De cara a 2026, la ciberseguridad se ha convertido en un pilar fundamental de la transformación digital. La adopción acelerada de la inteligencia artificial representa el cambio más profundo desde el paso a la nube, lo que supone una disrupción no solo por el cambio en las estrategias empresariales, sino también por la rápida evolución del entorno normativo.
Para avanzar, las organizaciones deben integrar la ciberseguridad en sus estrategias de innovación e implementación, al tiempo que se mantienen ágiles para adaptarse a las amenazas en constante evolución. Las que lo hagan protegerán sus activos y obtendrán una ventaja competitiva en la economía digital.
The future of cyber security is not about choosing between security and innovation; it is about achieving both simultaneously. This means thoughtful planning, strategic investment and collaborative approaches that recognise cyber security as a shared responsibility.
Jan Matto Partner
En la Unión Europea, normativas como la DORA (Ley de Resiliencia Operativa Digital) están entrando en su fase de aplicación, mientras que las normativas NIS2 se están traduciendo en marcos nacionales en todos los Estados miembros, con plazos de implementación que se extienden hasta el verano de 2026. Esta implementación fragmentada y la rápida evolución crean tanto oportunidades como retos para las organizaciones multinacionales.
Por el contrario, en Estados Unidos, el enfoque federal se ha centrado más en el seguimiento que en la creación de nuevas regulaciones. Se han promulgado los requisitos de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para los contratistas del Departamento de Defensa, mientras que iniciativas como el marco de Resiliencia de Infraestructuras Críticas (CIR) siguen evolucionando. A nivel estatal, el panorama sigue estando fragmentado, con 220 medidas diferentes en materia de ciberseguridad y privacidad en 38 estados y 47 proyectos de ley relacionados con la IA en 23 estados.
Esta complejidad normativa ha creado lo que muchos profesionales del sector describen como una carga y una oportunidad. Si bien muchas de las nuevas regulaciones tienen como objetivo ayudar a mejorar la resiliencia y la continuidad del negocio, la carga que supone el cumplimiento normativo también puede suponer un gran peso para equipos que ya están limitados.
A medida que aumenta la red de requisitos de cumplimiento, las organizaciones que adoptan un enfoque de “marcar casillas” tendrán dificultades para compaginar requisitos dispares y áreas complejas de solapamiento. Para que sus esfuerzos de cumplimiento sigan siendo rentables, las empresas deben dar prioridad a las evaluaciones basadas en el riesgo. El informe del año pasado detalla cómo abordar la ciberseguridad basada en el riesgo y sigue siendo una estrategia vital para que los equipos de ciberseguridad prioricen y aborden los riesgos de una manera que facilite el cumplimiento, en lugar de intentar que el cumplimiento facilite la seguridad.
_______________
A medida que la superficie tecnológica y la cadena de suministro de cada organización se vuelven más complejas, las organizaciones con una postura cibernética sólida se benefician cada vez más de las ventajas reputacionales y las preferencias de la cadena de suministro. Esta tendencia es especialmente pronunciada en los mercados B2B, donde las solicitudes de propuestas (RFP) y las licitaciones incluyen ahora de forma habitual requisitos sustanciales de ciberseguridad, lo que elimina de la consideración a los posibles proveedores cuyas medidas cibernéticas no cumplen la norma prescrita.
La complejidad de las cadenas de suministro modernas hace que las organizaciones a menudo no comprendan del todo dónde residen sus datos ni cómo se procesan. Esta falta de visibilidad crea, en consecuencia, importantes vulnerabilidades, sobre todo ahora que tecnologías emergentes como la IA introducen nuevas formas de compartir y procesar datos. Además, la creciente digitalización de los sistemas heredados ha ampliado las superficies de ataque y, al mismo tiempo, ha creado nuevas dependencias.
_______________
La inteligencia artificial representa tanto una oportunidad significativa como un riesgo sin precedentes en el panorama actual de la ciberseguridad. La mayoría de las organizaciones están adoptando rápidamente herramientas de IA para aumentar la eficiencia, pero muchas lo hacen sin marcos de gobernanza adecuados ni comprensión de los riesgos asociados.
En el aspecto defensivo, la IA está transformando las capacidades de ciberseguridad en varias áreas clave:
Los sistemas basados en IA son cada vez más sofisticados a la hora de identificar patrones inusuales en el tráfico de la red y el comportamiento de los usuarios. Estos sistemas pueden procesar grandes cantidades de datos en tiempo real, identificando amenazas potenciales que serían imposibles de detectar manualmente por parte de los analistas humanos.
