Secure&Magazine - Estado de la Ciberseguridad 2024
ENTREVISTA 04
Pedro Montero, CISO del Grupo Guadarrama Proyectos Educativos (UAX)
09 PATROCINIO
Secure&IT vuelve a ser patrocinador principal del ELC Las Rozas
10 14
ESTUDIO: ESTADO DE LA CIBERSEGURIDAD EN ESPAÑA 2024
PREVISIONES Y TENDENCIAS
• Secure&IT: El uso de la IA generativa y la evolución del ransomware provocarán ciberataques más dirigidos y agresivos en 2025
• Bitdefender: Ciberseguridad: hitos en 2024 y predicciones para 2025
• Delinea: 2025: predicciones sobre ciberseguridad que esperaba… y otras que no
20
PREVISIONES Y TENDENCIAS
REGLAMENTO DE IA
22
REGLAMENTO DE IA
Las organizaciones que no se adapten al nuevo Reglamento de la IA podrán ser sancionadas con multas de hasta 35 millones de euros
REGLAMENTO DE CIBERRESILIENCIA
Los dispositivos electrónicos serán más ciberseguros a partir de 2027
24
SASE
Y ZERO TRUST
Fortinet: El modelo de trabajo híbrido demanda confianza cero proporcionada por SASE
26
REGISTRO DE VIAJEROS
El nuevo registro de viajeros implica importantes riesgos de privacidad para más de 85 millones de turistas
Estimados lectores,
La UE está muy preocupada por los niveles de cibercriminalidad identificados estos últimos años y las consecuencias tan negativas que está conllevando para las organizaciones y las personas, especialmente, en los sectores más críticos de la sociedad. Con el objetivo de paliar esta situación, y actualizar el marco europeo que armonice la normativa a nivel de la UE, se han aprobado en el ámbito europeo diferentes normas asociadas, específicamente, a la ciberseguridad. Además, la mayoría de ellas no solo se centran en la ciberseguridad; cuentan con referencias constantes, y muy relevantes, a la ciberresiliencia.
En este sentido, se han producido importantes avances, con el Reglamento de Resiliencia Operativa Digital (DORA), la Ley de Ciberresiliencia (CRA) y, especialmente, con la Directiva NIS2, que es la que más está impactando. Según nuestro director general, Francisco Valencia, “esta norma va a ser, probablemente, una de las que más transformará el modo en el que las organizaciones abordan la seguridad en los sectores más críticos de la sociedad”. Por ello, en este número de Secure&Magazine, trataremos algunos de los aspectos más destacados de estas nuevas normativas, y su impacto en las empresas y las personas.
Un año más, lanzamos nuestro Estudio de la Ciberseguridad en España, que en esta edición 2024, y por tercer año consecutivo, revela que el ransomware es la amenaza que más preocupa a las empresas, seguida de la exfiltración de datos y el phishing. De hecho, El 95,4% de los encuestados considera que representa un grave riesgo para sus organizaciones debido, entre otras cosas, a la pérdida de datos, los costes financieros y la interrupción de la actividad que puede suponer un ataque de este tipo. Nuestro estudio ahonda también en otros aspectos como el impacto de la situación geopolítica en sobre la ciberseguridad, la normativa y la inversión de las organizaciones en seguridad de la información.
Acabamos de comenzar 2025 y es un buen momento para analizar hacia dónde va a ir la ciberseguridad este año. El uso de la IA generativa y la evolución del ransomware ocupan la mayoría de los titulares en este sentido. La inteligencia artificial generativa está transformando la forma en la que operan los ciberdelincuentes, y este va a ser un factor clave en la evolución de las ciberamenazas. Además, el ransomware seguirá siendo otra de las principales amenazas. En la actualidad, los ciberdelincuentes están diversificando sus métodos de chantaje y ahora suman estrategias más personales y agresivas.
Los sectores más atacados en 2024 han sido la administración pública, la industria y la sanidad y, aunque en 2025 seguirán siendo los principales objetivos de los ciberdelincuentes, es probable que veamos un aumento en los ataques derivados de las tensiones geopolíticas. Las empresas que operan en mercados marcados por conflictos entre países, diferencias ideológicas, religiosas o culturales, podrían convertirse en el blanco de ciberataques.
En este número de nuestra revista hemos hablado de la actualidad del sector con Pedro Montero, CISO del Grupo Proyectos Educativos (UAX), que aprecia entre las compañías una falta de percepción de la magnitud y frecuencia de los ciberataques: “No siempre se tiene en cuenta que el cibercrimen es una industria en sí misma, que opera de manera organizada y constante. Tampoco se consideran suficientemente las graves consecuencias que podría tener una brecha de seguridad, como la exfiltración de datos de estudiantes o pacientes. Estos incidentes pueden generar daños reputacionales y económicos significativos, afectando profundamente la confianza y la viabilidad de instituciones como la nuestra”.
Como siempre, contamos con la participación de varios colaboradores a los que agradecemos su dedicación. En este caso, queremos dar las gracias a las compañías Bitdefender, Delinea, y Fortinet. Sin sus aportaciones, esta publicación no sería lo mismo.
El equipo de Secure&IT
PEDRO MONTERO
Pedro Montero lidera la unidad de GRC y es el CISO del Grupo Guadarrama Proyectos Educativos. Es un profesional de ciberseguridad, con más de 15 años de experiencia en el diseño e implementación de estrategias de seguridad de la información. Como CISO, ha liderado iniciativas de transformación digital segura, gestión de riesgos y ciberresiliencia, alineándose con estándares reconocidos como ISO 27001, NIST y COBIT 2019. Posee una sólida combinación de habilidades técnicas y estratégicas, respaldadas por certificaciones. Su objetivo es garantizar la protección de los activos digitales, fomentar la cultura de seguridad y mantener el cumplimiento normativo.
“Estoy convencido de que la concienciación es el pilar fundamental de la seguridad de la información”
Llevas cuatro años en la Universidad Alfonso X El Sabio, actualmente, ocupando el cargo de CISO en la entidad. ¿Cuáles han sido los cambios más importantes en la compañía en este sentido? ¿Qué proyecto(s) destacarías?
Efectivamente, llevo cuatro años trabajando en la Universidad Privada de Madrid, que es la Universidad Alfonso X El Sabio. Inicialmente, yo llegué a la UAX como mánager de GRC y, al año siguiente, pasé a ser el CISO de la entidad. En la actualidad, ocupo el cargo de CISO del Grupo.
Cuando ingresé en la universidad, me encontré con una institución gestionada de manera tradicional, donde la cultura de ciberseguridad era prácticamente inexistente. Para ilustrarlo con una analogía, era como llegar a un terreno vacío en el que primero había que colocar los cimientos antes de construir todo lo relacionado con la seguridad de la información.
Lo primero que hicimos fue llevar a cabo un análisis de riesgos para evaluar la situación de la UAX en materia de ciberseguridad. Gracias a este proceso y con el apoyo de Secure&IT, logramos identificar los riesgos existentes y diseñar un Plan Director de Seguridad que nos sirviera como hoja de ruta para orientar nuestras acciones.
Uno de los logros más destacados que hemos alcanzado en este ámbito ha sido la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en toda la UAX, basado en la norma ISO 27001. Además, hemos obtenido la certificación ISO 27001 en nuestras clínicas odontológicas, un área en la que consideramos que este reconocimiento aporta un valor especialmente significativo.
En la UAX habéis lanzado la campaña “Business & Tech” en la que, según comentas, se aborda el negocio y la tecnología como un todo. ¿Qué importancia tiene la digitalización en educación? ¿Cómo están afrontando las instituciones esta transformación? ¿Cuál es la tendencia?
