Resumen Ejecutivo
El panorama de la ciberseguridad en 2025 se caracteriza por una rápida escalada en la complejidad y frecuencia de las amenazas, junto con requisitos regulatorios cada vez más estrictos. Los ataques sofisticados dirigidos a las cadenas de suministro, el uso indebido generalizado de la inteligencia artificial y el aumento global de las regulaciones de privacidad de datos son algunas de las principales preocupaciones para las organizaciones. El 75% de la población mundial tendrá sus datos personales protegidos bajo leyes de privacidad en 2025,1 lo que subraya la urgencia para que las empresas implementen estrategias de gestión de datos robustas y en cumplimiento para minimizar riesgos y proteger sus operaciones.
Este informe identifica 12 tendencias clave de ciberseguridad y cumplimiento que están moldeando el año venidero, enfatizando la convergencia de la privacidad de datos, el cumplimiento y las medidas de seguridad impulsadas por la tecnología. Desde el impacto transformador de la IA en tácticas cibernéticas ofensivas y defensivas hasta las vulnerabilidades críticas inherentes en las asociaciones con terceros y las cadenas de suministro, las organizaciones deben abordar proactivamente estos desarrollos para adelantarse a los adversarios. Ejemplos en 2024 incluyen a Change Healthcare y AT&T, donde brechas significativas en la seguridad de la cadena de suministro de software resultaron en el compromiso de millones de registros de usuarios. La colaboración segura de contenido, la detección de amenazas en tiempo real y la adopción de marcos integrados emergen como componentes críticos de una estrategia de ciberseguridad resiliente.
Para prosperar en este panorama en evolución, las organizaciones enfrentan varios imperativos estratégicos:
- Utiliza herramientas predictivas como el Índice de Exposición al Riesgo: Identificación y priorización de áreas de alto riesgo para asegurar que las inversiones en seguridad sean efectivas y eficientes basadas en la medición de brechas de datos mediante un Índice de Exposición al Riesgo algorítmico.2
- Invierte en sistemas de seguridad avanzados y automatizados: La automatización ya no es opcional. Es una necesidad para reducir las complejidades operativas, minimizar los tiempos de respuesta y optimizar las operaciones de seguridad ante el aumento de amenazas.
- Adopta la detección y respuesta a amenazas impulsadas por IA: A medida que los ciberdelincuentes explotan cada vez más la IA, las organizaciones deben aprovechar las herramientas de análisis predictivo y aprendizaje automático para detectar y reducir amenazas antes de que se materialicen.
- Refuerza los marcos de cumplimiento y gobernanza: Con las regulaciones de privacidad globales volviéndose más intrincadas, alinear las iniciativas de seguridad con los requisitos de cumplimiento es fundamental para evitar sanciones y mantener la confianza.
- Minimiza los riesgos de terceros: La cadena de suministro sigue siendo uno de los eslabones más débiles en la seguridad organizacional. Fortalecer los marcos de gestión de riesgos de terceros y evaluar a los socios por su madurez en seguridad es esencial para abordar las vulnerabilidades de manera efectiva.
- Enfócate en la colaboración segura de contenido: A medida que los datos sensibles se mueven a través de los límites organizacionales, las plataformas seguras de intercambio y comunicación de contenido son fundamentales para reducir la exposición.
La previsión de Kiteworks para 2025 sirve como una hoja de ruta integral para líderes empresariales, profesionales de TI y equipos de seguridad. Proporciona ideas accionables y orientación práctica para ayudar a las organizaciones a navegar en el entorno de ciberseguridad en rápida evolución. Al alinear las prioridades de seguridad con los objetivos empresariales, fomentar una cultura de cumplimiento e invertir en tecnologías adaptativas, las organizaciones pueden mejorar su resiliencia frente a un panorama de amenazas dinámico mientras impulsan el éxito operativo a largo plazo.
Introducción
A medida que las organizaciones avanzan hacia 2025, se enfrentarán a desafíos únicos en ciberseguridad moldeados por presiones regulatorias y nuevos riesgos tecnológicos. La transformación digital incrementada ha llevado a volúmenes de datos y intercambio sin precedentes a través de redes, intensificando tanto los riesgos como los requisitos de cumplimiento. El pronóstico de Kiteworks para 2025 describe las tendencias y prácticas de seguridad que las organizaciones necesitan para proteger la información confidencial de manera efectiva.
Introducción
A medida que las organizaciones avanzan hacia 2025, se enfrentarán a desafíos únicos en ciberseguridad moldeados por presiones regulatorias y nuevos riesgos tecnológicos. La transformación digital incrementada ha llevado a volúmenes de datos y intercambio sin precedentes a través de redes, intensificando tanto los riesgos como los requisitos de cumplimiento. El pronóstico de Kiteworks para 2025 describe las tendencias y prácticas de seguridad que las organizaciones necesitan para proteger la información confidencial de manera efectiva.
Este informe sintetiza ideas de estudios de la industria, análisis de expertos y pronósticos de tendencias para proporcionar una visión estratégica de las prioridades cambiantes en ciberseguridad. Cubre áreas críticas como las leyes globales de privacidad de datos, vulnerabilidades en las cadenas de suministro de software y el papel de la IA en las operaciones de seguridad. Cada tendencia se examina con un enfoque en su impacto en la resiliencia organizacional, el cumplimiento normativo y las estrategias de seguridad de datos.
Organizado en análisis de tendencias, recomendaciones y planificación estratégica, este informe explora 12 tendencias que dan forma al panorama de la ciberseguridad. Cada sección aborda riesgos específicos, desafíos y posibles soluciones, equipando a las organizaciones con ideas para gestionar preocupaciones de seguridad complejas mientras cumplen con las demandas de cumplimiento. Al proporcionar estas perspectivas, Kiteworks busca empoderar a los líderes y profesionales de seguridad para construir marcos de ciberseguridad robustos y adaptables para 2025.
Atentamente,
Patrick Spencer
Patrick Spencer, Ph.D.
VP de Marketing Corporativo e Investigación
Kiteworks
1. Evolución Global de la Privacidad de Datos
El panorama global de la privacidad de datos sigue evolucionando, reformulando los requisitos de cumplimiento para las organizaciones en todo el mundo. Para 2025, Gartner proyecta que el 75% de la población mundial estará cubierta por regulaciones modernas de privacidad de datos, impulsando a las empresas a adoptar prácticas estrictas de gestión y seguridad de datos.3 Desde el GDPR de Europa hasta los marcos en Brasil, India y China, estas regulaciones enfatizan la transparencia, los derechos del consumidor y el cumplimiento transfronterizo.
La naturaleza fragmentada de las leyes de privacidad se está volviendo cada vez más compleja en los Estados Unidos. Mientras que la legislación federal de privacidad como la Ley de Derechos de Privacidad de América (APRA) sigue siendo incierta, las regulaciones a nivel estatal están expandiéndose rápidamente. En 2025, ocho estados más, además de los cinco con leyes ya en vigor, implementarán leyes de privacidad de datos, incluyendo Delaware, Iowa, Nebraska, New Hampshire, Nueva Jersey, Maryland, Minnesota y Tennessee.4 Estas leyes mejoran los derechos del consumidor, exigen consentimiento explícito para datos sensibles e introducen reglas más estrictas para la toma de decisiones automatizada.
Internacionalmente, las leyes de privacidad se están endureciendo en países de Asia-Pacífico como Australia, India y Japón. Tailandia, por ejemplo, planea actualizar su Ley de Protección de Datos Personales para regular el uso de IA, reflejando un creciente enfoque global en la gobernanza de la IA. Mientras tanto, el Marco de Privacidad de Datos UE-EE. UU. tiene como objetivo agilizar las transferencias de datos transfronterizas, reemplazando el invalidado Escudo de Privacidad, aunque persisten desafíos.
