La ciberseguridad supone una ventaja competitiva para las empresas

valencia. ciberseguridad es una palabra que nos suena lejana y cercana a la vez. Suena a películas de hackers encapuchados, pero que en realidad está presente en cada correo electrónico, cada compra online y cada videollamada que hacemos a diario. «La ciberseguridad no es un gasto, es una inversión. Es una oportunidad para ganar competitividad y confianza. Pero en la Comunitat aún no se ve así», se lamentaba Santiago Escobar, director de la Cátedra de ciberseguridad Incibe-UPV, durante la mesa de expertos organizada por LASPROVINCIAS. Cabe señalar que la Cátedra de ciberseguridad Incibe-UPV es parte del convenio entre el Instituto Nacional de ciberseguridad (Incibe), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, y la Universitat Politècnica de València. Está incluida en el programa de Cátedras de ciberseguridad en España, en el marco del Plan de Recuperación, Transformación y Resiliencia, con la financiación de los Fondos Next Generation-EU.

Junto a Santiago Escobar estuvieron presentes en la mesa de expertos Marcelino García, consultor especialista en ciberseguridad de Sothis by Nunsys Group; Manel García, responsable de negocio de ciberseguridad en Minsait Cyber; y Daniel Rodríguez, director de Operaciones de Occentus Network. Los cuatro ofrecieron visiones complementarias que dibujaron un panorama en el que la ciberseguridad ya no es optativa, ni siquiera para los particulares. Es, directamente, una cuestión de supervivencia empresarial.

Daniel Rodríguez introdujo una de las palabras clave del encuentro: la soberanía digital. «¿Hasta qué punto somos realmente soberanos de nuestros datos? Suecia sufrió este mismo mes el mayor ciberataque de su historia; esto es un aviso a navegantes. Tenemos que ser dueños de nuestro destino digital, saber qué infraestructuras controlamos y cuáles cedemos», señaló.

La reflexión no es baladí. Marcelino García añadió que, aunque la guerra cibernética no afecte a España como a otros países con intereses petrolíferos o estratégicos, «la alerta es continua. Vivimos en un contexto donde los ataques pueden surgir en cualquier momento y su impacto ser enorme si no se está preparado».

La nueva Ley de Ciberresiliencia y otras normativas europeas buscan reforzar este blindaje digital. Sin embargo, Daniel Rodríguez criticó que «estas regulaciones no llegan acompañadas de apoyo real para las pymes, que son la mayoría en nuestro país. Hay muchos requisitos que cumplir, pero sin herramientas públicas y libres es difícil adaptarse».

Marcelino García matizó que «la directiva NIS2 se ha suavizado bastante en España con respecto al primer borrador, pensando en que no todas las empresas de la cadena de suministro, a la cual afecta la directiva, podrían cumplir con los requerimientos de la misma. En el caso del cumplimiento del Esquema Nacional de Seguridad, al cual deberían adscribirse los ayuntamientos» y entidades locales, recordó que «todavía muy pocos organismos están certificados en el ENS».

Escobar, por su parte, defendió que «estas leyes son buenas, tienen financiación europea para ayudar a las empresas a adaptarse, pero falta personal cualificado y formación. Estamos en un proceso de transición que se prioriza aún más con la situación geopolítica actual».

Manel García añadió que «ese contexto está demandando a los países implementar estrategias de soberanía digital, que no solo se refiere a la implementación e inversión en tecnología propia, sino también al desarrollo de talento nacional, clave en ciberseguridad».

Hablaron entonces del CISO, esa figura directiva que controla la estrategia de ciberseguridad en las organizaciones. Daniel Rodríguez señaló que «el 96% de las empresas tienen menos de cinco empleados, así que esta figura es irreal. Pero hace falta un plan y una conciencia saludable de cómo trabajar, no solo una persona aislada».

Marcelino García, por su parte, reforzó la idea: «El CEO debe ser el primero en exigir contraseñas seguras y cultura de ciberseguridad. Y el CISO, aunque sea externo, es el orquestador que define la estrategia y la adapta a normativas. Falta mucha cultura directiva para implantar bien esta figura».

Manel García, por su parte, recordó que la ciberseguridad es como la prevención de riesgos laborales: «No es comprar tecnología y ya está. Es una inversión a largo plazo, en personas, tecnología y procesos. Y debe implicar a la máxima dirección, esta debe creérselo. Debe promover la concienciación de los empleados y un plan estratégico de ciberseguridad».

