La seguridad cibernética es ahora una responsabilidad de las juntas directivas, y el Foro de Seguridad de la Información pide a los directores que enfrenten el deber legal de proteger a sus organizaciones de ataques.
Las juntas directivas de las empresas deberían tener la obligación legal de comprender y gestionar el riesgo cibernético, a medida que los ataques se vuelven más automatizados, más complejos y más dañinos para las empresas de cara a 2026, según el jefe de un importante organismo de seguridad mundial.
Steve Durbin, director ejecutivo del Foro de Seguridad de la Información (ISF), dijo que las amenazas cibernéticas han llegado a un punto en el que la supervisión voluntaria y la responsabilidad delegada ya no son suficientes.
En su intervención en un seminario web de la ISF, advirtió que las juntas directivas que no tratan la resiliencia cibernética como una cuestión central de gobernanza están exponiendo a sus organizaciones a riesgos sistémicos.
“Casi me gustaría ver que se convierta en un requisito legal que las juntas directivas observen y comprendan el riesgo que enfrentan”, dijo, argumentando que la exposición cibernética debería regularse con la misma seriedad que el riesgo financiero y el cumplimiento normativo.
Durbin dijo que la llamada refleja un fuerte aumento del riesgo en el panorama de amenazas, donde los ataques cibernéticos ya no son eventos técnicos aislados sino que están cada vez más vinculados a las cadenas de suministro, la geopolítica y el comportamiento humano.
Sus advertencias se expusieron durante la perspectiva anual de amenazas emergentes de la ISF para 2026, impartida en un seminario web de una hora titulado Amenazas emergentes 2026: dando forma al futuro de la seguridad cibernética.
Los ciberataques, advirtió, se están volviendo “mucho más complejos y mucho más automatizados” que en el pasado, impulsados por cuatro factores de riesgo clave que darán forma al año que viene.
Dijo que la inteligencia artificial se encuentra en el centro del panorama de amenazas emergentes. A medida que las herramientas se vuelven más baratas y accesibles, los atacantes utilizan la IA a escala para llevar a cabo ataques de identidad sintética, suplantación de identidad e ingeniería social automatizada, cambiando el enfoque del ciberdelito de los sistemas a las personas y las relaciones de las que dependen.
El segundo riesgo es la dependencia de la cadena de suministro, incluida la dependencia de la infraestructura de la nube y de proveedores de servicios externos. A medida que las organizaciones se interconectan más a través de servicios en la nube, operaciones subcontratadas y proveedores externos, los ataques se originan cada vez más a varios pasos del objetivo principal. Dijo que muchos de los incidentes más graves ahora explotan la supuesta confianza entre organizaciones, lo que hace que la visibilidad y la supervisión a nivel de la junta directiva sean esenciales.
El tercer impulsor, afirmó Durbin, es la computación cuántica. Si bien es poco probable que los ataques cuánticos se materialicen en el futuro inmediato, advirtió que los largos plazos implicados significan que la preparación debe comenzar ahora. Los organismos gubernamentales, señaló, suelen tardar alrededor de una década en migrar sistemas a entornos resistentes a los cuánticos.
La tensión geopolítica representa el cuarto factor de riesgo clave, a medida que los Estados nacionales, los grupos proxy y las bandas criminales organizadas operan cada vez más en esferas superpuestas. Durbin dijo que esta convergencia está desdibujando la línea entre el cibercrimen, el espionaje y la presión política, y “no desaparecerá pronto”.
En conjunto, estas fuerzas están creando lo que la ISF describe como “riesgos entrelazados”, donde las amenazas digitales se cruzan con perturbaciones físicas, inestabilidad política y vulnerabilidad humana. En un entorno así, las señales familiares de legitimidad (un proveedor conocido, una voz reconocida, una solicitud rutinaria) pueden fabricarse con rapidez y precisión, convirtiendo la confianza en sí misma en un lastre.
La advertencia sigue a una serie de incidentes cibernéticos de alto perfil en los últimos meses, incluidos casos que involucran a Jaguar Land Rover y Marks & Spencer.
Durbin dijo que esto hace imposible que las organizaciones defiendan todo por igual. En cambio, las juntas directivas deben participar directamente en la identificación y protección de los “activos de información de misión crítica”: los datos, sistemas y procesos sin los cuales la organización no puede funcionar, incluso en un estado degradado.
También pidió un uso más amplio de auditorías cibernéticas independientes, diciendo que el escrutinio externo es esencial para que las juntas directivas comprendan su verdadera exposición.
“Espero con ansias el día en que las auditorías cibernéticas sean tan importantes como las auditorías financieras”, afirmó.
LEER MÁS: ‘ISF advierte sobre un ‘modelo corporativo’ de cibercrimen a medida que los delincuentes superan las defensas comerciales’. El ciberdelito ha madurado hasta convertirse en una industria que refleja la empresa legítima, con cadenas de suministro y servicio al cliente. La industrialización del hacking, amplificada por la inteligencia artificial, exige un replanteamiento total de cómo las organizaciones gestionan a las personas, la tecnología y los riesgos, advierte Steve Durbin del Information Security Forum.
¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.