Hay algo extraño en nuestro sector: ¡cuanto más invertimos, más ataques recibimos!
Lo sabemos, lo comentamos, y seguimos más o menos como antes. No es por falta de presupuesto. No es por falta de herramientas. Es un problema de lucidez.
Hoy en día, la mayoría de las organizaciones cuentan con una estrategia de ciberseguridad diseñada para un mundo que ya no existe: aquel en el que la empresa tenía un perímetro definido, un «dentro» y un «fuera». Ese mundo ha desaparecido debido a la nube, la movilidad, la externalización masiva y la convergencia entre TI y TO. Las infraestructuras se extienden ahora hacia los proveedores, los socios, los objetos conectados y los sistemas industriales. Sin embargo, nuestros reflejos defensivos siguen intactos.
El cumplimiento de las normas nos da tranquilidad. Nada más.
Quizá sea el error más costoso del momento. Se realizan auditorías, se obtienen certificaciones, se cumplen los requisitos de NIS2, DORA e ISO 27001, y se llega a la conclusión implícita de que estamos protegidos. Pero una auditoría solo refleja la situación en la fecha en que se llevó a cabo. El atacante, por su parte, no ha esperado.
Esta discrepancia no es baladí: alimenta una falsa sensación de control que puede resultar más peligrosa que la falta de control, ya que reduce la vigilancia. Es necesario cumplir con las normas, pero confundir el cumplimiento con la seguridad es un error estratégico, lamentablemente muy extendido.
La economía del ataque ha cambiado de naturaleza
Lo que se subestima es la disrupción económica que se está produciendo. La IA no solo hace que los ataques sean más sofisticados, ¡sino que también reduce drásticamente su coste! Generar exploits, personalizar campañas de phishing a gran escala, automatizar el reconocimiento: lo que ayer le llevaba semanas a un equipo experimentado, hoy se lleva a cabo en unas pocas horas por unos pocos cientos de euros.
El resultado concreto es que el movimiento lateral (es decir, el tiempo que tarda un atacante en desplazarse por el campo tras entrar en él) ha pasado de 62 minutos a menos de 30 minutos en dos años. Por lo tanto, la ventana de reacción se cierra más rápido de lo que se vuelve a abrir.
Mientras tanto, el coste de la defensa sigue siendo estructuralmente elevado. La asimetría se agrava, y no se resuelve comprando una herramienta más.
Protegemos la infraestructura. Rara vez es eso lo que realmente importa.
He aquí un punto ciego del que no se habla lo suficiente: la brecha entre los lugares donde los controles son intensos y aquellos donde se encuentra el valor real. Los equipos protegen los puntos finales, los cortafuegos y los accesos a la red. En definitiva, lo que es visible y medible.
Sin embargo, los datos estratégicos, los procesos críticos y la propiedad intelectual (¡las verdaderas «joyas de la corona»!) suelen estar menos protegidos que los servidores de archivos.
El atacante razona en términos de valor, no de técnica. Busca alcanzar lo que importa, no vencer a la arquitectura más sólida. Esta discrepancia entre nuestra estrategia defensiva y la realidad de lo que tenemos que proteger es sistemática, y rara vez se menciona.
La identidad se ha convertido en el verdadero marco de referencia
Desde hace tres años, la mayoría de las filtraciones de datos a gran escala se basan en identidades válidas, no en vulnerabilidades de día cero ni en exploits sofisticados. Cuentas con privilegios excesivos, derechos que nunca se han revocado y accesos de proveedores mal gestionados.
Cuando el atacante accede con credenciales legítimas, la distinción entre «dentro» y «fuera» deja de tener sentido. La confianza ya no puede ser un estado otorgado de una vez por todas: debe verificarse de forma continua, ser contextual y revocable. Se trata de un cambio de enfoque profundo, pero en muchas empresas todavía se trata como un proyecto más entre otros.
Hay que dejar de querer impedirlo todo
Probablemente sea la verdad más difícil de expresar en nuestro oficio: en un sistema complejo, la vulnerabilidad parcial es inevitable. La verdadera pregunta no es «¿cómo evitar cualquier intrusión?», sino «¿cuánto tiempo transcurre entre la intrusión y su detección, entre la detección y la respuesta, y entre la respuesta y el restablecimiento de la normalidad?».
Estas demoras tienen un coste directo. El 86 % de las organizaciones afectadas por una filtración de datos afirman haber sufrido importantes perturbaciones operativas: paralización de la producción, interrupción de los servicios y bloqueo de las ventas. La resiliencia no es un concepto vago. Se trata de una capacidad operativa concreta, que se desarrolla, se pone a prueba y de la que aún carecen la mayoría de las organizaciones.
Las mejores no son aquellas a las que no atacan. Son aquellas que aguantan el golpe sin derrumbarse.
¿Qué cambia en la práctica?
No se trata de empezar de cero. Se trata de reorientarnos: visibilidad real de lo que está expuesto, no de lo que se declara conforme. La identidad en el centro de la arquitectura, no en la periferia. La detección y la respuesta concebidas como capacidades que se entrenan, no como herramientas que se instalan. Y una pregunta sincera sobre qué es lo que realmente protegemos y por qué.
A eso es a lo que yo llamo «ciberseguridad moderna». No se trata de un catálogo de soluciones, sino de un cambio de perspectiva sobre lo que significa proteger cuando el perímetro ha desaparecido.
Acerca del Grupo Squad
Squad es una empresa especializada exclusivamente en ciberseguridad y una de las principales fuerzas cibernéticas francesas. En un contexto de intensificación de las amenazas y de mayor presión normativa, el Grupo ayuda a las grandes empresas y a las instituciones públicas a gestionar de forma sostenible sus riesgos cibernéticos.
Desde la gobernanza hasta la resiliencia operativa, desde la reducción continua de la superficie de ataque hasta la protección de identidades en un modelo Zero Trust, y desde la protección en la nube hasta los modernos centros de operaciones de seguridad (SOC) potenciados por la IA, Squad diseña, integra y gestiona arquitecturas robustas, soberanas y adaptadas a los entornos más sensibles.
Con más de 1 000 expertos repartidos en 14 oficinas en Francia, Suiza, España y Canadá, Squad combina excelencia técnica, cercanía y capacidad de implementación a gran escala. En 2026, el Grupo contratará a 300 nuevos profesionales para acompañar su trayectoria de crecimiento.
Contacto para la prensa
Lily Magagnin | Franck Tupinier |
