Actuar ante la tormenta de ciberataques: qué hacer antes, durante y después

La ciberseguridad se sitúa como una de las principales preocupaciones a nivel global, tal y como muestra el informe Global Risk Report 2025 del World Economic Forum (WEF), que sitúa el ciberespionaje y la guerra cibernética entre los mayores riesgos para los próximos años, aumentando tanto en frecuencia y gravedad como en complejidad y preocupación general. Las tensiones geopolíticas, la rápida expansión de nuevas tecnologías e interconexión entre dispositivos, la necesidad de formación y concienciación por parte de la población y la escasez de talento técnico dan lugar a esta ‘tormenta perfecta’, que ha hecho aumentar los ciberataques en número y en gravedad. De hecho, en 2024 los ataques ransomware crecieron un 40% y los delitos de robo de identidad y fraude un 15%, según el Informe Anual de Cibercrimen de la Oficina Europea de Policía (Europol).

Una realidad que también se traslada, como no puede ser de otra forma, al ámbito empresarial:  los primeros ejecutivos españoles sitúan la ciberseguridad como uno de los tres principales riesgos para su crecimiento, tal y como desvela la última edición del informe KPMG CEO Outlook. “La ciberseguridad lleva estando años entre las principales preocupaciones de las compañías, aunque estamos asistiendo a una mayor complejidad y gravedad de este riesgo, sobre todo ante la dificultad para predecir estos ataques, ya que constantemente surgen nuevas formas y métodos para llevarlos a cabo. No obstante, las empresas están respondiendo con una mayor implicación y responsabilidad, y la ciberseguridad está en la agenda de los primeros ejecutivos españoles”, explica Marc Martínez, socio responsable de Technology Risk y Ciberseguridad de KPMG en España. Y es que este mayor compromiso en torno a la ciberseguridad no solo ayuda a fomentar una cultura empresarial más resiliente en este ámbito, sino que también fortalece la confianza entre los distintos grupos de interés.

Sin embargo, las empresas deben poner el foco en algunos factores clave a la hora de fortalecer su estrategia en materia de ciberseguridad. Como apunta el informe Global Cybersecurity Outlook 2025 del WEF, las tensiones geopolíticas y una mayor sofisticación de los ciberataques, la interdependencia de las cadenas de suministro y una creciente presión regulatoria, unido al desarrollo de tecnologías disruptivas como la IA y la falta de habilidades profesionales, representan algunos de estos desafíos. Para Marc Martínez es fundamental “poner el foco en la formación y concienciación entre los empleados, ya que gran parte de los ciberataques provienen de errores humanos”. Todo ello sin olvidar apoyarse en expertos externos que cuenten con el conocimiento y la tecnología más actualizados y ayuden a integrar la ciberseguridad de las organizaciones desde el diseño.

Aunque es innegable que, en el actual contexto, las empresas deben no solo anticiparse ante potenciales amenazas, sino continuar reforzando sus sistemas de defensa y recuperación ante ciberataques. Optimizar el antes, durante y después del ataque es crucial, pues como explica Marc Martínez, “abordar estas tres etapas no solo permitirá que las empresas puedan protegerse mejor, sino también que fomenten un entorno de confianza y seguridad en el largo plazo”.

1. Impulsar la función del CISO como rol estratégico

Adoptar un enfoque proactivo frente a las ciberamenazas ya no es opcional, sino una necesidad ineludible y, para ello, la implicación y concienciación de la alta dirección es crucial. Según explica Javier Aznar, socio de Technology Risk y Ciberseguridad de KPMG en España, “el papel estratégico del CISO (Chief Information Security Officer) está ganando cada vez más relevancia, ya que esta figura no solo debe liderar la implementación de tecnologías de seguridad y contar con las habilidades técnicas necesarias, sino que también debe fomentar una cultura y una estrategia de ciberseguridad que impregne e implique a toda la organización”.

