Ciberseguridad en 2026: navegando la innovación, la regulación y la resiliecia

InsightsNuestras Publicaciones e informes

Ciberseguridad en 2026

1 de octubre de 2025
Tags Digital transformation and AI Consumer Energy & infrastructure Financial services +14
Explore how rapid innovation, evolving threats, and shifting regulations will shape cyber security in 2026.

Estado global de la ciberseguridad

De cara a 2026, la ciberseguridad se ha convertido en un pilar fundamental de la transformación digital. La adopción acelerada de la IA representa el cambio más profundo desde la aparición de la nube, introduciendo disrupción no solo a través de estrategias de negocio cambiantes, sino también por la rápida evolución del entorno normativo.

 

Ideas clave

● Las organizaciones líderes están yendo más allá de la ciberseguridad como centro de costes y encontrando formas estratégicas de aprovecharla como ventaja competitiva

● Si bien la IA presenta muchos nuevos riesgos, también ofrece oportunidades específicas que las organizaciones resilientes deben tener en cuenta

● Con cientos de requisitos dispares de cumplimiento e informes que atascan a los equipos cibernéticos, un enfoque alternativo facilita que las empresas crezcan, se expandan e innoven con confianza

● La gobernanza de datos se ha convertido en la piedra angular de las estrategias efectivas de seguridad cibernética; Nuestros expertos comparten consejos cruciales para abordar estrategias de gobernanza en medio de ecosistemas complejos

● La brecha de habilidades de ciberseguridad continúa ampliándose, particularmente para los profesionales que entienden tanto la seguridad tradicional como las tecnologías emergentes.
Para avanzar, las organizaciones deben integrar la ciberseguridad en sus estrategias de innovación e implementación mientras se mantienen ágiles para adaptarse a las amenazas en constante evolución. Aquellos que lo hagan protegerán sus activos y obtendrán una ventaja competitiva en la economía digital.

 

Evolución regulatoria y dinámica del mercado

En la Unión Europea, regulaciones como DORA (Reglamento de Resiliencia Operativa Digital) están entrando en sus fases de aplicación, mientras que NIS2 se está adaptando localmente al marco normativo en todos los estados miembros, con plazos de implementación que se extienden hasta el verano de 2026. Esta implementación crea oportunidades y desafíos para las organizaciones multinacionales.

Por el contrario, en los Estados Unidos, el enfoque se ha centrado más en el seguimiento que en la creación de nuevas regulaciones. Se han promulgado los requisitos de Certificación del Modelo de Madurez de Ciberseguridad (CMMC, por sus siglas en ingles) para los contratistas del Departamento de Defensa, mientras que iniciativas como el marco de Resiliencia de Infraestructura Crítica (CIR, por sus siglas en inglés) continúan evolucionando. A nivel estatal, el panorama sigue fragmentado, con 220 medidas de ciberseguridad y de privacidad diferentes en 38 estados y 47 proyectos de ley separados relacionados con la IA en 23 estados.

Cómo un enfoque basado en el riesgo garantiza la continuidad

Esta complejidad regulatoria ha creado lo que muchos profesionales de la industria describen como una carga y una oportunidad. Si bien muchas regulaciones nuevas tienen como objetivo ayudar a mejorar la resiliencia y la continuidad del negocio, la carga que crea el cumplimiento también puede ser un gran peso para los equipos ya limitados.

A medida que crecen los requisitos de cumplimiento, las organizaciones que adoptan un enfoque basado sólo en verificación tendrán dificultades. Para seguir siendo rentables en sus esfuerzos de cumplimiento, las empresas deben priorizar las evaluaciones basadas en riesgos. Nuestro informe del pasado año detalla cómo abordar la ciberseguridad basada en riesgos y sigue siendo una estrategia vital para que los equipos prioricen y aborden los riesgos de una manera que facilite el cumplimiento, en lugar de tratar de hacer que el cumplimiento facilite la seguridad.

