Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

Por Phil Muncaster • 6 de enero de 2026

¿Cómo se perfilan los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias, asimilado las predicciones de los expertos del sector y hablado directamente con algunos de ellos para ofrecerles nuestra visión de 2026. Sin ningún orden en particular, aquí les presentamos cinco tendencias que definirán el sector a lo largo del año.

La IA en todas partes beneficia a atacantes y defensores

Como observamos en nuestro Informe sobre el estado de la seguridad de la información 2025La IA representa tanto una amenaza como una oportunidad para los defensores de la red. Una amenaza, ya que los actores maliciosos ya utilizan modelos de lenguaje extenso (LLM) para facilitar la investigación de vulnerabilidades y el desarrollo de exploits, la ingeniería social, el reconocimiento de víctimas y más. Pero también una oportunidad, tanto desde la perspectiva del crecimiento empresarial como de la ciberdefensa.

La IA agencial estará a la vanguardia de esta dinámica en 2026. Aunque fue ampliamente criticada por exagerar el papel de la IA, los riesgos Antrópico marcado en noviembre La prevención de ciberataques totalmente orquestados por IA podría hacerse realidad este año. Por otro lado, se están logrando grandes avances en SecOps para reducir la brecha de habilidades y ayudar a mitigar la sobrecarga de alertas mediante el uso de sistemas de agentes. Espera el viaje al “SOC autónomo” para coger ritmo.

También podemos esperar la norma ISO 42001 Este estándar se está popularizando a medida que más organizaciones buscan gestionar sus sistemas de IA de forma segura, ética y transparente. Su adopción por parte de las empresas ya ha crecido del 1 % al 28 % entre 2024 y 2025, según datos de IO. En los próximos 12 meses, podría alcanzar su adopción generalizada, ya que los actores de amenazas priorizan la superficie de ataque de la IA para un tratamiento especial.

La carga del cumplimiento aumenta

En nuestro informe, advertimos sobre una "crisis de cumplimiento" para muchas organizaciones, que luchan por afrontar la creciente carga regulatoria con recursos limitados. El 37 % admite que el cumplimiento es un desafío, y dos tercios (66 %) afirman que les resulta difícil gestionarlo internamente. El 85 % afirma que una mayor armonización entre jurisdicciones sería beneficiosa, mientras que dos tercios (66 %) argumentan que la velocidad de los cambios regulatorios dificulta el cumplimiento.

Lamentablemente, las cosas no van a mejorar en este frente en 2026. Dado que han pasado más de 12 meses desde DORA entró en vigorVeremos cómo los reguladores empiezan a afinar sus garras. La NIS2 también se hará realidad tras su transposición a la legislación local en gran parte de Europa. Además, está la Ley de Uso y Acceso a Datos, la actualización del RGPD del Reino Unido, que entrará en vigor en junio. Y la respuesta del Reino Unido a la NIS2, la Proyecto de ley sobre ciberseguridad y resiliencia, que se espera se convierta en ley.

Algunas desviaciones del NIS2 “requerirán escrutinio”, le dice a IO el socio de Charles Russell Speechly, Mark Bailey.

“Por ejemplo, el proyecto de ley introduce una definición más amplia de incidentes, lo que significa que las organizaciones podrían tener que reevaluar qué se considera denunciable y garantizar que sus procesos internos estén calibrados en consecuencia”, explica. “También será necesario revisar las comunicaciones con los clientes y las obligaciones contractuales, especialmente cuando la denuncia pueda afectar a los datos de terceros o a las expectativas de confidencialidad”.

Los riesgos en la cadena de suministro de software proliferarán

El ecosistema de código abierto está en crisis. Durante la segunda mitad de 2025, presenciamos varias campañas de amenazas importantes que se extendieron por npm. Entre ellas, destaca IndonesianFoods, una campaña prolífica y automatizada que inundó el registro con decenas de miles de paquetes spam. Los expertos advirtieron que las mismas técnicas podrían emplearse con fines más maliciosos. Quizás aún más preocupante fue el gusano Shai-Hulud, cuyas dos oleadas expusieron secretos de desarrolladores y de la nube a una escala igualmente masiva.

“Los ecosistemas de código abierto son el banco de pruebas perfecto para este tipo de automatización: publicación fluida, control de acceso mínimo y una enorme superficie de ataque”, explica a IO Brian Fox, director de tecnología de Sonatype. “Los atacantes lo han descubierto. A menos que evolucionemos nuestras defensas con la misma rapidez, estos gusanos autopropagantes se convertirán en la estrategia por defecto, no en la excepción”.

