La tercera edición anual del informe Cisco Cibersecurity Readiness Index 2025, llevado a cabo por Cisco, refleja el bajo nivel de preparación que siguen teniendo las empresas españolas ante los riesgos de seguridad actuales (introducidos por la IA y la adopción masiva de la IA generativa) así como un descenso del 3 % del presupuesto en ciberseguridad por parte de las organizaciones. Algo a lo que hay que unir viejos retos conocidos como los dispositivos no gestionados, la conexión desde cualquier dispositivo y lugar o la escasez de talento, por poner algunos ejemplos, aumentando la complejidad de las organizaciones.
Del estudio se destaca que en España un 83 % de las mismas afirma haber sufrido algún incidente con la inteligencia artificial, si bien un 34 % asegura contar con recursos internos para evaluar la seguridad. Reseñable el 8 % que identifica a la IA como el pilar más difícil de proteger, algo que, para Ángel Ortiz, director de seguridad de Cisco España, refleja la escasa consciencia que hay sobre los riesgos que la IA conlleva en el área de la ciberseguridad.
Entre los retos que se mantienen: la complejidad de la infraestructura, ya que las medianas utilizan diez o más soluciones de seguridad, algo que supone un riesgo a la hora de abordar una seguridad adecuada. También alude a la plataformización del mercado. Cisco, en este sentido, está desarrollando su propia plataforma de seguridad abierta, integrando soluciones de seguridad de otros fabricantes. La escasez de talento es otra variable a tener en cuenta.
El directivo recuerda los riesgos que conlleva la IA y que también han sido señalados en el estudio: el acceso sin restricciones de los empleados a la IA generativa de uso público o el desconocimiento por parte de las empresas de las interacciones que llevan a cabo sus empleados en esas plataformas de inteligencia artificial. Un 55 % de las empresas españolas que han participado en este informe sí reconoce que sus usuarios usan aplicaciones de terceros aprobadas internamente, aunque sólo el 16 % les obliga usar la genAI interna como alternativa a las plataformas públicas. Todo esto supone nuevos vectores de ataque, asegura Ortiz, cambiando la IA el paradigma de la seguridad.
En otro orden de cosas un 42 % de las organizaciones declara que su equipo de seguridad conoce cómo los ciberdelincuentes usan la IA para sus ataques. Y un 44 % cree que sus trabajadores comprenden las amenazas generadas con IA, algo con lo que el director de seguridad de Cisco España no está de acuerdo. La parte positiva viene del amplio grado de la IA para protegernos mejor, reconoce, si bien entre uno y dos años un 70 % de organizaciones prevé que un incidente grave puede afectar a su negocio.
Recomendaciones
Entre las recomendaciones que ofrece Ángel Ortiz figuran tener un modelo integral de identidad que ayude a adoptar un modelo de confianza, aunque recuerda que no existe una única identidad en las empresas. Así como confiar en los dispositivos, enfatiza, siendo capaces de adoptar el modelo de confianza cero y considerar la resiliencia de la red.
En cuanto a la seguridad de la nube aconseja eliminar estrategias fragmentadas y desplegar herramientas que permitan configurar políticas de seguridad multinube con una única política y llevar a cabo una única gestión global de la seguridad en la nube.
Por último, fortificar el uso y desarrollo de la IA en las organizaciones descubriendo las herramientas que se usan, controlar el uso que hacen los usuarios de las mismas. Y, ante el desarrollo de la IA, ver las vulnerabilidades de la misma.
Soluciones de CISCO
Con el fin de proteger a las organizaciones Cisco cuenta con Cisco AI Defense que permite proteger tanto el uso como el desarrollo que se hace de la inteligencia artificial.
La compañía también está desarrollando la solución Identity intelligence para diseñar estrategias integrales con mayor visibilidad y Zero Trust, detectando incoherencias.
Por su parte Machine Trustwortthy verifica a los usuarios y dispositivos antes de darles acceso a la red.
Y Splunk, plataforma de ciberresiliencia de Cisco que aplica al campo de la ciberseguridad y de la observabilidad, por poner algunos ejemplos.
