Ciberseguridad en 2025: panorama y normativas en España

España llega a 2025 con un doble desafío: amenazas más automatizadas y una batería de normas que elevan el listón para organizaciones grandes y pequeñas. Los atacantes usan IA para phishing hiperpersonalizado y reconocimiento de entornos, mientras que la regulación —NIS2, DORA, ENS— obliga a profesionalizar procesos y evidencias. La buena noticia: las prioridades están claras y hay guías concretas para aterrizarlas.

Las tres amenazas que más preocupan

Primero, el phishing de alta calidad. La IA generativa produce textos en español impecable y simula voces de directivos. La respuesta pasa por autenticación avanzada (MFA resistente a phishing), políticas DMARC/DKIM con p=reject y entrenamiento continuo. Segundo, ransomware con extorsión doble y triple: cifran, exfiltran y presionan en redes sociales. Backups inmutables, segmentación y ejercicios de tabletop reducen el impacto. Tercero, la cadena de suministro: ataques a proveedores SaaS críticos o integradores. Aquí, due diligence y cláusulas contractuales de seguridad son el primer muro.

NIS2: alcance más amplio, obligaciones más claras

NIS2 amplía el perímetro respecto a NIS1 y afectará a un abanico más amplio de sectores en España, con obligaciones de gestión de riesgos, notificación de incidentes y gobernanza. Aunque su transposición nacional avanza, la dirección es inequívoca: responsabilidades de dirección (pueden derivar en sanciones), medidas técnicas y organizativas proporcionadas al riesgo y notificación temprana de incidentes. La recomendación práctica para 2025: preparar un gap analysis frente a NIS2 y priorizar los controles comunes con ENS y DORA para no duplicar esfuerzos.

DORA: resiliencia operativa digital en finanzas

Para entidades financieras y sus proveedores TIC, el reglamento europeo DORA entra en aplicación en enero de 2025. Exige gestión integral del riesgo TIC, pruebas periódicas de resiliencia (incluida inteligencia de amenazas y ejercicios de red teaming) y supervisión de terceros críticos. El sector español ya venía maduro, pero DORA introduce disciplina y evidencia centralizada. Consejo práctico: crear un inventario único de activos y servicios TIC, normalizar taxonomía de incidentes y cerrar acuerdos claros de niveles de servicio y auditorías con proveedores.

ENS: el estándar de facto en el sector público

El Esquema Nacional de Seguridad, actualizado en 2022, sigue siendo la referencia para administraciones y proveedores que les prestan servicios. El enfoque por categorías (básico, medio, alto) facilita adaptar controles. La convergencia ENS–NIS2 es oportunidad: si ya cumples ENS alto, parte del camino a NIS2 está hecho. Lo importante en 2025 es mantener el ciclo de mejora continua: auditorías, plan de adecuación vivo y evidencias.

Controles que sí mueven la aguja

Más allá del papel, ¿qué controles reducen realmente el riesgo?

• Identidades robustas
• Segmentación
• Visibilidad

Identidades robustas: MFA resistente a phishing, gestión de privilegios just-in-time y revisión trimestral de accesos. Segmentación y microsegmentación para impedir movimientos laterales. Visibilidad: asset discovery continuo y telemetría unificada (EDR/XDR) con casos de uso en español para SOCs locales. Y, sí, patching disciplinado: los exploits siguen entrando por vulnerabilidades conocidas.

IA defensiva, con cabeza

La IA ayuda: prioriza alertas, genera hipótesis y redacta informes. Pero exige guardarraíles. Evita que un copiloto de analista toque producción; que su ámbito sea diagnóstico y documentación. Forma a los equipos para revisar recomendaciones y mantén “cajas negras” fuera de decisiones críticas sin verificación.

Notificación de incidentes: rapidez y calidad

Con NIS2, la notificación temprana cobra más peso. La práctica recomendable: plantillas preaprobadas, canales definidos y un “bridge” con legal y comunicación. El objetivo no es solo cumplir plazos; es informar con datos útiles y evitar contradicciones públicas. Simular el proceso dos veces al año reduce nervios cuando llega el momento.

Métricas que importan al consejo

Para el consejo y la dirección, habla en riesgo y continuidad, no en jerga. KPI útiles: tiempo medio de contención, porcentaje de activos críticos con parches en 30 días, cobertura de EDR, resultados de pruebas de restauración y nivel de exposición a terceros críticos. Añade un mapa de calor de riesgos con evolución trimestral y vinculación al apetito de riesgo aprobado.

2025 será exigente, pero también un año para profesionalizar. La combinación de controles básicos bien hechos, automatización sensata y cumplimiento coherente con NIS2/ENS/DORA fortalece a cualquier organización. Menos herramientas “milagro”; más procesos repetibles y evidencias sólidas.