Preguntamos a los expertos en ciberseguridad sus principales predicciones para 2025

A medida que nos acercamos al final de 2024, la industria de la ciberseguridad enfrenta muchos desafíos . Para empezar, las pérdidas debidas a la ciberdelincuencia se han cuadruplicado hasta alcanzar los 2.500 millones de dólares desde 2017 , según un informe.

Las grandes empresas están perdiendo millones por el ransomware o, en el caso de T-Mobile, por un acuerdo de 30 millones de dólares por exponer los datos de sus clientes. Una empresa de ciberseguridad estadounidense incluso contrató accidentalmente a un hacker norcoreano.

A medida que cumplimos un cuarto de siglo del nuevo milenio, el panorama de la seguridad en línea seguirá cambiando bajo nuestros pies colectivos. ¿Cómo puede asegurarse de estar al tanto de las últimas tendencias? Al echar un vistazo a la guía a continuación, hemos analizado docenas de predicciones, precauciones y pronósticos de expertos en ciberseguridad para recolectar lo mejor de la cosecha.

Esto es lo que puede esperar del mundo de la ciberseguridad durante el nuevo año.

Las mayores predicciones de ciberseguridad para 2025:

• Seguridad mejorada para Internet de las cosas
• La arquitectura Zero Trust se expande más allá de los dispositivos
• La cuantificación de riesgos se convierte en una herramienta de seguridad fundamental
• Un enfoque en las brechas de habilidades cibernéticas de nivel medio
• Las herramientas de IA se integrarán aún más en el protocolo de seguridad de las empresas
• Tenga cuidado con los activos mal administrados

Seguridad mejorada para Internet de las cosas

El "Internet de las cosas" o IoT se refiere a cualquier dispositivo tecnológico que esté conectado a Internet y dependa de actualizaciones de software, desde refrigeradores inteligentes hasta termostatos, timbres e incluso marcapasos. A todos les está yendo mejor que nunca, y eso genera miedo en los corazones de muchos expertos en ciberseguridad, porque todos esos dispositivos ahora son recientemente vulnerables a los ciberataques.

Daniel Pearson, director ejecutivo de KnownHost, señala que IoT no es sólo para hogares inteligentes. Las empresas tienen muchos dispositivos de IoT en sus instalaciones: sensores, equipos de monitoreo, sistemas de gestión de energía y artículos de oficina del día a día, como bombillas, cerraduras de puertas y sistemas de CCTV.

Para hacer frente a la gran cantidad de vulnerabilidades potenciales, las empresas en 2025 deben "asegurarse de que sus dispositivos inteligentes estén adecuadamente protegidos mediante autenticación multifactor, cifrado periódico y actualizaciones de firmware", dice Pearson.

La arquitectura Zero Trust se expande más allá de los dispositivos

Las arquitecturas Zero Trust requieren una verificación continua para mitigar los riesgos de ataques laterales minimizando la confianza implícita. En 2025, esas tácticas se expandirán más allá de la seguridad de los dispositivos y comenzarán a abarcar a todos los usuarios, dispositivos, aplicaciones e interacciones.

Ofer Regev, CTO de Faddom, prevé que Zero Trust irá más allá de los dispositivos.

“Zero Trust se expandirá más allá de los dispositivos y las redes para incluir marcos de verificación de identidad para todas las interacciones digitales. Con el auge del trabajo remoto y los sistemas descentralizados, los modelos de identidad tradicionales se quedarán cortos. Esto exigirá herramientas capaces de rastrear y validar los comportamientos de los usuarios y los sistemas en entornos de TI dinámicos”. -Regev

La expansión de Zero Trust surgirá porque los profesionales de la ciberseguridad seguirán buscando medidas adicionales para garantizar la seguridad en sus empresas.

La cuantificación de riesgos se convierte en una herramienta de seguridad fundamental

Un informe de Bitsight y Diligent ha descubierto que, a pesar de que las empresas ciberseguras ofrecen un rendimiento financiero cuatro veces mayor que sus pares, sólo el 5% de las empresas tienen expertos cibernéticos en sus directorios.

¿Cómo pueden los profesionales de TI comunicarse con sus juntas directivas? La cuantificación del riesgo, según la propia CISO de Diligent, Monica Landen, quien dice que surgirá como "la herramienta más sólida y confiable para comunicar el riesgo cibernético a su sala de juntas en 2025". Landen compara la cuantificación de riesgos en el sector de la seguridad con la evaluación de riesgos en la industria de seguros: en constante mejora.

“2025 podría ser el año de una mayor polinización entre organizaciones para comunicar adecuadamente los riesgos cibernéticos a la junta directiva. Históricamente, los equipos de seguridad han estado aislados, pero si pueden vincular sus desafíos y éxitos al impacto en el cliente, el flujo de ventas o el desarrollo de productos, esas barreras se deteriorarán y el impacto, positivo o negativo, de una seguridad deficiente resonará adecuadamente en la junta directiva”. -Landen

Las empresas necesitarán un marco GRC sólido para garantizar que la ciberseguridad siga siendo una piedra angular de su estrategia general de gestión de riesgos para el nuevo año. En 2025, la ciberseguridad debe ser una prioridad en todos los niveles de una organización.

Un enfoque en las brechas de habilidades cibernéticas de nivel medio

La mejora y la recapacitación son problemas constantes para los trabajadores administrativos que se ocupan de la ciberseguridad. Las actualizaciones de software se implementan constantemente, por lo que los trabajadores siempre deben obtener nuevos títulos y certificaciones para mantenerse al día.

