Las conversaciones de las empresas en cuestiones tecnológicas llevan un par de años centrándose en la inteligencia artificial generativa y esto puede estar provocando que se descuiden otros aspectos clave, e incluso más relevantes, como es la ciberseguridad.
Si se plantea la ciberseguridad como la protección de los datos de las compañías, está directamente relacionada con la IA, que necesita de esa misma información para poder existir. Para comentar cuáles son las tendencias en ciberseguridad en este 2025, Computing ha realizado un encuentro ejecutivo en Barcelona con algunas de las principales empresas tanto públicas como privadas.
Una de las instituciones públicas que acudió al evento fue la Agència de Ciberseguretat de Catalunya y estuvo representada por Albert Haro, responsable de Seguretat de la Informació, y por Alejo Riera, Cap d’unitat de Customer Success.
La Agència se creó hace siete años y desde entonces está poniendo el foco en el ámbito sanitario, universitario, educativo y administrativo. “Buscamos crear un tejido y colaboraciones para poder llegar a todo y que cada sector importante esté protegido”, afirmaba Haro para abrir la mesa.
Haro sostenía que “nos encontramos en un momento de ruptura tecnológica, como en su día lo fue la llegada de Internet. La IA la podemos usar para detectar amenazas, pero los ciberdelincuentes también la utilizan para mejorar sus ataques”.
En la Agència han detectado en este primer trimestre de 2025 el mismo volumen de amenazas que en todo el 2024. Este dato alarmante se debe a que “cada vez es más sencillo contratar, sin ningún tipo de conocimiento, ataques”, continuaba el responsable de seguridad. Para salir indemne de estas situaciones, recomiendan activar el doble factor de autentificación, realizar copias de seguridad y parchear y tener actualizadas todas las aplicaciones y webs.
Índice de temas
Talento y datos, los retos del presente
Para Alejo Riera nos encontramos en un momento en el que hay que cambiar la mentalidad y, para ello, las empresas deben comunicar y generar una adopción sencilla del cambio. “Estamos ante un problema de adopción y de velocidad. La velocidad genera volumen de negocio, pero para el usuario es demoledor este cambio”, aclaraba Riera.
Riera también desvelaba uno de los principales hándicaps de la administración pública: la falta de talento. “Tenemos este problema por el salario, no podemos competir con otras empresas privadas”, sentenciaba.
En esta misma línea comenzaba su intervención José Vázquez, CTO de Barraquer, quien confirmaba que la cuestión del talento en ciberseguridad “es un problema de país y de no formar en este ámbito como sí lo hacen en otras naciones”.
En Barraquer han sufrido una suplantación de identidad y por eso tienen el objetivo de ir al detalle en todas las cuestiones de seguridad y concienciando a todos los empleados. En el centro médico han optado por no utilizar la IA, menos personas determinadas. La justificación es que no quieren hacerlo “por moda”, sino ir implementándolo poco a poco con pruebas y casos de uso concretos. “Tenemos un plan estratégico que justifica por qué se usa ChatGPT en cada perfil específico y siempre utilizando la IA de manera eficaz, pero sin comprometer los datos de los clientes”, afirmaba Vázquez.
Xavier Altafulla, Cap de Govern Obert del Ajuntament del Prat de Llobregat, sostenía que “la tecnología no puede luchar contra su mal uso” y por eso es imprescindible una formación continua de los trabajadores. “Si los usuarios no están concienciados pueden compartir sus datos, sus contraseñas…”. En el Ajuntament están implementando un sistema de incentivos por el buen uso de las herramientas, al igual que se está invirtiendo en tecnología para evitar que el usuario realice un mal uso.
Con respecto a las ciberamenazas externas, Altafulla confirmaba que la IA ha industrializado la personalización de los ataques.
Respecto a la cuestión de la formación y concienciación, Óscar Campos, CIO/CISO de Circutor, señalaba que “con la IA hemos puesto el contador a cero; mucho trabajo de concienciación realizado durante años se ha perdido con la llegada de la generativa porque han dejado de tener la percepción de fuga de información”. Campos compartía que en su compañía lo que más cuesta es la gobernanza.
En Nestlé están apostando por estandarizar procesos de control y unificar el equipo para mitigar riesgos. Ulises Pereyra, ZEUR Head of Security and Compliance Operations de Nestlé, afirmaba que el reto es “cambiar el comportamiento de todos los miembros de la empresa y concienciar de los riesgos” a través de formación y simulaciones de crisis. En la compañía buscan además que todos los eslabones de la cadena de valor (proveedores y clientes) tengan solidez.
CISO y CIO, roles separados
Durante unos años el rol del CIO y del CISO lo asumía la misma persona, pero últimamente las empresas han comenzado a ser conscientes de que es inabarcable para una persona unificar ambos cargos. Cada puesto necesita a una persona especializada con conocimientos propios. Si bien, en algunas compañías el presupuesto no permite hacer esta separación.
Esta cuestión la ponía encima de la mesa Abel-Joel Agelet i Nonell, director TIC & Transformació Digital de Aigues de Manresa. Agelet también compartía que en algunas compañías la “ciberseguridad no importa hasta que ves caer a tu vecino”, se encarna el dicho “cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar”.
El director TIC de Aigues de Manresa pedía seguridad desde el desarrollo del sistema y un soporte de monitorización constante.
José Luis Guerrero, director del Àrea de Transformació Digital del Ajuntament de Castelldefels, sostenía que “el miedo es una palanca para conseguir presupuesto para ciberseguridad”. Los expertos en ciberseguridad leen constantemente noticias de incidentes en otras empresas, pero son incapaces de estar al día con todo lo que se publica de IA: “nos adaptamos, pero la IA es de las tecnologías más rápidas que hemos visto”, afirmaban.
En este sentido, Guerrero apuntaba al problema: “existe la presión de tener que hacer ya cosas con IA sin tener un momento de reflexión ni plantearnos el coste-beneficio que puede generar”.
Certificaciones
Tener certificaciones garantizan la seguridad. Rubén Cortés, subdirector de Tecnología y Ciberseguridad del Consorci Administració Oberta de Catalunya, sostenía que “certificar las aplicaciones sirve para extender la cultura y tener un sello que aporte confianza en las administraciones que delegan sus servicios”. Por ello, cree que al facilitar una cultura de seguridad, se extiende la concienciación.
Cortés también llevó el debate a la nube. El subdirector afirmaba que la nube “facilita la escalabilidad del servicio”.
Carlos Luque, CISO de Transports Metropolitans de Barcelona (TMB), se enfrenta a dos retos: “que el CISO tenga peso de director y que no todo parezca tan dramático y no nos vean como stoppers”.
Para cambiar la visión de TI a facilitadores, Luque apuesta por las “personas, conocimiento de negocio y herramientas”. Gracias a estos tres pilares pueden trabajar en el gobierno del dato y en seguridad. En cuanto al orden de prioridades del CISO de TMB lo primerio es la continuidad del negocio, seguido de proteger las personas y, una vez asentado esto, proteger la información.
Ramón Mesalles, IT Manager de Institut Recerca Energia Catalunya, decía que el problema es bajar la teoría de ciberseguridad a los entornos heredados con bajos presupuestos: “trabajamos con un conglomerado de cosas pegadas”. Para Mesalles la clave era priorizar el inventario y tenerlo actualizado, manejar el ansia por implementar y adquirir novedades sin tener los casos de uso; y la concienciación y observabilidad.
En el encuentro organizado por Computing se destacó la prioridad de una buena ciberseguridad para poder utilizar la IA sin tener imprevistos ni problemas reputacionales.