_______________

Integración de la cadena de suministro y la ventaja competitiva de la ciberseguridad

Con infraestructuras tecnológicas y cadenas de suministro cada vez más complejas, aquellas organizaciones con fuertes políticas de ciberseguridad obtienen una ventaja competitiva. Esta tendencia es particularmente pronunciada en los negocios B2B, donde las licitaciones incluyen habitualmente requisitos sustanciales de ciberseguridad, eliminando a aquellos proveedores potenciales que no cumplan con el estándar prescrito.

La complejidad de las cadenas de suministro modernas a menudo deja a las organizaciones sin certezas sobre dónde residen sus datos o cómo se procesan, lo que crea vulnerabilidades, especialmente a medida que la IA introduce nuevas formas de intercambio de datos, mientras que la digitalización de los sistemas heredados amplía las superficies de ataque y las dependencias. Cada organización es ahora responsable de la ciberseguridad en todo su ecosistema, como se refleja en DORA y NIS2. Esta responsabilidad compartida está impulsando la adopción de sofisticados marcos de gestión de riesgos de terceros (TPRM, por sus siglas en inglés), con herramientas de monitorización que califican a las organizaciones en métricas de ciberseguridad creando una nueva presión en el mercado. Las empresas están descubriendo que su madurez cibernética determina directamente su capacidad para ganar contratos, asegurar asociaciones y mantener la confianza del cliente.

_______________

Inteligencia artificial: una revolución de doble filo

La inteligencia artificial representa una oportunidad significativa y un riesgo sin precedentes en el panorama actual de la ciberseguridad. La mayoría de las organizaciones están adoptando rápidamente herramientas de IA para aumentar la eficiencia, pero muchas lo están haciendo sin marcos de gobernanza adecuados o sin comprender los riesgos asociados.

Amenazas y oportunidades de la IA en la ciberseguridad

En el lado defensivo, la IA está transformando las capacidades de seguridad cibernética en varias áreas clave:

Monitorización de red y detección de anomalías: 

Los sistemas impulsados por IA se están volviendo cada vez más sofisticados para identificar patrones inusuales en el tráfico de red y el comportamiento del usuario. Estos sistemas pueden procesar grandes cantidades de datos en tiempo real, identificando amenazas potenciales que serían imposibles de detectar manualmente por los analistas humanos.

Respuesta y automatización de incidentes:

Las herramientas de IA están agilizando los procesos de respuesta a incidentes mediante la automatización de la clasificación inicial, proporcionando interfaces de lenguaje natural para la investigación de seguridad y generando escenarios de respuesta. Esta automatización permite a los equipos de seguridad centrarse en el pensamiento estratégico de alto nivel mientras la IA se encarga del análisis rutinario.

Seguridad del código: 

Los sistemas de IA son cada vez más capaces de escanear el código en busca de vulnerabilidades de seguridad, proporcionando información en tiempo real a los desarrolladores y reduciendo la probabilidad de que los problemas de seguridad lleguen a producción.

Sin embargo, las aplicaciones más ofensivas de la IA presentan desafíos significativos, incluso para los equipos de ciberseguridad habilitados para IA.

La IA ofrece a los atacantes la capacidad de automatizar y personalizar las amenazas a escala. Desde detectar vulnerabilidades al instante hasta generar campañas de phishing convincentes, los riesgos son especialmente agudos para los equipos no técnicos.

El desafío de la IA en la sombra

Quizás el riesgo inmediato más significativo proviene del llamado "Shadow AI", el uso de IA que ocurre sin supervisión o gobernanza organizacional. El concepto de "Shadow IT" no es nuevo para los equipos de ciberseguridad, pero el uso generalizado de la IA aumenta la amenaza de estas tecnologías no autorizadas. Los empleados toman miles de pequeñas decisiones diariamente con la ayuda de la IA, a menudo introduciendo datos confidenciales en los sistemas sin comprender las implicaciones.

