El 72 % de los líderes en ciberseguridad ve riesgos crecientes. Así responden gobiernos y empresas

A medida que la dependencia global de la infraestructura digital se profundiza, la ciberseguridad mundial enfrenta una presión sin precedentes. Los ataques modernos continúan aumentando en escala, sofisticación e intencionalidad estratégica. Esto se evidencia en operaciones recientes del actor malicioso Salt Typhoon, que infiltró infraestructura crítica de Estados Unidos, y el grupo de ciberdelincuentes Lazarus, que robó 1.500 millones de dólares en criptomonedas.

Se observa un uso creciente de ciberataques como herramienta política en una era geopolíticamente volátil, junto con tácticas en evolución como el malware “living off the land”.

En consecuencia, muchas naciones están recalibrando su enfoque hacia la ciberseguridad. El Global Cybersecurity Outlook (GCO) 2025 del Foro Económico Mundial muestra que casi el 60 % de las organizaciones reportan que las tensiones geopolíticas han influido directamente en su estrategia de ciberseguridad.

Un impactante 72 % de los encuestados en el Global Cybersecurity Outlook informó un aumento en los riesgos cibernéticos organizacionales, con el ransomware como preocupación principal. Además, casi la mitad de las organizaciones globales ahora señala el uso malicioso de la IA generativa como su principal preocupación en ciberseguridad, y más del 40 % ya ha sufrido ataques exitosos de ingeniería social en el último año.

Uno de cada tres CEOs ahora menciona el ciberespionaje y el robo de propiedad intelectual como preocupaciones clave, mientras que el 45 % de los líderes en ciberseguridad teme la interrupción operativa. Estas preocupaciones ya no son teóricas; están integradas en la planificación estratégica al más alto nivel gubernamental e industrial.

Para comprender mejor cómo responden las naciones a estas presiones, el Belfer Center de la Universidad de Harvard desarrolló recientemente el Cybersecurity Strategy Scorecard. Este análisis evalúa las estrategias nacionales de ciberseguridad de siete potencias destacadas —Australia, Alemania, Japón, Singapur, Corea del Sur, Reino Unido y Estados Unidos— para determinar los enfoques políticos más efectivos e innovadores que deberían guiar los estándares globales.

El estudio revela que no existe un modelo universal para la estrategia nacional de ciberseguridad. Más bien, los enfoques más exitosos se adaptan a la combinación única de amenazas, limitaciones de recursos y dinámicas sociales y políticas que enfrenta cada país.

Aun así, ciertas buenas prácticas técnicas se aplican de manera generalizada. Las estrategias eficaces suelen estar ancladas en cinco pilares fundamentales: (1) protección de infraestructuras y personas; (2) desarrollo de capacidades cibernéticas, incluyendo fuerza laboral e I+D; (3) asociaciones público-privadas e internacionales; (4) mecanismos claros de rendición de cuentas y cumplimiento; y (5) procesos de política adaptativos, bien comunicados y actualizados con regularidad.

La mayoría de los países demuestra un fuerte compromiso con el desarrollo de su fuerza laboral técnica, invirtiendo en iniciativas de formación y ampliando las trayectorias educativas para enfrentar la creciente escasez de talento cibernético. También hay un énfasis generalizado en la defensa de infraestructuras críticas y en la construcción de asociaciones internacionales, coordinación interinstitucional y cooperación público-privada eficiente, como las iniciativas i100 del Reino Unido y JCDC de Estados Unidos, que otorgan autorizaciones de seguridad a profesionales del sector privado.

Las deficiencias más comunes incluyen una falta significativa de enfoque en la protección de pequeñas y medianas empresas (pymes) y grupos poblacionales vulnerables, que siguen estando poco protegidos pese a enfrentar amenazas crecientes. De igual forma, pocas estrategias invierten de manera significativa en roles no técnicos de ciberseguridad, como abogados especializados, formuladores de políticas o profesionales de cumplimiento normativo, a pesar del carácter cada vez más interdisciplinario del campo. Los enfoques regulatorios sobre privacidad de datos y rendición de cuentas varían ampliamente, especialmente dentro de Estados Unidos. Tal vez lo más crítico sea que pocas estrategias incluyen mecanismos sólidos de rendición de cuentas, resultados medibles o cuantificación del riesgo. Sin mejores incentivos y estructuras de cumplimiento más claras, las estrategias corren el riesgo de quedarse en aspiraciones vagas en lugar de convertirse en objetivos alcanzables.