Las empresas también deben abordar cambios más amplios en el marketing digital y el manejo de datos. La eliminación gradual de las cookies de terceros para finales de 2024 empujará a las organizaciones a depender de estrategias de datos de primera parte. Además, se anticipa una aplicación más estricta de las leyes de privacidad, con reguladores imponiendo multas más severas por incumplimiento. Para navegar estos desafíos, las organizaciones están invirtiendo en herramientas automatizadas de gestión de privacidad, designando responsables de privacidad e implementando estrategias robustas de gobernanza de datos.
En consecuencia, la gobernanza de la inteligencia artificial (IA) está emergiendo como un enfoque central para la privacidad de datos. Países como Tailandia, Australia y la Unión Europea están incorporando regulaciones específicas de IA en sus marcos de privacidad más amplios. Estas reglas enfatizan la transparencia en los algoritmos de IA, la responsabilidad por el uso de datos y las protecciones contra el sesgo y el uso indebido. Se espera que la Ley de IA de la Unión Europea, que se finalizará en 2025, introduzca requisitos estrictos para aplicaciones de IA de alto riesgo, incluyendo documentación clara, protocolos de manejo de datos y supervisión humana.5 Tales regulaciones tienen como objetivo equilibrar la innovación con consideraciones éticas y de privacidad, obligando a las organizaciones a repensar sus estrategias de IA para alinearse con los estándares de cumplimiento.
A noviembre de 2024, el total acumulado de multas del GDPR en 2024 se acerca a $5.3 mil millones.6
2. Seguridad de la Cadena de Suministro de Software
El aumento de los ataques a la cadena de suministro de software en los últimos años subraya las crecientes vulnerabilidades dentro de los ecosistemas de software de terceros. Estos ataques apuntan a sistemas interconectados para acceder a datos confidenciales en varias organizaciones. Incidentes notables, como las brechas que involucraron a MOVEit y GoAnywhere, exponen el severo impacto en cascada que un solo proveedor comprometido puede tener en toda una industria, comprometiendo la confianza que las organizaciones depositan en sus proveedores de software. Cybercrime Magazine predice que el costo anual global de los ataques a la cadena de suministro de software alcanzará los $60 mil millones en 2025 y crecerá a un ritmo del 15% anual hasta $138 mil millones para 2031.7
Para combatir estas amenazas en evolución, las organizaciones y los gobiernos están adoptando medidas de seguridad más rigurosas, con un énfasis en construir capacidades de seguridad reforzadas en el software que las organizaciones utilizan. Un modelo de seguridad de confianza cero se está convirtiendo en el enfoque estándar, requiriendo verificación para cada conexión e intercambio de datos a través de todas las redes y proveedores. Esto minimiza el riesgo de que actores maliciosos exploten eslabones débiles en la cadena de suministro para obtener acceso no autorizado.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha sido instrumental en mejorar la ciberseguridad nacional a través de iniciativas como el monitoreo en tiempo real, el intercambio de inteligencia sobre amenazas y la promoción de listas de materiales de software (SBOMs). Sin embargo, con la administración entrante de Trump, hay indicios de posibles cambios en la estructura y enfoque de CISA. El senador Rand Paul, quien se espera que presida el Comité de Seguridad Nacional y Asuntos Gubernamentales del Senado, ha expresado intenciones de reducir significativamente los poderes de CISA, particularmente en lo que respecta a sus esfuerzos para contrarrestar la desinformación.8 Además, las discusiones dentro de la administración sugieren un cambio hacia un enfoque regulatorio más amigable para los negocios, lo que podría llevar a alteraciones en el énfasis de CISA en ciertas medidas de ciberseguridad.9
Dado estos posibles cambios, las organizaciones deben permanecer vigilantes y adaptables. Mientras que las iniciativas actuales de CISA, como los SBOMs y la colaboración intersectorial, han sido fundamentales para fortalecer la seguridad de la cadena de suministro de software, es crucial monitorear los desarrollos de políticas y ajustar las estrategias de seguridad en consecuencia. Mantener prácticas de seguridad internas robustas y fomentar colaboraciones con el sector privado será esencial para mitigar riesgos, especialmente si el apoyo federal sufre modificaciones significativas.
Las mejores prácticas recomendadas por el Instituto Nacional de Seguridad y Tecnología (NIST) y CISA incluyen actualizaciones de software rutinarias, gestión efectiva de parches y evaluaciones de riesgos en profundidad para todos los proveedores de software. Estos pasos contribuyen a un enfoque estandarizado y proactivo para la seguridad de la cadena de suministro de software que fortalece la resiliencia contra una variedad de amenazas cibernéticas sofisticadas. Además, el intercambio continuo de inteligencia sobre amenazas en tiempo real es crucial para mantener la conciencia situacional y adaptar rápidamente las estrategias de seguridad.
El Informe de Investigaciones de Brechas de Datos de Verizon 2024 encontró que la cadena de suministro de software representó el 15% de las brechas de datos en el año anterior, un aumento del 68% año tras año.10
Cambios Potenciales en CISA Bajo la Nueva Administración de Trump
Resultados Positivos
Si la nueva administración de Trump revierte las regulaciones de CISA, las organizaciones pueden beneficiarse de una reducción en las cargas de cumplimiento y una mayor flexibilidad operativa. Para muchas empresas, particularmente las pequeñas y medianas, la flexibilización de los mandatos federales podría reducir los costos asociados con el cumplimiento de requisitos regulatorios estrictos, como informes detallados y marcos de seguridad específicos como el SBOM. Este entorno desregulado puede fomentar la innovación, permitiendo a las empresas adoptar prácticas de ciberseguridad adaptadas a sus necesidades únicas en lugar de adherirse a estándares gubernamentales prescriptivos. Además, las organizaciones podrían tener más libertad para asignar recursos hacia medidas de seguridad proactivas o prioridades empresariales sin estar limitadas por la supervisión federal.
Repercusiones Negativas
Reducir el papel de CISA podría exponer a las organizaciones a mayores riesgos de ciberseguridad, particularmente a medida que las iniciativas federales como el intercambio de inteligencia sobre amenazas en tiempo real y las respuestas coordinadas a los ataques a la cadena de suministro disminuyen. Sin un liderazgo federal fuerte, las empresas pueden encontrarse más vulnerables a amenazas en evolución como el ransomware y las brechas en la cadena de suministro de software, que requieren acción colectiva para mitigar eficazmente. Las organizaciones más pequeñas que dependen de la orientación y el apoyo de CISA podrían tener dificultades para abordar riesgos cibernéticos complejos de manera independiente, lo que podría llevar a vulnerabilidades potenciales en sectores críticos. Además, la falta de estándares federales consistentes podría crear prácticas de ciberseguridad fragmentadas, dificultando que las organizaciones colaboren eficazmente y aseguren la seguridad de los sistemas interconectados.
3. Arquitectura de Seguridad Multicapa
Las organizaciones deben priorizar la protección del contenido sensible en reposo, en uso y en movimiento. Una arquitectura de seguridad multicapa asegura defensas robustas al implementar varias medidas protectoras superpuestas. Este enfoque no solo protege el contenido sensible, sino que también mejora la resiliencia organizacional contra amenazas sofisticadas.
Una estrategia de defensa en profundidad es la piedra angular de una arquitectura multicapa. Al implementar múltiples medidas de seguridad complementarias, como cifrado, cortafuegos de red, antivirus y soluciones antispam, las organizaciones pueden asegurar que si una capa falla, otras prevendrán el acceso no autorizado o la compromisión de datos. Por ejemplo, las tecnologías de cifrado protegen los datos sensibles en tránsito y en reposo, asegurando que las partes no autorizadas no puedan acceder o descifrar la información.