Infographic 1 - CS 2026.jpg

Desafíos de la IA y estrategias prácticas de implementación

La inteligencia artificial con agentes o agentic AI, un sistema diseñado para actuar sin intervención humana, está remodelando la ciberseguridad. Si bien prometen importantes mejoras de la eficiencia, estas herramientas presentan riesgos que muchas organizaciones apenas empiezan a comprender.

Los desafíos clave con agentic IA radican en garantizar una validación adecuada y mantener una supervisión humana significativa.

Aunque evoluciona rápidamente, la regulación de la IA sigue estando fragmentada. Estados Unidos promueve la innovación con una supervisión mínima, incluso exigiendo el uso de IA en la ciberseguridad, mientras que el Reglamento Europeo de IA ofrece una regulación más amplia y restrictiva, aunque su impacto en la ciberseguridad aún está evolucionando. Esta incertidumbre regulatoria crea desafíos para las organizaciones que buscan implementar la IA de manera responsable.

Para mantenerse la resiliencia, las organizaciones no deben retrasar la innovación, sino adoptar marcos de gobernanza que evolucionen junto con la regulación.

Infographic 2 - CS 2026.jpg

_______________

Computación cuántica: preparación para el cambio de paradigma

Si bien la computación cuántica puede no representar una amenaza inmediata para la mayoría de las organizaciones, el impacto potencial es tan significativo que la preparación debe comenzar ahora.

Comprender la amenaza cuántica

La amenaza cuántica opera en una línea temporal diferente a los riesgos cibernéticos tradicionales. Si bien las computadoras cuánticas capaces de romper el cifrado actual pueden estar a años de distancia, los ciberdeliencuentes ya están empleando tácticas denominadas como "robar ahora, descifrar después". Las organizaciones deben comenzar la transición a algoritmos de cifrado cuánticos seguros antes de que la amenaza se agudice, y el Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés) de EEUU ya está lanzando herramientas y orientación para respaldar este cambio. Aunque pueda parecer lejano, las organizaciones pueden y deben comenzar la preparación cuántica ahora con los siguientes pasos:

  • Inventario criptográfico: mapeo de todos los sistemas y datos que dependen de la protección criptográfica para comprender las posibles vulnerabilidades.
  • Priorización de activos: identificación de los datos y sistemas que se verían más afectados por la pérdida de protección criptográfica.
  • Planificación de la transición: desarrollo de estrategias de migración para pasar a algoritmos cuánticos seguros a medida que estén disponibles.
  • Evaluación de la cadena de suministro: asegurar que los proveedores y socios también se estén preparando para la transición cuántica.

_______________

Estrategia, transformación y gobernanza de datos

El principio de "basura entra, basura sale - (GIGO, por sus siglas en inglés)" debe abordarse con más urgencia que nunca, ya que las decisiones impulsadas por IA se basan en datos de alta calidad que, en consecuencia, hacen que la gobernanza sea fundamental para la seguridad cibernética. Una mala gobernanza de datos crea riesgos en cascada que se extienden mucho más allá de las preocupaciones tradicionales de protección de datos. Durante los incidentes, las organizaciones a menudo descubren datos previamente desconocidos almacenados en ubicaciones no monitorizadas con controles de acceso poco claros.

Esta falta de visibilidad no solo crea superficies de ataque desconocidas, sino que los datos que no están debidamente catalogados no pueden protegerse adecuadamente, lo que también puede generar riesgos de incumplimiento normativo.  

Gestión de riesgos de terceros (TPRM) e intercambio de datos

A medida que el intercambio de datos se vuelve más complejo, el TPRM se ha convertido en una preocupación cibernética esencial. Las cadenas de suministro de múltiples capas a menudo ocultan cómo se procesan y protegen los datos, lo que aumenta la exposición. El TPRM efectivo requiere varios componentes clave:

  • Acuerdos de nivel de servicio (SLA) con controles de seguridad: los contratos deben definir explícitamente los requisitos de seguridad y cumplimiento, con el derecho a auditar incluido siempre que sea posible en lugar de depender de los autoinformes.
  • Evaluación y monitorización periódica: los programas de TPRM sólo son efectivos si incluyen monitorización continua y reevaluación periódica de los riesgos de los proveedores, el derecho a auditar solo es valioso si se aprovecha.
  • Gestión de proveedores por niveles: no todos los proveedores suponen el mismo riesgo. Las organizaciones deben implementar enfoques por niveles que centren la supervisión intensiva de las relaciones más críticas.

