Siempre hemos dichos en Directivos y Empresas que la inteligencia artificial es un arma de doble filo. Por un lado ayuda y beneficia en la operativa de las empresas, pero por otro lado facilita la actividad virtual delictiva. Desde el punto de vista de la ciberseguridad, ocurre algo parecido. Es decir, por un lado la IA ofrece más herramientas para detectar y cerrar brechas, pero por otro los hackers se aprovechan de las nuevas soluciones para lanzar ataques más dirigidos y personalizados.
Estas últimas características son las que definen las tendencias de ciberataques y ciberseguridad para 2025 que han compartido los expertos de Secure&IT, compañía española referente en el ámbito de la seguridad de la información.
Un phishing más ‘humano’ entre los ciberataques de 2025
Por ejemplo, los ataques de phishing, que solían ser correos genéricos enviados masivamente, ahora se han convertido en tácticas dirigidas y personalizadas. Con la IA, los atacantes pueden generar mensajes que parecen escritos por humanos, haciendo que resulten mucho más convincentes. El spear phishing, que apunta a objetivos específicos, es cada vez más efectivo gracias a estas herramientas.
“Con la ayuda de la inteligencia artificial, los atacantes podrán identificar objetivos específicos, personalizar los mensajes y hacerlos mucho más convincentes. La propia IA generativa se encargará de redactar correos que parezcan reales, lo que hará que estos ataques sean mucho más efectivos”, explica Francisco Valencia, director general de Secure&IT.
Ransomware para los altos directivos
Y no solo eso, el ransomware sigue siendo una de las principales armas en el arsenal de los cibercriminales. Ahora apuntan directamente a los altos ejecutivos, no solo para comprometer a la empresa, sino también su reputación personal. Incluso llegan a denunciar los ataques a las autoridades para ejercer más presión sobre sus víctimas. Una táctica especialmente preocupante es la amenaza a los clientes de las empresas afectadas: si no se paga el rescate, los datos robados podrían ser publicados, afectando a miles de personas.
Asimismo se espera que 2025, se intensifique otra técnica que se ha visto en 2024, la cual consiste en una denuncia del ataque por parte de los propios ciberdelincuentes. Los hackers serán los que reporten el incidente a las autoridades competentes para aumentar la presión sobre la víctima.
La IA generativa como soporte defensivo
A pesar de este panorama, la IA generativa también está ayudando a las empresas a defenderse. Herramientas avanzadas permiten analizar los ataques en tiempo real, identificar patrones y responder de manera más eficiente. Esto es especialmente útil en los Centros de Operaciones de Seguridad, donde los analistas enfrentan un volumen creciente de incidentes.
Señalan los últimos estudios, que el 56% de los líderes empresariales usan ya la IA para tareas de servicio al cliente, y el 51% para ciberseguridad y prevención de fraudes.
“Las empresas apuestan por la IA generativa porque funciona como un asistente que contextualiza lo que está sucediendo en caso de un ciberataque. El riesgo está en que, al igual que la IA generativa puede mejorar las defensas, también puede ser usada por los atacantes para desarrollar campañas más sofisticadas, como phishing dirigido o malware adaptativo. Esto plantea un reto constante de innovación, tanto para quienes defienden como para quienes atacan”, indica Valencia.
Todo esto ocurre mientras la geopolítica añade una capa extra de complejidad. Sectores como la sanidad, la industria y la administración pública seguirán siendo los más atacados, pero las tensiones internacionales están ampliando el campo de batalla. Empresas que operan en mercados sensibles podrían encontrarse en el punto de mira, especialmente en un clima de polarización global.
El futuro de la ciberseguridad está en constante cambio, pero una cosa está clara: la inteligencia artificial, para bien o para mal, será un factor decisivo. Las empresas tienen que adaptarse a este nuevo escenario, invirtiendo en tecnología, formación y estrategias que les permitan no solo reaccionar, sino también adelantarse a los ataques. En este juego, la innovación será la clave para sobrevivir.
La Directiva NIS2 y la ciberresiliencia
Con todo, esta carrera armamentística entre defensores y atacantes está ocurriendo en un contexto donde las regulaciones están cobrando fuerza. La Directiva NIS2, por ejemplo, ha puesto el foco en la ciberresiliencia, obligando a las empresas a tomarse en serio la seguridad más allá del simple cumplimiento normativo. Según los expertos, 2024 ha sido un año de inflexión en este sentido, y el término «ciberresiliencia» empieza a calar entre las organizaciones.
Según los expertos de Secure&IT, el Reglamento de Ciberresiliencia de la Unión Europea (CRA, por sus siglas en inglés) marca un antes y un después en la seguridad de los productos con elementos digitales en el mercado europeo. Este nuevo marco normativo, que entrará en vigor con plazos específicos entre 2026 y 2027, busca garantizar que los dispositivos conectados sean más seguros y que los usuarios puedan tomar decisiones informadas basadas en criterios claros de ciberseguridad.
¿Qué implica el Reglamento?
El CRA se centra en dos grandes problemas que hasta ahora han generado un impacto significativo:
- Bajo nivel de ciberseguridad en los productos digitales. Muchos dispositivos carecen de las actualizaciones necesarias para solucionar vulnerabilidades, lo que los convierte en puntos de acceso para ciberdelincuentes.
- Falta de claridad en la información proporcionada a los usuarios. Esto dificulta que los consumidores puedan identificar y elegir productos seguros o usarlos correctamente.
Con esta legislación, se establece un marco claro para los fabricantes, importadores y distribuidores, quienes deberán garantizar que sus productos cumplan estándares elevados de seguridad durante todo su ciclo de vida, desde la planificación hasta el mantenimiento.
Obligaciones clave para la industria
Los responsables de poner estos productos en el mercado europeo tendrán que:
- Realizar análisis de riesgos de ciberseguridad en cada producto.
- Implementar medidas de seguridad desde las primeras etapas de diseño y desarrollo.
- Someter los dispositivos a pruebas de ciberseguridad rigurosas antes de su comercialización.
- Gestionar proactivamente vulnerabilidades e incidentes de seguridad.
Además, se les exigirá notificar cualquier incidente grave o vulnerabilidad identificada antes de septiembre de 2026.
«Los usuarios deberán ser informarnos sobre los riesgos de ciberseguridad asociados al producto; las medidas implantadas en materia de ciberseguridad para mitigarlos; la posibilidad de eliminar de manera segura los datos y parámetros tratados en el producto; la posibilidad de transferir los datos a otro producto o sistema, así como información sobre el apoyo técnico en ciberseguridad ofrecido por el fabricante”, concluye Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT
