Cada semana, una nueva compañía se ve obligada a comunicar una brecha de seguridad: filtraciones, secuestro de datos, parálisis operativa o daño reputacional. Le puede pasar a cualquiera, y, de hecho, está pasando. Ya no se trata de si una organización será atacada o cómo sino de cuándo. Así, la ciberseguridad ha dejado de ser una cuestión técnica para convertirse en un asunto estructural que afecta a todo el negocio.
Por Trescom / 3 de diciembre de 2025
El problema no está solo en los sistemas vulnerables, sino también en la falta de gobernanza, la fragmentación de responsabilidades y, en muchos casos, el desconocimiento. Según el Microsoft Digital Defense Report 2025, se procesan más de 100 billones de señales de seguridad al día (equivalente al “trillion” anglosajón), un volumen que refleja la escala y el pulso acelerado del entorno digital, así como la urgencia de abordar este fenómeno de manera estratégica. La mayoría de estos ataques se concentran en determinados países y, dentro de Europa, España se sitúa como el quinto país más afectado, tras Reino Unido, Alemania, Ucrania y Francia.
Un marco regulatorio que obliga a repensarlo todo
La UE, como entidad geopolítica, ha elevado la ciberseguridad a la categoría de amenaza existencial, desplegando un corpus legislativo y normativo ambicioso, con el objetivo de aumentar la resiliencia y garantizar que ciudadanos y empresas se beneficien de un ecosistema digital fiable. Esto significa que, tanto para el gobierno como para las empresas, a la presión del riesgo real se suma un nuevo escenario normativo que ya no deja espacio a la improvisación. Para operar en el vertiginoso mundo de la ciberseguridad se han planteado una serie de normas: NIS2, DORA, CER y el Reglamento de Ciberresiliencia. En España, la transposición de NIS2 —aún pendiente de hacerse efectiva— implicará pasar de unas 200 entidades reguladas a más de 10.000. Esto quiere decir que toda organización, junto con sus proveedores y cadenas de suministro, deberá demostrar preparación, capacidad de respuesta y trazabilidad.
La sofisticación es otro de los adjetivos atribuibles a las ciberamenazas actuales. Sus motivaciones van desde ganancias financieras hasta desestabilización política o ingeniería social, y sus impactos pueden generar pérdidas millonarias o incluso la desaparición completa de sus víctimas. Las mismas normas que se trazan para reforzar la coordinación y la protección de la sociedad van a implicar obligaciones estrictas, obligándolas a considerar los costes de adaptación en sus presupuestos y a planificar cambios estructurales y transversales.
Invertir en personas, no solo en tecnología
Uno de los puntos más repetidos en los foros especializados, como el IV Foro de Asuntos Públicos, organizado por Trescom que reunió a representantes de organizaciones, empresas y dirigentes políticos, es la brecha de talento. No solo existe escasez de perfiles especializados, sino también falta de claridad sobre qué competencias se necesitan. Es clave capacitar continuamente al equipo e integrar la ciberseguridad en las evaluaciones de desempeño. La cultura y la preparación, no solo la tecnología, son esenciales para la defensa y la resiliencia de la organización, desde el consejo de administración hasta el equipo de comunicación.
- Los consejeros deben entender qué riesgos están votando cuando aprueban una estrategia digital.
- Los equipos deben ser transversales, integrando IT, legal, estrategia, riesgos y comunicación.
- Los planes de respuesta no pueden quedarse en papel: deben ser vivos, actualizados y testeados.
- Las inversiones en talento y tecnología deben ser sostenidas, no reactivas.
Del cumplimiento al talento como ventaja competitiva
Frente a este escenario, las empresas pueden elegir. Algunas verán la normativa solo como una carga regulatoria, mientras que otras la aprovecharán para reconfigurarse, atraer negocio y generar valor. En un mercado donde la normativa es igual para todos y la confianza es un activo escaso, la verdadera diferencia está en contar con equipos capacitados, acompañados y comprometidos. La seguridad no se sostiene únicamente con tecnología o procesos, sino con el talento como principal motor de resiliencia y competitividad, y ese relato vivo de transparencia y responsabilidad también debe reflejarse en la comunicación corporativa y en los asuntos públicos.