Los sistemas de prevención de pérdida de datos (DLP) monitorean y controlan las transferencias de datos para prevenir filtraciones de contenido sensible. Las herramientas DLP aplican políticas para detectar y bloquear el intercambio no autorizado de archivos clasificados o adjuntos de correo electrónico, reduciendo significativamente el riesgo de exposición accidental o intencional de datos. De manera similar, las tecnologías de desarmado y reconstrucción de contenido (CDR) eliminan el código potencialmente malicioso de los archivos mientras preservan su usabilidad, asegurando el intercambio seguro de contenido sin comprometer la productividad.
La gestión de la postura de seguridad en la nube (CSPM) y la arquitectura de confianza cero (ZTA) juegan roles críticos en los marcos de seguridad modernos. CSPM proporciona visibilidad en los entornos de nube, identificando configuraciones incorrectas y monitoreando el cumplimiento de las políticas de seguridad. ZTA aplica la validación continua de identidades de usuarios, dispositivos y aplicaciones antes de otorgar acceso, minimizando la confianza implícita y protegiendo las comunicaciones sensibles de ataques laterales dentro de la red.
La integración de herramientas de seguridad también es vital para eliminar brechas en las defensas. Plataformas centralizadas, como los sistemas de gestión de información y eventos de seguridad (SIEM) o los sistemas de detección y respuesta extendida (XDR), agilizan el monitoreo, la detección de amenazas y la respuesta a incidentes. Estas plataformas proporcionan una vista unificada de los eventos de seguridad a través de correo electrónico, uso compartido de archivos y sistemas de transferencia de archivos administrada (MFT), permitiendo respuestas más rápidas y coordinadas a las amenazas.
Las organizaciones con un enfoque de seguridad de confianza cero pueden ahorrar más de $1 millón durante una brecha de datos.11
4. Colaboración Segura de Contenidos
La colaboración dinámica con terceros se ha convertido en una piedra angular de las operaciones comerciales modernas, permitiendo a las organizaciones acelerar flujos de trabajo y fomentar la innovación. Sin embargo, estas interacciones aumentan inherentemente la exposición a brechas de datos y violaciones de cumplimiento. El intercambio de contenido sensible con partes externas—como contratistas, proveedores y socios—demanda controles más granulares y mecanismos de gobernanza robustos para mitigar riesgos de manera efectiva.
Para abordar estos desafíos, las organizaciones están recurriendo a plataformas de colaboración segura de contenidos que integran gestión dinámica de acceso y capacidades avanzadas de seguimiento. Estas plataformas aplican permisos de usuario granulares, asegurando que solo las personas autorizadas puedan acceder a archivos, carpetas o conjuntos de datos específicos. Este nivel de control es crítico para minimizar la probabilidad de exposición accidental o maliciosa de datos durante los intercambios con terceros.
La gobernanza granular también se extiende al monitoreo de actividades y registros de auditoría. El seguimiento en tiempo real del acceso y las actividades de intercambio de contenido permite a las organizaciones detectar y responder rápidamente a posibles incidentes de seguridad. Los registros de auditoría completos aseguran el cumplimiento de los requisitos regulatorios y proporcionan una posición defensible en caso de una brecha de seguridad o una alegación de uso indebido de datos.
Además, tecnologías como las herramientas DLP y el cifrado de extremo a extremo (E2EE) mejoran la seguridad de la colaboración con terceros. Los sistemas DLP aplican políticas de seguridad al monitorear y bloquear transferencias de datos no autorizadas, mientras que el E2EE asegura que los datos permanezcan cifrados a lo largo de su ciclo de vida—desde la creación hasta la transmisión y el almacenamiento.
La creciente dependencia de las colaboraciones con terceros destaca la necesidad de que las organizaciones adopten un enfoque de confianza cero para la colaboración segura de contenidos. Este modelo asume que no hay confianza implícita, verificando continuamente las identidades de los usuarios y la integridad de los dispositivos antes de otorgar acceso a contenido sensible. Junto con verificaciones de cumplimiento automatizadas y análisis avanzados de riesgos, los principios de confianza cero proporcionan la base para proteger los datos en un entorno dinámico e interconectado.
El 83% de las organizaciones utilizan plataformas de colaboración de contenidos para compartir archivos externamente con clientes, socios y otros terceros.12
Gestión de Derechos Digitales de Próxima Generación
Los sistemas heredados de gestión de derechos digitales (DRM) a menudo obstaculizan la productividad y la colaboración con sus características restrictivas, como el acceso estático solo de visualización, soporte limitado de formatos de archivo y complejidades de implementación. Frecuentemente requieren instalaciones pesadas de software cliente, introducen vulnerabilidades de seguridad durante las transferencias de archivos y crean caos en el control de versiones. Estas limitaciones impiden una colaboración externa fluida y no proporcionan una supervisión integral del contenido sensible.
Entra Kiteworks SafeEDIT, una solución DRM de próxima generación diseñada para revolucionar cómo las organizaciones colaboran externamente. Al transmitir una versión editable de los archivos en lugar de transferirlos, Kiteworks SafeEDIT asegura que los archivos originales permanezcan protegidos de manera segura dentro del entorno del propietario. Este enfoque innovador permite a los usuarios externos editar y coautorizar documentos en una experiencia similar a una aplicación nativa, sin comprometer la seguridad o la custodia de los datos. Con una gobernanza DRM robusta, que incluye registros de auditoría detallados, revocación de acceso y soporte universal de formatos de archivo, Kiteworks SafeEDIT ofrece una colaboración segura, productiva y flexible sin concesiones.
5. Seguridad Consolidada de Comunicaciones
Las organizaciones de hoy en día dependen de una multitud de sistemas para las comunicaciones de contenido sensible, incluyendo correo electrónico, uso compartido de archivos, SFTP, MFT y formularios web. Si bien estas herramientas cumplen propósitos críticos, gestionar plataformas dispares crea desafíos significativos. La complejidad de mantener y asegurar múltiples sistemas no solo aumenta los costos, sino que también incrementa los riesgos de seguridad y cumplimiento. Las organizaciones con un mayor número de herramientas de comunicación experimentan una mayor proporción de brechas de datos. Por ejemplo, el 32% de las organizaciones con 10 o más brechas de datos tienen más de siete herramientas de comunicación, y el 42% de aquellas con seis herramientas de comunicación experimentaron de siete a nueve brechas de datos. Estos números son dramáticamente más altos que el número promedio de brechas de datos entre todos los encuestados: solo el 9% reportó 10 brechas de datos.13
La falta de integración entre estas herramientas dificulta que las organizaciones apliquen políticas de seguridad consistentes, dejándolas vulnerables a brechas de datos y violaciones de cumplimiento. Cada plataforma adicional introduce posibles brechas en la seguridad y añade a la carga administrativa, como gestionar licencias separadas, realizar múltiples auditorías y capacitar a los empleados en varios sistemas.
La consolidación en una única plataforma segura aborda estas ineficiencias al agilizar las operaciones y reducir redundancias. Al eliminar los silos entre las herramientas de comunicación, las organizaciones pueden lograr una mejor visibilidad y control sobre el contenido sensible. Un registro de auditoría unificado proporciona un registro completo de todas las comunicaciones, permitiendo una detección de amenazas más proactiva y una respuesta a incidentes más rápida, al tiempo que simplifica los informes de cumplimiento. Esto no solo apoya los requisitos regulatorios, sino que también fortalece la postura general de seguridad.
La consolidación también reduce el costo total de propiedad al minimizar los gastos relacionados con licencias de software, mantenimiento y capacitación del personal. Los equipos de TI pueden asignar recursos de manera más efectiva, enfocándose en iniciativas estratégicas en lugar de solucionar problemas de sistemas desconectados.
Casi un tercio de las organizaciones con más de siete comunicaciones de contenido sensible experimentaron más de 10 brechas de datos.14
El 38% de las organizaciones norteamericanas indican que utilizan más de 6 herramientas de comunicación para enviar y compartir contenido sensible.15
6. Seguridad de API y Automatización de Comunicaciones de Contenido Seguro
Las APIs son críticas para automatizar el intercambio seguro y la transferencia de datos sensibles a través de sistemas, aplicaciones y partes externas. Si bien agilizan las operaciones y mejoran la eficiencia, las APIs también introducen riesgos, lo que requiere una seguridad y gobernanza robustas para proteger la información sensible y asegurar el cumplimiento regulatorio.
