación de la responsabilidad legal que se atribuye a los órganos de gobierno de las empresas, lo que sin duda va a condicionar los procesos de toma de decisiones internas de las empresas en lo que respecta a su ciberseguridad.