Randolph Barr, CISO de Cequence Security, agrega que la IA acelerará la tendencia.

“El hecho de que las cargas útiles [de IndonesianFoods] estuvieran inactivas hace que este escenario sea aún más preocupante”, le dice a IO.

Los atacantes se tomaron su tiempo, generando confianza y distribución con el tiempo para poder usarlo como arma más adelante. Esto supone un gran cambio: no se necesita código malicioso el primer día para generar un riesgo considerable en el futuro. Por lo tanto, sin duda, los esfuerzos altamente automatizados y similares a gusanos que aprovechan el tamaño y la disponibilidad de los registros de paquetes crecerán, no disminuirán.

Las habilidades y los presupuestos se quedan atrás

Según la última ISC2 Estudio de ciberseguridad de la fuerza laboral, La escasez de habilidades en ciberseguridad sigue siendo preocupantemente común. Más de una cuarta parte (27%) de los encuestados a nivel mundial mencionó las habilidades de gobernanza, riesgo y cumplimiento (GRC) como muy demandadas. El estancamiento presupuestario y la escasez de talento no ayudan. Según ISACA Estado de la Ciberseguridad Según las investigaciones, más de la mitad de los profesionales (54%) afirman que los equipos carecen de fondos suficientes, mientras que el 58% denuncia una falta continua de personal.

Chris Dimitriadis, director de estrategia global de ISACA, le dice a IO que la brecha entre las amenazas de rápida evolución y las inversiones de lento movimiento crecerá en 2026.

Se espera que los equipos de ciberseguridad y cumplimiento asuman una responsabilidad mucho mayor en la gobernanza de la IA y la adaptación regulatoria a medida que entren en vigor las nuevas normas. Si bien la regulación es un paso positivo para fortalecer la resiliencia digital, también introduce una presión operativa significativa, especialmente cuando más de una cuarta parte de las organizaciones no tienen previsto contratar personal para puestos de confianza digital en 2026», añade.

Para los equipos de cibercumplimiento, 2026 traerá consigo mayores cargas de trabajo, mayores expectativas y entornos cada vez más complejos. Las herramientas de IA serán esenciales, pero la tecnología por sí sola no puede cerrar la brecha de vulnerabilidad. La resiliencia dependerá de las personas: las organizaciones que inviertan en vías de talento más amplias, capacitación continua y equipos con conocimientos de IA serán las que puedan convertir tecnologías potentes en una protección significativa y práctica.

El cumplimiento continuo y la automatización generan valor

Con el panorama de amenazas evolucionando tan rápidamente, las superficies de ataque expandiéndose y la carga regulatoria creciendo, estándares como ISO 27001 Se priorizarán cada vez más en 2026. Sus mejores prácticas sustentan la mayor parte de la legislación sobre ciberseguridad que se está promulgando actualmente, lo que ayudará a simplificar el cumplimiento normativo. Pero, al menos en el caso de la norma ISO 27001, también están avanzando hacia un modelo de "cumplimiento continuo" que ayudará a las organizaciones a mejorar la ciberresiliencia en los próximos años.

El ciclo Planificar-Hacer-Verificar-Actuar (PDCA) promueve la monitorización, la medición y la adaptabilidad continuas, esfuerzos cruciales en estos tiempos de volatilidad. Con habilidades y recursos limitados, muchas organizaciones recurrirán a la automatización para aprovechar estos beneficios. Al permitir que las máquinas se encarguen del trabajo pesado de la monitorización de los controles de seguridad, los registros de auditoría, los informes y los recordatorios de plazos, los equipos con exceso de trabajo pueden centrarse en el trabajo que realmente importa.

Esto es solo un pequeño anticipo de lo que se puede esperar en los próximos 12 meses. Los equipos de seguridad y cumplimiento sin duda se enfrentarán a retos formidables a lo largo del año. Quienes mejor preparados para afrontarlos serán quienes vean el cumplimiento como un proceso de mejora continua, no como un esfuerzo anual.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster

La seguridad cibernética 3 December 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Ha tardado mucho en llegar. Tras haber sido objeto de reflexión desde el Discurso del Rey en 2024, el Proyecto de Ley de Ciberseguridad y Resiliencia (CSRB) ha llegado a su fin...

Phil Muncaster