Las APIs seguras facilitan el intercambio de datos sin problemas entre plataformas, como servicios de uso compartido de archivos, sistemas ERP y aplicaciones basadas en la nube. Aplicar protocolos estrictos de autenticación, autorización y cifrado es esencial para prevenir el acceso no autorizado y las brechas de datos. Incorporar principios de defensa en profundidad asegura que el contenido sensible permanezca protegido a lo largo de su ciclo de vida, tanto en tránsito como en reposo.
Al automatizar tareas rutinarias como transferencias de archivos, aprovisionamiento de usuarios y aplicación de políticas, las APIs reducen errores manuales, ahorran tiempo y mejoran la eficiencia operativa. Los flujos de trabajo automatizados aplican consistentemente controles de seguridad, permitiendo a las organizaciones escalar sus procesos mientras mantienen el cumplimiento con regulaciones como GDPR, HIPAA y CCPA. Al mismo tiempo, la gestión centralizada de APIs mejora la gobernanza al proporcionar visibilidad en tiempo real de los flujos de datos y actividades de los usuarios a través de registros de auditoría detallados. Los controles de acceso granulares restringen los datos sensibles a usuarios y sistemas autorizados, reduciendo aún más el riesgo de exposición.
Las herramientas avanzadas de seguridad de APIs aprovechan el monitoreo en tiempo real y el aprendizaje automático para detectar anomalías en el tráfico, minimizando las amenazas potenciales antes de que escalen. Las actualizaciones regulares y el escaneo automatizado de vulnerabilidades aseguran que las APIs permanezcan resilientes frente a riesgos en evolución.
Los modelos de implementación flexibles, incluidos los sistemas en las instalaciones, nubes privadas y entornos híbridos, permiten que las APIs se adapten a diversos requisitos operativos mientras se alinean con los mandatos de privacidad y cumplimiento. Los marcos de API escalables y seguros ayudan a las organizaciones a mantener el rendimiento sin comprometer las protecciones de contenido sensible.
Casi tres cuartas partes de las organizaciones reportaron al menos tres brechas de datos relacionadas con APIs en los últimos dos años.16
7. Evolución del Cumplimiento Normativo
El panorama regulatorio en 2025 refleja avances significativos en cumplimiento y ciberseguridad, impulsados por desarrollos en 2024. Marcos clave, como la implementación completa de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) 2.0, la aplicación de la Ley de IA de la UE, la Orden Ejecutiva de la Casa Blanca de EE. UU. sobre IA (Orden Ejecutiva sobre el Desarrollo y Uso Seguro, Confiable y Seguro de la Inteligencia Artificial), las directrices de seguridad actualizadas de la NSA y los estándares internacionales, están transformando cómo las organizaciones protegen datos sensibles, abordan riesgos de terceros y aseguran el cumplimiento.
La aplicación completa de CMMC 2.0 requiere que las empresas dentro de la Base Industrial de Defensa (DIB) cumplan con puntos de referencia específicos de cumplimiento o se arriesguen a la descalificación de contratos federales. Esta aplicación, respaldada por CFR 32 y CFR 48, se extenderá más allá de los contratistas de DIB, influyendo en un rango más amplio de empresas para adoptar marcos de ciberseguridad similares para seguir siendo competitivas en el mercado. Se insta a las organizaciones a realizar evaluaciones de preparación proactivas e implementar controles de ciberseguridad robustos para asegurar sus operaciones y cadenas de suministro. Además, con dos tercios de las organizaciones intercambiando contenido sensible con más de 1,000 terceros, un enfoque mejorado en la gestión de riesgos de terceros requiere que las empresas aseguren que sus socios y proveedores cumplan con estrictos estándares de ciberseguridad.17
La aplicación de la Ley de IA de la UE en 2025 introduce requisitos regulatorios estrictos para los sistemas de IA. Las organizaciones ahora deben cumplir con criterios específicos de riesgo, que incluyen implementar modelos de IA transparentes, abordar el sesgo de manera proactiva y fortalecer las prácticas de gobernanza de datos. Estas medidas tienen como objetivo asegurar un desarrollo y uso ético de la IA, priorizando la privacidad, la responsabilidad y la equidad. Las empresas que implementan soluciones impulsadas por IA deben alinearse con las regulaciones de IA tanto de EE. UU. como internacionales para evitar sanciones financieras y daños reputacionales, marcando un cambio crucial en cómo se gobiernan las tecnologías de IA a nivel mundial.
Las directrices de seguridad actualizadas de la NSA, publicadas en 2024, continúan dando forma a las estrategias de ciberseguridad en 2025. Las organizaciones están poniendo un mayor énfasis en la automatización y los ecosistemas de confianza cero, aprovechando mecanismos de defensa predictivos y adaptativos para contrarrestar amenazas cibernéticas cada vez más sofisticadas. Estas medidas se alinean estrechamente con los principios de CMMC 2.0 y refuerzan la importancia de medidas de seguridad proactivas para proteger infraestructuras críticas y datos sensibles.
Se espera que los estándares internacionales, como ISO/IEC 27001, 27017 y 27108, vean una mayor adopción a medida que las empresas multinacionales buscan simplificar el cumplimiento en diferentes jurisdicciones. Al alinearse con estos estándares, las organizaciones pueden asegurar prácticas de seguridad consistentes, mejorar la resiliencia operativa y navegar eficazmente por paisajes regulatorios complejos.
Los cambios regulatorios de 2024 han allanado el camino para un entorno más seguro y orientado al cumplimiento en 2025. Se anima a las organizaciones a abordar estos cambios como una oportunidad para fortalecer sus posturas de ciberseguridad, minimizar riesgos y construir confianza con las partes interesadas. Al priorizar la preparación y adoptar medidas proactivas, las empresas no solo pueden cumplir con las demandas regulatorias en evolución, sino también posicionarse como líderes en un paisaje digital en rápida transformación.
Por Qué el Cumplimiento de CMMC 2.0 es Crítico para los Contratistas de Defensa
En 2025, la aplicación completa del Nivel 2 de CMMC 2.0 será el centro de atención para los contratistas de defensa en el DIB. Bajo CFR 32 y CFR 48, los contratistas deben implementar prácticas rigurosas de ciberseguridad para proteger la información no clasificada controlada (CUI) y la información sobre contratos federales (FCI). El incumplimiento resultará en la descalificación de los contratos del Departamento de Defensa (DoD), colocando una inmensa presión sobre los contratistas para cumplir con los requisitos de certificación. A medida que las auditorías se vuelven más estrictas, los contratistas necesitarán adoptar controles robustos como cifrado de extremo a extremo, gestión de acceso y registros de auditoría detallados para asegurar datos sensibles y mantener su elegibilidad para contratos gubernamentales.
Kiteworks está preparado para ser un habilitador clave para las organizaciones que navegan estos desafíos. Su Red de Contenido Privado Autorizada por FedRAMP Moderado apoya casi el 90% de los requisitos del Nivel 2 de CMMC 2.0, proporcionando a los contratistas una ventaja significativa en el cumplimiento.18 Al unificar correo electrónico seguro, intercambio de archivos, transferencia de archivos administrada y otras herramientas de comunicación segura en una sola plataforma, Kiteworks simplifica el cumplimiento y reduce la complejidad de las auditorías. En 2025, los contratistas de DIB que aprovechen Kiteworks se beneficiarán de una eficiencia operativa mejorada, una preparación de auditoría sin problemas y una protección integral para su contenido sensible, posicionándolos para un éxito continuo en el paisaje regulatorio en evolución.