Por este motivo, como apunta Sergio Gómez Rodríguez, socio de Technology Risk y Ciberseguridad de KPMG en España: “los CISO tienen cada vez más presencia en los comités de alto nivel de la compañía, por lo que deben ser capaces de traducir los desafíos diarios de la ciberseguridad a las necesidades estratégicas de las corporaciones”. Por tanto, asistimos a una evolución en el propio perfil del CISO, que va más allá de un enfoque puramente técnico a uno más estratégico y de propia concienciación hacia toda la organización.

2. Anticiparse ante una creciente presión regulatoria

La mayor implicación por parte de la alta dirección en materia de ciberseguridad está siendo impulsada, además, por un entorno normativo cada vez más exigente. Un claro ejemplo de ello es la Directiva NIS2, que amplía los requisitos de ciberseguridad a sectores adicionales, como los proveedores de servicios digitales y diversas industrias estratégicas. Entre las obligaciones que deberán cumplir las empresas sujetas a esta normativa, se encuentra el desarrollo de políticas de sistemas de información, el uso de criptografía o la gestión de la seguridad en la cadena de suministro, entre otras.

Adicionalmente, cabe destacar el reglamento de Resiliencia Operativa Digital (DORA), que establece una serie de medidas para fortalecer la resiliencia operativa y la ciberseguridad en el sector financiero. Como puntualiza Sergio Gómez Rodríguez, “esta regulación puede incluso acarrear implicaciones penales para los miembros de la alta dirección, lo que subraya aún más la importancia de su atención y compromiso en este ámbito”.

Otro ejemplo de ello es el Reglamento europeo de Inteligencia Artificial (RIA), que pone especial foco en la alfabetización en materia de inteligencia artificial (IA). A este respecto, Sergio Gómez Rodríguez destaca que, más allá de cumplir con la normativa, las organizaciones deben adoptar un enfoque ético en estas nuevas tecnologías, promoviendo lo que se conoce como ‘Trusted AI’. Adicionalmente, y como detalla Javier Aznar, “las compañías que pretendan avanzar en esta dirección, de un modo seguro y confiable, deberán contar con un modelo de gobierno de la IA, es decir, con un marco integral diseñado para gestionar y supervisar su uso, lo que permitirá optimizar la eficiencia operativa y fomentar las sinergias entre diferentes áreas de la compañía”.

3. Simulacros de hacking: una ventaja diferencial en la ciberseguridad empresarial

Entre las tareas sobre las que las organizaciones deben poner foco para afrontar la mayor complejidad e interconexión de los ciberataques, y descubrir dónde se encuentran sus posibles vulnerabilidades, se encuentran los ejercicios periódicos de hacking. Ejemplo de ello es la conocida dinámica de red, blue & purple team, en la que distintos equipos dentro de la propia empresa simulan y detectan ataques para identificar posibles vulnerabilidades. Los equipos red simulan ataques para identificar vulnerabilidades, los blue se encargan de la defensa y los purple actúan como un puente entre ambos, asegurando que la organización esté siempre preparada.

Pese a que estos ejercicios pueden implicar un cierto coste y complejidad, sin duda son clave para detectar vulnerabilidades y que las organizaciones estén preparadas ante posibles ciberataques. De hecho, y pese a poder contar con las capacidades y recursos internos para realizarlos, la regulación obliga a que este tipo de ejercicios se realicen de la mano de proveedores externos para obtener una visión más objetiva.

Adicionalmente, Guillermo González, director de Technology Risk y Ciberseguridad KPMG en España, también destaca la importancia de contar con capacidades de inteligencia de amenazas, que serán clave a la hora de conocer qué actores o técnicas están utilizando los ciberatacantes, así como realizar posibles escenarios de ataque que puedan afectar a las llamadas ‘joyas de la corona’ de cada empresa, como apuntan normativas como la NIS2 o DORA. Otros ejercicios y revisiones técnicas comprenden desde el S-SDLC (Seguridad dentro del Ciclo de Vida de Desarrollo de Software), que representa una fuente clave para conocer múltiples vulnerabilidades, hasta la aplicación de la metodología de MITRE ATT&CK, que facilita tácticas y procedimientos de ataque que permite definir una cadena de ataque real, esto es, desde el momento en que el ciberatacante inicia sus investigaciones preliminares hasta que comienza a llevar a cabo ataques activos.