Implementación práctica de seguridad y gobernanza de datos

Las organizaciones que buscan mejorar la gobernanza de datos deben comenzar con ejercicios prácticos en lugar de un desarrollo de políticas abstractas. Las discusiones sobre la continuidad del negocio pueden comenzar de manera simple, los líderes, técnicos y no técnicos por igual, haciendo preguntas como, "¿qué ocurre si su teléfono y ordenador no funcionan?" y evolucionar hacia diálogos más sofisticados sobre las dependencias de datos y los requisitos de protección. Este enfoque conversacional también debe extenderse a las políticas oficiales: los equipos de ciberseguridad deben asegurarse de que las políticas sean lo suficientemente simples para que las sigan los usuarios no técnicos, mientras que la educación y la asociación permiten que la fuerza laboral las defienda y dotar a los equipos de gobierno del conocimiento del negocio necesario para diseñar medidas efectivas.

Equilibrar la seguridad de los datos con la habilitación del negocio sigue siendo un desafío de gobernanza. Las políticas demasiado estrictas a menudo impulsan soluciones arriesgadas y Shadow IT, mientras que el enfoque más efectivo combina controles técnicos con iniciativas culturales. La estrecha colaboración con las unidades de negocio fomenta el entendimiento mutuo y controles compensatorios, como la supervisión, mantienen informados a los equipos de ciberseguridad sobre el comportamiento de los usuarios.

_______________

Equipos de ciberseguridad y experiencia

Los equipos de ciberseguridad se enfrentan desafíos sin precedentes a medida que el escenario evoluciona rápidamente y la brecha de habilidades se amplía. Las organizaciones necesitan profesionales que entiendan tanto los principios de seguridad tradicionales como las tecnologías emergentes, pero dicha experiencia es cada vez más rara y costosa. El rol del Director de Seguridad de la Información (CISO) ha evolucionado significativamente, y ahora se espera que los CISO actúen como líderes empresariales en lugar de especialistas técnicos, asumiendo el cumplimiento normativo, los informes para el Consejo y la planificación estratégica. Este cambio refleja la transición de la ciberseguridad de una función técnica a un habilitador de negocio. La escasez de candidatos con experiencia técnica y perspicacia comercial sigue siendo un desafío importante. Muchas organizaciones están recurriendo a los CISO virtuales para llenar los vacíos y brindar una experiencia más amplia.

El reto de la innovación

Uno de los desafíos más importantes de la fuerza laboral es encontrar profesionales que puedan innovar y administrar, especialmente en organizaciones medianas. El rápido ritmo del cambio exige que los expertos en ciberseguridad aprendan continuamente nuevas tecnologías mientras mantienen el conocimiento básico de seguridad. Este desafío es más agudo en áreas como la IA y la computación cuántica, donde la intersección de la tecnología avanzada y la seguridad crea requisitos complejos que pocos comprenden completamente. Para cerrar esta brecha, muchas organizaciones están recurriendo a asesores y consultores de confianza para guiar la estrategia y la implementación junto con los equipos internos. 

Creación de equipos de ciberseguridad

El enfoque tradicional de contratar expertos individuales en ciberseguridad se está volviendo insostenible ya que la competencia eleva las remuneraciones más allá del alcance de muchas organizaciones, mientras que el rápido ritmo de los cambios dificulta que los equipos internos se mantengan al día. La automatización y la IA están ayudando a los equipos en esta área a escalar, pero los modelos de servicios compartidos son cada vez más comunes, especialmente en fusiones y adquisiciones, donde las empresas matrices o las firmas de inversión aportan capacidades para las empresas de su cartera. Las asociaciones externas también agregan valor, ya que ofrecen implementaciones de mejores prácticas y cubren las carencias de conocimientos especializados de forma más económica que la contratación.

