El NCSC afirma que “es hora de actuar”, pero ¿cómo?

El NCSC afirma: “Es hora de actuar”, pero ¿cómo?

Por Phil Muncaster • 6 November 2025

Es inusual ver una carta abierta de un líder empresarial al inicio de un informe gubernamental sobre ciberseguridad, especialmente de alguien cuya empresa acaba de sufrir una humillante brecha de seguridad. Pero vivimos tiempos excepcionales, y el mensaje es de vital importancia. Por eso, el Centro Nacional de Ciberseguridad (NCSC) del GCHQ le dio espacio a Shirine Khoury-Haq, CEO del Grupo Co-op, al comienzo de su informe. Revisión anual 2025.

Su mensaje, repetido y reforzado a lo largo del documento, era simple: la preparación lo es todo. Pero ¿cómo pueden los líderes empresariales garantizar hoy mismo la suficiente ciberresiliencia en sus organizaciones para poder seguir operando con normalidad en caso de una brecha de seguridad mañana?

Aumento repentino de incidentes de importancia nacional

Las cifras del último año hablan por sí solas. El NCSC afirma que casi la mitad (48 %) de los incidentes atendidos por su equipo de Gestión de Incidentes durante el último año fueron de importancia nacional. Esto equivale a 204 incidentes distintos, o cuatro por semana. Alrededor del 4 % (18) se clasifican como de alta importancia, lo que representa un aumento anual del 50 %. Estos incidentes se sitúan un escalón por debajo de la máxima gravedad, que se refiere a incidentes con graves consecuencias económicas y sociales o incluso con pérdida de vidas. Sin embargo, siguen siendo ciberataques y brechas de seguridad que podrían tener un impacto serio en el gobierno central, los servicios esenciales y una gran parte de la población o la economía del Reino Unido.

Curiosamente, 29 incidentes gestionados por el NCSC durante ese período se debieron a tan solo tres vulnerabilidades: CVE-2025-53770 (Microsoft SharePoint Server), CVE-2025-0282 (Ivanti Connect Secure, Policy Secure y ZTA Gateways) y CVE-2024-47575 (Fortinet FortiManager). Esto pone de manifiesto importantes oportunidades para las organizaciones que optan por implementar programas de gestión de parches basados en el riesgo.

Estas oportunidades fáciles de aprovechar están por todas partes si los líderes empresariales estuvieran lo suficientemente motivados o conscientes de la necesidad de encontrarlas, afirma Richard Horne, director ejecutivo del NCSC. En su prólogo, describe los desafíos que enfrentan las organizaciones británicas como un crecimiento exponencial. Horne concluye: «La ciberseguridad es ahora fundamental para la longevidad y el éxito de las empresas. Es hora de actuar».

Carta a las empresas del FTSE 350

Este énfasis en la acción se ve respaldado por las recientes y catastróficas interrupciones cibernéticas que afectaron a Jaguar Land Rover (JLR), M&S y el grupo Co-op, por mencionar solo tres. Algunas estimaciones cifran las pérdidas totales sufridas por estas empresas y sus proveedores en cerca de mil millones de libras esterlinas. En parte, por ello, el informe exhorta directamente a los líderes empresariales a dejar de tratar la ciberseguridad como un asunto exclusivo del departamento de TI y a comenzar a comprender su importancia crítica para el crecimiento empresarial y la economía del Reino Unido.

Por eso incluye a Khoury-Haq, del Grupo Co-op. Y por eso Horne exclama: «Todos los líderes empresariales deben asumir la responsabilidad de la ciberresiliencia de su organización». También por eso el informe promueve diversas iniciativas del NCSC, como:

El Código de Buenas Prácticas de Gobernanza Cibernética: diseñado para ayudar a los consejos de administración y directores a gestionar mejor los riesgos digitales.
El programa de formación en gobernanza cibernética, que se alinea con los cinco principios básicos del código: gestión de riesgos, estrategia, personas, planificación de incidentes, respuesta y recuperación, y garantía y supervisión.
La guía del NCSC sobre “Cómo colaborar con los consejos de administración para mejorar la gestión del riesgo de ciberseguridad” ayuda a los CISO a comunicarse de forma más eficaz con su consejo de administración.
Los Principios de la Cultura de Ciberseguridad, que describen cómo es una buena cultura de seguridad y cómo cambiar los comportamientos.
El Kit de Herramientas de Acción Cibernética, para aumentar la concienciación cibernética entre los líderes de pequeñas empresas

También es por eso que, en lo que parece haber sido una medida coordinada, el gobierno ha escrito a los directores ejecutivos de las empresas del FTSE 350 implorándoles que reconozcan la magnitud de la amenaza.

