La complejidad en la ciberseguridad es creciente. A la intensificación de las tensiones geopolíticas y al surgimiento de nuevas tecnologías que avanzan a una velocidad sin precedentes, se suma la evolución de las amenazas, que se van sofisticando a cada paso. El cóctel se completa con las vulnerabilidades en las cadenas de suministro y la brecha en las habilidades cibernéticas, que ha ido aumentando. Y el ingrediente final es la regulación, con requisitos que suponen un reto de cumplimiento para las organizaciones. Con todo, la mayoría de los directivos de grandes empresas considera que la normativa vigente es eficaz en la reducción de riesgos, pero el número de exigencias que deben atender resulta abrumador.
Así lo constata el último informe publicado por el World Economic Forum sobre esta materia. Las páginas del Global Cybersecurity Outlook 2025 ponen de manifiesto los desafíos que están detrás de esta creciente complejidad, con un papel destacado de la incertidumbre que generan los tira y afloja de la geopolítica; el panorama opaco e imprevisible en el que ha derivado la mayor integración y dependencia de las cadenas de suministro, que son más enmarañadas; y la rápida adopción de tecnologías emergentes, que deriva inevitablemente en el surgimiento de nuevas amenazas y vulnerabilidades.
En concreto, las tensiones geopolíticas influyen en la estrategia cibernética en casi el 60% de las organizaciones, y uno de cada tres directores ejecutivos señala el ciberespionaje y la pérdida de información confidencial como sus principales preocupaciones.
Todos estos factores suponen un incremento de la imprevisibilidad en el panorama cibernético, en un escenario marcado por lo que el informe identifica como una creciente proliferación de requisitos regulatorios internacionales, que añade una carga de cumplimiento adicional para las organizaciones. Esto suma un plus de dificultad a la capacidad que tienen las compañías para gestionar los ciberriesgos de manera efectiva.
Ciberseguridad: un panorama complejo y desafiante
¿Cómo afecta este panorama a las empresas? El impacto tiene múltiples vertientes. Por una parte, de acuerdo con el estudio, genera desigualdad en todo el ecosistema cibernético, socavando la resiliencia al crear una división entre las organizaciones que disponen de los recursos para adaptarse y las que no. Estas últimas tienen todas las papeletas para quedarse rezagadas en esta carrera.
La consecuencia es un efecto dominó: la resiliencia del ecosistema queda “tocado” porque muchas compañías de mayor tamaño y más maduras suelen depender de extensas redes de proveedores más pequeños. De esta manera, cualquier incidente que afecte a estos últimos cuenta con el potencial de dañar a toda la cadena de suministro.
De hecho, el 54% de las grandes organizaciones menciona la gestión de riesgos de terceros como un desafío importante: los retos que tienen que afrontar la cadena de suministro dificulta cumplir con el objetivo de lograr la resiliencia cibernética.
Además, existe una mayor demanda de profesionales con perfiles especializados y con habilidades actualizadas en materia de ciberseguridad, pero actualmente se constata un aumento de la brecha de conocimientos. Y es que la necesidad de estar al día de los avances tecnológicos exige competencias más específicas en el campo cibernético. Dos de cada tres organizaciones reportan brechas de conocimientos de moderadas a críticas y solo el 14% de ellas confía en que podrá contar con las personas con la cualificación necesaria.
Por otra parte, la complejidad tecnológica y la innovación en la ciberdelincuencia presiona con intensidad a los equipos de ciberseguridad, que en muchas ocasiones se encuentran al límite. El 72% de los encuestados dice que los ciberrriesgos han crecido en el último año, con especial foco en los casos de fraude cibernético, los ataques de phishing y de ingeniería social y el robo de identidad.
En esta ecuación difícil de resolver entra un nuevo actor: la inteligencia artificial. El 66% de los encuestados cree que la IA afectará la ciberseguridad en los próximos 12 meses, pero solo el 37% cuenta con procesos para una implementación segura de esta innovación tecnológica.
