La geopolítica se convertirá en el riesgo de ciberseguridad dominante en 2026, advierte el Foro de Seguridad de la Información, a medida que los estados nacionales intensifican el espionaje digital y la presión sobre la infraestructura crítica, e incluso las copias de seguridad en papel recuperan importancia como última línea de defensa cuando los sistemas fallan.
El riesgo de ciberseguridad en 2026 estará determinado menos por los delincuentes oportunistas que por la geopolítica, a medida que los estados nacionales utilicen cada vez más la tecnología, la información y la infraestructura como armas, según el Foro de Seguridad de la Información (ISF).
En una nueva entrevista televisada, Steve Durbin, director ejecutivo de la ISF, dijo que la convergencia de la tensión política, la dependencia digital y la capacidad respaldada por el Estado está empujando a las organizaciones a un entorno de amenazas mucho más volátil.
“Si 2026 se parece en algo a 2025, tendremos un año lleno de obstáculos”, dijo Durbin. “La sociedad se ha vuelto muy dependiente de la tecnología y los estados nacionales han comprendido que la información que existe tiene mucho valor”.
Durbin advirtió que el espionaje ha experimentado una transformación fundamental. La actividad que antes requería presencia física, riesgo y redes humanas ahora se puede realizar de forma remota, a escala y con un costo mucho menor.
“El espionaje ha existido durante siglos, pero hoy en día no hay necesidad de que los espías hagan las cosas de la manera más dura como lo hacían en el pasado”, afirmó. “Pueden trabajar desde casa muy fácilmente, por lo que el espionaje ha cambiado por completo”.
Ese cambio, argumentó, coloca a las empresas, los organismos públicos y la infraestructura crítica directamente en la línea de fuego del conflicto geopolítico, ya sea que se vean a sí mismos como actores políticos o no.
“Tenemos que volver a la infraestructura crítica”, dijo Durbin. “Si eres un actor clave en ese espacio, estarás bajo un ataque significativo en algún momento, si no ya”.
El ISF cree que los gobiernos se han vuelto cada vez más conscientes de que se puede ejercer influencia política a través de la disrupción digital y la diplomacia.
“Algunos gobiernos se han dado cuenta de que la política misma puede convertirse en un arma”, afirmó Durbin. “Otros han comprendido que necesitan jugar un juego defensivo muy fuerte, dependiendo de en qué parte del mundo se encuentren”.
Destacó que los gobiernos rara vez operan solos y que la seguridad de los sistemas nacionales está profundamente entrelazada con el sector privado.
“Los gobiernos rara vez trabajan de forma aislada y trabajan junto a grandes corporaciones”, dijo. “Es esta asociación público-privada en la que debemos centrarnos en un contexto geopolítico”.
Durbin también expresó su preocupación de que muchas de las organizaciones más grandes del mundo no estén preparadas para las implicaciones a largo plazo de la computación cuántica, a pesar de la sensibilidad de los datos que poseen.
Algunos sectores, advirtió, enfrentarán consecuencias particularmente graves si los registros cifrados se vuelven vulnerables.
“Las organizaciones como los hospitales y los fideicomisos del NHS que almacenan enormes cantidades de registros médicos sensibles y altamente confidenciales deberían preocuparse por la computación cuántica”, dijo, añadiendo que los plazos de preparación podrían extenderse a lo largo de varios años.
A pesar del rápido ritmo del cambio tecnológico, Durbin advirtió contra el abandono total de las antiguas salvaguardias. En un entorno geopolíticamente cargado, la resiliencia puede depender tanto de la simplicidad como de la innovación.
Dijo: “Hoy en día, está de moda volver a los viejos enfoques basados en el papel. No se puede piratear un trozo de papel y sólo necesitamos almacenarlo de forma segura. Así que, aunque todos estamos entusiasmados con la tecnología, el papel puede ser muy útil”.
En cuanto a la regulación, Durbin reiteró la posición de larga data de la ISF de que el cumplimiento por sí solo no brinda seguridad, al tiempo que reconoció que la acción voluntaria puede que ya no sea suficiente.
“No soy un gran partidario de la regulación porque me gustaría pensar que podríamos lograr el equilibrio adecuado”, dijo. “Un buen cumplimiento no significa buena seguridad, pero una buena seguridad, en la mayoría de los casos, significa un buen cumplimiento”.
Sugirió que la garantía de la ciberseguridad avanza cada vez más hacia la lógica de la gobernanza financiera.
“Creo que estamos llegando a un punto en el que las empresas necesitan considerar sus sistemas de seguridad de la misma manera que una auditoría financiera”, dijo Durbin. “Los tableros inteligentes insistirán en una auditoría de seguridad por parte de un tercero”.
Si bien preferiría que las empresas optaran por participar voluntariamente, Durbin reconoció que la intervención regulatoria puede resultar inevitable.
A nivel de junta directiva, la ISF insta a las organizaciones a planificar el fracaso como una cuestión de gobernanza, en lugar de optimismo.
“Las juntas directivas deben planificar el día en que sus defensas fallen”, dijo Durbin. “El punto de partida es determinar cuánto tiempo puede estar sin sus sistemas”.
Pidió ensayos anuales de los principales incidentes cibernéticos y una identificación más clara de las prioridades organizacionales.
“Es importante saber cuáles son las joyas de la corona de su organización y saber cómo protegerlas”, afirmó. “En última instancia, es la junta la que sigue siendo responsable”.
De cara al futuro, Durbin argumentó que ninguna organización o sector puede abordar por sí sola el riesgo cibernético impulsado geopolíticamente.
“A partir de ahora, creo que es necesario que adoptemos un enfoque intersectorial para compartir información”, añadió.
La entrevista completa de Steve Durbin con Business Matters se transmitirá en Bloomberg TV el domingo 11 de enero a las 9:30 am (Sky 502, Virgin 609, Freesat 208) y luego estará disponible en el canal de YouTube de The European.
LEER MÁS: ‘Hacer que las juntas directivas sean legalmente responsables de los ciberataques, advierte el jefe de seguridad’. La seguridad cibernética es ahora una responsabilidad de las juntas directivas, y el Foro de Seguridad de la Información pide a los directores que enfrenten el deber legal de proteger a sus organizaciones de ataques.
¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.