La digitalización es un paso imprescindible, tanto en este como en cualquier otro sector. No avanzar en este sentido implica quedar fuera del entorno empresarial. En el ámbito educativo, la digitalización permite un acceso global e internacional, no solo al negocio, sino también al conocimiento. Esto nos da la capacidad de ofrecer nuestro catálogo de servicios a todos los estudiantes, sin importar dónde se encuentren, al mismo tiempo que promovemos un conocimiento global y compartido.
Además, tecnologías como la inteligencia artificial nos brindan la oportunidad de personalizar el ritmo y las necesidades de aprendizaje de cada estudiante, lo que resulta en un proceso educativo más efectivo y de mayor calidad.
Otro aspecto clave es el desarrollo de competencias digitales, tanto en estudiantes como en docentes. Este avance también supone un desafío en términos de seguridad. Gestionamos múltiples aplicaciones y debemos garantizar tanto su uso seguro como la protección de la información que manejan, asegurándonos además de que cumplen con todos los requisitos normativos. En nuestro caso, al ofrecer servicios a nivel internacional, también debemos cumplir con las distintas regulaciones aplicables para asegurar un servicio de excelencia.
Por lo que me cuentas, ¿dirías que la digitalización se ha convertido en una necesidad competitiva para vosotros?
La UAX se posiciona como una de las universidades privadas más competitivas en nuestro país en este ámbito. Uno de nuestros pilares fundamentales es la innovación y la integración de nuevas tecnologías en todos los procesos educativos.
En particular, estamos realizando una fuerte apuesta por el uso de la inteligencia artificial (IA). En la universidad fomentamos su adopción y la consideramos una herramienta clave que aporta un gran valor, tanto a los estudiantes como a los docentes. La IA no solo facilita un aprendizaje más personalizado y efectivo, sino que también enriquece la experiencia educativa y fomenta la excelencia académica.
En la actualidad, la información es un activo muy valioso. ¿Crees que, en general, se es consciente de los riesgos de no protegerse y de las consecuencias que puede tener?
A menudo, se percibe la seguridad como algo “incómodo” porque exige más tiempo, revisiones adicionales y controles estrictos. En muchos casos, se ven estas medidas como un trámite obligatorio más que como una necesidad esencial.
Existe una falta de percepción de la magnitud y frecuencia de los ciberataques. No siempre se tiene en cuenta que el cibercrimen es una industria en sí misma, que opera de manera organizada y constante. Tampoco se consideran suficientemente las graves consecuencias que podría tener una brecha de seguridad, como la exfiltración de datos de estudiantes o pacientes. Estos incidentes pueden generar daños reputacionales y económicos significativos, afectando profundamente la confianza y la viabilidad de instituciones como la nuestra.
“Uno de nuestros pilares fundamentales es la innovación y la integración de nuevas tecnologías en todos los procesos educativos. Estamos realizando una fuerte apuesta por el uso de la inteligencia
artificial”
En este contexto, es importante distinguir entre las empresas que operan bajo una regulación estricta, y que, por tanto, tienen una mayor conciencia y rigor en la ejecución de políticas de seguridad, y aquellas que no enfrentan esa misma presión regulatoria.
Según mi experiencia, las empresas menos presionadas por normativas suelen ser mucho más laxas en la gestión de riesgos. Carecen de una verdadera cultura del riesgo y, a menudo, subestiman la posibilidad de sufrir incidentes. Predomina la mentalidad de "a mí no me va a pasar", algo que, lamentablemente, está lejos de la realidad, porque los incidentes siempre terminan ocurriendo.
En el ámbito educativo, echo en falta una mayor concienciación sobre la importancia de implementar medidas de seguridad adecuadas.
Algunos estudios sitúan al sector educativo en el punto de mira de los ciberdelincuentes, llegando a cuantificar el aumento de ataques en el último año en un 250%. Os enfrentáis a grandes retos en el ámbito de la seguridad de la información y el elevado nivel de riesgo es un factor muy importante. ¿Cómo afrontáis los desafíos?
En la UAX somos plenamente conscientes de que formamos parte de un sector que es objeto de constantes ataques. Por esta razón, era fundamental para nosotros implementar un Sistema de Gestión de Seguridad de la Información (SGSI), algo que hemos logrado con éxito. Este sistema nos proporciona una base sólida para gestionar nuestra seguridad de manera integral.
Sin embargo, en muchas ocasiones, nos vemos obligados a enfrentar los retos según van surgiendo. Por ejemplo, la publicación de nuevas normativas en materia de ciberseguridad puede convertirse en una palanca clave para impulsar determinados proyectos.
En este sentido, considero esencial contar con un partner experto como Secure&IT.
Su conocimiento del sector nos permite integrar eficazmente los nuevos requerimientos de seguridad con los objetivos estratégicos de la organización, lo que resulta crucial para cumplir las expectativas y prioridades de los consejos de administración. De esta forma, conseguimos alinear nuestras iniciativas de ciberseguridad con el éxito y sostenibilidad del negocio.
Según estos mismos estudios, la mayoría de los incidentes se producen por intrusiones en los sistemas, mediante ataques de ingeniería social y debido a errores humanos. En este sentido, ¿qué importancia le dais a la formación y concienciación en materia de seguridad de la información?
Estoy convencido de que la concienciación es el pilar fundamental de la seguridad de la información. No basta con que los empleados apliquen la normativa; es esencial que entiendan por qué lo hacen. Es decir, por qué la formación, la concienciación, las normas y las buenas prácticas son herramientas valiosas no solo en el ámbito laboral, sino también en su vida personal.
Debemos aceptar que, como usuarios, somos objetivos directos de los ciberdelincuentes, no solo las entidades o empresas. Es fundamental abandonar esa falsa sensación de seguridad en la que muchas veces vivimos.
Un ejemplo claro es cómo, en ocasiones, somos capaces de exponer nuestra vida de manera constante en redes sociales, sin pensar en las consecuencias, mientras que dudamos y cuestionamos un formulario requerido por una institución oficial. Esto refleja una desconexión en nuestra percepción del riesgo.
Por supuesto, es importante ser cautelosos con los datos que compartimos y aplicar siempre el sentido común. Sin embargo, muchas veces no somos conscientes de que la información que publicamos voluntariamente en redes sociales puede proporcionar a los delincuentes todo lo que necesitan para atacarnos.
“Fomentar una cultura de la seguridad y educar sobre los riesgos reales es imprescindible para protegernos, tanto a nivel individual como colectivo”
Por eso, fomentar una cultura de la seguridad y educar sobre los riesgos reales es imprescindible para protegernos, tanto a nivel individual como colectivo.
Vuestro compromiso con la seguridad de la información es absoluto. ¿Cuál es vuestro objetivo a medio plazo en este ámbito?
Nuestra intención es extender el modelo de gestión que actualmente tenemos en la Universidad al resto de los negocios del grupo. Esto implica implementar el Sistema de Gestión de Seguridad de la Información (SGSI), basado en la norma ISO 27001, en toda la organización. Nuestro objetivo es lograr una gestión unificada de la seguridad de la información, con directrices comunes que se apliquen a todos los negocios del grupo.
Además, queremos incorporar la inteligencia artificial (IA) en la gestión de la seguridad, un desafío significativo pero lleno de potencial. Estoy convencido de que la IA puede desempeñar un papel crucial en la prevención y detección de incidentes de seguridad. Sin embargo, su mayor impacto estará en la automatización de procesos, permitiéndonos gestionar la seguridad de manera más eficiente y proactiva.