Las herramientas de IA están agilizando los procesos de respuesta a incidentes mediante la automatización de la clasificación inicial, proporcionando interfaces de lenguaje natural para la investigación de seguridad y generando escenarios de respuesta. Esta automatización permite a los equipos de seguridad centrarse en el pensamiento estratégico de alto nivel, mientras que la IA se encarga del análisis rutinario.
Los sistemas de IA son cada vez más capaces de escanear el código en busca de vulnerabilidades de seguridad, proporcionando información en tiempo real a los desarrolladores y reduciendo la probabilidad de que los problemas de seguridad lleguen a la producción.
Sin embargo, las aplicaciones más ofensivas de la IA plantean retos importantes, incluso para los equipos cibernéticos que utilizan IA.
La IA está dando a los atacantes la capacidad de automatizar y personalizar las amenazas a gran escala. Desde la detección instantánea de vulnerabilidades hasta la generación de campañas de phishing convincentes, los riesgos son especialmente graves para los equipos no técnicos.
Quizás el riesgo inmediato más significativo proviene de la “IA en la sombra”, es decir, el uso de la IA sin supervisión ni control por parte de la organización. El concepto de “TI en la sombra” no es nuevo para los equipos de ciberseguridad, pero el uso generalizado de la IA agrava la amenaza de estas tecnologías no autorizadas. Los empleados toman miles de pequeñas decisiones a diario con la ayuda de la IA, a menudo introduciendo datos confidenciales en los sistemas sin comprender las implicaciones.
La IA agencial, sistemas diseñados para actuar sin intervención humana, está transformando la ciberseguridad. Aunque prometen importantes ganancias en eficiencia, estas herramientas introducen riesgos que muchas organizaciones apenas están empezando a comprender.
Los principales retos de la IA agencial residen en garantizar una validación adecuada de los datos de entrada y mantener una supervisión humana significativa.
Aunque está evolucionando rápidamente, la regulación de la IA sigue siendo fragmentada y incipiente. Estados Unidos promueve la innovación con una supervisión mínima, incluso exigiendo el uso de la IA en la ciberseguridad, mientras que la Ley de IA de la UE, por el contrario, ofrece una regulación más amplia y restrictiva, aunque su impacto en la ciberseguridad aún está evolucionando. Esta incertidumbre normativa plantea retos a las organizaciones que desean implementar la IA de forma responsable, especialmente ahora que el mercado avanza a toda velocidad con la IA como protagonista.
Para mantener su resiliencia, las organizaciones no deben retrasar la innovación, sino adoptar marcos de gobernanza que evolucionen al mismo ritmo que la normativa. Quienes deseen aprovechar la IA de forma eficaz deben empezar por el siguiente enfoque:
_______________
Aunque la computación cuántica puede no suponer una amenaza inmediata para la mayoría de las organizaciones, su impacto potencial es tan significativo que es necesario empezar a prepararse desde ahora.
La amenaza cuántica opera en una línea temporal diferente a la de los riesgos tradicionales de ciberseguridad. Aunque los ordenadores cuánticos capaces de romper los estándares de cifrado actuales pueden estar a años de distancia de su disponibilidad generalizada, los adversarios ya están empleando tácticas de “robar ahora, descifrar después”.
_______________
El principio de “si entra basura, sale basura” debe abordarse con más urgencia que nunca, ya que las decisiones basadas en la inteligencia artificial dependen de datos de alta calidad, lo que hace que la gobernanza sea fundamental para la ciberseguridad. Una mala gobernanza de los datos crea riesgos en cadena que van mucho más allá de las preocupaciones tradicionales en materia de protección de datos. Durante los incidentes, las organizaciones suelen descubrir datos previamente desconocidos almacenados en lugares no supervisados con controles de acceso poco claros.
Esta falta de visibilidad no solo crea superficies de ataque desconocidas, sino que los datos que no están debidamente catalogados no pueden protegerse adecuadamente, lo que también puede generar riesgos de cumplimiento.
A medida que el uso compartido de datos se vuelve más complejo, la gestión de riesgos de terceros (TPRM) se ha convertido en una preocupación cibernética esencial. Las cadenas de suministro de múltiples capas a menudo ocultan cómo se procesan y protegen los datos, lo que aumenta la exposición. Una TPRM eficaz requiere varios componentes clave:
Las organizaciones que deseen mejorar la gobernanza de sus datos deben considerar la posibilidad de comenzar con ejercicios prácticos en lugar de desarrollar políticas abstractas. Los ejercicios de continuidad del negocio pueden comenzar alrededor de una mesa con los líderes, tanto técnicos como no técnicos, iniciando con una pregunta sencilla como “¿qué pasaría si su teléfono y su ordenador no funcionaran?”. Esta discusión más informal puede evolucionar naturalmente con el tiempo hacia diálogos más sofisticados sobre las dependencias de los datos y los requisitos de protección. Este enfoque conversacional se extiende también a las políticas oficiales. Los equipos cibernéticos deben asegurarse de que las políticas sean lo suficientemente sencillas como para que los usuarios sin conocimientos técnicos puedan comprenderlas y aplicarlas. La formación y la colaboración pueden ayudar tanto a que los empleados respeten estas políticas como a dotar a los equipos de gobernanza de los conocimientos empresariales que necesitan para diseñar medidas eficaces.