“Durante demasiado tiempo, la ciberseguridad ha sido una preocupación de la gerencia media y solo se traslada a los altos cargos en caso de crisis. No se trata de si serás víctima de un ciberataque, sino de estar preparado para cuando ocurra”. dijo el ministro de seguridad Dan Jarvis en la presentación de la revisión. Significativamente, buscó enfatizar la ventaja competitiva que las mejores prácticas de ciberseguridad pueden brindar a las empresas.

Resiliencia

La buena noticia es que, si bien la amenaza se está intensificando, el NCSC afirma que la mayor parte de la actividad que observa no es radicalmente nueva, ya sea patrocinada por estados o obra de grupos como Scattered Spider. Esto debería facilitar ligeramente el logro de la ciberresiliencia. Pero ¿qué contiene el informe? Además de enumerar iniciativas del NCSC como Active Cyber Defence y Cyber Essentials, el documento de 100 páginas destaca el concepto de «ingeniería de la resiliencia».

Aunque tiene su origen en la ingeniería de seguridad, el concepto podría trasplantarse eficazmente al ámbito cibernético, según afirma el NCSC, mediante iniciativas como:

Infraestructura como código: Permite a las organizaciones replicar sistemas de forma fiable para una recuperación rápida e implementar una infraestructura inmutable y de confianza.

Copias de seguridad inmutables: Permite una recuperación efectiva en caso de pérdida total del entorno (incluyendo identidad, configuraciones en la nube, hipervisores, etc.).

Segmentación: Para el aislamiento y la contención con el fin de minimizar el impacto durante un evento, o “de manera persistente para crear límites de confianza”.

Privilegios mínimos: En todos los servicios, con el fin de limitar los daños y apoyar los enfoques de Confianza Cero.

Observabilidad y seguimiento: Para detectar anomalías y mejorar el aprendizaje posterior a los incidentes.

Ingeniería del caos: La introducción deliberada de fallos en los procesos de detección y recuperación de validación/prueba.

Operaciones resilientes: Incluye garantizar la disponibilidad de los manuales de respuesta ante crisis de forma digital o física en plataformas aisladas o en copias impresas.

Mirar a los estándares

Peter Connolly, director ejecutivo de Soluciones Toro, sostiene que las normas de mejores prácticas como la ISO 27001 pueden ayudar a las organizaciones a mejorar su resiliencia cibernética.

“Proporciona un marco estructurado para la gestión de riesgos que va más allá de las TI e incluye a las personas, la seguridad física y la continuidad del negocio”, explica a ISMS.online. “Al adoptar este enfoque integrado, las organizaciones pueden minimizar el impacto de los incidentes, mantener las operaciones críticas y demostrar a clientes, inversores y socios que la seguridad es una prioridad fundamental”.

Connolly añade que las organizaciones deberían utilizar el cumplimiento de la norma ISO 27001 para ayudar a integrar la seguridad en la cultura empresarial cotidiana.

“Esto implica integrar los principios de seguridad en las operaciones rutinarias, en lugar de tratarlos como una tarea aparte”, concluye. “Comience por abordar primero los riesgos más críticos y asegúrese de que la seguridad cibernética, física y la seguridad de las personas se consideren de forma conjunta. Este enfoque genera una resiliencia real y, al mismo tiempo, proporciona una credibilidad reconocida internacionalmente”.

La palabra «resiliencia» se menciona 139 veces en el informe del NCSC. Es hora de que las empresas británicas tomen nota.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster

La seguridad cibernética 3 December 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Ha tardado mucho en llegar. Tras haber sido objeto de reflexión desde el Discurso del Rey en 2024, el Proyecto de Ley de Ciberseguridad y Resiliencia (CSRB) ha llegado a su fin...

Phil Muncaster