Naturalmente, una postura estratégica saludable no siempre se traduce en capacidades sólidas en la práctica. Aunque la mayoría de las estrategias nacionales destaca la importancia de fortalecer la fuerza laboral en ciberseguridad y describe acciones políticas concretas, el GCO señala que la brecha de habilidades cibernéticas ha empeorado, con un aumento del 8 % desde 2024. Hoy, dos de cada tres organizaciones reportan escasez de talento de moderada a crítica, incluyendo una falta de habilidades esenciales para cubrir necesidades básicas de seguridad. De forma alarmante, solo el 14 % de las organizaciones confía en tener actualmente las personas y capacidades necesarias.

La postura estratégica a veces refleja con mayor precisión la realidad cuando se trata de las deficiencias. Los datos del GCO confirman que la desigualdad cibernética que afecta a pymes y poblaciones vulnerables es una preocupación significativa y creciente: el 35 % de las pequeñas organizaciones considera ahora que su resiliencia cibernética es inadecuada, un aumento de siete veces desde 2022. En cambio, la proporción de grandes organizaciones que reportan resiliencia cibernética insuficiente se ha reducido a casi la mitad.

A pesar del reconocimiento generalizado de que el sector privado sustenta la resiliencia cibernética nacional, la mayoría de los gobiernos aún carece de estrategias sólidas y con visión de futuro para moldear e incentivar prácticas de seguridad en ese sector. La regulación sigue siendo un motor principal: según el GCO, el 78 % de los CISOs y el 87 % de los CEOs afirman que las nuevas regulaciones en materia de ciberseguridad están motivadas principalmente por la necesidad de mejorar la seguridad y mitigar riesgos. Los CISOs también destacan que la regulación contribuye a reducir el riesgo sistémico y aumentar la confianza de los clientes.

Sin embargo, dos tercios de las organizaciones informan que lidiar con un panorama global de cumplimiento cada vez más fragmentado agrega una complejidad costosa. Muchas estrategias abordan los subsidios relacionados con la ciberseguridad; los gobiernos no deberían depender únicamente de la ayuda financiera, sino facilitar una mejor comprensión del retorno de la inversión en soluciones de ciberseguridad, incluyendo una mayor cuantificación del riesgo cibernético, mecanismos de rendición de cuentas y buenas prácticas. Países como Japón, Alemania y Singapur subsidian soluciones aprobadas para pymes, mientras que Australia reduce las cargas regulatorias.

Al mismo tiempo, iniciativas como el Programa de Aprendizaje en Ciberseguridad de Estados Unidos y las propuestas de diseño seguro por defecto (que trasladan la responsabilidad hacia los productores de productos inseguros) buscan crear incentivos para fomentar culturas y fuerzas laborales cibernéticas saludables a largo plazo. En última instancia, la ciberseguridad no debería verse como un requisito de cumplimiento, sino como una herramienta que habilita el negocio, construye confianza, protege la innovación y mejora la competitividad en el mercado. Para que eso sea realidad, es necesario generar incentivos claros y cuantificables que demuestren a los líderes empresariales cómo y por qué sus inversiones en ciberseguridad se traducirán en ahorros financieros netos.

Las amenazas cibernéticas evolucionan a un ritmo alarmante, con el ransomware, las intrusiones patrocinadas por estados y los ataques impulsados por inteligencia artificial representando riesgos serios para la seguridad nacional, la estabilidad económica y la confianza pública. Al mismo tiempo, las tecnologías emergentes están ampliando la superficie de ataque: la IA permite a los adversarios automatizar ataques de spear phishing, generar deepfakes convincentes e identificar vulnerabilidades de software a gran escala, mientras que los avances en computación cuántica amenazan con romper los estándares actuales de cifrado.

Los reguladores están empezando a actuar, como lo demuestra la Ley de Resiliencia Cibernética de la Unión Europea, que establece requisitos mínimos de seguridad para productos digitales. Pero la ventana para hacer políticas reactivas se está cerrando. Los gobiernos deben modernizar con urgencia sus estrategias de ciberseguridad, invertir en estructuras de defensa adaptables y medibles, y liderar con políticas concretas y evaluables. Cualquier cosa menos que eso corre el riesgo de dejar sistemas críticos expuestos en una era donde los ciberataques seguirán proliferando.