Lo mucho que está en juego en la ciberresiliencia Qué significa para los líderes comerciales el Informe global de respuesta ante incidentes de 2025

Antes, las ciberamenazas se limitaban a vulneraciones, riesgos técnicos y extorsiones financieras. Sin embargo, en los últimos años, se han convertido en una amenaza directa para la continuidad del negocio. El ransomware se ha transformado en un cataclismo de esquemas de extorsión de varios niveles; las vulnerabilidades de la nube se han convertido en un riesgo para toda la empresa; y la velocidad de los ciberataques ha superado las defensas tradicionales. 

Entonces, ¿qué pueden hacer las empresas? Las conclusiones del Informe global de respuesta ante incidentes de 2025 dejan en claro una cosa: la seguridad es algo más que prevenir las vulneraciones. Se trata de garantizar que las organizaciones puedan resistir, recuperarse y superar las interrupciones cibernéticas, que cada vez están más diseñadas para tener el máximo impacto operativo. En resumen, los líderes comerciales deben dejar de ver la ciberseguridad como una función exclusiva de la TI y tratar la resiliencia no como una medida defensiva, sino como un motor fundamental del crecimiento, la continuidad y la ventaja competitiva.

Las tres tendencias cibernéticas definitorias de 2025

El “Informe global de respuesta ante incidentes” de este año destaca tres tendencias definitorias que exigen una recalibración inmediata de la forma en que las empresas abordan la seguridad.

1. El ransomware se ha convertido en un arma de interrupción del negocio

Los ciberdelincuentes han evolucionado más allá de bloquear archivos y exigir un pago. Están exfiltrando datos antes de cifrarlos, amenazando con filtrar información confidencial e interrumpiendo intencionadamente las operaciones comerciales. Las cifras son contundentes:

• El 92 % de los incidentes de ransomware en 2024 todavía implicaban cifrado.
• El 60 % también incluyó el robo de datos, lo que aumentó los riesgos de reputación y reglamentarios.
• El 13 % se intensificó hasta llegar al acoso, en el que los atacantes abordaban a empleados y clientes para forzar el pago.

Los líderes comerciales deben dejar de pensar únicamente en la pérdida de datos. El riesgo real es la parálisis operativa, la destrucción de la reputación y las consecuencias reglamentarias. Las organizaciones deben suponer que sus datos sufrirán robos y, lo que es más importante, planificar en consecuencia. La reactividad no es una solución. Las medidas de seguridad proactivas, como la detección de amenazas basada en IA, las arquitecturas de confianza cero y los manuales de estrategias de respuesta rápida, son ahora obligatorias.

2. La nube y la identidad son las nuevas fronteras de ataque

Dado que hay más empresas que confían en entornos híbridos y que priorizan la nube, los atacantes han cambiado su enfoque:

• El 29 % de todos los incidentes en 2024 involucraron la infraestructura de la nube.
• El 70 % de los incidentes ocurrieron en tres o más frentes, lo que destaca la necesidad de proteger conjuntamente los endpoints, las redes, los entornos en la nube y el factor humano.
• En casi la mitad de las vulneraciones en la nube, los atacantes se aprovecharon de controles de acceso e identidad mal configurados.
• Los actores de amenazas están exfiltrando los datos de la nube antes de destruirlos, lo que garantiza que puedan seguir extorsionando a las organizaciones aunque se nieguen a pagar los pedidos de rescate.

El perímetro de seguridad tradicional ha desaparecido, y con él, la idea de que la seguridad en la nube es simplemente “un problema de TI”. Una vulneración de identidad no es un fallo de TI; es un fallo de todo el negocio. Cuando una sola credencial comprometida detiene las operaciones, los líderes de seguridad deben dar prioridad a las estrategias en las que prima la identidad. También deben aplicar el acceso con privilegios mínimos, la supervisión continua y los controles de seguridad en la nube basados en IA que funcionan a la velocidad de las amenazas actuales.

3. La velocidad de los ataques ha superado a las defensas tradicionales

El informe también confirma una verdad aleccionadora que muchos creían desde hace tiempo: los ciberdelincuentes ya han convertido la automatización y la IA en un arma, y lanzan ataques a velocidades que los equipos de seguridad dirigidos por humanos simplemente no pueden igualar.

• Tiempo promedio desde la vulneración hasta la exfiltración de datos: 2 días.
• En el 25 % de los casos, la exfiltración se produjo en un plazo de 5 horas: tres veces más rápido que las estadísticas de exfiltración de 2021.
• Casi el 20 % de los incidentes de exfiltración ocurrió en menos de una hora.

En el caso de las organizaciones que dependen de la detección manual y los tiempos de respuesta lentos, esta realidad es una llamada de atención. La ciberresiliencia ahora consiste en operar a la velocidad de las máquinas: aprovechar la inteligencia de amenazas impulsada por la IA, los sistemas de respuesta automatizados y la evaluación continua de la postura de seguridad para superar a los atacantes, en lugar de simplemente reaccionar ante ellos.

