Futuros de la ciberseguridad en 2025: lo que los escenarios acertaron y lo que aprendimos

En 2018, el Centro para la Ciberseguridad a Largo Plazo (CLTC) de la Universidad de California en Berkeley colaboró con el Instituto de Investigación Pública de CNA para desarrollar escenarios exploratorios sobre futuros posibles para la ciberseguridad en 2025. Ahora que hemos llegado a ese año, nos preguntamos: ¿cómo ha resultado ese esfuerzo?

Realizamos un análisis detallado de nuestros escenarios para comprender qué señales identificamos correctamente y cuáles pasamos por alto, y recopilamos esas ideas para extraer conclusiones.

Los primeros avances en informática cuántica motivaron intentos de establecer un régimen global de no proliferación. Estos esfuerzos fracasaron, pues la tecnología cuántica se extendió más allá del control inicial del Estado a múltiples países y redes criminales.

La no proliferación ralentizó a los competidores, pero no los detuvo, lo que llevó a las grandes potencias a considerar acelerar la difusión cuántica entre sus aliados en lugar de contenerla.

El impulso para utilizar la tecnología digital con seguridad, el Internet de las cosas y el aprendizaje automático para cuantificar la vida individual y social condujo a un dilema inesperado: la pérdida de la ambigüedad constructiva.

A medida que los datos hiperprecisos eliminaban las pequeñas incertidumbres que suavizan las interacciones sociales, legales y económicas, las personas buscaron una nueva flexibilidad a través de identidades digitales múltiples y fluidas. Esto creó nuevos desafíos de seguridad en torno a la gestión y verificación de la identidad.

Tras una serie de fallos catastróficos en materia de seguridad, el mundo se dividió en dos modelos de gobernanza de Internet contrapuestos: uno en el que los gobiernos ceden el control a las grandes empresas tecnológicas (cumpliendo así la visión de libertarismo cibernético de John Perry Barlow) y otro que abraza el nacionalismo digital, en el que Internet se convierte en un instrumento explícito del poder estatal.

Las tensiones más agudas surgen en los puntos de colisión entre ambos enfoques.

Después de que la inseguridad digital casi colapsara la economía de Internet, las empresas delegaron la seguridad a «SafetyNet», una red en malla impulsada por inteligencia artificial (IA) que detecta intrusiones y corrige vulnerabilidades en tiempo real.

El ciberespacio se divide en el Internet tradicional (menos seguro pero más privado) y el entorno SafetyNet (altamente seguro pero muy vigilado), lo que plantea interrogantes sobre si la privacidad, la libertad y la confianza pueden sobrevivir en un mundo protegido por la supervisión omnipresente de la IA.

Al revisar estos escenarios en 2025, surgieron algunas ideas clave:

Anticipamos correctamente que tecnologías como la IA y la computación cuántica avanzarían a través de funciones escalonadas dramáticas en lugar de curvas suaves. La rápida aparición de los modelos de IA generativa (GenAI) a partir de 2022 ejemplifica este patrón, ya que la GenAI transformó las expectativas, los patrones de inversión y las trayectorias tecnológicas casi de la noche a la mañana.

Del mismo modo, la computación cuántica ha avanzado más rápido de lo que pronosticaban las previsiones (el Instituto Nacional de Estándares y Tecnología aceleró su calendario para la transición a la criptografía resistente a la computación cuántica).

La Ley CHIPS y otras iniciativas similares destacan cómo la manufactura de semiconductores, el desarrollo de la IA y la investigación cuántica se han convertido en campos de batalla centrales de la competencia entre las grandes potencias.

Esta dinámica se ha extendido a los controles de las exportaciones y, cada vez más, a los principios fundamentales de la globalización reciente, como los flujos de capital, en particular en las relaciones entre Estados Unidos y China, tal y como anticipaban nuestros escenarios.

Subestimamos la rapidez con la que se difuminarían las fronteras entre las capacidades gubernamentales y corporativas, creando formas institucionales híbridas. Organizaciones como OpenAI demuestran esta hibridación, funcionando como organizaciones sin ánimo de lucro con filiales con ánimo de lucro, al tiempo que se asocian con agencias de defensa.

Mientras tanto, el desarrollo de la IA de código abierto ha introducido modelos de gobernanza que trascienden los binomios tradicionales de Estado o mercado – una dinámica que nuestros escenarios no exploraron adecuadamente.

Aunque señalamos la identidad digital como un espacio importante y disputado, subestimamos cómo los medios sintéticos convertirían la ambigüedad en un arma. Según el informe Panorama Global de Ciberseguridad 2025 del Foro Económico Mundial, el 47% de las organizaciones consideran los avances adversos impulsados por IA generativa como su principal preocupación, ya que permiten ataques más sofisticados y escalables.

El entorno actual combina una certeza excesiva (gracias al perfilado algorítmico) con una incertidumbre radical, en la que incluso las pruebas en vídeo tienen un valor probatorio cada vez menor. Esta contradicción crea una precisión excesiva y una duda fundamental, una tensión que nuestros escenarios solo captan parcialmente.

No supimos anticipar cómo los flujos de talento global influirían en el desarrollo tecnológico. El movimiento de investigadores entre organizaciones transfiere conocimientos cruciales, lo que convierte las políticas de inmigración en instrumentos de estrategia tecnológica.

Esto es especialmente visible en la IA, donde científicos clave que se mueven entre empresas tecnológicas como DeepMind, OpenAI y Anthropic han creado ventajas competitivas al tiempo que han acelerado el desarrollo general de las capacidades.

El malware que cifra los datos personales de la víctima a cambio del pago de un rescate transformó el panorama de las amenazas no tanto por los avances técnicos como por las innovaciones en los modelos de negocio.

Las plataformas de ransomware como servicio democratizaron las capacidades de ataque, poniendo de manifiesto las limitaciones de nuestro enfoque centrado en las tecnologías en lugar de en la organización económica y los incentivos. Fue un error irónico e inaceptable: no supimos aprovechar adecuadamente los mejores conocimientos y la mejor comprensión en este ámbito.

La pandemia aceleró la transformación digital y puso a prueba las arquitecturas de seguridad. Aunque no previmos la COVID-19, la resiliencia demostrada por la infraestructura digital indica que las capacidades de seguridad habían madurado más de lo previsto.

Las debilidades de la red de proveedores, procesos e infraestructura de las empresas se revelaron como un vector de ataque fundamental. El incidente de SolarWinds demostró cómo nuestros adversarios aprovechan canales de distribución de confianza para eludir la seguridad convencional, dejando al descubierto un dominio ofensivo que no habíamos captado en nuestros escenarios.

Según el informe Panorama Global de Ciberseguridad, el 54% de las grandes organizaciones citan los desafíos de la cadena de suministro como el mayor obstáculo para lograr la resiliencia cibernética.

De cara a 2030, estas son las tres tensiones que los responsables de la toma de decisiones deben observar:

Los escenarios no pueden predecir con precisión el futuro, pero ponen de manifiesto las decisiones estratégicas que podemos tomar ahora para prepararnos mejor para los múltiples futuros posibles.