Adicionalmente a estos ejercicios, y como añade Guillermo González, se aconseja complementar estos ejercicios con cursos, certificaciones y plataformas de entrenamiento avanzado que simulen entornos de ataque. “Estos permitirán mejorar las habilidades internas de la plantilla y conocer las posibles vulnerabilidades, así como contar con herramientas y fuentes de inteligencia avanzada de amenazas más actualizadas”, aclara.

4. Fortalecer la madurez en torno a la identidad digital

Otro aspecto crítico en el camino hacia lograr una mayor ciberresiliencia es el reto de la identidad digital, que constituye un pilar fundamental a la hora de proteger la integridad de la información. Algunos ejemplos de riesgos más comunes tienen que ver con aquellos correspondientes al robo y suplantación de la identidad, el escalado de privilegios o el fraude, entre otros. A este respecto, y según explica Juan Manuel Zarzuelo, socio de Technology Risk y Ciberseguridad KPMG en España, la madurez en este ámbito tiene que apoyarse en dos pilares fundamentales: la gobernanza y la tecnología.

Y es que una adecuada definición estratégica y un modelo operativo arraigado en la organización permiten tener un control exhaustivo de los diferentes procesos existentes, obtener métricas que aseguren los niveles de servicio adecuados y lograr una identificación clara de roles y responsabilidades. Sin embargo, y como apunta Juan Manuel Zarzuelo, “las actividades diarias difícilmente perdurarán (o al menos, en un nivel de rendimiento adecuado) sin la tecnología que permita la automatización (total o parcial) de las mismas. En contraposición, la implantación de tecnología sin una estrategia puede derivar en una fatiga sobre las actividades de identidad digital y rechazo de la organización”.

En este sentido, la aprobación del Reglamento elDAS de la Unión Europea (UE) trae consigo varias ventajas y retos para las organizaciones. Entre los potenciales beneficios, destaca la creación de un entorno digital más seguro y fluido en todo el territorio europeo, facilitando las transacciones electrónicas transfronterizas y promoviendo la confianza en los servicios digitales. Además, el reglamento establece estándares comunes que mejoran la interoperabilidad y la seguridad de los sistemas de identificación electrónica. Sin embargo, también presenta retos, como puede ser la necesidad de adaptar los sistemas existentes para cumplir con los nuevos requisitos y la inversión en tecnologías y procesos para garantizar el cumplimiento normativo.

5. Un pacto entre la ciberseguridad y el despliegue de la IA

No hay duda de que la integración de la inteligencia artificial (IA) en los sistemas de seguridad puede mejorar significativamente la detección de amenazas, sin embargo, esta tecnología también puede ser aprovechada por los atacantes para desarrollar técnicas más sofisticadas y explotar vulnerabilidades en la información sensible de las compañías. En este contexto, Roger Ares Viñas, director de Technology Risk de KPMG en España, destaca que “es fundamental que las organizaciones no solo implementen soluciones de IA, sino que también evalúen de manera continua su impacto en la seguridad”. Sin ir más lejos, un claro ejemplo de ello es la realización de pruebas de pen-testing periódicas, que simulan ataques en torno a los nuevos modelos de inteligencia artificial.

Entre las ventajas que ofrece la IA para fortalecer la ciberseguridad de las empresas, Roger Ares destaca que permite ser más rápidos en la identificación y el triaje de amenazas, y mejorar así las capacidades de detección que pueden tener los equipos, siendo un asistente a los propios equipos de seguridad y respuesta ante incidentes.

