Predicción: qué va a cambiar en ciberseguridad para empresas medianas antes de final de año

El contexto de ciberseguridad para empresas medianas en España está cambiando en tres frentes simultáneamente: la presión regulatoria de NIS2, unos atacantes que operan con herramientas de IA más accesibles y unas aseguradoras que están redefiniendo qué significa ser asegurable. Estos no son cambios que llegarán: ya están llegando. Aquí está lo que vemos que va a acelerar antes de que acabe el año.

Las aseguradoras llevan dos años endureciendo las condiciones de las pólizas de ciberriesgo. Lo que antes era un 'nice to have' —MFA en todos los accesos privilegiados, EDR en todos los endpoints, gestión documentada de parches— está pasando a ser un requisito de contratación. Las empresas que no cumplan estos controles básicos verán sus primas aumentar significativamente o se quedarán sin cobertura. Este cambio ya está ocurriendo en renovaciones de pólizas que vemos en clientes: las preguntas del cuestionario de suscripción son cada vez más técnicas y específicas.

El coste de lanzar un ataque de phishing sofisticado y personalizado ha caído drásticamente con la democratización de modelos de lenguaje. Un atacante sin capacidades técnicas avanzadas puede ahora generar correos de phishing en español correcto, adaptados al sector y al cargo del receptor, a escala. El perímetro de quien puede ser objetivo de un ataque bien elaborado se ha expandido significativamente. Las empresas que pensaban que no eran suficientemente grandes o interesantes para ser objetivo se equivocan.

La Directiva NIS2 transpuesta en España está elevando las obligaciones de seguridad para sectores que antes no estaban en el radar regulatorio. Más allá de los sectores críticos clásicos, empresas de logística, manufactura, servicios digitales y cadena de suministro están entrando en el ámbito de aplicación. Las obligaciones incluyen gestión de riesgos documentada, notificación de incidentes en 24-72 horas y responsabilidad directiva. La ventana de preparación antes de que lleguen las primeras inspecciones se está cerrando.

El número de proveedores de seguridad gestionada pequeños que no pueden invertir en las capacidades que exige el mercado actual —detección basada en IA, threat intelligence actualizada, cumplimiento NIS2— va a reducirse. Para las empresas cliente, esto significa que algunos de sus actuales proveedores de seguridad podrían no estar en condiciones de dar el servicio que van a necesitar en los próximos 12-18 meses. Vale la pena evaluar ahora si el proveedor actual tiene el músculo para seguir el ritmo.

• MFA activado en todos los accesos a sistemas críticos y accesos remotos
• EDR desplegado en todos los endpoints, incluyendo equipos de teletrabajo
• Proceso de gestión de parches documentado y ejecutado con frecuencia mensual como mínimo
• Revisión de accesos de terceros: cerrar todos los que no tienen uso activo verificado
• Prueba de restauración desde backup documentada y ejecutada en los últimos 90 días
• Inventario de sistemas actualizado con criticidad de negocio asignada
• Evaluación de si tu empresa entra en el ámbito de NIS2 y qué obligaciones implica
• Revisión del cuestionario de renovación del ciberseguro para identificar gaps antes de que llegue la renovación

Ninguno de estos cambios requiere una inversión extraordinaria para empresas que parten de una base razonable. La mayoría son medidas de higiene que deberían estar ya en marcha. El problema es que para muchas empresas medianas no lo están, y la ventana para ponerse al día antes de que las consecuencias lleguen se está cerrando.