Expertos debaten el papel de la IA en la aceleración de los ciberriesgos y en la repuesta durante ISACA Europa 2025

Más de 600 personas se han reunido en el Congreso ISACA Europa 2025 para debatir sobre inteligencia artificial (IA), ciberamenazas y resiliencia digital, compartiendo tendencias, aprendizajes y recomendaciones prácticas.

"Ya estamos en una ciberguerra", ha advertido el consultor gerente de IBM, Eric Jeffery, al analizar cómo la inteligencia artificial está transformando el equilibrio entre atacantes y defensores. Su reflexión se enmarcó en un debate más amplio sobre el impacto global de la IA en la seguridad, la gobernanza y la capacidad de respuesta de las organizaciones.

Una advertencia que se produce mientras IBM acaba de inaugurar el último ordenador cuántico en España (en San Sebastián) y los gobiernos de diferentes países están reforzando sus estrategias de defensa digital y marcos regulatorios, como el nuevo Centro Nacional de Ciberseguridad en España.

Por eso, Jeffery también ha subrayado durante su intervención que "los atacantes evolucionan más rápido que los defensores" y que la IA "acelera el reconocimiento" de vulnerabilidades, planteando un desafío que transciende fronteras y exige cooperación internacional.

Esta ha sido una de las principales conclusiones del Congreso ISACA Europa 2025, celebrado en Londres (Reino Unido) y que ha contado con más de 50 ponentes y 36 sesiones sobre gobernanza, auditoría, privacidad, ciberseguridad e inteligencia artificial.

La cita ha reunido a más de 600 responsables tecnológicos, CISO, auditores y líderes de más de 90 países para debatir cómo construir confianza digital en un contexto de amenazas crecientes.

Durante todo el evento, se han repetido algunos mensajes que dan cuenta de la advertencia de Jeffery: los ciberataques son cada vez más sofisticados, y están industrializando y diversificando sus vectores de entrada, mientras las organizaciones europeas tratan de no perder el rebufo mediante inversiones en talento, capacitación de sus plantillas y cumplimiento de normativas como NIS2 o DORA.

A la par, crece la presión sobre los profesionales y los equipos de seguridad, que ya lideran marcos de gobernanza de IA en sus compañías, pero necesitan más formación práctica y soporte institucional para aplicar la regulación con eficacia.

En este contexto, el instructor senior y experto en la materia comercial en Firebrand Training, Phil Chapman, ha reclamado volver a los básicos, pero con una visión actualizada, en materia de detección, análisis y recuperación de datos en ciberincidentes. También ha subrayado que la IA facilita a los actores menos sofisticados escalar ataques, mientras las unidades policiales ya "lidian con un volumen de incidentes que supera su capacidad operativa".

Los ponentes coincidieron en que la respuesta a incidentes debe evolucionar del enfoque de detección al de recuperación, con inteligencia artificial como herramienta para anticipar vulnerabilidades, automatizar análisis y reducir tiempos de contención.

Por su parte, Claudio Cilli, profesor universitario y experto en ciberseguridad, ha abordado el encaje entre NIS2 y DORA, y su solape con otras normativas europeas. En este sentido, ha recordado que DORA se aplica directamente y "prevalece en caso de conflicto", mientras que NIS2 exige una transposición nacional y crea categorías (esenciales/importantes) con obligaciones y sanciones graduadas.

En este punto, Cilli ha pedido más pragmatismo: cumplir bien NIS2 y DORA cubre "el 70-80%" del ecosistema de seguridad europeo; el resto dependerá del sector y su criticidad.

Tim Clements, fundador de Purpose Means y consultor en gobernanza de IA, protección de datos y GRC, también ha propuesto una metodología práctica para alinear los criterios ambiental, social y de gobernanza (ESG) con la privacidad y la IA. "Si no empiezas a hacer trabajo de verdad, nada va a cambiar", ha resumido, defendiendo las hojas de ruta centradas en la minimización de datos, retención y rendición de cuentas que reduzcan la huella de carbono (de energía u agua) y los riesgos.

Además, Clements ha instado a romper silos entre equipos ESG, seguridad y TI: "Se trata de unir esos mundos" con un desglose de objetivos que baje del eslogan a tareas medibles, compartibles entre áreas y regiones, y con un propósito claro de mejora continua, ha apuntado.

El panel 'Ransomware: To Pay or Not to Pay' (con Richard Hollis, Robert Findlay y Tony Gee) repasó las implicaciones legales, éticas y operativas del pago, y la evolución hacia el Ransomware como Servicio (RaaS) y extorsión múltiple.

Tony Gee, experto en consultoría de TI y gestión de la seguridad, durante su intervención en la sesión sobre 'Deepfakes and Cookie Jars: The New Entry Points for Ransomware' debatió sobre los desafíos y las mejores prácticas para construir un programa eficaz de Inteligencia de Amenazas Cibernéticas (CTI).

Gee ha descrito algunos de los nuevos nuevos puntos de entrada ('deepfakes', robo de cookies y tokens de sesión, y vishing con voces generadas por IA), que priorizan identidad y fraude sobre el 'malware clásico'.

En este sentido, el mensaje general del panel ha sido inequívoco: la educación, los simulacros y la coordinación con negocio y legal marcan la diferencia en ventanas de decisión que se cuentan en horas, no en días.

Gee también recalcó que este programa es clave para identificar a los atacantes y sus métodos, dividiéndolo en tres tipos de inteligencia: estratégica, operativa y táctica. Asimismo, destacó la dificultad para distinguir el riesgo real del falso y presentó diversos casos que demuestran la necesidad de alineación de las partes interesadas y métricas como la proporción de inteligencia procesable.

Durante la clausura del congreso, el director ejecutivo global de ISACA, Chris Dimitriadis, subrayó que "la tecnología por sí sola no basta": la resiliencia depende de las personas, del liderazgo y de la comunicación efectiva entre los perfiles técnicos y directivos.

El directivo destacó que la ciberseguridad debe asumirse como una prioridad estratégica de negocio, con foco en la preparación, la responsabilidad y la formación práctica de los equipos.

Según los datos compartidos durante el congreso, el porcentaje de organizaciones con una política interna de IA ha pasado del 10 por ciento al 30 por ciento en un año, mientras más del 90 por ciento ya utiliza IA de algún modo; esta brecha entre uso y gobernanza refuerza la urgencia de formación, cultura corporativa y marcos claros para un uso seguro y responsable de la tecnología.