8. Estrategias de Clasificación de Datos
La importancia estratégica de la clasificación de datos nunca ha sido más pronunciada. En una era donde los datos son tanto un activo como una responsabilidad, la clasificación proporciona la base para una gobernanza de datos robusta, cumplimiento y eficiencia operativa. Una clasificación de datos efectiva permite a las organizaciones reducir riesgos, mejorar la visibilidad de los datos y desbloquear el potencial de sus activos de información mientras protegen la información sensible contra violaciones y sanciones por incumplimiento. Solo el 10% de las organizaciones han etiquetado y clasificado todos sus datos no estructurados, mientras que el 52% admite haber etiquetado y clasificado menos de la mitad de sus datos no estructurados.19
Las herramientas de clasificación automatizada se están volviendo cada vez más sofisticadas, aprovechando la IA y el aprendizaje automático para procesar vastos conjuntos de datos con precisión. Estas herramientas pueden identificar patrones, aplicar etiquetado contextual y clasificar información con mínima intervención humana. Esto reduce errores y asegura que la información sensible sea identificada y protegida correctamente. La clasificación impulsada por IA también permite actualizaciones en tiempo real, ayudando a las organizaciones a adaptarse a entornos de datos y requisitos regulatorios que cambian rápidamente.
El descubrimiento y mapeo de datos son esenciales para que las organizaciones obtengan una comprensión integral de su panorama de datos. Más allá de simplemente identificar las ubicaciones de los datos sensibles, estos procesos ahora incorporan perfiles de riesgo y análisis de valor. Con datos distribuidos en infraestructuras multicloud e híbridas, las herramientas de descubrimiento avanzadas proporcionan visibilidad en tiempo real de los flujos de datos y destacan vulnerabilidades. Esto permite a las organizaciones aplicar salvaguardias específicas, asegurando el cumplimiento y minimizando riesgos en entornos complejos.
La gestión de metadatos ha evolucionado para proporcionar información dinámica y en tiempo real sobre atributos de datos como origen, propiedad e impacto regulatorio. Este contexto enriquecido permite a las organizaciones aplicar políticas de gobernanza más estrictas y simplificar los procesos de cumplimiento. A medida que regulaciones como GDPR, CCPA y la Ley de IA de la UE continúan evolucionando, las ideas impulsadas por metadatos jugarán un papel crucial en asegurar que las organizaciones sigan cumpliendo con los estándares globales.
El aumento del escrutinio regulatorio es otro impulsor que hace de la clasificación de datos un área de enfoque crítico en 2025. A medida que los gobiernos de todo el mundo promulgan leyes de privacidad de datos más estrictas, las organizaciones enfrentan una presión creciente para implementar una gobernanza de clasificación proactiva. Alineándose con marcos como GDPR, la Ley de IA y la CCPA, las políticas de clasificación ahora deben incorporar requisitos de cumplimiento en su núcleo. Esto asegura un manejo consistente de la información sensible en diversas unidades de negocio y regiones geográficas, reduciendo el riesgo de multas y daños reputacionales.
El énfasis en la clasificación de datos en 2025 se extiende más allá del cumplimiento y la gestión de riesgos. Las organizaciones están reconociendo su potencial para permitir una mejor toma de decisiones y eficiencia operativa. Al categorizar y asegurar los datos adecuadamente, las empresas pueden optimizar los controles de acceso, simplificar los flujos de trabajo y fomentar la innovación, particularmente en iniciativas impulsadas por datos. Además, los marcos de clasificación robustos empoderan a las organizaciones para adoptar con confianza tecnologías avanzadas, como la IA y el aprendizaje automático, sin comprometer la seguridad o el cumplimiento.
Clasificación de Datos del NIST
El Instituto Nacional de Estándares y Tecnología (NIST) subraya la importancia de una clasificación de datos robusta como piedra angular para una recolección y gestión de datos efectiva. La clasificación de datos implica organizar la información en categorías predefinidas según su sensibilidad, valor y requisitos de cumplimiento. Este enfoque estructurado no solo mejora la integridad y accesibilidad de los datos, sino que también alinea las prácticas de recolección de datos con las políticas de seguridad organizacional y los mandatos regulatorios. Al categorizar los datos según su importancia y nivel de riesgo, las organizaciones pueden asegurar que los datos sensibles reciban las protecciones adecuadas, minimizando riesgos como el acceso no autorizado, violaciones de datos y el incumplimiento regulatorio.
Implementar las directrices de clasificación de datos del NIST ayuda a las organizaciones a optimizar sus procesos de recolección de datos. La clasificación permite una mejor toma de decisiones al asegurar que los datos se recolecten con un propósito y contexto claros, evitando información redundante o irrelevante. Por ejemplo, aplicar niveles de clasificación—como público, uso interno y restringido—permite a las organizaciones adaptar los métodos de recolección a las necesidades específicas de cada categoría, protegiendo la información sensible mientras se simplifica la gestión de datos. Con una base sólida en clasificación, las organizaciones pueden mejorar la gobernanza de datos, aumentar la eficiencia operativa y fomentar la confianza con las partes interesadas al demostrar un compromiso con la seguridad de los datos y la adherencia regulatoria.
9. Evaluación de Riesgos Multidimensional
La evaluación de riesgos multidimensional surgirá como una estrategia crítica para las organizaciones que navegan amenazas cibernéticas cada vez más sofisticadas. Los modelos futuros expandirán su enfoque, aprovechando análisis impulsados por IA e inteligencia de amenazas integrada para evaluar riesgos a través de parámetros dinámicos, como patrones de ataque en tiempo real, cambios geopolíticos, comportamiento del usuario y sensibilidad de los datos. Estos avances permitirán a los equipos de seguridad priorizar vulnerabilidades con una precisión sin precedentes, asignando recursos a las áreas de mayor riesgo y asegurando una mitigación de amenazas integral. La puntuación algorítmica de riesgos a través de segmentos de la industria, como el Índice de Puntuación de Riesgos de la Industria de Kiteworks, también proporciona a las organizaciones puntos de referencia útiles y los medios para abordar riesgos potenciales de manera proactiva.20
Se espera que la seguridad consciente del contexto evolucione significativamente, convirtiéndose en un pilar fundamental de los marcos de evaluación de riesgos multidimensionales. Los sistemas emergentes incorporarán IA predictiva para detectar anomalías en el comportamiento del usuario, incluyendo la ubicación de acceso, el uso del dispositivo y el tiempo, ofreciendo una visión sin precedentes de las amenazas potenciales. La integración de capacidades predictivas empoderará a las organizaciones para abordar riesgos de manera preventiva, pasando de respuestas reactivas a una gestión proactiva de amenazas. Esta innovación no solo reducirá los tiempos de respuesta, sino que también fortalecerá las defensas contra ciberataques cada vez más dirigidos.
La monitorización continua y las defensas adaptativas se convertirán en estándar a medida que las organizaciones enfrenten paisajes de amenazas que evolucionan rápidamente. En 2025, las plataformas de seguridad ajustarán dinámicamente los protocolos en tiempo real, impulsadas por inteligencia de amenazas global en vivo y datos de comportamiento. Esta adaptabilidad asegurará la resiliencia contra amenazas persistentes y emergentes, permitiendo a las organizaciones mantener una protección robusta en un entorno en constante cambio.
Además, 2025 verá un enfoque intensificado en la integración de evaluaciones multidimensionales a través de los dominios de cumplimiento, ciberseguridad y riesgo operativo. Este enfoque unificado proporcionará una visión holística de los riesgos interconectados, permitiendo a las organizaciones diseñar estrategias de seguridad ágiles que se adapten a paisajes regulatorios y de amenazas cambiantes. El año marcará un punto de inflexión, donde las evaluaciones de riesgos multidimensionales no son solo herramientas, sino marcos esenciales para navegar las complejidades de la ciberseguridad moderna.