De manera paralela, es esencial trabajar en la concienciación de los empleados y usuarios respecto al uso adecuado de estas herramientas de inteligencia artificial. Por ello, estamos evaluando cómo gestionar e implementar de manera eficaz estas aplicaciones en toda la UAX, asegurándonos de que su adopción esté alineada con nuestros estándares de seguridad y los objetivos del grupo.
Estamos a primeros de año y es un buen momento para hablar de inquietudes y previsiones… ¿Qué aspectos son los que más te preocupan?
Los ataques de phishing y ransomware son una preocupación constante, ya que estas amenazas no solo están siempre presentes, sino que siguen ocupando titulares por su capacidad de causar estragos en organizaciones de todo tipo. Para una institución como la UAX, un ataque exitoso podría tener consecuencias devastadoras en múltiples frentes: legal, económico y, sobre todo, reputacional. La información sensible que manejamos, como los datos de estudiantes y pacientes, nos convierte en un objetivo particularmente atractivo para los ciberdelincuentes.
Además, lo que hace estos riesgos aún más alarmantes es la profesionalización del cibercrimen. Hoy en día, los atacantes no son individuos aislados, sino organizaciones estructuradas que operan
con recursos, tiempo y dedicación, y que centran su atención en entidades como la nuestra. Este nivel de sofisticación y persistencia hace que los riesgos estén siempre presentes, incluso en sistemas que se perciben como robustos.
Es natural preocuparse por estos aspectos, y esta preocupación debe traducirse en medidas preventivas sólidas y una estrategia proactiva que abarque desde la educación y concienciación del personal hasta la adopción de herramientas avanzadas, como la inteligencia artificial, para detectar y neutralizar amenazas antes de que puedan materializarse. Mantenernos un paso adelante en este campo es crucial para proteger tanto nuestros activos como la confianza que depositan en nosotros nuestros estudiantes y pacientes.
“Es esencial asegurar que todos los avances tecnológicos estén respaldados por un marco sólido de seguridad. Este compromiso no solo es un objetivo clave, sino también uno de los mayores desafíos que enfrentamos como organización”
La Universidad Alfonso X el Sabio (UAX) es una institución educativa de prestigio en España, conocida por su enfoque innovador y su compromiso con la formación integral de sus estudiantes.
Ofrece una amplia variedad de grados y programas, destacándose por sus modernas instalaciones y su fuerte conexión con el mundo profesional.
¿Cuál es la visión de futuro de la UAX con respecto a la seguridad de la información?
Nuestro principal objetivo es continuar liderando la innovación en el ámbito de la educación. Sin embargo, esta innovación debe ir siempre acompañada de un uso confiable y seguro de las tecnologías que implementemos, garantizando la protección tanto para nuestros empleados como para los estudiantes y usuarios de la organización.
Para mí, es esencial asegurar que todos los avances tecnológicos estén respaldados por un marco sólido de seguridad. Este compromiso no solo es un objetivo clave, sino también uno de los mayores desafíos que enfrentamos como organización.
La seguridad debe integrarse desde el inicio en cada proyecto, permitiendo que la innovación se desarrolle sin comprometer la protección de la información ni la confianza de quienes confían en nosotros. Este enfoque es fundamental para mantenernos a la vanguardia, al tiempo que aseguramos que el impacto de nuestras iniciativas tecnológicas sea positivo, confiable y sostenible.
VUELVE A SER PATROCINADOR
PRINCIPAL DEL
Secure&IT y el club de fútbol Electrocor Las Rozas han renovado su acuerdo de colaboración en un acto celebrado en las oficinas de la empresa de ciberseguridad ubicadas en Las Rozas. Con este acuerdo, la organización se consolida como patrocinador principal del equipo senior, que competirá en la Liga Autonómica durante la temporada 2024-2025, reafirmando así su compromiso tanto con el deporte como con las entidades locales. Los jugadores del ELC Las Rozas lucen el logotipo de Secure&IT en sus camisetas, simbolizando la alianza entre ambas entidades.
Durante la firma del acuerdo, estuvo presente el concejal de Deportes, Juan Ignacio Cabrera, quien destacó la importancia del apoyo empresarial en el desarrollo de los clubes locales: “El apoyo de empresas privadas como Secure&IT es fundamental para el crecimiento de nuestros clubes. Este tipo de colaboraciones impulsan el crecimiento de nuestros equipos y fortalecen los valores deportivos en nuestra comunidad”.
Por su parte, Luis Javier Sánchez Mulligan, presidente del club roceño, agradeció el apoyo de Secure&IT: “Para nosotros es muy importante contar con el apoyo de Secure&IT, que no solo contribuye económicamente,
sino que también se implican a nivel personal y profesional con nosotros. Esta colaboración va más allá de un logotipo en nuestras camisetas”.
Por su parte, el CEO de Secure&IT, Francisco Valencia, expresó su entusiasmo por renovar este acuerdo: “Para nosotros es un honor formar parte del ELC Las Rozas. Desde que conocimos al club hace dos años, nos dimos cuenta de que compartimos valores similares. Esta colaboración también nos da la oportunidad de fortalecer el espíritu de equipo dentro de nuestra propia empresa, participando en las actividades organizadas por el club. Queremos ser un patrocinador que no solo esté presente en las camisetas, sino en el día a día del equipo”.
Además, Secure&IT no solo reafirma su compromiso con el deporte, sino que también refuerza su apuesta por la inclusión al renovar el patrocinio del equipo Special Skills, compuesto por jóvenes con capacidades especiales. Este apoyo no solo resalta su apuesta por el deporte, sino también por la inclusión y el desarrollo de oportunidades.
ESTUDIO: ESTADO DE LA CIBERSEGURIDAD EN ESPAÑA 2024
El 95,4% de las empresas cree que el ransomware representa un grave riesgo para sus organizaciones
• Por tercer año consecutivo, el ransomware es la amenaza que más preocupa a las empresas, seguida de la exfiltración de datos y el phishing.
• Un 64,3 % de las organizaciones considera que la situación geopolítica impacta directamente sobre la ciberseguridad de su empresa.
Dada la creciente sofisticación de los ciberataques y los cambios en las regulaciones, la ciberseguridad ha pasado a ser una prioridad estratégica para empresas de todos los tamaños y sectores durante el año 2024.
Aunque los sectores más atacados en el último año vuelven a ser la administración pública, la industria y la sanidad, la situación geopolítica actual está provocando que prácticamente cualquier empresa que opere en mercados sensibles esté en riesgo. Francisco Valencia, director general Secure&IT, asegura: “Es probable que veamos un aumento en los ataques derivados de las tensiones geopolíticas. Las empresas que operan en mercados marcados por conflictos entre países, diferencias ideológicas, religiosas o culturales, podrían convertirse en el blanco de ciberataques”.
En este sentido, y según el Estudio de la Ciberseguridad en España 2024, elaborado por Secure&IT, un 64,3% de las organizaciones consideran que la situación geopolítica impacta directamente sobre la ciberseguridad de su empresa, poniéndola en el foco de los ciberdelincuentes, o supone una amenaza a nivel general, en la sociedad.
PRINCIPALES PREOCUPACIONES DE LAS EMPRESAS
Los datos de este estudio revelan que el ransomware es, por tercer año consecutivo, la principal preocupación de las compañías en lo que a ciberseguridad se refiere. Exactamente el 95,4% de los encuestados considera que este tipo de ciberataque representa un grave riesgo para sus organizaciones por la pérdida de datos, los costes financieros y la interrupción de la actividad que puede suponer un ataque de este tipo.
Además del ransomware, los ataques que explotan la ingeniería social, como el phishing (52,6 %) y la exfiltración de datos (53,1 %), son también una gran preocupación para los encuestados. Estos ataques se basan en engañar a los usuarios para obtener acceso a sistemas o información que sea confidencial para la empresa.