Estos desafíos exigen una reevaluación integral de las estrategias cibernéticas a nivel organizacional y del ecosistema en su conjunto para abordar su complejidad. Parece lógico que se adopte una perspectiva más amplia y orientada al riesgo empresarial.
El reto regulatorio y la necesidad de armonización
Los requisitos regulatorios y de cumplimiento normativo son otro de los flancos que contribuyen a consolidar un campo de la ciberseguridad más complejo, tal como recoge el documento. El 78% de los líderes de organizaciones privadas expresa que las regulaciones de ciberseguridad y de privacidad son eficaces y cumplen con su objetivo de reducir significativamente el riesgo en los ecosistemas de su organización. Pero también está la otra cara de la moneda: dos tercios destacaron la proliferación de requisitos regulatorios como un desafío de vital importancia para sus compañías.
Sin embargo, es posible reforzar la resiliencia de los ecosistemas cibernéticos a través de la regulación: el 78 % de los directores de seguridad de la información (CISO en sus siglas en inglés, de Chief Information Security Officer) y el 87 % de los directores ejecutivos que participaron en la encuesta identificaron las motivaciones principales para implementar nuevas normas en este campo con el fin de mejorar la seguridad de las empresas y mitigar las amenazas tecnológicas. Al abordar el riesgo sistémico, los CISO confirman el importante rol de la normativa al imponer requisitos mínimos, que contribuyen a reducir su impacto, a la vez que incrementan la confianza de los usuarios.
El problema está en lo que destacan dos tercios de los encuestados: la proliferación de regulaciones dispares en todo el mundo obliga a las compañías a navegar en un panorama más fragmentado de requisitos de cumplimiento regionales y globales.
Y cita como ejemplos que, en la Unión Europea, la Directiva NIS2 eleva significativamente el nivel de los estándares de ciberseguridad, exigiendo una mejor notificación de incidentes, una supervisión más estricta de la cadena de suministro y una mayor responsabilidad de las juntas directivas. Al otro lado del Atlántico, Estados Unidos está haciendo cumplir la Ley de Informe de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) de CISA, que exige la rápida divulgación de los incidentes. En Asia y el Pacífico, países como Japón y Singapur están fortaleciendo sus leyes cibernéticas; la Ley de Protección de Información Personal (APPI) de Japón y la Ley de Seguridad Cibernética de Singapur refuerzan el cumplimiento de los operadores de infraestructura crítica. Además, la Ley de Resiliencia Operacional Digital (DORA), el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) de la UE, el Reglamento de Protección de Datos 2024 Agree 2025 (NDPR) de Nigeria y la Ley General de Protección de Datos (LGPD) de Brasil se suman a esta encrucijada legal.
Todo ello obliga a las empresas a gestionar una serie de requisitos superpuestos y a cumplir en múltiples jurisdicciones con distintos cronogramas de aplicación, sin mencionar las diferencias entre sectores regulados y no regulados, que tienen una supervisión más laxa. Las organizaciones deben adoptar enfoques holísticos de gestión de riesgos, alinear la ciberseguridad con las estructuras de gobernanza y promover la colaboración transfronteriza para prosperar en este escenario legal laberíntico.
Es definitiva, aunque las regulaciones establecen estándares de cumplimiento y protección necesarios y fundamentales sobre ciberseguridad, existe la posibilidad de que este intrincado “rompecabezas regulatorio” reste valor al desarrollo de estrategias personalizadas basadas en riesgos. Esto porque garantizar la resiliencia de los sistemas exige no solo cumplir, sino superar los requisitos legales.
En este sentido, el informe pone el acento en la necesidad urgente de una mayor concienciación, de intensificar la cooperación público-privada y armonizar la normativa a nivel global, de modo que los estándares de ciberseguridad sean aplicables y válidos en diversas regiones. Esto no solo supondría contar con unas normas coherentes, subraya el documento, sino que también dotaría a las empresas de una mayor flexibilidad para adaptarse de manera ágil y eficaz a las amenazas y tecnologías emergentes.