Este equilibrio entre la seguridad de los datos y la habilitación empresarial es un reto fundamental para la gobernanza. Las políticas excesivamente estrictas suelen dar lugar a soluciones alternativas arriesgadas, lo que fomenta el auge de la TI en la sombra. El enfoque más eficaz para la habilitación de la plantilla combina controles técnicos con iniciativas culturales. Una estrecha colaboración con las unidades de negocio puede crear un entendimiento mutuo, y los controles compensatorios, como la supervisión, pueden mantener a los equipos cibernéticos informados sobre el comportamiento de los usuarios.
_______________
El personal dedicado a la ciberseguridad se enfrenta a retos sin precedentes, ya que el campo evoluciona rápidamente y la brecha de habilidades sigue aumentando. Las organizaciones necesitan profesionales que comprendan tanto los principios de seguridad tradicionales como las tecnologías emergentes, pero esa experiencia es cada vez más escasa y costosa. La función del director de seguridad de la información, en particular, ha evolucionado significativamente en los últimos años. Cada vez más, se espera que los CISO actúen como líderes empresariales en lugar de especialistas técnicos, con responsabilidades que se extienden al cumplimiento normativo, la presentación de informes al consejo de administración y la planificación estratégica.
Este cambio refleja la transición de la ciberseguridad de una función técnica a un facilitador de negocios. La compensación para los CISOs ha aumentado en consecuencia, pero la escasez de candidatos con experiencia técnica y capacidad empresarial sigue siendo un desafío importante. Muchas organizaciones están recurriendo a CISOs virtuales para cubrir vacantes y proporcionar una experiencia más amplia.
Uno de los desafíos más significativos para la fuerza laboral es encontrar profesionales que puedan tanto innovar como gestionar, especialmente en organizaciones de tamaño mediano. El ritmo acelerado del cambio exige que los expertos en ciberseguridad aprendan continuamente nuevas tecnologías mientras mantienen el conocimiento básico en seguridad. Este desafío es más agudo en áreas como la inteligencia artificial y la computación cuántica, donde la intersección de tecnología avanzada y seguridad genera requisitos complejos que pocos comprenden completamente. Para cerrar esta brecha, muchas organizaciones recurren a asesores y consultores de confianza para guiar la estrategia y la implementación junto con los equipos internos.
El enfoque tradicional de contratar expertos individuales en ciberseguridad se está volviendo insostenible, ya que la competencia eleva la compensación más allá del alcance de muchas organizaciones, mientras que el ritmo rápido de cambio dificulta que los equipos internos se mantengan actualizados. La automatización y la inteligencia artificial están ayudando a los equipos de ciberseguridad a escalar, pero los modelos de servicio compartido son cada vez más comunes, especialmente en fusiones y adquisiciones, donde las empresas matrices o las firmas de inversión proporcionan capacidades a las compañías del portafolio. Las asociaciones externas también agregan valor, ofreciendo implementaciones de mejores prácticas y cubriendo lagunas de conocimiento de manera más económica que la contratación directa.
_______________
Las organizaciones están dejando atrás las meras métricas técnicas para evaluar la eficacia de la ciberseguridad a través del impacto empresarial, analizando logros como las interrupciones evitadas y los ingresos generados gracias a una seguridad sólida. Este cambio es clave para garantizar la financiación y demostrar el retorno de la inversión.
La proliferación de amenazas y la complejidad de los entornos tecnológicos modernos pueden hacer que la ciberseguridad se perciba como un centro de costes en constante expansión, pero las organizaciones líderes la están replanteando como una inversión estratégica. Muchas ahora reconocen la ventaja competitiva de contar con sólidas prácticas de ciberseguridad, que se han convertido en un diferenciador clave en los mercados B2B, donde los clientes evalúan la seguridad de los proveedores como parte de su propia gestión de riesgos. Las presiones de cumplimiento y los incidentes de alto perfil están impulsando este enfoque, y los equipos de ciberseguridad que pueden cuantificar y comunicar el valor de la resiliencia logran una aceptación mucho mayor.
Más allá de los clientes, las aseguradoras y las instituciones financieras también están incorporando la preparación cibernética en sus evaluaciones, ofreciendo incentivos financieros claros para programas de seguridad sólidos.
