Un año de cumplimiento normativo: Cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Por Phil Muncaster • 9 December 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad no suele estar exento de incidentes. Las brechas de seguridad importantes costaron a las organizaciones miles de millones de libras a medida que los actores de amenazas perfeccionaron sus tácticas y atacaron sin piedad las debilidades humanas. La adopción de la IA comenzó con fuerza en muchas empresas, ampliando su superficie de ataque justo cuando las tecnologías basadas en IA impulsaban a los adversarios. Y, al mismo tiempo, la carga de cumplimiento aumentó, ya que los reguladores hicieron todo lo posible por exigir una mayor ciberresiliencia en las cadenas de suministro.

Echemos un vistazo a cinco cosas que aprendimos en 2025:

Proliferan las nuevas regulaciones

Los plazos de cumplimiento se sucedieron rápidamente durante los últimos 12 meses. Primero llegó el Ley de resiliencia operativa digital (DORA) Un esfuerzo de la UE para salvaguardar el sector de servicios financieros de la región. Fundamentalmente, DORA impone nuevos requisitos de gestión de riesgos, pruebas y respuesta a incidentes no solo a los propios actores financieros, sino también a sus proveedores de TI y otros proveedores operativos. tiene como objetivo armonizar leyes en todo el bloque, mejorando la seguridad básica al responsabilizar personalmente a los altos directivos por el incumplimiento, lo que afecta a unas 22,000 empresas de la región.

Como infraestructura crítica, el sector necesitaba una regulación de este tipo desde hacía tiempo. Los incidentes cibernéticos de las últimas dos décadas han causado pérdidas directas de 12 000 millones de dólares a las empresas financieras globales, según el FMI. Sin embargo, seis meses después, quedó claro que el cumplimiento no era nada sencillo. Un estudio Un estudio publicado durante el verano reveló que solo la mitad de las organizaciones encuestadas habían incorporado los requisitos de DORA en sus programas de resiliencia más amplios. Y la mayoría aún no había alcanzado los estándares de resiliencia de DORA.

En otros lugares, la carga del cumplimiento aumentó con enmiendas a la Ley de Ciberseguridad (CSA) de la UE para exigir esquemas de certificación para servicios de seguridad gestionados. El gobierno aprobó una actualización largamente esperada al RGPD del Reino Unido: la Ley de Datos (Uso y Acceso), que debería ayudar a reducir la burocracia, mejorar el intercambio seguro de datos y facilitar el uso responsable de los datos.

Mientras tanto, un Nuevo marco de ciberseguridad del NIST evolucionará el estándar para hacerlo más actual y adecuado para su propósito, especialmente en el contexto del desarrollo de IA y la toma de decisiones automatizada.

La resiliencia ocupa un lugar central

Un aspecto que muchas de las leyes y regímenes regulatorios mencionados tienen en común es el objetivo de mejorar la resiliencia cibernética. Incidentes que acaparan titulares, como los de las principales cadenas de suministro... ruptura en varios aeropuertos europeos y una interrupción del servicio de ransomware que duró semanas en El mayor fabricante de automóviles de Gran Bretaña Muéstrenos por qué los reguladores están avanzando en esta dirección. Según un estudio del Foro Económico Mundial de este año, más de la mitad (54%) de las empresas globales Las organizaciones identifican Los desafíos de la cadena de suministro son su mayor barrera para lograr la resiliencia cibernética.

Y no se trata solo de un problema informático. A Dragos/Marsh McLennan (reporte) Un estudio de agosto afirmó que el riesgo de OT podría costar a las organizaciones al menos 330 millones de dólares al año.

Es por eso que organizaciones como el Centro Nacional de Seguridad Cibernética (NCSC) están instando a que se tomen medidas. La agencia dijo que la mitad El 48 % de los incidentes a los que respondió su equipo de Gestión de Incidentes durante el último año fueron de "importancia nacional", mientras que el número de los clasificados como "altamente significativos" aumentó un 50 %. La palabra "resiliencia" se menciona 139 veces en la última revisión anual del NCSC. Desafortunadamente, las capacidades básicas de seguridad... se están estancando o que no se aplican a competencias clave como la capacitación del personal, la gestión de riesgos de los proveedores y la respuesta a incidentes, según las propias cifras del gobierno. Esa es una de las razones por las que... Finalmente se presentó el Proyecto de Ley de Ciberseguridad y Resiliencia en noviembre.

