MADRID, 20 Oct. (CIBERPRO) –
Más de 600 participantes se han congregado en el Congreso ISACA Europa 2025 para discutir sobre inteligencia artificial (IA), ciberamenazas y resiliencia digital, intercambiando tendencias, aprendizajes y recomendaciones prácticas.
«Estamos inmersos en una ciberguerra«, ha advertido Eric Jeffery, consultor gerente de IBM, al evaluar cómo la inteligencia artificial está modificando el equilibrio entre atacantes y defensores. Este análisis se enmarca dentro de un debate más amplio sobre el impacto global de la IA en la seguridad, gobernanza y capacidad de respuesta de las organizaciones.
Esta advertencia surge en un contexto donde IBM ha inaugurado recientemente su último ordenador cuántico en España (en San Sebastián) y varios gobiernos están reforzando sus estrategias de defensa digital y marcos regulatorios, como el nuevo Centro Nacional de Ciberseguridad en España.
Jeffery también destacó en su intervención que «los atacantes evolucionan más rápidamente que los defensores» y que la IA «acelera el descubrimiento» de vulnerabilidades, presentando un reto que trasciende fronteras y requiere cooperación internacional.
Esta ha sido una de las conclusiones clave del Congreso ISACA Europa 2025, celebrado en Londres (Reino Unido), que reunió a más de 50 ponentes y 36 sesiones dedicadas a gobernanza, auditoría, privacidad, ciberseguridad e inteligencia artificial.
El evento congregó a más de 600 líderes tecnológicos, CISO, auditores y responsables de más de 90 países para discutir cómo establecer confianza digital en un contexto de amenazas en aumento.
A lo largo del congreso, se repitieron mensajes que reflejan la preocupación de Jeffery: los ciberataques se están volviendo cada vez más sofisticados, industrializando y diversificando sus vectores de ataque, mientras las organizaciones europeas buscan mantenerse al día mediante inversiones en talento, formación de sus equipos y cumplimiento de normativas como NIS2 o DORA.
Simultáneamente, aumenta la presión sobre los profesionales y equipos de seguridad, que ya lideran marcos de gobernanza de IA en sus entidades, pero requieren más formación práctica y apoyo institucional para implementar la regulación de manera efectiva.
RESPUESTA A INCIDENTES
En este contexto, Phil Chapman, instructor senior y experto en Firebrand Training, ha abogado por volver a los fundamentos, pero con una perspectiva actualizada, en lo que concierne a la detección, análisis y recuperación de datos en incidentes cibernéticos. También subrayó que la IA permite a actores menos sofisticados escalar ataques, mientras las fuerzas policiales enfrentan un volumen de incidentes que excede su capacidad operativa.
Los panelistas coincidieron en que la respuesta a incidentes debe transformarse de un enfoque de detección a uno de recuperación, utilizando inteligencia artificial para anticipar vulnerabilidades, automatizar análisis y acortar los tiempos de contención.
CUMPLIMIENTO REGULATORIO
Claudio Cilli, profesor universitario y experto en ciberseguridad, abordó la relación entre NIS2 y DORA, y su intersección con otras regulaciones europeas. En este sentido, recordó que DORA se aplica directamente y «tiene prioridad en caso de conflicto», mientras que NIS2 requiere una transposición nacional y establece categorías (esenciales/importantes) con obligaciones y sanciones graduadas.
Cilli pidió más pragmatismo: cumplir adecuadamente con NIS2 y DORA cubre «el 70-80%» del ecosistema de seguridad europeo; el resto dependerá del sector y su criticidad.
Tim Clements, fundador de Purpose Means y consultor en gobernanza de IA, protección de datos y GRC, también sugirió una metodología práctica para alinear los criterios ambientales, sociales y de gobernanza (ESG) con la privacidad y la IA. «Si no comienzas a hacer trabajo real, nada cambiará», resumió, defendiendo hojas de ruta centradas en minimización de datos, retención y rendición de cuentas que reduzcan la huella de carbono (energía o agua) y los riesgos.
Además, Clements instó a romper silos entre equipos ESG, seguridad y TI: «Es fundamental unir esos mundos» con un desglose de objetivos que pase de los eslóganes a tareas medibles, compartibles entre áreas y regiones, y con un propósito claro de mejora continua, apuntó.
RANSOMWARE Y NUEVAS VÍAS DE ACCESO
El panel ‘Ransomware: ¿Pagar o No Pagar?’ (con Richard Hollis, Robert Findlay y Tony Gee) revisó las implicaciones legales, éticas y operativas del pago, y la evolución hacia el Ransomware como Servicio (RaaS) y la extorsión múltiple.
Tony Gee, experto en consultoría de TI y gestión de la seguridad, durante su intervención en la sesión sobre ‘Deepfakes y Cookies: Nuevos Puntos de Entrada para el Ransomware’, debatió sobre los desafíos y mejores prácticas para establecer un programa eficaz de Inteligencia de Amenazas Cibernéticas (CTI).
Gee describió algunos de los nuevos puntos de entrada (‘deepfakes’, robo de cookies y tokens de sesión, y vishing con voces generadas por IA), que priorizan la identidad y el fraude sobre el ‘malware clásico’.
En este sentido, el mensaje del panel fue claro: la educación, los simulacros y la coordinación con las áreas de negocio y legal son cruciales en las decisiones que deben tomarse en horas, no en días.
Gee también enfatizó que este programa es esencial para identificar a los atacantes y sus métodos, dividiéndolo en tres tipos de inteligencia: estratégica, operativa y táctica. Además, destacó la dificultad de distinguir entre riesgos reales y falsos y presentó varios casos que demuestran la necesidad de alineación entre las partes interesadas y métricas como la proporción de inteligencia procesable.
GOBERNANZA, TALENTO Y CULTURA
Durante la clausura del congreso, Chris Dimitriadis, director ejecutivo global de ISACA, subrayó que «la tecnología por sí sola no es suficiente»: la resiliencia depende de las personas, del liderazgo y de la comunicación efectiva entre los perfiles técnicos y directivos.
El directivo destacó que la ciberseguridad debe considerarse una prioridad estratégica para el negocio, enfocándose en la preparación, la responsabilidad y la formación práctica de los equipos.
Según los datos compartidos durante el congreso, el porcentaje de organizaciones con una política interna de IA ha aumentado del 10% al 30% en un año, mientras que más del 90% ya emplea IA de alguna manera; esta brecha entre uso y gobernanza refuerza la urgencia de formación, cultura corporativa y marcos claros para un uso seguro y responsable de la tecnología.