No obstante, la IA, a la vez que ayuda a los equipos de seguridad a ser más efectivos, también incrementa el riesgo sobre los datos de la organización, permitiendo a los distintos usuarios (empleados, externos o agentes virtuales) interactuar con mucha más información, hasta ahora desconocida o difícilmente accesible. Esta sobre exposición de datos hace que las organizaciones tengan que establecer controles adicionales sobre la información para:

• Descubrir nuevas fuentes de datos.
• Clasificar la información que contienen en base a su sensibilidad y criticidad.
• Proteger esa información con distintos mecanismos de cifrado.
• Controlar las comparticiones, las fugas y exfiltraciones al colaborar con otras personas, sistemas y dispositivos.
• Monitorizar cualquier acción de riesgo para asegurar la mejora continua de la postura de seguridad.

Como subraya el director de Technology Risk de KPMG en España: “Las empresas deben centrarse en la protección de los datos, especialmente de los más sensibles, asegurándose de que las soluciones de IA no tengan acceso a ellos, y si lo hacen, que este proceso esté estrictamente controlado”. La tendencia de controlar solamente los permisos de acceso a las aplicaciones y repositorios de información ha quedado obsoleta, siendo necesario identificar comportamientos de riesgo sobre esta información (descargas, accesos masivos, eliminaciones, tratamiento de información sensible, secuencias de riesgo con ficheros, e.g. descarga, renombrado y compartición a correos o aplicaciones de almacenamiento personal en la nube, etc.). En este nuevo escenario es clave la tecnología, que nos permite identificar y responder a estos comportamientos, y que involucran cualquier identidad (física o virtual), cualquier dispositivo y cualquier entorno.

• Primeros pasos para hacer frente a una ciberamenaza

Pese a las múltiples consideraciones y acciones que las empresas hayan llevado a cabo para evitar un ciberataque, una vez que este se produzca, la reacción debe ser inmediata y eficiente, ya que cada minuto que pasa puede tener consecuencias de máxima gravedad. “En estos momentos, se necesita analizar toda la información disponible, tratando de identificar el malware que está provocando dicha anomalía en el sistema”, aclara Sergi Gil, socio de Technology Risk y Ciberseguridad de KPMG en España. Este análisis inicial es fundamental, ya que permite a los equipos de seguridad comprender la naturaleza del ataque y su posible origen.

Una vez que se ha identificado el malware, el siguiente paso es aislar el sistema afectado. Como explica Sergi Gil, esto implica desconectar el sistema comprometido de la red para evitar que el ataque se propague a otras áreas y cause aún mayor daño. Este aislamiento debe realizarse con rapidez y precisión, ya que la propagación del ataque puede comprometer datos sensibles y afectar la operatividad de la organización en su conjunto.

Además de la respuesta técnica, la comunicación es otro aspecto clave durante un ataque cibernético, ya que el modo en el que la organización se comunica internamente y con partes externas puede influir significativamente en la gestión de la crisis. Por ello, se aconseja contar con un programa de gestión de crisis bien estructurado, que incluya la preparación de documentación detallada sobre la posible incidencia, así como un plan claro que estructure cada uno de los pasos a seguir en caso de un ciberataque.

En palabras de Sergi Gil: “resulta esencial contar con un protocolo de comunicación conjunto extensible a toda la compañía para que esté alineada y algo tan técnico como hablar de la afectación de un malware sea entendible y accesible para todos los miembros de la compañía”. Esto significa que todos los empleados, desde la alta dirección hasta el personal operativo, deben estar informados sobre el protocolo a seguir y cómo comunicar cualquier anomalía que detecten. “La claridad en la comunicación no solo ayuda a mantener la calma durante la crisis, sino que también asegura que todos los miembros de la organización estén en la misma página, lo que es esencial para una respuesta coordinada y efectiva”, aclara el socio de Technology Risk y Ciberseguridad de KPMG en España.

• Alerta a los sectores críticos y a su mayor complejidad

Para más inri, en sectores como el de salud, telecomunicaciones, energía o industria, las consecuencias de un ciberataque pueden ser aún más graves, tal y como muestran los últimos datos del European Repository of Cyber Incidents. Y es que estos sectores críticos están significativamente más expuestos, ya que como advierte David Marco, director de Technology Risk y Ciberseguridad KPMG en España, ” la interrupción de operaciones en estos sectores puede tener un impacto significativo no solo en la empresa afectada, sino también en la economía en su conjunto”. Por esta razón, las organizaciones necesitan contar con un plan de respuesta bien definido y que todos los empleados estén capacitados para identificar las señales de un posible ciberataque.

