Qualys, Inc., proveedor líder de soluciones de TI, seguridad y cumplimiento en la nube, ha hecho público un listado de predicciones en materia de gestión de riesgos de ciberseguridad en 2025. A partir de las previsiones de sus principales directivos, la compañía enumera una serie de prioridades a considerar como frentes críticos por parte de las organizaciones.

1. Aumentarán los ataques a largo plazo a entornos cloud y las fugas de datos
   Los ataques en la nube seguirán surgiendo a un ritmo cada vez mayor, pero ahora con tiempos de permanencia mucho más largos. También será un desafío la divulgación de datos por error humano o por filtración debido a que las empresas siguen adoptando tecnologías sin arquitecturas y controles de seguridad adecuados.
2. El ransomware seguirá aumentando en intensidad y sofisticación
   El auge de los modelos de ransomware como servicio (RaaS) hará que las herramientas (kits) para este tipo de ataques sean más accesibles para los delincuentes no técnicos. Ante esta situación, las organizaciones deberán actualizar las políticas de gestión de riesgos, ciberresiliencia, seguridad en la nube y privacidad.
3. Los CISO redoblarán sus esfuerzos en la gestión de riesgos
   Una estrategia que será cada vez más común para poder centrarse en los riesgos más críticos para el negocio y, al mismo tiempo, cuantificar sus implicaciones financieras. Esto les permitirá, además, justificar la inversión en los controles adecuados y compensar los riesgos residuales con primas de seguro adecuadas.
4. La IA mejorará las defensas, pero también se utilizará en ciberataques más sofisticados
   Los sistemas de IA serán cada vez más hábiles para reconocer patrones complejos que la detección humana pasaría por alto. Pero, al mismo tiempo, proliferarán ataques impulsados por IA como el phishing o el malware inteligente, por lo que crecerá la adopción de tecnologías de monitorización continua y adaptative learning para contrarrestar los ataques.
5. La necesidad de consolidar las capacidades de seguridad espoleará la adopción de plataformas unificadas
   La necesidad de reducir la complejidad, aumentar la eficiencia, mejorar las capacidades de detección y respuesta y reducir costes requiere plataformas unificadas que combinen capacidades clave con un completo ecosistema de partners para conseguir un contexto integral del panorama de riesgos.
6. Automatización y orquestación, claves para centralizar la telemetría de riesgos
   Reunir toda la telemetría de riesgos en un solo será algo cada vez más común en 2025. Muchas organizaciones ya están agregando datos nativos de TI, OT y de nube en data lakes junto con inteligencia de amenazas. La automatización, por su parte, permitirá medir la eficiencia operativa en el control de la superficie de ataque e implementar «políticas como código» en proyectos piloto con herramientas de IA.
7. La cuantificación del riesgo cibernético (CRQ) será una práctica esencial para el CISO
   A medida que la ciberseguridad madure, la integración de métricas financieras y datos técnicos de riesgos de seguridad (CRQ) será una práctica cada vez más común. Por ejemplo, según Forrester, en 2025 la mayoría de los CISO contará con capacidades CRQ integradas total o parcialmente en sus programas de gestión de riesgos.

“Mientras las organizaciones actualizan sus estrategias de gestión de riesgos, tecnologías como la IA seguirán siendo una prioridad, tanto para conocer los ataques como para defenderse de ellos”, asegura Sergio Pedroche, Country Manager de Qualys Iberia. “Por su parte, los nuevos modelos CRQ cambiarán la forma en que las organizaciones abordan la preparación para la resiliencia, y también proliferarán aquellas plataformas de gestión de riesgos que permitan contextualizar las amenazas y elaborar informes detallados para el cumplimiento”.