Cómo afrontar la complejidad cibernética en un mundo riesgoso: lecciones aprendidas del Foro Económico Mundial

Por Phil Muncaster • 13 de febrero de 2025

Las ciberamenazas pueden haber disminuido ligeramente en el lista de riesgos globales que habrá que vigilar en los próximos 2 a 10 años. Pero según el Foro Económico Mundial (WEF), siguen siendo una preocupación importante para los líderes empresariales. Como señala el último informe de la ONG Perspectiva de ciberseguridad global advierteConstruir una resiliencia efectiva ante tales amenazas es cada vez más difícil ante la creciente complejidad.

De cara al futuro, la clave para los profesionales de seguridad y cumplimiento normativo no es reinventar la rueda. La mejor manera de proceder es comprender el panorama de amenazas y qué es lo que está más en riesgo dentro de la organización y adoptar las mejores prácticas para mitigar ese riesgo de forma continua y demostrable.

¿Qué dice el WEF?

Foro Económico Mundial Informe de Riesgos Globales 2025 El informe se basa en las opiniones de 11,000 líderes empresariales y expertos en riesgos del mundo académico, el mundo empresarial, el gobierno, organizaciones internacionales y la sociedad civil. Los expertos clasifican el “espionaje y la guerra cibernética” (que, de manera confusa, también incluye los ataques de actores no estatales) en el quinto lugar de la lista de riesgos a corto plazo. Eso es menor que el cuarto lugar que ocupaba el año pasado, cuando la categoría se denominaba “inseguridad cibernética”. Y en términos de riesgo a largo plazo durante la próxima década, se ubica en el noveno lugar, desde el octavo.

Sin embargo, no deberíamos sacar demasiadas conclusiones de esta ligera reducción de la clasificación. También es de destacar que los “resultados adversos de las tecnologías de IA” ocupan el sexto lugar en la lista de riesgos a largo plazo. Estos “resultados” podrían verse ciertamente influenciados por actividades cibernéticas maliciosas, como el envenenamiento de datos o modelos.

Más interesante es el informe específico sobre ciberseguridad publicado por el Foro Económico Mundial en la misma semana del mes pasado. En él se advierte sobre un panorama de ciberseguridad cada vez más complejo impulsado por:

Crecientes tensiones geopolíticas

Estos problemas afectan a casi el 60% de las organizaciones encuestadas, y un tercio de los directores ejecutivos citan el ciberespionaje y la pérdida de información confidencial o propiedad intelectual como preocupaciones importantes.

Mayor integración y dependencia de cadenas de suministro más complejas

Más de la mitad (54%) de las organizaciones citan esto como la barrera más importante para lograr la resiliencia.

Adopción rápida de tecnologías emergentes, ampliando la superficie de ataque

Dos tercios (66%) de los encuestados afirman que la IA afectará la ciberseguridad en los próximos 12 meses, pero solo el 37% tiene procesos establecidos para evaluar la seguridad de las herramientas de IA antes de usarlas.

Una creciente carga de cumplimiento normativo

Alrededor del 78% de los líderes del sector privado dicen que las regulaciones cibernéticas y de privacidad reducen efectivamente el riesgo, pero dos tercios de los encuestados admiten que la complejidad y la gran cantidad de requisitos son un desafío.

Estos desafíos se ven agravados por una creciente brecha de habilidades cibernéticas, lo que dificulta la gestión de los riesgos, junto con las amenazas cibernéticas más sofisticadas. Alrededor del 72% de los encuestados afirma que los riesgos cibernéticos han aumentado en el último año, y que los ataques de ransomware, las amenazas a la cadena de suministro y el fraude cibernético ocupan los tres primeros puestos, respectivamente.

El problema de la ciberresiliencia

Se suele decir (con razón) que incluso las organizaciones más seguras acabarán sufriendo algún tipo de vulneración de seguridad. Por ello, hoy en día los CISO se centran en la ciberresiliencia: la habilidad “Anticipar, resistir, recuperarse y adaptarse” a estos eventos para que las operaciones comerciales puedan continuar incluso después de una intrusión grave. Por lo tanto, debería ser motivo de preocupación que la resiliencia cibernética esté empeorando en las organizaciones más pequeñas.