LA NORMATIVA EUROPEA DE CIBERSEGURIDAD GENERA INCERTIDUMBRE
La UE ha comunicado en este 2024 su elevado grado de preocupación por los niveles de cibercriminalidad identificados en los últimos años, que implican consecuencias negativas para las organizaciones y la sociedad, especialmente, en los sectores más críticos.
Con el objetivo de paliar esta situación, y actualizar el marco europeo que armonice la normativa a nivel de la UE, se han aprobado diferentes normas asociadas a la ciberseguridad. La mayoría de ellas no solo se centran en la ciberseguridad, también cuentan con referencias constantes en torno a la ciberresiliencia
“Se han producido importantes avances en la regulación en Europa con el Reglamento de Resiliencia Operativa Digital (DORA), la Ley de Ciberresiliencia (CRA) y, especialmente, con la Directiva NIS2, que es la que más está impactando. Esta norma va a ser, probablemente, una de las que más transformará el modo en el que las organizaciones abordan la seguridad en los sectores más críticos de la sociedad”, asegura Francisco Valencia.
En este sentido, el Estudio de la Ciberseguridad en España 2024 revela que, aunque muchas empresas reconocen la necesidad de cumplir con la normativa y estándares internacionales de seguridad mencionados (DORA, CRA o NIS2), sigue persistiendo cierta incertidumbre en cuanto a la aplicación en sus organizaciones y la falta de acción en cuanto a su implementación efectiva.
INVERSIÓN DE LAS EMPRESAS EN CIBERSEGURIDAD
En cuanto a las inversiones futuras en tecnologías de seguridad, las empresas españolas reconocen la necesidad de fortalecer sus defensas. Los datos de este estudio muestran un énfasis especial en la protección de datos en la nube y el cumplimiento normativo. El proyecto más destacado es la consultoría de cumplimiento y procesos de seguridad (45,8 %), lo que subraya la importancia de alinear
las estrategias de seguridad con las regulaciones vigentes.
Esto refleja una creciente preocupación en las empresas sobre los riesgos legales y la necesidad de proteger sus datos de manera adecuada.
Un 42,3 % de las compañías también priorizan invertir en proyectos relacionados con la seguridad en la nube, además de la segmentación y protección de la red (38,7 %). Por último, se observa una creciente preocupación en las empresas por la ciberseguridad industrial (32,8 %), lo que demuestra un enfoque más integral que incluye la protección de sistemas críticos.
Los resultados del Estudio de la Ciberseguridad en España 2024 también muestran una fuerte apuesta de las organizaciones por fortalecer el gobierno de la ciberseguridad. Destaca, especialmente, la importancia que se le da a la concienciación y formación de los usuarios (85,3 %) y, de nuevo, a la gestión de la privacidad y el cumplimiento normativo (82,3 %).
Además de estas áreas, otras iniciativas que también están siendo adoptadas significativamente por las organizaciones son: la implantación de un Plan Director de Seguridad (56,3 %) y la formación especializada (58,3 %), lo que demuestra un esfuerzo de las compañías por construir una cultura de seguridad sólida.
*Puedes encontrar el estudio completo en nuestra web www.secureit.es.
El uso de la inteligencia artificial generativa ha provocado grandes cambios en el ámbito de la ciberseguridad. Los ciberdelincuentes han hecho uso de esta herramienta para ataques de phishing dirigidos.
Según los últimos estudios, más del 80% de las empresas a nivel global están utilizando o explorando el uso de la IA. Las organizaciones han incorporado la IA generativa en sus procesos con la intención de ser más productivas, pero ese hecho ha aumentado también su exposición ante posibles ataques.
Para tener un control sobre la IA, este año se han producido importantes avances en su regulación, con especial relevancia de la Directiva NIS2. “Esta legislación ha despertado la atención de las compañías, preocupadas por su implementación. Es una norma bien planteada que busca imponer requisitos y ayudar a las organizaciones a establecer marcos de gobernanza y control en ciberseguridad. También están en marcha regulaciones como DORA y la Ley de Ciberresiliencia (CRA), pero NIS2 es la que más está impactando”, asegura Francisco Valencia, director general de Secure&IT.
Ante esta situación, se está creando un nuevo marco normativo muy exigente que va a obligar a las compañías a acuñar el término de “ciberresiliencia”, lo que conlleva a aplicar la ciberseguridad al máximo nivel. “Este ha sido un año de inflexión. Se está viendo una mayor preocupación en las empresas por la ciberseguridad, y parece que ya se están dando cuenta de que esto va más allá de cumplir con la Protección de Datos. Es un paso más en la dirección correcta”, asegura Valencia.
¿CÓMO VAN A EVOLUCIONAR LAS CIBERAMENAZAS EN 2025?
La inteligencia artificial generativa está transformando la forma en la que operan los ciberdelincuentes, y este va a ser un factor clave en la evolución de las ciberamenazas. Se prevé un incremento en ataques más dirigidos como el spear phishing, una modalidad de phishing orientada a un objetivo específico.
Según Francisco Valencia, para los ciberdelincuentes ya no tiene sentido enviar correos genéricos a miles de empresas: “Con la ayuda de la inteligencia artificial, los atacantes podrán identificar objetivos específicos, personalizar los mensajes y hacerlos mucho más convincentes. La propia IA generativa se encargará de redactar correos que parezcan reales, lo que hará que estos ataques sean mucho más efectivos”, explica.
El ransomware seguirá siendo otra de las principales amenazas. En la actualidad, los ciberdelincuentes están diversificando sus métodos de chantaje, ahora suman estrategias más personales y agresivas.
“Están apuntando directamente a altos cargos de empresas, exponiéndolos públicamente. Este tipo de presión busca afectar a la empresa y a su reputación personal”, comenta Valencia.
Otra táctica que ha ganado peso a lo largo de 2024, y que llegará con más fuerza en 2025, es la denuncia del ataque por parte de los ciberdelincuentes. Los propios atacantes reportan el incidente a las autoridades competentes para aumentar la presión sobre la víctima.
“A todo esto se suma otra tendencia preocupante: amenazas a clientes de las empresas atacadas. Los ciberdelincuentes amenazan a las compañías con comprometerlas publicando los datos robados en caso de que no convenzan a su proveedor de que pague el rescate”, asegura el director general de Secure&IT
LA INFLUENCIA DE LA IA GENERATIVA
La inteligencia artificial generativa se está utilizando, principalmente, para ayudar a las organizaciones a
comprender mejor los ataques que enfrentan.
Según los últimos estudios, el 56% de los dueños de negocios usan la IA para tareas de servicio al cliente, y el 51% para ciberseguridad y prevención de fraudes.
La IA generativa explica, por ejemplo, qué tipo de virus ha entrado, el peligro, dónde y cuándo se detectó por primera vez, o cómo ha evolucionado. Esto es útil para los analistas en los Centros de Operaciones de Seguridad, porque les permite ser más eficientes en la respuesta ante incidentes.
“Las empresas apuestan por la IA generativa porque funciona como un asistente que contextualiza lo que está sucediendo en caso de un ciberataque. El riesgo está en que, al igual que la IA generativa puede mejorar las defensas, también puede ser usada por los atacantes para desarrollar campañas más sofisticadas, como phishing dirigido o malware adaptativo. Esto plantea un reto constante de innovación, tanto para quienes defienden como para quienes atacan”, indica Valencia.
Se espera que el mercado global de la inteligencia artificial alcance para dentro de 5 años los 1,85 billones de dólares
LOS SECTORES MÁS ATACADOS
Los sectores más atacados hasta este 2024 han sido la administración pública, la industria y la sanidad, esto se debe a que son los más propensos a ceder ante extorsiones y pagar rescates.