Salud: Riesgos Regulatorios Elevados y Resiliencia ante Ransomware
El sector de la salud demanda atención urgente en 2025 debido a su combinación única de objetivos de alto valor, operaciones críticas y supervisión regulatoria. Como el principal custodio de información sensible de pacientes, las organizaciones de salud enfrentan riesgos significativos de ransomware, con tasas de ataque y costos de violación que continúan aumentando. En 2024, el costo promedio de una violación de datos de salud superó los $6 millones, y los ataques de ransomware interrumpieron frecuentemente la atención al paciente.21 Estos incidentes demuestran cómo los atacantes explotan tanto la naturaleza sensible de la información de salud protegida (PHI) como la dependencia de la salud en sistemas heredados.
El aumento del escrutinio regulatorio complica estos desafíos. Las disposiciones mejoradas de HIPAA y los marcos internacionales como GDPR intensificarán los requisitos de cumplimiento, especialmente para las organizaciones incapaces de rastrear y asegurar adecuadamente los intercambios de datos sensibles. Los informes muestran un vínculo directo entre las comunicaciones no gestionadas y la gravedad de las violaciones, con organizaciones que utilizan 10 o más herramientas de comunicación experimentando 3.5 veces más violaciones de datos.22
La salud es particularmente vulnerable debido a su papel crítico en la sociedad. Una violación no solo pone en riesgo la confianza del paciente y las sanciones por incumplimiento, sino que también pone en peligro vidas cuando las operaciones se interrumpen. Para minimizar estos riesgos, los líderes de TI y cumplimiento deben priorizar arquitecturas de confianza cero, detección avanzada de amenazas y una gobernanza de datos robusta para alinearse con el paisaje regulatorio cada vez más complejo.
10. Riesgos de Seguridad de Datos de IA
Los riesgos de seguridad de datos de IA se intensificarán en 2025, con actores maliciosos aprovechando la IA para orquestar ciberataques más complejos y a gran escala. Los actores de amenazas usarán IA para automatizar el escaneo de vulnerabilidades, generar contenido engañoso para campañas de phishing y evolucionar malware en tiempo real para eludir las defensas tradicionales. Estos desarrollos colocarán a los sistemas de IA en el centro del campo de batalla de la ciberseguridad, convirtiéndolos en objetivos principales para ataques destinados a corromper datos de entrenamiento, secuestrar modelos o interrumpir operaciones. Las organizaciones necesitarán adoptar medidas proactivas, incluyendo protocolos de seguridad fortalecidos y herramientas de detección de amenazas específicas de IA, para contrarrestar estas amenazas sofisticadas. En un estudio reciente, el 90% de las organizaciones indicaron que están implementando activamente o planean explorar casos de uso de LLM; sin embargo, solo el 5% tiene alta confianza en su preparación de seguridad de IA.23
Las organizaciones que ingieren datos sensibles en sistemas de IA también enfrentarán un mayor escrutinio sobre riesgos de privacidad y cumplimiento. En 2025, regulaciones globales más estrictas exigirán una mayor responsabilidad sobre cómo los modelos de IA procesan y protegen la información sensible. El manejo inadecuado de datos propietarios o información personal podría llevar a sanciones severas a medida que los reguladores imponen estándares más estrictos para la transparencia, el uso ético de la IA y la minimización de datos. Las tecnologías de preservación de la privacidad, como el aprendizaje federado y la privacidad diferencial, se volverán esenciales para las organizaciones que buscan equilibrar la innovación con el cumplimiento, asegurando que los sistemas de IA puedan aprender de los datos sin exponer detalles sensibles.
El aumento de los ataques adversariales desafiará aún más los marcos de seguridad de IA. Los atacantes explotarán cada vez más las vulnerabilidades en los sistemas de IA manipulando datos de entrada para influir en los resultados del modelo, introduciendo sesgos o causando fallos totales. Para minimizar estos riesgos, 2025 verá un aumento en la adopción de pruebas adversariales, prácticas de desarrollo de modelos seguros y herramientas de auditoría automatizadas. Estos avances serán críticos para asegurar que los modelos de IA sean robustos y confiables bajo condiciones del mundo real.
A medida que la tecnología de IA se arraiga más en los procesos empresariales, las organizaciones en 2025 estarán encargadas de construir marcos de gobernanza de IA integrales. Estos marcos abordarán el doble desafío de defenderse contra amenazas cibernéticas habilitadas por IA mientras se asegura el cumplimiento regulatorio y el uso ético de los datos. Con amenazas en evolución y una supervisión más estricta, las organizaciones necesitarán priorizar la monitorización continua, la mitigación de amenazas en tiempo real y la transparencia en las operaciones de IA para mantener la confianza y la seguridad en el paisaje de IA en rápida evolución.
El 96% de las organizaciones indican que están utilizando aplicaciones GenAI y que más de un tercio de los datos sensibles ingeridos son datos regulados.24
Manufactura: Protegiendo Cadenas de Suministro en Medio de la Transformación Digital
La manufactura se destaca como un sector que requiere un enfoque intensificado en 2025 debido a su rápida transformación digital y su papel crítico en las cadenas de suministro globales. La adopción de tecnologías de la Industria 4.0 ha incrementado exponencialmente la superficie de ataque, convirtiendo a la manufactura en uno de los sectores de más rápido crecimiento en términos de riesgos de ciberseguridad. En 2024, la Puntuación de Riesgo de la industria se disparó a 8.6, destacando la exposición significativa a amenazas.25
A diferencia de otros sectores, la manufactura opera en la intersección de entornos de tecnología de la información (TI) y tecnología operativa (OT). Esta configuración híbrida es un objetivo principal para los atacantes que buscan interrumpir la producción o robar propiedad intelectual. Además, la dependencia de proveedores externos amplifica las vulnerabilidades, con violaciones de la cadena de suministro que tienen el potencial de impactar a múltiples organizaciones aguas abajo.
Los cambios regulatorios aumentan aún más la importancia de asegurar este sector. A medida que los gobiernos expanden marcos como CMMC 2.0 para incluir contratistas no defensivos, los fabricantes necesitarán alinear sus operaciones con mandatos de seguridad de datos y cumplimiento más estrictos. No hacerlo podría llevar a multas cuantiosas, daños reputacionales y pérdida de contratos.
El papel fundamental de la manufactura en la economía global y su interdependencia con otros sectores la convierten en un objetivo estratégico para los adversarios. Los líderes deben mejorar la seguridad de los endpoints, hacer cumplir la segmentación de redes TI/OT e invertir en análisis predictivos para proteger las operaciones y asegurar el cumplimiento con las regulaciones emergentes. Sin medidas proactivas, los fabricantes arriesgan interrupciones en la producción y reacciones regulatorias, poniendo en peligro su competitividad en el mercado.
11. Seguridad Impulsada por el Cumplimiento
La seguridad impulsada por el cumplimiento se volverá cada vez más dinámica a medida que las organizaciones enfrenten mandatos regulatorios en expansión y una aplicación más estricta. El cambio será impulsado por estándares globales en evolución que requieren una mayor transparencia, responsabilidad y adherencia demostrable a las leyes de protección de datos. Las organizaciones priorizarán la incorporación del cumplimiento en el núcleo de sus estrategias de seguridad para evitar sanciones y proteger la confianza de las partes interesadas. La seguridad impulsada por el cumplimiento irá más allá de simplemente cumplir con los estándares para dar forma activa a cómo las organizaciones gestionan y aseguran datos sensibles en un entorno regulatorio más complejo.
El año verá avances significativos en tecnologías de cumplimiento automatizado. Se espera que las herramientas impulsadas por IA permitan la monitorización en tiempo real, señalando posibles violaciones a medida que ocurren y automatizando los procesos de remediación para cerrar brechas rápidamente. Estos sistemas se integrarán sin problemas con los marcos de seguridad para alinear los esfuerzos de cumplimiento con los objetivos más amplios de gestión de riesgos. Los informes de cumplimiento dinámico también ganarán tracción, brindando a las organizaciones información procesable y asegurando que se mantengan a la vanguardia de las actualizaciones regulatorias. La combinación de herramientas de cumplimiento automatizado y predictivo empoderará a las organizaciones para adaptarse proactivamente a los requisitos emergentes.