Una gran cantidad de infracciones afectan duramente a los clientes

En muchas grandes organizaciones, la seguridad aún se encuentra aislada dentro del departamento de TI, en lugar de verse como un factor de crecimiento. Se espera que regulaciones como las mencionadas comiencen a cambiar la mentalidad de los directivos. Mientras tanto, los CISO cuentan con cada vez más pruebas que respaldan sus solicitudes de financiación, a medida que los ciberincidentes de gran envergadura siguen afectando a la comunidad.

La interrupción mencionada en el aeropuerto de Heathrow es un buen ejemplo. Esto se produjo tras una vulneración de ransomware en el proveedor de software de facturación Collins Aerospace, lo que provocó retrasos que se prolongaron durante semanas en algunos aeropuertos europeos. ataques de ransomware en la calle principal del Reino Unido minoristas M&S y el Grupo Co-op costaron a las empresas cientos de millones en costos directos y pérdidas de ventas, y es posible que hayan destruido la lealtad de los clientes ganada con tanto esfuerzo.

Si las juntas directivas y los altos directivos no conectan la ciberresiliencia, el rendimiento empresarial y el valor de marca a largo plazo, sus competidores sin duda lo harán. Un estudio de Sophos de este año reveló que Gran Bretaña es un caso atípico a nivel mundial. Alrededor del 70 % de las víctimas de ransomware tenían sus datos cifrados, una cifra muy superior a la media mundial del 50 % y al 46 % reportado por las víctimas del Reino Unido en 2024.

El panorama de amenazas evoluciona

Sin embargo, las cosas no son más fáciles. La superficie de ataque corporativa típica sigue creciendo gracias a las inversiones en servicios digitales, ecosistemas en la nube e IA. Sin embargo, los presupuestos y las habilidades son escasos. Y los actores de amenazas siguen innovando y evolucionando.

Este año, vimos una creciente preferencia por utilizando herramientas de acceso remoto (RAT) y sistemas de monitorización y gestión remota (RMM) en ataques. A menudo, estos constituían la siguiente etapa de un ataque multicapa en el que el acceso inicial se lograba atacando a los servicios de asistencia de TI o a los empleados con técnicas de vishing. Explotación de vulnerabilidades. También continúa para ser popular. Y las debilidades del ecosistema de código abierto se están investigando con creciente frecuencia e impacto. Una iniciativa pionera El gusano npm se mostró Hasta dónde están dispuestos a llegar los actores amenazantes para conseguir lo que quieren.

Las organizaciones también deben adaptarse a una nueva realidad: los ciberdelincuentes con motivaciones financieras y los actores estatales ya no son entidades mutuamente excluyentes. Las líneas se están difuminando y los riesgos están evolucionando a un ritmo rápido.

Surgen nuevos riesgos para la IA

En este contexto, la IA representa tanto una oportunidad como un riesgo para los equipos de seguridad y cumplimiento normativo. Por un lado, cada semana aparecen en el mercado nuevas soluciones innovadoras para mejorar la detección y la respuesta, las pruebas de penetración y la investigación de vulnerabilidades, entre otras cosas. Al automatizar más tareas, los equipos también pueden lograr más con menos recursos, lo cual resulta especialmente útil en un contexto de escasez de personal cualificado.

Pero la IA también es un riesgo. Como Deloitte Australia descubrióLas alucinaciones pueden tener un impacto significativo en la reputación de las empresas. La IA también puede utilizarse con fines nefastos, como la explotación de vulnerabilidades, la ingeniería social, el desarrollo de malware y más. El NCSC advirtió este año. Y vulnerabilidades en modelos de lenguaje grandes existentes (LLM) y plataformas como búsqueda profunda representan riesgos empresariales que deben gestionarse mejor.

Es bueno ver que el gobierno toma la iniciativa en la seguridad de la IA y la gestión de riesgos. nuevo código de prácticas Podría ayudar a las empresas británicas a aprovechar el poder de la tecnología mientras construyen proyectos sobre bases más sólidas. Y una iniciativa del gobierno Crear un nuevo sector de garantía de inteligencia artificial es una idea prometedora.

Pero aún queda camino por recorrer. Mientras tanto, normas como ISO 27001 e ISO 42001 pueden ayudar a los equipos de TI y seguridad a orientar sus organizaciones en la dirección correcta. El riesgo es inevitable y sigue evolucionando. Quienes estén mejor posicionados para gestionarlo de forma sistemática pero ágil comenzarán 2026 con mayor fuerza.

Para obtener más información sobre el panorama de amenazas actual, lea nuestro Estado de la seguridad de la información 2025 .

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

La seguridad cibernética 3 December 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Ha tardado mucho en llegar. Tras haber sido objeto de reflexión desde el Discurso del Rey en 2024, el Proyecto de Ley de Ciberseguridad y Resiliencia (CSRB) ha llegado a su fin...

Phil Muncaster