“En 2025, estos sectores seguirán siendo los principales objetivos, pero es probable que veamos un aumento en los ataques derivados de las tensiones geopolíticas. Las empresas que operan en mercados marcados por conflictos entre países, diferencias ideológicas, religiosas o culturales, podrían convertirse en el blanco de ciberataques”, asegura el director general de Secure&IT
Además, factores como el cambio político en Estados Unidos, podrían polarizar aún más el panorama geopolítico y activar a grupos de cibercrimen interesados en atacar empresas asociadas a ciertos sectores o mercados económicos específicos.
“Aunque sanidad, industria y administración pública seguirán siendo los sectores más vulnerables, la geopolítica añadirá una capa de complejidad que hará que prácticamente cualquier empresa que opere en mercados sensibles esté en riesgo”, concluye Valencia.
HITOS EN 2024 Y PREDICCIONES
de criptomonedas y más.
Por otra parte, aunque los correos electrónicos de phishing han seguido siendo el vector de ataque inicial más frecuente, en estos momentos detectamos un crecimiento significativo en los ataques de ingeniería social dirigidos a plataformas de colaboración, como Microsoft Teams y QuickAssist. Grupos como Black Basta se están haciendo pasar por servicios de soporte técnico para engañar a las víctimas y obtener información confidencial, como credenciales de inicio de sesión.
De igual manera, el panorama geopolítico ha contribuido a un incremento en los ciberataques patrocinados por estados, que
seguridad a buscar indicadores de compromiso, correlacionar eventos y comprender mejor los incidentes de seguridad.
Tendencias clave en este sector para 2025
Se espera que en 2025 el uso de la IA continúe creciendo a medida que las herramientas alcancen un mayor nivel de madurez. Una posible evolución será el surgimiento de un nuevo tipo de ransomware que utilice deepfakes en campañas de extorsión. Los actores malintencionados podrían aprovechar imágenes o videos públicos de personas de alto perfil para crear contenidos falsos comprometedores
PREDICCIONES PARA 2025
gará un rol crucial en la predicción de vectores de ataque emergentes desarrollados mediante herramientas de IA clandestinas.
Principales desafíos en el ámbito de la ciberseguridad
El mayor desafío para los proveedores de ciberseguridad será la velocidad a la que el cibercrimen evoluciona con la ayuda de la IA. Los ataques de ingeniería social han alcanzado niveles de sofisticación sin precedentes, y aunque se han logrado avances en la detección de deepfakes, estas tecnologías avanzan a un ritmo vertiginoso, con herramientas de IA multimodales cada vez más poderosas
Aunque los retos son numerosos, en Bitdefender estos desafíos refuerzan nuestro compromiso de liderar la lucha contra el cibercrimen.
Technical Marketing Manager Enterprise
2025: PREDICCIONES SOBRE CIBERSEGURIDAD
ESPERABA…
La primera semana del año es extraña. La gente sale a trompicones de la niebla de las vacaciones y calienta los músculos del trabajo. Cuanto antes ponga en marcha sus iniciativas, más tiempo tendrá para aplicarlas y antes verá los resultados.
¿Dónde concentrar sus esfuerzos para motivar a su equipo y conseguir que todos tiren en la misma dirección?
Tendrá que abordar las tendencias emergentes y los retos persistentes del año pasado, además de los nuevos factores que se espera que afecten a la ciberseguridad en 2025
Frank Vukovits, Chief Security Scientist de Delinea, y yo hablamos recientemente de las perspectivas para 2025 en el 401 Access Denied Podcast.
A continuación, presentamos las principales expectativas que definirán 2025, junto con recomendaciones sobre cómo puede abordarlas:
• La IA ha bajado el listón para los ciberdelincuentes
Gracias a la IA, los correos electrónicos de phishing y las traducciones tienen ahora un aspecto tan realista que incluso pueden engañar al ojo entrenado. Las falsificaciones, a veces apoyadas por ciberdelincuentes patrocinados por los Estados, están modificando imágenes para que parezcan una identidad robada, y luego usar esa identidad para robar propiedad intelectual. Existen tantas grabaciones de audio y vídeo que no es difícil crear una simulación virtual de una persona real.
Qué hacer: Verificar que las personas son realmente quienes dicen ser mediante tácticas de garantía de identidad como la MFA es más importante que nunca.
• La defensa contra el ransomware requiere algo más que copias de seguridad y recuperación
El año pasado vimos cómo se pasaba del ransomware tradicional basado en el cifrado a la extorsión, en la que los agresores obtenían credenciales y amenazaban con revelar la información o venderla a otros delincuentes. A medida que aumente el valor de la criptomoneda, seguiremos viendo cómo los delincuentes la blanquean en intercambios con intermediarios de acceso y otras partes de la cadena de suministro del ransomware.
Qué hacer: Gestionar de forma segura las credenciales y mantener el acceso con los mínimos privilegios siguen siendo estrategias fundamentales de protección contra el ransomware
• Gobernanza de la IA para usuarios, tanto humanos como no humanos
¿Dispone de una declaración de uso responsable de la IA? Tenga en cuenta las identidades humanas que utilizan scripts y modelos de IA y asegúrese de que sólo las personas autorizadas tienen acceso. Recuerde también que la IA se está sumando a la explosión de identidades no humanas, con API y secuencias de comandos que se ejecutan en segundo plano y que también deben protegerse.
Qué hacer: Mantener un inventario de todos los agentes de IA, su acceso y dependencias, al igual que haría con todas las cuentas de máquinas y servicios. Desarrolle una declaración de uso responsable de la IA en su empresa para abordar cómo se utiliza la IA, incluido el uso de datos de clientes y la formación de modelos de IA.
• Cambios en los requisitos de cumplimiento Los requisitos de cumplimiento cambian con frecuencia y 2025 no será una excepción:
√ La Digital Operational Resilience Act (DORA) entra en vigor en enero, con requisitos vinculantes para el cifrado de datos.
√ PCI 4.0 será obligatoria en abril y deberá tenerse plenamente en cuenta durante una evaluación de PCI DSS.
√ La Cybersecurity Maturity Model Certification
CIBERSEGURIDAD QUE
(CMMC) será obligatoria para los contratistas del Departamento de Defensa de Estados Unidos, lo que significa que tendrán que alcanzar un nivel de cumplimiento CMMC específico para poder optar a nuevos contratos.
√ Cinco nuevos estados de EE.UU. pondrán en marcha leyes de privacidad de datos en 2025, lo que elevará el total a 18 leyes estatales de privacidad.
Qué hacer: Evalúe en qué medida se ajusta a la cambiante normativa. Incluso si no está obligado por los requisitos legales, estos proporcionan un marco de mejores prácticas para la ciberseguridad y la gestión de riesgos. La mayoría de los marcos de cumplimiento comparten requisitos comunes para la seguridad de la identidad, incluida la autorización, la autenticación y la gobernanza. Si está buscando un punto de partida, las nuevas directrices del NIST Cybersecurity Framework (CFS) 2.0 son un gran recurso.
• Consolidación de soluciones frente a “cinturón y tirantes”Las empresas tienen múltiples herramientas tecnológicas en varias nubes y aplicaciones SaaS y acaban teniendo demasiadas diferencias en los controles de seguridad. El objetivo para 2025 es reducir la complejidad. El nirvana son los controles de seguridad coherentes en todos los entornos de TI.
Muchos creen que veremos una consolidación de proveedores y una reducción de la tecnología redundante o no utilizada. ¿Por qué pagar por más de una herramienta que hace lo mismo?