Los cuatro coincidieron en un punto clave: la formación de los empleados. El consultor Especialista en ciberseguridad de Sothis by Nunsys Group advirtió que «un 60% de los ataques llegan por ingeniería social. Las técnicas de engaño son cada vez más sofisticadas, con IA generando voces falsas o correos idénticos a los reales. Hay que formar continuamente a toda la plantilla, sobre todo a los nuevos».

Mientras que el responsable negocio de ciberseguridad de Minsait Cyber fue claro: «Las personas son la primera línea de defensa en la cadena de protección. Aunque tengas la mejor tecnología, su formación debe formar parte de la estrategia de ciberseguridad».

El debate viró hacia la educación. Santiago Escobar lamentó que «en la universidad no existe un grado en ciberseguridad y faltan especialistas. Funciona bien el máster que tenemos, pero no cubre toda la demanda». El director de Operaciones de Occentus Network diferenció dos tipos de profesionales: «por un lado, la mano de obra técnica, procedente de FP o grados superiores. Por otro, los perfiles altamente cualificados —en física, matemáticas o filosofía— necesarios para desarrollar los algoritmos y sistemas complejos».

La inteligencia artificial (IA) ocupó gran parte del desayuno. Marcelino García alertó de que los ataques de phishing cada vez son más sofisticados con la ayuda de la IA. «Ahora los ciberdelincuentes logran imitar de manera casi perfecta los logos de los documentos y las voces de los directivos para lograr engañar a los usuarios y cometer delitos de suplantación de identidad o robo de dinero».

Daniel Rodríguez apuntó que la IA permite ataques más dirigidos y sofisticados. «Lo que antes era fuerza bruta, ahora son estrategias personalizadas». Sin embargo, Manel García destacó que la IA también se usa en defensa: «Ayuda a descartar alertas falsas, identificar amenazas reales y proteger nuestros propios algoritmos de IA de posibles envenenamientos o sesgos éticos».

Por su parte, Santiago Escobar cerró este bloque con un aviso: «Dentro de cinco o diez años, la ciberseguridad de la propia IA será uno de los grandes negocios. Desde sistemas que deniegan hipotecas de forma sesgada hasta suplantaciones de voz o imagen, la sociedad exigirá protección».

El debate alcanzó su punto más técnico al abordar la computación cuántica. «Es la bomba atómica de la ciberseguridad», resumió Daniel Rodríguez. Escobar explicó que esta tecnología será capaz de descifrar cualquier criptografía actual en segundos, obligando a migrar a sistemas post-cuánticos antes de 2030-2035. «Es un cambio de paradigma del que nadie habla, pero que cambiará la información tal y como la conocemos».

Por su parte, Manel García citó el informe de la UE que marca como clave 2030 para esta transición, con pilotos en casos críticos antes de 2026. «Afectará a datos médicos, ensayos clínicos, propiedad intelectual o información gubernamental. Es urgente prepararse».

El cierre de la conversación recuperó la reflexión inicial: la ciberseguridad como oportunidad. Marcelino García recordó que, hoy, en una compraventa de empresas, la evaluación de ciberseguridad es más importante que los sistemas de calidad. «Una compra se puede suspender si no hay garantías de seguridad». Además, García comentó que en la estrategia de ciberseguridad de las organizaciones es crucial tener un buen aliado para conseguir los objetivos. En este sentido, Sothis by Nunsys Group, junto con el fabricante SentinelOne forman un tándem perfecto para ofrecer una plataforma de ciberseguridad integral, destacándose tanto por su innovación tecnológica como por la amplitud de su protección. SentinelOne es una plataforma de ciberseguridad unificada que integra la protección de endpoints, cargas de trabajo en la nube e identidades digitales en una única solución gestionada. Mediante la automatización, la inteligencia artificial avanzada y la integración de servicios gestionados, SentinelOne ayuda a organizaciones de todos los tamaños a protegerse de las amenazas actuales y futuras, simplificando la gestión de la seguridad y mejorando la resiliencia operativa.

Por su parte, Manel García estimó que, aunque depende del tipo de empresa, sector, tamaño y riesgos, la inversión mínima en ciberseguridad debe rondar entre el 1,5% y el 3% de la facturación anual. «Pero lo fundamental es tener un plan, saber dónde estás y hacia dónde quieres ir. La madurez se construye paso a paso». Escobar cerró con su frase más rotunda: «La ciberseguridad no es un gasto. Es inversión de futuro. Y en ese futuro, los clientes escogerán empresas que lo tengan en cuenta. Es una ventaja competitiva real».