Los marcos de gestión de riesgos como el NIST RMF evolucionarán para abordar la necesidad de agilidad en la seguridad impulsada por el cumplimiento. Las organizaciones adoptarán cada vez más marcos personalizables adaptados a industrias y geografías específicas, equilibrando los requisitos de seguridad con los estándares de cumplimiento locales e internacionales. Estos marcos también incorporarán inteligencia de amenazas en tiempo real, permitiendo un enfoque unificado para mitigar riesgos mientras se mantiene la alineación regulatoria.
A medida que el cumplimiento se convierte en un impulsor más estratégico de la seguridad, las organizaciones invertirán fuertemente en integrar prácticas impulsadas por el cumplimiento en sus programas de ciberseguridad más amplios. Este enfoque permitirá a las empresas anticipar cambios regulatorios, construir resiliencia contra riesgos emergentes y reforzar su compromiso con la protección de datos y el mantenimiento de la confianza en un paisaje regulatorio cada vez más complejo.
Marcos de Privacidad de Datos para la Gestión de la Ciberseguridad
La creciente complejidad de las leyes de privacidad globales subraya la importancia crítica de estrategias robustas de seguridad de datos, privacidad y cumplimiento para las empresas. Para navegar este panorama, el 78% de las organizaciones encuestadas confían en marcos o regulaciones como GDPR, el Marco de Privacidad del NIST, ISO/IEC 27002 y COBIT para gestionar la privacidad de manera efectiva. Las preferencias regionales también dan forma a estas prácticas; GDPR es ampliamente utilizado por el 78% de los encuestados europeos, mientras que el 61% en América del Norte confía en el Marco de Privacidad del NIST.26 La colaboración entre profesionales técnicos de privacidad y equipos legales es esencial para asegurar el cumplimiento, pero el compromiso inconsistente puede exponer a las empresas a acciones de cumplimiento y riesgos operativos, enfatizando la necesidad de reuniones regulares interfuncionales para alinear los controles de privacidad y los objetivos de cumplimiento.
Más allá de cumplir con los requisitos legales, muchos adoptan controles proactivos como la gestión de identidades y accesos (74%), el cifrado (73%) y las medidas de seguridad de datos (72%), demostrando un compromiso con la construcción de marcos de privacidad resilientes.27 La confianza en lograr el cumplimiento sigue siendo mixta, con el 43% de los encuestados expresando una fuerte confianza, pero el 13% reportando baja confianza en la capacidad de sus equipos para abordar regulaciones en evolución. El aumento en las solicitudes de sujetos de datos, reportado por el 31% de las organizaciones, subraya aún más la necesidad de estrategias integradas de privacidad y cumplimiento. Asegurar el manejo adecuado de estas solicitudes y mantener sistemas de respaldo robustos es crucial para abordar las demandas regulatorias mientras se preserva la confianza en las prácticas de seguridad y privacidad de datos.
12. La Computación Cuántica Aumenta el Riesgo con el Tiempo
La llegada de la computación cuántica representa un cambio de paradigma para la seguridad de datos, desafiando los fundamentos de los protocolos criptográficos actuales. Si bien las computadoras cuánticas prometen avances en campos como la ciencia de materiales y el aprendizaje automático, también amenazan con romper métodos de cifrado ampliamente utilizados como RSA y ECC, que sustentan la seguridad de datos y los marcos de cumplimiento globales. Las organizaciones deben comenzar a prepararse para la “amenaza cuántica” adoptando estándares de criptografía post-cuántica (PQC) que actualmente está desarrollando el NIST. Asegurar el cumplimiento con los estándares emergentes de seguridad cuántica se convertirá en una parte vital de las estrategias de seguridad de datos a prueba de futuro.
Incorporar algoritmos resistentes a la cuántica en las arquitecturas de seguridad empresarial requiere un esfuerzo coordinado entre los equipos de TI, cumplimiento y gestión de riesgos. La transición a estos algoritmos implicará evaluar las dependencias criptográficas en los sistemas existentes, actualizar protocolos y colaborar con proveedores para asegurar la compatibilidad. Simultáneamente, las organizaciones deben asegurar la adherencia regulatoria a medida que nuevas leyes y estándares relacionados con la seguridad cuántica, como GDPR y la Ley de IA, evolucionan para tener en cuenta la protección de datos resistente a la cuántica.
Más allá de la preparación técnica, las empresas también enfrentarán desafíos de cumplimiento asociados con transferencias de datos transfronterizas y soberanía de datos en un mundo post-cuántico. A medida que las claves de cifrado se vuelven obsoletas por las capacidades de descifrado cuántico, la integridad de las comunicaciones sensibles y los marcos regulatorios que gobiernan la privacidad de datos enfrentarán desafíos sin precedentes. La colaboración global entre gobiernos, organismos reguladores y líderes de la industria será crítica para establecer políticas cohesivas que aborden las amenazas cuánticas sin sofocar la innovación.
La integración de estrategias resistentes a la cuántica en los marcos de cumplimiento será un proceso continuo, con los primeros adoptantes probablemente ganando una ventaja competitiva. Las organizaciones que adopten proactivamente estándares post-cuánticos e implementen soluciones criptográficas híbridas no solo mitigarán riesgos a largo plazo, sino que también mejorarán la confianza entre las partes interesadas. Al priorizar la preparación cuántica hoy, las empresas pueden proteger sus datos sensibles mientras aseguran el cumplimiento con la próxima generación de estándares de seguridad de datos.
Computación Cuántica y Actores Maliciosos
La computación cuántica está emergiendo como una tecnología revolucionaria, capaz de resolver problemas complejos exponencialmente más rápido que las computadoras clásicas. Si bien promete avances en campos como la salud y la logística, los actores maliciosos están aprovechando su potencial para planificar futuros ciberataques, particularmente dirigidos a datos cifrados. Al acumular información cifrada hoy, estos actores buscan descifrarla una vez que las computadoras cuánticas se vuelvan suficientemente avanzadas, haciendo obsoletos los métodos de cifrado actuales como RSA y ECC. Este enfoque, conocido como “cosechar ahora, descifrar después”, representa una amenaza significativa para la información sensible, incluidos secretos comerciales, inteligencia clasificada y datos personales.
Para contrarrestar este riesgo inminente, las organizaciones y los gobiernos deben actuar rápidamente para adoptar algoritmos criptográficos resistentes a la cuántica, como lo describe el NIST. Sin embargo, la carrera por lograr la supremacía cuántica ha creado una carrera armamentista de ciberseguridad, con actores maliciosos y estados rebeldes invirtiendo fuertemente en investigación cuántica. Su objetivo es explotar la tecnología para espionaje cibernético y violaciones antes de que las defensas se implementen ampliamente. Esto subraya la urgencia de la colaboración global en el desarrollo de estándares de seguridad post-cuántica, fortaleciendo las prácticas de gobernanza de datos y manteniéndose por delante de los adversarios que planean utilizar las capacidades de computación cuántica como arma.
Conclusiones y Recomendaciones
1. Enfócate en Inversiones Estratégicas en Ciberseguridad: Las organizaciones deben alinear sus presupuestos de ciberseguridad con objetivos estratégicos a largo plazo, priorizando inversiones en tecnologías escalables como sistemas de inteligencia predictiva de amenazas, monitoreo de cumplimiento en tiempo real y arquitecturas de confianza cero para asegurar sus defensas en el futuro.