_______________

Cuantificación del valor de la ciberseguridad

Las organizaciones están yendo más allá de las meras métricas técnicas para evaluar la efectividad de la ciberseguridad a través del impacto de negocio, observando logros como las interrupciones evitadas y los ingresos habilitados por una seguridad sólida. Este cambio es clave para asegurar la financiación y demostrar el retorno de la inversión.

La ciberseguridad como inversión, no como gasto

La proliferación de amenazas y la complejidad de los entornos tecnológicos modernos pueden hacer que la seguridad cibernética se sienta como un centro de costes en constante expansión, pero las organizaciones líderes la están reformulando como una inversión estratégica. Muchos ahora reconocen la ventaja competitiva de las prácticas de ciberseguridad sólidas, que se han convertido en un diferenciador clave en los mercados B2B donde los clientes evalúan la seguridad del proveedor como parte de su propia gestión de riesgos. Las presiones sobre el cumplimiento normativo y los incidentes de alto perfil están impulsando este enfoque y los equipos que pueden cuantificar y comunicar el valor de la resiliencia desbloquean una aceptación mucho mayor. Más allá de los clientes, las aseguradoras y las instituciones financieras también están teniendo en cuenta la ciberseguridad en sus evaluaciones, ofreciendo claros incentivos financieros para programas de seguridad sólidos.

Medir lo que importa

Las organizaciones más exitosas están yendo más allá de las métricas de seguridad tradicionales para centrarse en medir el éxito de manera que se relacione directamente con los resultados comerciales y el valor de las partes interesadas.

Infographic 3 - CS 2026.jpg

Optimización del ROI del gasto en ciberseguridad

Las organizaciones que invierten en medidas proactivas de seguridad cibernética demuestran constantemente mejores resultados que aquellas que adoptan enfoques reactivos. Sin embargo, con recursos limitados incluso en las organizaciones más grandes, los siguientes enfoques de inversión pueden ayudar a optimizar el ROI y minimizar el riesgo:

  • Priorización basada en riesgo: centrar tanto los recursos humanos como el capital en proteger los activos más críticos, en lugar de intentar proteger todo por igual.
  • Seguridad desde el diseño: incorporar requisitos de seguridad en sistemas y procesos desde el inicio, en lugar de intentar agregarlos más tarde.
  • Enfoques integrados: buscar soluciones de seguridad que aborden múltiples requisitos de manera simultánea, reduciendo la necesidad de soluciones puntuales.
  • Automatización y eficiencia: invertir en herramientas y procesos que amplifiquen las capacidades humanas en lugar de simplemente agregar más personal, especialmente en lo que respecta al monitoreo continuo para una visibilidad continua.
  • Educación de los empleados: implementar programas regulares de capacitación y concienciación que reduzcan la probabilidad de incidentes relacionados con errores humanos y vulnerabilidad de ingeniería social.
  • Preparación para la respuesta ante incidentes: desarrollar y probar regularmente las capacidades de respuesta ante incidentes en su totalidad antes de que se necesiten.
  • Servicios compartidos: considear servicios compartidos de ciberseguridad cuando sea apropiado, especialmente para conocimientos especializados que no requiera recursos internos a tiempo completo.

_______________

La resiliencia en 2026 y más allá

De cara a 2026 y en adelante, la verdadera resiliencia cibernética se extenderá más allá de las medidas de seguridad tradicionales. La seguridad por diseño pasará de ser una mejor práctica a una necesidad comercial, y se espera que las organizaciones muestren a los reguladores, clientes y aseguradoras que la seguridad ha sido integral desde el principio en lugar de añadirse más tarde. Esto será especialmente crítico para las tecnologías emergentes como la IA, donde las opciones de diseño pueden revelar implicaciones de seguridad solo una vez que los sistemas están en producción. Las organizaciones que descuidan estos principios corren el riesgo de tener desventajas en la eficacia, la reputación en el mercado y el cumplimiento.