“El riesgo elevado que enfrentan estos sectores críticos, como el de salud y energía, se vuelve aún más relevante en un contexto de incertidumbre geopolítica, ya que estas situaciones se convierten en una vía clave para que los atacantes busquen debilitar estos sistemas esenciales y paralizarlos por completo”, apunta David Marco. Un claro ejemplo de estos ciberataques fue el conocido ataque masivo de ransomware ‘WannaCry’ en 2017, que tuvo un impacto global bloqueando el acceso a miles de equipos informáticos de instituciones públicas y privadas de más de 150 países, incluyendo España.

La dificultad para actualizar los sistemas heredados, conocidos como sistemas legacy, en estos sectores que tienden a volverse obsoletos rápidamente, hace que sea ineludible implementar medidas preventivas que no supongan una interrupción de los servicios. David Marco sugiere la segmentación como principio básico para evitar y minimizar el riesgo de propagación en caso de un ciberataque, lo que ayudaría a reducir su impacto”.

“Las organizaciones en estos sectores deben priorizar su resiliencia frente a posibles ciberataques, llevando a cabo ‘ciberejercicios’ y simulacros que establezcan procedimientos claros de actuación”, enfatiza. No obstante, y una vez que se ha producido un ataque, se debe especial atención a la rapidez de la recuperación. En estas industrias el tiempo de respuesta y la restauración de los procesos pueden ser más compleja debido a la necesidad de utilizar maquinaria y recursos específicos, lo que puede ralentizar el proceso de recuperación.

“No cabe duda de que, independientemente del nivel de preparación, las empresas enfrentarán ciberataques de manera inevitable, por ello, la prioridad es estar preparados para que cuando se produzcan, se emita una respuesta ágil que asegure que la afectación sea la mínima”, destaca Sergi Gil. En este sentido, se necesita analizar e identificar las debilidades que permitieron el incidente y aquellas acciones que se deberían haber llevado a cabo.

Y es que, como subraya Sergi Gil, “la vuelta a la normalidad no significa únicamente restaurar los sistemas a su estado anterior; sino que este proceso debe ir acompañado de una reflexión profunda sobre cómo se debió haber evitado el ataque“. Adicionalmente, resulta de vital importancia asegurarse de que, durante este proceso, no se reinicien sistemas con vulnerabilidades aún presentes.

Por otro lado, dedicar mayores recursos a la formación y capacitación de los profesionales ya no es una opción, ya que la mayoría de los incidentes provienen de errores humanos. “A través de una investigación exhaustiva, se debe identificar si el ataque fue el resultado de un error humano, una debilidad en los protocolos de seguridad o si los atacantes explotaron una vulnerabilidad técnica específica”, detalla Sergi Gil.

En este sentido, se recomienda elaborar un plan de incidencias personalizado que incluya puntos tan relevantes como el mejor modo de gestionar estos ataques internamente, los servicios que se requieren para evitar ataques similares, fortalecer el conocimiento de los profesionales, etc. “Este enfoque holístico permite a las empresas no solo gestionar los riesgos cibernéticos de manera reactiva, sino también anticiparse a ellos, generando una cultura organizacional resiliente ante la ciberamenaza”, concluye.

En suma, y pese a que la ciberseguridad se ha convertido en una preocupación creciente debido al aumento y la gravedad de los ataques en un mundo cada vez más interconectado, las organizaciones tienen la oportunidad de implementar un enfoque proactivo a estos ataques y aprovechar así las oportunidades que brindan la digitalización y las nuevas tecnologías. Todo ello desde un enfoque más estratégico, que aborde con agilidad las tres etapas de un ciberataque (antes, durante y después), y que esté liderado desde la alta dirección, fortaleciendo así la cultura y concienciación de todos los profesionales que componen la organización.