Cinco tendencias de ciberseguridad y cumplimiento normativo que habrá que tener en cuenta en 2025

Por Phil Muncaster • 12 December 2024

Los últimos 12 meses nos han enseñado una vez más que, si bien la tecnología sigue avanzando a una velocidad a veces vertiginosa, muchas de las tendencias macro en materia de seguridad y cumplimiento normativo siguen siendo las mismas. Es probable que esto siga así durante el próximo año. Si bien las innovaciones en materia de inteligencia artificial y deepfake seguirán mejorando las habilidades y brindando nuevas oportunidades a los actores de amenazas, la democratización del cibercrimen, la creciente amenaza que plantean los actores estatales y la mayor presión sobre los proveedores de infraestructura crítica (CNI) seguirán intactas.

Veremos cómo las nuevas leyes empiezan a tener repercusión en las juntas directivas y cómo otras empiezan a tomar forma, especialmente en el Reino Unido. Y veremos cómo los defensores de la red recurren cada vez más a la confianza cero a medida que aumenta el riesgo en la cadena de suministro. Aquí presentamos nuestra selección de cinco tendencias clave a tener en cuenta en 2025.

1. Las amenazas de la IA y los deepfakes son cada vez más frecuentes

El Centro Nacional de Seguridad Cibernética (NCSC) advertido a principios de este año que la IA “casi con toda seguridad aumentará el volumen y acentuará el impacto de los ciberataques en los próximos dos años”. Y hay pocas razones para dudar de esa evaluación. La IA generativa (GenAI), en particular, reducirá la barrera de entrada para los actores emergentes de phishing y acelerará los ataques al hacer que sea más rápido y fácil identificar activos de alto valor y dispositivos vulnerables para su explotación.

La GenAI también potenciará la amenaza de las deepfakes, lo que en un contexto empresarial podría suponer un problema para los controles de Conozca a su cliente que se basan en datos biométricos (rostro, voz), que ahora pueden falsificarse con un alto grado de precisión. También es posible que veamos más intentos de estilo BEC para engañar al personal para que realice grandes transferencias de dinero a la empresa, utilizando la voz o el vídeo para hacerse pasar por el director ejecutivo o alguien similar.

Los actores de amenazas intentarán abusar de servicios legítimos como ChatGPT para eludir las barreras de seguridad integradas y, potencialmente, vender dicho acceso como un servicio. El número relativamente pequeño de desarrolladores de LLM podría alentar a más cibercriminales a investigar vulnerabilidades como estas y otras.

Sin embargo, la IA también ayudará a la comunidad de ciberseguridad, ya que los analistas de operaciones de seguridad (SecOps) podrán trabajar más rápido y de manera más productiva gracias a los asistentes GenAI. La capacidad de GenAI para crear contenido sintético ayudará a los equipos a capacitar a sus herramientas de seguridad y a sus usuarios de manera más efectiva, mientras que su talento para rastrear grandes conjuntos de datos en busca de patrones inusuales seguirá ayudando en la detección y respuesta a amenazas. De hecho, el 61% de las operaciones de seguridad globales (SecOps) podrán trabajar más rápido y de manera más productiva gracias a los asistentes GenAI. Las organizaciones ahora creen La IA será esencial para una respuesta eficaz y proactiva ante las amenazas.

2. El CNI bajo creciente presión

Los proveedores de CNI siempre han sido blancos populares de ataques, pero los actores estatales envalentonados, los cibercriminales con recursos suficientes y un entorno geopolítico cada vez más conflictivo son causas particulares de preocupación a medida que nos acercamos a 2025. Las organizaciones que no hayan implementado las mejores prácticas exigidas por la NIS 2 y su equivalente en el Reino Unido podrían correr un gran riesgo.

Espere ver más campañas plurianuales y altamente sofisticadas como tifón de voltios y ataques oportunistas de ransomware y grupos hacktivistas que buscan ganar dinero y/o hacerse un nombre. La histórica falta de inversión en el Reino Unido ha llevado a algunas revelaciones impactantes sobre la mala postura de seguridad en el gustos de Sellafield y Thames WaterSeguramente estos no serán los últimos.

3. El Reino Unido intenta ponerse al día con las leyes de ciberseguridad

Hay muchas cosas por suceder en el Reino Unido desde una perspectiva de cumplimiento normativo en 2025, como Dos importantes piezas legislativas El proyecto de ley de ciberseguridad y resiliencia actualizará el Reglamento de redes y sistemas de información de 2018 (Reglamento NIS). Aunque es menos ambicioso que los esfuerzos de la UE por hacerlo, el NIS 2 debería introducir disposiciones muy necesarias, como la ampliación del alcance de la ley a más sectores, la mejora de la seguridad de la cadena de suministro y la obligatoriedad de informar sobre incidentes, especialmente en el caso de ransomware. El gobierno también quiere reforzar los poderes regulatorios, incluida la capacidad de investigar de forma proactiva las vulnerabilidades y cobrar tasas a las organizaciones reguladas.