Las organizaciones más exitosas están yendo más allá de las métricas de seguridad tradicionales para centrarse en medir el éxito de maneras que se relacionen directamente con los resultados del negocio y el valor para los grupos de interés. Esto incluye:
Las organizaciones que invierten en medidas proactivas de ciberseguridad demuestran consistentemente mejores resultados que aquellas que adoptan enfoques reactivos. Sin embargo, con recursos limitados incluso en las organizaciones más grandes, los siguientes enfoques de inversión pueden ayudar a optimizar el ROI y minimizar el riesgo:
_______________
Mirando hacia 2026 y más allá, la verdadera ciberresiliencia irá más allá de las medidas de seguridad tradicionales. La seguridad desde el diseño pasará de ser una mejor práctica a una necesidad empresarial, y se esperará que las organizaciones demuestren a reguladores, clientes y aseguradoras que la seguridad ha sido integral desde el inicio y no añadida posteriormente. Esto será especialmente crítico para tecnologías emergentes como la IA, donde las decisiones de diseño pueden revelar implicaciones de seguridad solo una vez que los sistemas estén en producción. Las organizaciones que descuiden estos principios corren el riesgo de sufrir desventajas en efectividad, aceptación en el mercado y cumplimiento normativo.
El ritmo del cambio también exigirá marcos de gobernanza que se adapten rápidamente sin comprometer los principios fundamentales. Las organizaciones resilientes construirán estructuras que funcionen a través de límites, aprendan de manera continua y anticipen nuevas amenazas.
Looking ahead to 2026 and beyond, true cyber resilience will extend beyond traditional security measures. Security by Design will shift from best practice to business necessity, with organisations expected to show regulators, customers and insurers that security has been integral from the start rather than added later. This will be especially critical for emerging technologies like AI, where design choices may reveal security implications only once systems are in production. Organisations that neglect these principles risk disadvantages in effectiveness, market reception and compliance.
A medida que el panorama se acelera, los más resilientes se centrarán en capacidades independientes de la tecnología, incluyendo la adopción de enfoques basados en riesgos, la creación de arquitecturas neutrales respecto a los proveedores y el desarrollo de habilidades en la fuerza laboral que trasciendan herramientas específicas.
“Las organizaciones más resilientes se centran en estrategias de gobernanza que les permitan escalar rápidamente. Necesitan poder adaptarse a nuevas tecnologías y modelos de negocio sin requerir una reconstrucción completa de sus marcos.”
– Paul Truitt, Socio, Forvis Mazars US
Gestión de riesgos en todo el ecosistema
La resiliencia en 2026 requerirá que las empresas piensen más allá de sus propios límites para considerar la seguridad de todo su ecosistema empresarial. Esto incluye no solo a los socios tradicionales de la cadena de suministro, sino también a los proveedores de tecnología, proveedores de servicios e incluso competidores en acuerdos de infraestructura compartida.
_______________
El panorama de la ciberseguridad en 2026 presentará tanto desafíos sin precedentes como oportunidades notables. Las organizaciones que aborden estos desafíos de manera estratégica, es decir, adoptando tecnologías emergentes mientras mantienen una gobernanza sólida, invierten en personas y capacidades al tiempo que aprovechan la automatización y consideran la seguridad como un habilitador del negocio en lugar de una limitación, se encontrarán con ventajas competitivas significativas.
El camino por seguir requiere varios compromisos clave:
Las organizaciones que prosperarán en este entorno son aquellas que ven la ciberseguridad no como una limitación para la innovación, sino como un habilitador clave de la misma. Al integrar la seguridad en su ADN en lugar de tratarla como un complemento, estas organizaciones estarán en posición de aprovechar las tecnologías emergentes mientras mantienen la confianza de sus partes interesadas.
La forma en que los líderes empresariales senior abordan la transformación digital está remodelando el futuro del rendimiento, la resiliencia y el crecimiento.
Desarrolle la resistencia tecnológica para poder operar con confianza.
Nuestro barómetro anual C-suite recoge las opiniones de los principales ejecutivos de todo el mundo. Cada año desvelamos las prioridades estratégicas en la agenda de los directivos y las tendencias del mercado que se espera que afecten a las empresas en los próximos años.
Este sitio web utiliza cookies.
Algunas de ellas son necesarias, mientras que otras nos ayudan a analizar el tráfico, ofrecer publicidad y otorgar experiencias personalizadas para usted.
Para más información sobre las cookies que usamos, por favor consulte nuestra Política de Privacidad.
Este sitio web no puede funcionar correctamente sin estas cookies.
Las cookies analíticas nos ayudan a mejorar nuestro sitio web mediante la recopilación de información sobre su uso.
Utilizamos cookies de marketing para aumentar la relevancia de nuestras campañas publicitarias.