Según el WEF, el porcentaje de pymes encuestadas que afirman no tener suficiente resiliencia ha aumentado del 5 % en 2022 al 35 % en 2025. En cambio, la cifra prácticamente se redujo a la mitad, del 13 % al 7 % en el mismo período en el caso de las grandes organizaciones. Según el informe, el 71 % de los líderes cibernéticos presentes en la Reunión Anual sobre Ciberseguridad del WEF de 2024 afirmó que las pequeñas organizaciones han llegado a un "punto crítico" en el que ya no pueden protegerse eficazmente frente a la creciente complejidad de los riesgos cibernéticos.

Esto es importante para organizaciones de todos los tamaños, ya que incluso la empresa más grande puede tener una multitud de socios comerciales pequeños en su cadena de suministro. El informe del WEF destaca la “falta de visibilidad y supervisión” de la postura de seguridad de los proveedores como un riesgo principal. Los proveedores en este contexto pueden ser desde un colaborador de código abierto hasta un socio de servicios profesionales o MSP.

Sin embargo, si bien el 63% de los encuestados en el informe mencionó “un panorama de amenazas complejo y cambiante” como el mayor desafío para volverse resiliente a los riesgos cibernéticos, el primer obstáculo (a menudo insuperable) para los CISO y sus juntas directivas es construir un argumento económico para una mayor inversión en ciberseguridad. O, como lo expresa el WEF: “la necesidad de que los líderes cuantifiquen los riesgos cibernéticos y sus impactos económicos para alinear las inversiones con los objetivos empresariales centrales”.

Primeros Pasos

La regulación es el tema candente en este caso. Si bien una legislación bien diseñada puede proporcionar un enfoque valioso para los equipos de seguridad en sus esfuerzos por gestionar el riesgo, el panorama regulatorio actual se ha vuelto extremadamente difícil de abordar. Tres cuartas partes (76 %) de los CISO en la Reunión Anual del WEF antes citada aparentemente informaron que "la fragmentación de las regulaciones en las distintas jurisdicciones afecta en gran medida la capacidad de sus organizaciones para mantener el cumplimiento". Esto coincide con ISMS.online Informe sobre el estado de la seguridad de la información 2024, lo que revela que el 65% de los encuestados considera que el rápido ritmo del cambio regulatorio está dificultando el cumplimiento de las mejores prácticas de seguridad de la información.

En este sentido, las normas y certificaciones pueden resultar de utilidad, ya que proporcionan las bases sobre las que se pueden construir los programas de cumplimiento normativo. Dado que muchas de estas normativas exigen la aplicación de las mismas prácticas recomendadas subyacentes, también pueden ahorrar tiempo, dinero y esfuerzo. Por este motivo, el 59 % de los encuestados en el estudio de ISMS.online afirma que tiene previsto aumentar el gasto en estos programas durante el próximo año.

Malachi Walker, asesor de seguridad de DomainTools, sostiene que este enfoque no solo ayudará a los esfuerzos de cumplimiento normativo, sino que también podría impulsar una ventaja competitiva en forma de elegibilidad para más contratos, eficiencia del equipo de seguridad y mayor confianza del cliente.

“Los estándares de mejores prácticas como NIST CSF, SOC 2 e ISO 27001 cierran esta brecha al brindar pasos prácticos y específicos que las organizaciones pueden seguir para aumentar su resiliencia cibernética”, le dice a ISMS.online.

“Todas las organizaciones, sin importar su tamaño, pueden limitar los controles de acceso a los datos confidenciales, desarrollar y poner en práctica un plan de respuesta a incidentes y determinar en qué áreas de su organización son más vulnerables. Si abordan el cumplimiento normativo teniendo en cuenta estos tres pasos, lograr la resiliencia en materia de ciberseguridad y cumplimiento normativo será más alcanzable”.

Como señala el WEF en su informe: “El momento de actuar es ahora”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster