Este contenido fue hecho con la asistencia de una inteligencia artificial y contó con la revisión del editor/periodista.
MADRID, 20 Oct. (Portaltic/EP) –
Más de 600 asistentes se congregaron en el Congreso ISACA Europa 2025 para abordar temas clave como la inteligencia artificial (IA), las ciberamenazas y la resiliencia digital, compartiendo nuevas tendencias, lecciones aprendidas y recomendaciones concretas.
“Ya nos encontramos inmersos en una ciberguerra”, alertó Eric Jeffery, consultor gerente de IBM, al analizar cómo la inteligencia artificial está alterando el equilibrio entre quienes atacan y quienes defienden. Esta reflexión se situó en el contexto de un debate más amplio sobre el impacto global de la IA en la seguridad, la gobernanza y la capacidad de reacción de las empresas.
Esta advertencia surge justo cuando IBM acaba de poner en marcha el más reciente ordenador cuántico en España (ubicado en San Sebastián) y los distintos gobiernos están fortaleciendo sus estrategias de defensa digital y marcos normativos, como ejemplifica el nuevo Centro Nacional de Ciberseguridad en España.
Por esta razón, Jeffery hizo hincapié durante su intervención en que “los atacantes están evolucionando más rápidamente que los defensores” y que la IA “acelera la identificación” de vulnerabilidades, planteando un reto que traspasa fronteras y exige colaboración a nivel internacional.
Esta fue una de las conclusiones centrales del Congreso ISACA Europa 2025, celebrado en Londres (Reino Unido), que contó con la participación de más de 50 ponentes y ofreció 36 sesiones centradas en gobernanza, auditoría, privacidad, ciberseguridad e inteligencia artificial.
El evento reunió a más de 600 directores tecnológicos, CISO, auditores y líderes de más de 90 países con el objetivo de discutir cómo fomentar la confianza digital en un entorno de amenazas cada vez más frecuentes.
A lo largo del congreso, se reiteraron mensajes que confirman la advertencia de Jeffery: los ciberataques son progresivamente más sofisticados, están industrializando y diversificando sus vías de acceso, mientras las organizaciones europeas intentan mantenerse al día invirtiendo en talento, formación de sus equipos y acatando normativas como NIS2 o DORA.
Simultáneamente, aumenta la presión sobre los profesionales y los equipos de seguridad, quienes ya dirigen los marcos de gobernanza de IA en sus organizaciones, pero necesitan más capacitación práctica y respaldo institucional para implementar la regulación de manera efectiva.
En este panorama, Phil Chapman, instructor senior y especialista en la esfera comercial en Firebrand Training, abogó por recuperar los fundamentos, pero con una perspectiva actualizada, en lo que respecta a la detección, el análisis y la recuperación de datos tras ciberincidentes. También resaltó que la IA facilita a los agentes menos avanzados la intensificación de ataques, mientras que las fuerzas policiales ya “manejan un volumen de incidentes que excede su capacidad operativa”.
Los participantes coincidieron en la necesidad de que la respuesta a incidentes pase de enfocarse en la detección a centrarse en la recuperación, empleando la inteligencia artificial como herramienta clave para anticipar puntos débiles, automatizar análisis y acortar los tiempos de contención.
Por su parte, Claudio Cilli, profesor universitario y experto en ciberseguridad, examinó la relación y el solapamiento de NIS2 y DORA con otras regulaciones europeas. En este sentido, recordó que DORA es de aplicación directa y “prevalece en caso de desacuerdo”, mientras que NIS2 exige una transposición a la legislación nacional y establece categorías (esenciales/importantes) con deberes y sanciones escalonadas.
Sobre este aspecto, Cilli solicitó una aproximación más práctica: cumplir rigurosamente NIS2 y DORA cubre “el 70-80%” del ecosistema de seguridad europeo; el resto dependerá del sector específico y su nivel de criticidad.
Tim Clements, fundador de Purpose Means y consultor en gobernanza de IA, protección de datos y GRC, propuso una metodología práctica para armonizar los criterios ambiental, social y de gobernanza (ESG) con la privacidad y la IA. “Si no se empieza a realizar trabajo concreto, nada cambiará”, resumió, defendiendo hojas de ruta enfocadas en minimizar datos, su retención y la rendición de cuentas para disminuir tanto la huella de carbono (energía o agua) como los riesgos.
Además, Clements instó a eliminar las barreras entre los equipos de ESG, seguridad y TI: “La clave es fusionar esos mundos” con un desglose de objetivos que traslade el eslogan a tareas medibles, compartibles entre distintas áreas y regiones, y con un propósito claro de mejora continua, señaló.
El panel “Ransomware: To Pay or Not to Pay” (con Richard Hollis, Robert Findlay y Tony Gee) analizó las implicaciones legales, éticas y operativas de efectuar pagos, y cómo ha evolucionado el ‘Ransomware como Servicio’ (RaaS) y la extorsión múltiple.
Tony Gee, especialista en consultoría de TI y gestión de la seguridad, en su intervención en la sesión sobre ‘Deepfakes and Cookie Jars: The New Entry Points for Ransomware’, abordó los retos y las mejores prácticas para establecer un programa eficaz de Inteligencia de Amenazas Cibernéticas (CTI).
Gee describió algunas de las nuevas vías de entrada (‘deepfakes’, sustracción de ‘cookies’ y tokens de sesión, y vishing con voces generadas por IA), que dan prioridad a la identidad y el fraude por encima del ‘malware clásico’.
El mensaje general transmitido por el panel fue contundente: la formación, la realización de simulacros y la coordinación con las áreas de negocio y legal son decisivas en periodos de toma de decisiones que se miden en horas, no en días.
Gee también enfatizó que un programa de CTI es fundamental para identificar a los atacantes y sus tácticas, estructurándolo en tres tipos de inteligencia: estratégica, operativa y táctica. Asimismo, destacó la dificultad de distinguir el riesgo auténtico del simulado y presentó diversos casos que ilustran la necesidad de alinear a las partes interesadas y establecer métricas como la proporción de inteligencia que resulta procesable.
Durante el cierre del congreso, Chris Dimitriadis, director ejecutivo global de ISACA, resaltó que “la tecnología por sí sola no es suficiente”: la resiliencia corporativa depende del factor humano, del liderazgo y de una comunicación fluida entre los perfiles técnicos y directivos.
El directivo subrayó que la ciberseguridad debe ser considerada una prioridad estratégica para el negocio, con un especial énfasis en la preparación, la responsabilidad y la capacitación práctica de los equipos.
Según los datos compartidos en el congreso, el porcentaje de organizaciones que cuentan con una política interna de IA ha aumentado del 10 al 30 por ciento en un solo año; y más del 90 por ciento ya usa la IA de alguna forma. Esta disparidad entre la utilización y la gobernanza subraya la urgencia de proporcionar formación, fomentar una cultura corporativa sólida y establecer marcos claros para un empleo seguro y responsable de esta tecnología.
Agregar Comentario