2. Construye Resiliencia ante Cambios de Políticas: Anticipa cambios regulatorios y posibles retrocesos en iniciativas gubernamentales de ciberseguridad, como cambios en la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). Desarrolla políticas internas adaptativas y fomenta la colaboración con el sector privado para minimizar riesgos en un entorno regulatorio menos coordinado.
3. Prepárate para Desafíos de Privacidad de Datos Transfronterizos: Fortalece los marcos de gobernanza para abordar la complejidad evolutiva de las leyes internacionales de privacidad de datos, especialmente en regiones con regulaciones fragmentadas. Esto incluye la adaptación proactiva a acciones de cumplimiento más estrictas, como multas del GDPR y nuevos marcos como el Marco de Privacidad de Datos de la UE y EE. UU.
4. Adopta un Enfoque Unificado de Gestión de Riesgos: Integra la ciberseguridad, el cumplimiento y los riesgos operativos en un marco unificado. Este enfoque asegurará una visión holística de las amenazas, permitiendo a las organizaciones alinear los esfuerzos de mitigación de manera más efectiva y reducir brechas entre departamentos.
5. Innova en la Gestión de Riesgos de Terceros: Establece una supervisión más robusta de los proveedores externos aprovechando herramientas de IA para evaluaciones de riesgos automatizadas y monitoreo en tiempo real de las prácticas de seguridad de terceros. Asegúrate de que tu organización pueda responder rápidamente a vulnerabilidades relacionadas con proveedores.
6. Mejora las Prácticas de Seguridad Centrada en el Empleado: Aunque las inversiones tecnológicas son críticas, prioriza enfoques centrados en el ser humano como capacitación continua en seguridad, simulaciones de phishing gamificadas y estructuras claras de responsabilidad para mitigar amenazas internas.
7. Prioriza el Descubrimiento y Clasificación de Datos: Desarrolla una estrategia integral para el descubrimiento y clasificación de datos en tiempo real en todos los sistemas, incluidos entornos híbridos y multicloud. Esto ayudará a las organizaciones a identificar datos sensibles, aplicar controles de acceso y mejorar el cumplimiento con estándares regulatorios.
8. Aprovecha la IA de Manera Responsable para la Ciberseguridad: Utiliza la IA para fortalecer las operaciones de seguridad, como la detección de amenazas en tiempo real y evaluaciones de riesgos adaptativas. Sin embargo, asegúrate de que las herramientas de IA estén gobernadas por políticas robustas para prevenir riesgos no intencionados, como ataques adversariales o sesgos en la toma de decisiones. Usa la detección de anomalías de IA para identificar posibles actividades anómalas como picos en accesos, ediciones, envíos y comparticiones de contenido sensible.
Reflexiones Finales
A medida que las organizaciones navegan por las complejidades de 2025, un enfoque proactivo e integrado hacia la ciberseguridad es primordial. Este informe subraya la necesidad de arquitecturas de seguridad en múltiples capas, integración robusta de cumplimiento y gestión avanzada de amenazas impulsada por IA. Enfatizar la colaboración segura de contenido, la seguridad de API y el monitoreo automatizado de cumplimiento permitirá a las organizaciones abordar las demandas regulatorias de manera efectiva mientras mantienen agilidad operativa y resiliencia.
Mirando hacia el futuro, la ciberseguridad continuará evolucionando junto con los avances tecnológicos y los cambios regulatorios. Al invertir en soluciones de seguridad adaptativas y fomentar una cultura de mejora continua, las organizaciones pueden proteger datos sensibles, aumentar la confianza y fomentar la innovación. Kiteworks anima a adoptar las recomendaciones estratégicas de este informe para construir un marco de defensa resiliente y preparado para el futuro, asegurando el éxito en el dinámico panorama de ciberseguridad de 2025 y más allá.
Referencias
1 “Gartner pronostica que el gasto global en seguridad y gestión de riesgos crecerá un 14% en 2024,” Gartner, 28 de septiembre de 2023.
2 “Las 11 principales violaciones de datos: Perspectivas y recomendaciones prácticas utilizando el Índice de Exposición al Riesgo de Kiteworks,” Kiteworks, octubre de 2024.
3 “Gartner pronostica que el gasto global en seguridad y gestión de riesgos crecerá un 14% en 2024,” Gartner, 28 de septiembre de 2023.
4 Morgan Sullivan, “Navegando el creciente mosaico de leyes de privacidad estatales en EE. UU.: Lo que viene en 2025,” Transcend, 7 de noviembre de 2024.
5 Heather Domin, “Tendencias en la gobernanza de la IA: Cómo la regulación, la colaboración y la demanda de habilidades están moldeando la industria,” Foro Económico Mundial, 5 de septiembre de 2024.
6 “Las 20 mayores multas del GDPR hasta ahora [2024],” Data Privacy Manager, 9 de septiembre de 2024.
7 Steve Morgan, “Los ataques a la cadena de suministro de software costarán al mundo 60 mil millones de dólares para 2025,” Cybercrime Magazine, 3 de octubre de 2023.
8 Maggie Miller, “Rand Paul tiene planes para debilitar la agencia cibernética del país,” Politico, 14 de noviembre de 2024.
9 Catherine Stupp y James Rundle, “Se espera que el segundo mandato de Trump traiga grandes cambios a la principal agencia cibernética de EE. UU.,” Wall Street Journal, 13 de noviembre de 2024.
10 “Informe de Investigaciones de Violaciones de Datos 2024,” Verizon, mayo de 2024.
11 Jennifer Gregory, “Las empresas sin confianza cero podrían perder $1 millón más durante una violación de datos,” Security Intelligence, 21 de septiembre de 2022.
12 “2 maneras de saber si tu comunicación con un sitio web es segura,” Tecnología de la Información de UW-Madison, 10 de febrero de 2022.
13 “Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2024,” Kiteworks, junio de 2024.
14 Ídem.
15 Ídem.
16 “Estado de la Seguridad de API 2023: Un estudio global sobre la realidad del riesgo de API,” Traceable y Ponemon Institute, 6 de septiembre de 2023.
17 “Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2024,” Kiteworks, junio de 2024.
18 “Guía de Mapeo de Cumplimiento CMMC 2.0 para Comunicaciones de Contenido Sensible,” Kiteworks, octubre de 2024.
19 “Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2024,” Kiteworks, junio de 2024.
20 “Informe de Puntuación de Riesgo de la Industria 2024: Perspectivas y Análisis de Puntuaciones de Riesgo a Través de Industrias—2018 a 1H 2024,” Kiteworks, octubre de 2024.
21 “Informe sobre el Costo de una Violación de Datos 2024,” IBM, julio de 2024.
22 “Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2024,” Kiteworks, junio de 2024.
23 Haziqa Sajid, “Tendencias de Seguridad de la IA 2025: Visión General del Mercado y Estadísticas,” Lakera, 2 de septiembre de 2024.
24 James Coker, “Los riesgos del intercambio de datos sensibles aumentan a medida que GenAI se dispara,” InfoSecurity Magazine, 17 de julio de 2024.
25 “Informe de Puntuación de Riesgo de la Industria 2024: Perspectivas y Análisis de Puntuaciones de Riesgo a Través de Industrias—2018 a 1H 2024,” Kiteworks, octubre de 2024.
26 “Privacidad en la Práctica 2024,” ISACA, 18 de enero de 2024.
27 Ídem.
Este informe presenta hallazgos y perspectivas desarrolladas con la asistencia de tecnologías de IA. Aunque la IA jugó un papel clave en la generación del contenido, los métodos utilizados son experimentales y pueden incluir inexactitudes o sesgos, por lo que la verificación independiente es esencial para decisiones críticas. Los hallazgos no son consejos profesionales y no deben ser utilizados como única base. A pesar de la revisión humana, persisten errores o limitaciones en los procesos impulsados por IA, y las tecnologías utilizadas están sujetas a desarrollo continuo. Renunciamos a la responsabilidad por cualquier consecuencia derivada del uso de esta información.