El ritmo del cambio también exigirá marcos de gobernanza que se adapten rápidamente y mantengan los principios básicos. Las organizaciones resilientes construirán estructuras que funcionen más allá de las fronteras, aprendan continuamente y se anticipen a nuevas amenazas.

A medida que el panorama se acelera, los más resilientes se centrarán en capacidades tecnológicamente escépticas, incluyendo la adopción de enfoques basados en el riesgo, la creación de arquitecturas neutrales con respecto a los proveedores y el desarrollo de habilidades de los equipos que trasciendan herramientas específicas.

 

"Las organizaciones más resilientes se centran en estrategias de gobernanza que les permiten escalar rápidamente. Deben ser capaces de adaptarse a nuevas tecnologías y modelos de negocio sin necesidad de revisiones completas del marco".

Paul Truitt, socio de Forvis Mazars en Estados Unidos.

 

Ecosystem-wide risk management

Resilience in 2026 will require businesses to think beyond their own boundaries to consider the security of their entire business ecosystem. This includes not only traditional supply chain partners but also technology vendors, service providers and even competitors in shared infrastructure arrangements.

Infographic 4 - CS 2026.jpg

_______________

La ciberseguridad debe permitir la innovación, no obstaculizarla

El panorama de la ciberseguridad en 2026 presentará retos sin precedentes y oportunidades extraordinarias. Las organizaciones que aborden estos retos de forma estratégica, es decir, adoptando las tecnologías emergentes y manteniendo al mismo tiempo una gobernanza sólida, invirtiendo en personas y capacidades, aprovechando la automatización y considerando la seguridad como un facilitador del negocio en lugar de una limitación, se encontrarán con importantes ventajas competitivas.

El camino a seguir requiere varios compromisos clave:

  • Adoptar el cambio manteniendo los principios: la tecnología seguirá evolucionando rápidamente, pero los principios fundamentales de seguridad permanecen constantes. Las organizaciones deben ser lo suficientemente ágiles como para adaptarse a las nuevas tecnologías y, al mismo tiempo, mantenerse lo suficientemente consistentes como para mantener posturas de seguridad sólidas.
  • Invertir en personas y asociaciones: los desafíos de seguridad cibernética de 2026 y en adelante requerirán capacidades que ninguna organización actual puede desarrollar de manera interna completamente. Las asociaciones estratégicas y el desarrollo continuo de los equipos serán esenciales.
  • Medir el impacto en el negocio: los programas de seguridad deben demostrar su valor en términos de negocio, no solo en métricas técnicas. Esto requiere que los profesionales de la ciberseguridad desarrollen una visión empresarial junto con la experiencia técnica.
  • Pensar en todo el ecosistema: las organizaciones individuales no pueden lograr una verdadera resiliencia de forma aislada. La ciberseguridad debe abordarse como un reto compartido que requiere respuestas coordinadas.

Las organizaciones que prosperen considerarán la ciberseguridad no como una limitación, sino como un factor clave para la innovación. Al integrar la seguridad en su ADN, podrán aprovechar las tecnologías emergentes y mantener la confianza de sus stakeholders. De cara a 2026 y en adelante, el éxito dependerá de la preparación actual, el desarrollo de las capacidades, las alianzas y la gobernanza necesarias para navegar por un panorama de amenazas complejo y en constante evolución, y aprovechar las nuevas oportunidades.

Contact us

Documento

Cyber Security 2026 - C-suite priorities
Descargar pdf 4.63MB
15 oct 2025

Entrevista sobre ciberseguridad a Luis Reinoso

Luis Reinoso, Director de Consultoría Tecnológica y Ciberseguridad se unió al equipo de Consultoría de Forvis Mazars en 2023 para construir una práctica sólida en esta materia con el fin de asesorar a las empresas en materia de ciberseguridad. En el mes de la ciberseguridad analizamos como la ciberseguridad se ha convertido en un tema capital para las organizaciones.

Leer más

¿Quiere saber más?