Lo que debe cambiar: de la ciberseguridad a la ciberresiliencia

El manual de estrategias tradicional en materia de seguridad (detectar, contener, corregir) es necesario pero no suficiente. Las organizaciones deben cambiar su mentalidad y pasar de la defensa a la resiliencia mediante la integración de la ciberseguridad en una gestión de riesgos para el negocio más amplia.

1. Hacer de la seguridad una función continua impulsada por la IA

La ciberresiliencia no debe limitarse a auditorías periódicas o listas de verificación de cumplimiento. El cambio debe orientarse hacia operaciones de seguridad en tiempo real impulsadas por IA que detecten, analicen y neutralicen las amenazas antes de que se intensifiquen.

• Los SOC impulsados por IA deben funcionar como motores de detección autónomos, que señalen anomalías y prioricen los riesgos en función de los datos de ataques en tiempo real.
• Las arquitecturas de confianza cero deben validar continuamente el acceso, a fin de garantizar que las credenciales, las identidades y los permisos sean seguros incluso cuando los usuarios y las cargas de trabajo se mueven a través de entornos híbridos.
• La validación continua significa que la seguridad no es un ejercicio único; es un sistema vivo que evoluciona tan rápido como las amenazas.

2. Replantearse el riesgo como una decisión comercial, no como un problema de seguridad

Los directores de seguridad de la información llevan mucho tiempo luchando por comunicar el riesgo cibernético en términos que resuenen en las juntas directivas y en los equipos ejecutivos. Eso debe cambiar.

• Cuantifique el riesgo cibernético en términos financieros. 
  Si el ransomware puede costar USD 25 millones en tiempo de inactividad, pérdida de ingresos y multas reglamentarias, los líderes deben calcularlo como un riesgo para el negocio, no solo como un riesgo de seguridad.
• Vincule la resiliencia a la ventaja competitiva. 
  Las empresas que se recuperen más rápido de los ciberataques superarán a las que luchen por mantenerse a flote. La ciberresiliencia no consiste solo en evitar pérdidas, sino en proteger la posición en el mercado.

3. Alinear la nube, la identidad y la seguridad en una estrategia unificada

Los atacantes no distinguen entre la nube y la empresa; entonces, ¿por qué deberían hacerlo los defensores?

• Elimine los silos entre los equipos de SOC y la nube.
  La seguridad de la identidad, la seguridad en tiempo de ejecución y la protección de endpoints deben funcionar como un único ecosistema.
• Aplique controles de identidad inteligentes.
  Dado que la mitad de las vulneraciones en la nube están relacionadas con accesos mal configurados, la seguridad impulsada por la IA debe evaluar continuamente los permisos y cerrar las brechas que pueden explotarse.

4. Redefinir el éxito: la recuperación más rápida es la vencedora

Durante mucho tiempo, la seguridad se ha medido en función del número de vulneraciones que se han evitado. Pero en 2025, la resiliencia se define por la velocidad de recuperación.

• Cambie los indicadores clave de rendimiento (KPI) por métricas de resiliencia. 
  ¿Con qué rapidez puede detectar, aislar y corregir un incidente antes de que interrumpa las operaciones comerciales?
• Automatice los manuales de estrategias de recuperación. 
  Una respuesta ante incidentes convincente puede pasar de la gestión de crisis a una ventaja estratégica. Las organizaciones que responden más rápido no solo se recuperan, sino que ganan.

La ciberresiliencia es un asunto de la sala de juntas, no solo una preocupación de seguridad

Aunque solo sea eso, el informe deja en claro una cosa: la ciberresiliencia no puede seguir aislada dentro de los equipos de seguridad. Debe ser una prioridad de los ejecutivos de nivel C, con resultados mensurables y una clara rendición de cuentas. A continuación se explica cómo hacerlo:

• Los directores de información deben defender la seguridad impulsada por la IA incorporando defensas adaptables que se muevan a la velocidad de las máquinas.
• Los directores de seguridad de la información deben pasar del cumplimiento a la resiliencia dando prioridad tanto al análisis de riesgos impulsado por IA como a la respuesta ante incidentes en tiempo real.
• Los directores financieros deben cuantificar el riesgo cibernético como una métrica financiera alineando las inversiones en seguridad con el impacto comercial mensurable y el retorno de la inversión.
• Los directores ejecutivos deben liderar desde el frente integrando la seguridad en la cultura organizativa y haciendo de la resiliencia un pilar de la estrategia de crecimiento.

El futuro de la resiliencia comercial empieza hoy

Las ciberamenazas se han convertido en preocupaciones comerciales cruciales al nivel de la sala de juntas. Las empresas que sobrevivan y prosperen en la próxima década no serán las que se limiten a reaccionar ante los ataques. Serán las que integren la ciberresiliencia en el núcleo de su negocio, lo que garantizará la seguridad, la continuidad y el liderazgo del mercado en una era en la que la interrupción digital es la nueva normalidad.

Los ejecutivos de nivel C solían preguntarse lo siguiente: “¿Hasta qué punto estamos seguros?”. Hoy deben preguntarse: “¿Hasta qué punto estamos preparados para superar estos ataques inevitables?”.

¿Desea consultar el “Informe global de respuesta ante incidentes de 2025” completo? Descárguelo aquí.