Keatron Evans, vicepresidente de estrategia de IA del Infosec Institute, predice que las brechas de habilidades (y el aprendizaje necesario para cerrarlas) serán más importantes que nunca en 2025. Y no solo los trabajadores principiantes tendrán que ponerse a estudiar.

“Cuando hablamos de brechas de habilidades en ciberseguridad, una de las declaraciones erróneas que la gente suele cometer es que atribuirán esa brecha a todos los roles de nivel inicial. Sin embargo, en toda la industria, nos hemos dado cuenta de que algunas de las mayores brechas se deben a la necesidad de talento experimentado con algunos años de trabajo en su haber […]” -Evans

Es probable que la industria vea un aumento en las habilidades prácticas o verificables, así como el aprendizaje inmersivo necesario para enseñarlas, dice Evans, quien agrega que “parte del desafío es el nivel de títulos y certificaciones requeridos dentro de la industria”. Los trabajadores tendrán que equilibrar el riesgo de agotamiento con la necesidad de seguir añadiendo nuevas certificaciones.

Ofer Regev lleva el debate sobre la brecha de habilidades un paso más allá y predice que acelerará las herramientas de automatización livianas: “La escasez global de profesionales de TI calificados empeorará en 2025”, dice Regev, “lo que empujará a las empresas a adoptar herramientas más livianas y automatizadas. Las soluciones complejas que requieren una amplia experiencia perderán terreno frente a tecnologías sin agentes que simplifican rápidamente la implementación y ofrecen valor”.

Por supuesto, esta no es la única predicción relacionada con el uso de la tecnología de inteligencia artificial.

Las herramientas de IA se integrarán aún más en los protocolos de seguridad de las empresas

Los expertos en ciberseguridad que consultamos para este artículo tenían muchas predicciones diferentes relacionadas con la IA, pero la tendencia general se puede resumir en la siguiente: la IA seguirá encontrando un lugar dentro de la industria en su conjunto. La IA ha sido durante mucho tiempo una solución en busca de un problema y, en 2025, podría comenzar a encontrar esos problemas.

Esto podría parecer una creciente comprensión ascendente sobre la tecnología, como sostiene Keatron Evans:

“Las personas que se toman en serio el mantenimiento de una ventaja en el ámbito cibernético necesitan acercarse a la tecnología, no sólo al uso que hace de ella el consumidor. El próximo año será el año en el que verdaderamente se abogará por comprender la tecnología subyacente y cómo funciona. Eso hará que los empleados sean exponencialmente más valiosos”. -Evans

Podría parecer que se apuntalan los riesgos de seguridad de los datos que traerá la dependencia de la IA del entrenamiento de datos, según el informe Pronóstico 2025 de la empresa de privacidad de datos Kiteworks.

“En 2025, regulaciones globales más estrictas exigirán transparencia y responsabilidad en el manejo de datos de IA, y las organizaciones enfrentarán sanciones por el mal manejo de contenido confidencial. Para combatir estas amenazas, las empresas deben implementar marcos sólidos de gobernanza de la IA, priorizar las tecnologías que preservan la privacidad y adoptar prácticas de desarrollo de modelos seguros para garantizar el cumplimiento y salvaguardar la confianza”. -Kitesurf

La IA también impulsará la automatización de las copias de seguridad, afirma Sebastian Straub, arquitecto principal de soluciones de N2W.

“En 2025 veremos los inicios de los sistemas de respaldo con una intervención administrativa casi nula. La IA aprenderá los intrincados patrones de uso de datos, los requisitos de cumplimiento y las necesidades organizacionales, convirtiéndose en un experto proactivo en la gestión de datos, determinando de forma autónoma qué es necesario respaldar y cuándo, incluido el cumplimiento de estándares de cumplimiento como GDPR, HIPAA o PCI DSS”. -Straub

Sin embargo, la adaptación de la IA es una batalla cuesta arriba. Staub también advierte que la IA “no es una solución milagrosa” y seguiremos viendo muchas “desafortunadas violaciones de la confianza y del cumplimiento” a medida que las empresas luchan por incorporar la IA a sus sistemas a lo largo de 2025 y más allá.

Tenga cuidado con los activos mal administrados

Tim Matthews, CMO de CyCognito, sostiene que veremos un aumento en las filtraciones de datos debido a "activos desconocidos y mal administrados". Matthews predice que el 70% de las filtraciones en 2025 se remontarán a estos activos, lo que supone un aumento con respecto al 60% que muchos analistas estiman hoy.

“Esto se verá impulsado por superficies de ataque en expansión y cada vez más complejas, migraciones a la nube, dependencias de terceros e infraestructura de trabajo remoto. Las organizaciones se verán obligadas a pasar de una seguridad reactiva y específica de activos a un enfoque de descubrimiento que se centre en elementos fuera del inventario conocido”. -Matthews

Esto concuerda con las predicciones de tendencias tecnológicas más amplias que recopilamos de profesionales de la tecnología en muchas más industrias: en 2025 se necesitarán medidas más proactivas, no solo reactivas.

Al final, la historia sigue siendo la misma para el negocio de la seguridad online. Ya sea que las herramientas y los protocolos sean funciones de inteligencia artificial, arquitectura de riesgo cero o cuantificación de riesgos, todo marca una carrera armamentista constante de mejora de habilidades entre los malos actores y los profesionales de la ciberseguridad, sin un final genuino a la vista.