Mientras tanto, el Proyecto de Ley de Información Digital y Datos Inteligentes es en realidad una actualización del proyecto del gobierno anterior. Proyecto de Ley de Protección de Datos e Información Digital (DPDI) y promete una actualización del RGPD. Espera reducir los costos de cumplimiento para las empresas, agilizar el intercambio de datos y acelerar la innovación en identidad digital. Al igual que la otra ley propuesta, fortalecerá los poderes de la Oficina del Comisionado de Información (ICO), lo que a su vez podría ejercer una mayor presión sobre el personal de cumplimiento.

4. Los altos ejecutivos toman el control de la ciberseguridad

Esto ha tardado mucho en llegar, pero los nuevos requisitos en el Normas de divulgación de información sobre ciberseguridad de la SEC y en 2 NIS La directiva de la UE impondrá una mayor responsabilidad a los consejos de administración para que comprendan el riesgo cibernético. En el caso de la directiva de la UE, los altos directivos deben aprobar las medidas de gestión del riesgo cibernético, supervisar su implementación y participar en una formación especializada en seguridad. También serán considerados personalmente responsables ante los reguladores en casos de negligencia grave y negligencia deliberada. Mientras tanto, la SEC exige ahora que las empresas que cotizan en bolsa divulguen anualmente su estrategia y gobernanza de gestión del riesgo cibernético, así como que describan la supervisión del consejo de administración del riesgo cibernético derivado de las amenazas.

Medidas similares para mejorar la rendición de cuentas y la transparencia a nivel de alta dirección se incorporarán a un número cada vez mayor de nuevas leyes en 2025, incluida la de la UE. Ley de resiliencia operativa digital (DORA). La norma exige que los directorios “definan, aprueben, supervisen y sean responsables de la implementación de todos los acuerdos relacionados con el marco de gestión de riesgos de las TIC”. Estas medidas pueden poner un mayor escrutinio sobre el papel del CISO, pero al menos deberían facilitar que el directorio escuche sus opiniones cuando se discutan cuestiones de riesgo cibernético.

5. Las fronteras entre los Estados nacionales y los delitos cibernéticos siguen difuminándose

En el contexto del aumento del riesgo geopolítico, una tendencia de larga data que veremos acentuarse en 2025 es la combinación entre la actividad de los estados nacionales y la ciberdelincuencia. Microsoft lo señaló en su informe anual Informe de defensa digital Recientemente, se ha advertido de que no sólo los actores estatales (es decir, Irán y Corea del Norte) están cada vez más motivados económicamente, sino que algunos (por ejemplo, Rusia) están utilizando tácticas y técnicas de ciberdelincuencia e incluso subcontratando algunas operaciones a bandas criminales. También es posible que veamos a grupos de hacktivistas seguir yendo más allá de los ataques DDoS para lanzar ataques contra "objetivos" enemigos percibidos en Occidente con ransomware, extorsión de datos y ataques destructivos, como El NCSC ya ha advertido.

Las empresas de CNI podrían ser las primeras en la línea de fuego, dado que un ataque disruptivo tendría un impacto descomunal en la población. Como se mencionó, también suelen ser algunos de los objetivos menos protegidos, con una baja tolerancia a las interrupciones, lo que las convierte en candidatas ideales para el ransomware.

Todo esto significa que los profesionales de la ciberseguridad y el cumplimiento normativo estarán más ocupados que nunca en 2025. Afortunadamente, las normas de mejores prácticas como la ISO 27001 seguirán ayudando a proporcionar una base sólida para hacer frente a estos y muchos otros desafíos que surgirán en 2025. Pero podría ser un camino accidentado.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 12 de Febrero de 2026

¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito?

No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, tuvimos el privilegio de presenciar un inusual mea culpa: el reconocimiento de que un...

Phil Muncaster

La seguridad cibernética 3 de Febrero de 2026

El fraude en los informes de la WEF es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única.

Informe del Foro Económico Mundial: El fraude es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única

Cinco años es mucho tiempo en ciberseguridad. Sin embargo, ese es el tiempo que el Foro Económico Mundial (FEM) lleva encuestando a directores ejecutivos para su informe Global Cybersecurity O...

Phil Muncaster

La seguridad cibernética 27 de enero de 2026

La privacidad importa: Qué pueden esperar los equipos de cumplimiento en 2026

El 28 de enero es el Día Mundial de la Privacidad, una ocasión para celebrar el derecho a la privacidad y protección de datos que muchos damos por sentado hoy en día. Fue...

Phil Muncaster