Sin embargo, también estamos viendo preocupaciones sobre la disponibilidad, lo que está animando a la gente a comprar múltiples soluciones que resuelven el mismo caso de uso, para las capas de defensa.
Sin duda, los equipos de TI y seguridad verán una mayor integración de sus funciones y responsabilidades laborales, lo que significa que las soluciones deben dar soporte a múltiples usuarios a través de casos de uso horizontales. Las plataformas de seguridad de identidades romperán los silos entre los controles IAM, la autorización y la gestión de riesgos.
Qué hacer: Asegúrese de que cualquier solución de ciberseguridad que adquiera sea fácil de usar y esté abierta a la integración y la orquestación.
• Manejar el estrés y el agotamiento es tan importante como comprar el próximo software
Todos sabemos que no hay suficientes profesionales de la ciberseguridad para hacer frente a las amenazas. Además, muchos están agotados por las largas jornadas y las batallas que tienen que librar. La automatización puede ayudarnos a hacer más con menos, pero no puede resolver todos los problemas. Durante los últimos años, hemos dicho que nuestro sector debe centrarse en la salud mental; este es el año de hacerlo de verdad.
Qué hacer: Consulte a organizaciones como Cybermindz y Sober in Cyber. Cuídese y cuide a los suyos este año nuevo.
¡Por un 2025 productivo y ciberseguro!
Joseph Carson, Chief Security Scientist and Advisory CISO en Delinea
AL REGLAMENTO DE IA
PODRÁN SER SANCIONADAS CON MULTAS DE HASTA 35 M€
En agosto de 2024, entró en vigor el Reglamento Europeo de Inteligencia Artificial, también conocido por sus siglas en inglés como RAI. El objetivo principal de este acuerdo es fomentar el desarrollo y la implantación responsable de la Inteligencia Artificial en toda la Unión Europea.
La IA llegó para revolucionar el sector de las nuevas tecnologías. Actualmente, más del 24% de las empresas españolas ya utilizan alguna herramienta de Inteligencia Artificial, hablamos de 1 de cada 4 compañías, según el “III Informe sobre Transformación digital” de InfoJobs.
Una de las herramientas más usadas es ChatGPT, nacida en noviembre de 2022, que ya registra 200 millones usuarios activos semanales en todo el mundo. De hecho, este sistema de chat basado en la IA obtuvo más de 1,5 millones de visitantes durante el mes de febrero de este año 2024, según datos publicados por UBS, compañía de servicios financieros.
“Es importante tener cautela ante el uso de herramientas de inteligencia artificial como ChatGPT. Tenemos que ser conscientes de que, con el uso de estas aplicaciones, estamos aportando unos datos que, esta IA, usará más tarde
para su beneficio”, aseguran desde Secure&IT.
Las organizaciones más afectadas por el RIA
El RIA incluye varias categorías de operadores: proveedores, representantes, distribuidores, importadores, proveedores posteriores y responsables de despliegue. Lo cierto es que, a la mayor parte de entidades y organizaciones que utilizan sistemas o modelos de IA, la llegada del nuevo Reglamento de Inteligencia Artificial no les va a suponer especiales obligaciones.
Si hablamos de las organizaciones más afectadas por el RAI, nos encontramos con los proveedores
de sistemas IA de alto riesgo, que deben asumir un conjunto más complejo de obligaciones. Esto se debe a que son más susceptibles de causar daños para la salud, la seguridad o los derechos fundamentales de las personas. “Nos referimos a sistemas IA que están destinados a utilizarse como componentes de seguridad o que son sistemas de seguridad por sí mismos. Algunos ejemplos son: vehículos a motor; productos sanitarios; aviones civiles; juguetes; embarcaciones de recreo y motos acuáticas; ascensores…”, indica Natalia Patiño, consultora Legal TIC de Secure&IT.
Los “sistemas independientes” como infraestructuras críticas, sistemas de identificación biométri-
qué no lo es: “El problema es que el concepto “Inteligencia Artificial” se está utilizando, en algunos casos, solo como una estrategia de marketing Hacer referencia a la IA como componente de un producto o servicio despierta cierta fascinación y hace más atractiva su comercialización, aunque verdaderamente no incorporen IA. Este uso indiscriminado puede dar lugar a una aplicación incorrecta del RAI, generando así confusión a la hora de determinar qué requisitos y obligaciones legales resultan verdaderamente exigibles en cada caso”, concluye Patiño.
¿Qué riesgos implica el uso de la IA?
A pesar de la regulación europea de la Inteligencia Artificial, hay que tener en cuenta que su uso expone a usuarios y empresas a una serie de peligros.
“Tenemos que ser conscientes de que, con el uso de estas aplicaciones, estamos aportando unos datos que, esta IA, usará más tarde para su beneficio”
En primer lugar, existen riesgos relacionados con el uso que el proveedor de la IA generativa va a hacer de la información que se proporciona en los “prompts” (entradas de información que realizan los usuarios), debido a que se trata de un entorno no controlado.
OpenAI, empresa creadora del modelo GPT, declaró abiertamente que utilizaba los datos introducidos por los usuarios en ChatGPT, tanto para reentrenar a sus modelos, como para ceder estos datos a posibles terceros.
Lo cierto es que la aprobación del Reglamento de Inteligencia Artificial en la UE ya ha tenido las primeras consecuencias para algunas marcas. La compañía Apple ha comunicado que la integración de su IA, conocida como Apple Intelligence, no se producirá en Europa, por lo menos, a corto plazo. A lo largo del próximo año 2025, Apple Intelligence estará disponible en varios idiomas, entre los que se incluye el español, pero no estará operativa en la Unión Europea, debido a la política de Bruselas con respecto a la IA.
Natalia Patiño hace hincapié en el hecho de que, para aplicar correctamente el RAI, resulta imprescindible saber distinguir entre qué es la IA y
También existen riesgos relacionados con incidentes de seguridad que pueden sufrir los proveedores de IA’s generativas, y que podría comprometer la información sensible que se les proporciona en los “prompts”. De hecho, ChatGPT sufrió un incidente de seguridad en marzo de 2023 que, además de afectar a información confidencial general, afectó a datos de carácter personal y quedaron expuestas conversaciones de usuarios con la herramienta, así como datos de pago de sus suscriptores.
Por otro lado, hay que tener en cuenta que estas herramientas pueden generar resultados incorrectos, denominados “alucinaciones”, ya que no están siendo supervisadas de forma activa y continua por seres humanos a la hora de generar respuestas.
SERÁN MÁS
La ciberseguridad de los ciudadanos se ha convertido en uno de los principales retos para la Unión Europea ante su preocupación por los altos niveles de cibercriminalidad identificados en los últimos años.
Los ciberataques están considerados un asunto de interés público por su impacto, no solo en la economía de la UE, sino también en la salud y en la seguridad de los consumidores.
El Instituto Nacional de Ciberseguridad (INCIBE) gestionó 83.517 incidentes de ciberseguridad durante el año 2023, según el informe anual que elabora este instituto. Esta cifra corresponde a un aumento de un 24% con respecto a 2022, cuando se registraron 16.408 ciberataques menos.
De estos ciberataques denunciados, un 87% fueron sobre fraudes económicos mediante el uso de instrumentos tecnológicos como ordenadores, smartphones u otros dispositivos portátiles.
Ante estos datos, y teniendo en cuenta el gran número de dispositivos conectados que utilizamos en el día a día, la UE ha considerado necesario establecer un marco jurídico uniforme, relativo a los requisitos de ciberseguridad y ciberresiliencia que deben cumplir los productos con elementos digitales que se introduzcan en la UE.
Este refuerzo se ha materializado a través del Reglamento (UE) 2024/2847, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, conocido como Reglamento de Ciberresiliencia o CRA, publicado en el Diario Oficial de la UE a finales de noviembre de 2024.
¿QUÉ ES EL REGLAMENTO DE CIBERRESILIENCIA?
El CRA cuenta con diferentes plazos de cumplimiento en función del tipo de obligaciones. A nivel general, los fabricantes, importadores y distribuidores de productos con elementos digitales deberán notificar vulnerabilidades e incidentes graves de sus productos a los organismos competentes antes del mes de septiembre de 2026. En relación con el resto de las obligaciones, establecidas por CRA, se deberán cumplir antes del 11 de diciembre de 2027.
Aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o a una red, salvo determinadas excepciones, como dispositivos de seguimiento médico, aviación civil o vehículos, cuya regulación en materia de ciberseguridad ya se aborda en otras normas.
Desde Secure&IT, Juan Manuel Valiente, responsable del Área Jurídica explica: “Con la publicación de este Reglamento, se pretende hacer frente, entre otros, a dos problemas importantes que suponen un aumento de costes para los ciudadanos y la sociedad”.
El primero de ellos es el bajo nivel de ciberseguridad de los productos con elementos digitales que se comercializan actualmente, ya que se han detectado multitud de vulnerabilidades y una oferta insuficiente de actualizaciones de seguridad para hacerles frente.
El segundo problema identificado por la UE es la insuficiencia de la comprensión de la informa-
ción ofrecida por los fabricantes de estos productos, y del acceso a ella por parte de los ciudadanos. Esto impide que los usuarios seleccionen productos con las características de ciberseguridad adecuadas o que los puedan utilizar de forma segura.
En este sentido, Valiente indica: “El objetivo de este Reglamento es claro: que los productos con elementos digitales comercializados en la UE sean ciberseguros y que los usuarios de estos productos tengan en cuenta la ciberseguridad a la hora de elegirlos y utilizarlos, debido a que contarán con información más adecuada”.
¿CÓMO SE VA A PROTEGER A LOS USUARIOS?
La normativa establece obligaciones tanto para los fabricantes como para los importadores y distribuidores de este tipo de productos. Entre las obligaciones más importantes, encontramos la realización de análisis de riesgos de los productos en materia de ciberseguridad; la implantación de medidas de seguridad en las fases de planificación, diseño, desarrollo, producción, entrega y mantenimiento de los productos; la realización de todas las pruebas necesarias en materia de ciberseguridad del producto; así como garantizar una adecuada gestión de vulnerabilidades e incidentes de seguridad antes de su comercialización.
“Desde el punto de vista del usuario, la información que el fabricante deberá poner a su disposición en materia de ciberseguridad será más amplia que la actual. Los usuarios deberán ser informarnos sobre los riesgos de ciberseguridad asociados al producto; las medidas implantadas en materia de ciberseguridad para mitigarlos; la posibilidad de eliminar de manera segura los datos y parámetros tratados en el producto; la posibilidad de transferir los datos a otro producto o sistema, así como información sobre el apoyo técnico en ciberseguridad ofrecido por el fabricante”, explica Juan Manuel Valiente.
Además, con esta normativa se prevé la necesidad de que estos productos cuenten con una declaración de conformidad en la que el fabricante garantice que cumple con las disposiciones de la normativa que, en aquellos productos considerados más críticos, deberá ser emitida por terceros acreditados.
Aunque las últimas estadísticas parecen indicar que se ha frenado el crecimiento del teletrabajo en España, se confirma que el modelo híbrido se ha impuesto y seguirá siendo una tendencia clave en los próximos años. De acuerdo con el INE, en 2023, el 13,8% de la población activa de entre 16 y 74 años han trabajado desde su casa en el último año, y lo hacen una media de 3,1 días a la semana, los mismos que en 2022. Además, la modalidad de teletrabajo es valorada muy positivamente por los trabajadores, con una media de 8,6 puntos sobre 10.
En este contexto, habilitar el trabajo en remoto es una prioridad para las organizaciones que quieran retener y atraer talento. Los responsables de TI, que ya asumieron en los primeros días de la pandemia el reto de proporcionar conexión segura a los trabajadores a través de las redes privadas virtuales (VPN), son también conscientes de que las VPN tradicionales no proporcionan la forma más eficiente de conectarse a los activos de red. Ahora, en la nueva era del modelo de trabajo híbrido, las organizaciones requieren un enfoque más completo para proteger el trabajo en remoto.
Una de las soluciones pasa por incorporar las soluciones de borde de servicio de acceso seguro (SASE), que combina la funcionalidad SD-WAN con la seguridad proporcionada por la nube para aplicar protecciones de nivel empresarial en todos los bordes y perímetros de la red y proteger a los trabajadores remotos.
SASE protege a los usuarios independientemente de su ubicación mediante el acceso a la red de confianza cero (ZTNA), un método de control de acceso que proporciona acceso mediante identificación y autenticación continúas basadas en sesiones. Para muchas organizaciones, aprovechar ZTNA para proteger a los teletrabajadores fue la principal motivación para adoptar SASE, y éste sigue siendo un factor impulsor de la adopción de SASE.
Cuando un usuario se encuentra fuera de las instalaciones y emplea una conexión VPN tradicional, se le proporciona un túnel cifrado a un extremo de la red. Por desgracia, la VPN permite al usuario acceder sin restricciones a toda la red. Esto significa que, si un atacante roba las credenciales de inicio de sesión, puede acceder a toda la red. Con una solución ZTNA, el usuario obtiene un túnel cifrado directamente a la aplicación, pero sólo después de que ésta verifique explícitamente quién es el usuario. Y el acceso sólo se concede para esa sesión concreta.
En resumen, ZTNA no permite un acceso completo a toda la red y verifica continuamente al usuario.
El acceso se concede en función de la función y la identidad del usuario. Además, ZTNA se asegura de que los usuarios y los dispositivos se encuentran en un estado adecuado y apropiado, ya sea por la hora del día, la geolocalización u otros factores para acceder a esa aplicación concreta. Como componente clave de SASE, ZTNA proporciona un nivel mucho más alto de ciberseguridad y reduce los riesgos para los trabajadores en remoto y sus organizaciones.
MODELO DE TRABAJO HÍBRIDO
PROPORCIONADA POR SASE
El espectacular ascenso de Universal ZTNA
A medida que ha ido creciendo la adopción de la ZTNA, un mayor número de organizaciones han entendido sus ventajas y se han dado cuenta de que el acceso granular basado en sesiones es importante para todos los empleados, no sólo para los trabajadores remotos. Por lo tanto, debe aplicarse a toda la red. Este enfoque se denomina ZTNA universal
ZTNA suele ser el primer proyecto para introducir los principios de confianza cero en una organización. Es un gran paso adelante. Una organización suele añadir más soluciones de confianza cero para abordar la amplia superficie de ataque del acceso a las aplicaciones. Si reflexionamos sobre ello, seremos conscientes de que nuestros datos se entregan a través de esas aplicaciones. Por tanto, también está aplicando los principios de confianza cero a la protección de datos.
Universal ZTNA aborda tanto las deficiencias de la seguridad VPN como la reducción significativa del riesgo cuando se trata de lo más común que hacen los empleados: utilizar aplicaciones. Las organizaciones de todo el mundo hablan de la confianza cero y se preguntan cómo pueden introducir más seguridad de este tipo en su organización.
Las ventajas que aporta la ZTNA se aplican en todos los sectores que la implantan, lo que ha impulsado su adopción por parte de organismos públicos, instituciones financieras, proveedores de servicios, empresas manufactureras y entornos educativos.
Por sus puntos fuertes, la ZTNA está presente allí hacia donde se dirige el mercado. Es una fuerza impulsora hacia la adopción de SASE. Para aquellos que buscan mejorar el acceso de sus usuarios WFA y la seguridad en general, ZTNA es el siguiente paso correcto.
El aspecto más exigente de la implantación de ZTNA no es especialmente difícil. Lo que ocurre es
que, como ZTNA ofrece un acceso granular, el equipo de TI tiene que ir aplicación por aplicación para crear políticas de acceso específicas para cada una de ellas. Crear cada política no es difícil y no requiere mucho tiempo, pero hay que gestionar un gran volumen. Es una importante carga administrativa.
Para agilizar el proceso, se suelen priorizar las aplicaciones que se desea examinar. Por lo general, las organizaciones comienzan con sus aplicaciones de alta prioridad, y definen las políticas específicas para ellas.
A medida que las organizaciones añadan más aplicaciones a sus controles ZTNA, llegarán a un punto en el que todo el acceso a sus aplicaciones esté controlado por ZTNA. En este punto, la VPN permanece en segundo plano, sin ser utilizada.
De esta manera, las organizaciones nunca tendrán el 100% de sus aplicaciones utilizando ZTNAy probablemente nunca alcancen este nivel- ya que algunas aplicaciones no se utilizan con frecuencia ni son utilizadas por muchas personas. Sin embargo, la clave es que añadir las aplicaciones comunes que son importantes para la organización es un proceso sencillo.
Afortunadamente, no se trata de pulsar el interruptor, cruzar los dedos el lunes y esperar que todo el mundo siga teniendo acceso a sus aplicaciones. Se trata de un proceso mucho más gradual, muy controlado y fácil de gestionar, que lleva a las organizaciones a una situación de confianza cero. ZTNA, como componente clave de SASE, proporciona un nivel mucho más alto de ciberseguridad y reduce los riesgos para los usuarios que trabajan en remoto y sus organizaciones.
Pablo García Pérez, Manager Systems Engineering de Fortinet
EL IMPLICA DE PRIVACIDAD PARA MÁS DE 85 MILLONES
• La aplicación de esta normativa del Real Decreto 933/2021 se ha pospuesto quejas de los sectores afectados.
• Conlleva una alta carga administrativa y, además, existen importantes personas físicas afectadas por la medida.
Nuestro país se ha convertido en uno de los destinos turísticos clave a nivel mundial. Año tras año sigue siendo una de las opciones elegidas por todos aquellos que buscan encontrar en sus vacaciones un clima idóneo y disfrutar de la gastronomía a buen precio. Y es que España recibió en agosto de 2024 a más de 10 millones de turistas internacionales y a 16.787.625 viajeros residentes en España.
En datos generales, más de 85 millones de turistas visitaron España en 2023. Este número de personas representa un aumento del 18,7% del turismo en España en comparación con el año 2022, lo que indica una fuerte recuperación del sector turístico tras los efectos de la pandemia.
Con el objetivo de desarrollar y concretar los requerimientos de registro a este tipo de entidades, y con la finalidad de reforzar las obligaciones ya previstas en la normativa, se aprobó el Real Decreto, 933/2021, de 26 de octubre. Este Real Decreto, además de establecer los datos que las entidades obligadas deben recabar, regula el sistema de comunicación de la información al Ministerio del Interior.
Esta ley establece obligaciones generales de registro de clientes por parte de las empresas que se dedican a prestar servicios de alojamiento y adquisición o uso de vehículos a motor, entre otros. El motivo es que los delincuentes, de manera habitual, requieren de este tipo de servicios en su modus operandi para llevar a cabo acciones delictivas
El texto legal entró en vigor a principios del año 2022, salvo las obligaciones relativas a la comunicación de datos al Ministerio del Interior, cuya entrada en vigor se produjo el día 2 de enero de 2023. A partir de este momento, los proveedores de alojamiento y alquiler de vehículos deben enviar los datos de sus clientes a las autoridades policiales dentro de las 24 horas posteriores a una reserva o al check-in.
“Esta regulación ha sido muy controvertida en los sectores afectados, especialmente en el de hospedaje, entendiendo que no es una normativa proporcional y que acarrea obligaciones de complicado cumplimiento. Debido a las quejas de los sectores afectados, y alegando problemas técnicos de la plataforma de comunicación de datos, se ha pospuesto en varias ocasiones la aplicación de esta norma. Pero, finalmente, las autoridades competentes decidieron que debía ser aplicada a partir del día 2 de diciembre de 2024”, explica Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT.
¿QUÉ DATOS DEBEN SER RECABADOS POR EL SECTR TURÍSTICO?
La aplicación de esta norma ha sido muy criticada por el sector turístico porque se trata de una normativa difícil de cumplir. Conlleva una alta carga administrativa y, además, existen importantes riesgos de privacidad para las personas físicas afectadas por la medida.
IMPLICA IMPORTANTES RIESGOS MILLONES DE TURISTAS
pospuesto en repetidas ocasiones por
importantes riesgos de privacidad para las
“El propio Real Decreto indica expresamente que la norma se adecúa a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia. Pero, esta afirmación es muy cuestionable”, asegura Juan Manuel Valiente. Existe un consenso en el sector sobre los datos que estas empresas están obligadas a recabar, como es el caso de información personal básica como nombre, apellidos, número de DNI, y domicilio, entre otros. Pero, además, ahora se obligará a recabar otros datos personales adicionales que podrían considerarse más invasivos e innecesarios y, los cuales, el sector turístico no está de acuerdo. “Hablamos de datos como el número de soporte del DNI, la relación de parentesco entre los viajeros cuando haya menores de edad, teléfono y, especialmente, datos de pago (tipo de tarjeta, número de tarjeta, fecha de caducidad de la tarjeta o IBAN de cuentas bancarias)”, indica el responsable del Área Jurídica de Secure&IT.
Con la entrada en vigor de esta normativa, todas las empresas del sector estarán obligadas a tratar este tipo de datos personales. Actualmente, el requerimiento y tratamiento de estos datos solo lo llevan a cabo los procesadores de pagos y las entidades bancarias, compañías que cuentan con medidas de seguridad reforzadas.
“La normativa vigente en materia de protección de datos establece como uno de sus principios fundamentales la “minimización de datos”. Esto supone que las entidades no pueden recabar más datos personales de los estrictamente necesarios para la finalidad para la que se recaban.
Por tanto, la solicitud de esta gran cantidad de datos puede entenderse como un choque frontal contra este principio”, explica Valiente.
RIESGOS EN MATERIA DE SEGURIDAD
Según los expertos, se debería haber realizado un análisis por parte del Gobierno en relación con la adecuación del Real Decreto 933/2021 a este principio, entendiendo que existen medios menos intrusivos para garantizar la seguridad ciudadana.
Esta situación provoca un doble riesgo para las personas físicas afectadas. Por un lado, el propio tratamiento de este tipo de datos por parte de los establecimientos hoteleros o por compañías de uso de vehículos a motor, podría suponer que los empleados de estas organizaciones realicen un uso inadecuado de los datos personales. Por ejemplo, los datos de medios de pago, que son especialmente sensibles, estarían en peligro.
Por otro lado, se debe tener en cuenta que el número de ciberincidentes que sufren las organizaciones aumenta exponencialmente año tras año, por lo que el tratamiento de este tipo de datos hace que los riesgos para la seguridad de los usuarios en este sentido sean mayores. El responsable del Área Jurídica de Secure&IT concluye: “Si se multiplican las localizaciones de este tipo de datos personales, los riesgos de seguridad de la información aumentan, especialmente, cuando una parte importante de los sujetos obligados son empresas que no pueden garantizar la implantación de medidas de seguridad acordes con el tratamiento de datos tan sensibles”.
