Índice de temas
En tu rol como CISO de UNIVERSAE, ¿cómo abordas tu estrategia de ciberseguridad?
Mi estrategia como CISO de UNIVERSAE se basa en un enfoque integral que se alinea directamente con los objetivos estratégicos de la organización. Esta estrategia combina medidas preventivas, tecnologías avanzadas, procedimientos sólidos y la formación continua del equipo humano para abordar de manera efectiva los desafíos de ciberseguridad. Cada acción está diseñada para proteger los activos críticos de la institución, garantizar la continuidad de negocio y de los servicios educativos y mantener la confianza de estudiantes, empleados y otros actores clave para la organización.
¿Cómo te alineas con el negocio?
El primer pilar de mi enfoque es la alineación estratégica con los objetivos del negocio. Es fundamental que la estrategia de ciberseguridad no sea un componente aislado, sino que esté plenamente integrada en la misión y visión de UNIVERSAE. Esto implica identificar activos críticos, valorar su importancia dentro del entorno educativo y asegurar su protección frente a amenazas emergentes. La gestión de riesgos es otro aspecto esencial. Implementamos un marco sólido que nos permite evaluar continuamente el impacto potencial de amenazas como el ransomware, ataques dirigidos o vulnerabilidades en los sistemas. Este análisis nos guía en la definición del apetito de riesgo, priorizando controles y estrategias que puedan mitigar, transferir o aceptar riesgos de manera informada.
En términos de protección tecnológica, diseñamos una arquitectura de seguridad integral basada en tecnologías avanzadas. Herramientas de protección fabricantes y proveedores contrastados se integran para garantizar una defensa proactiva frente a amenazas. Estas soluciones, combinadas con segmentación de redes, autenticación multifactor y principios de seguridad por diseño en el desarrollo de aplicaciones, proporcionan una cobertura robusta. Sin embargo, la tecnología solo es efectiva si está respaldada por un equipo altamente cualificado, formado continuamente en las últimas tendencias y amenazas, lo que permite una gestión eficiente y una respuesta rápida ante incidentes.
¿Hay implantada alguna cultura de ciberseguridad dentro de UNIVERSAE?
La cultura de ciberseguridad es igualmente prioritaria. Hemos establecido programas de formación y concienciación dirigidos a todos los niveles de la organización, desde empleados hasta la alta dirección, asegurándonos de que todos comprendan su papel en la defensa de los activos de la institución. Además, integramos ciberseguridad como un valor central en los programas educativos que ofrecemos, fortaleciendo nuestra capacidad para formar a futuros profesionales en este ámbito crítico.
Nuestra visión de la ciberseguridad trasciende la protección interna, pues como institución educativa, entendemos nuestra responsabilidad de ser un referente y un socio confiable para las administraciones públicas, empresas y estudiante
ANDRÉS SORIANO, UNIVERSAE
La respuesta a incidentes y recuperación es otro eje central. Contamos con planes detallados para la detección temprana, la contención y la recuperación, alineados con normativas y mejores prácticas. Estos planes garantizan que podamos responder de manera ágil y efectiva, minimizando el impacto de cualquier incidente en nuestras operaciones y preservando la integridad de nuestros sistemas.
Además, mantenemos una colaboración constante con autoridades, reguladores, profesionales del sector y otras partes. Este enfoque no solo asegura el cumplimiento normativo, sino que también nos permite participar en redes de inteligencia compartida a nivel internacional, que permite fortalecer nuestras defensas.
¿Tenéis algún plan de continuidad de negocio?
Finalmente, el Plan de Continuidad de Negocio, es un componente imprescindible de nuestra estrategia. Este plan identifica procesos y sistemas críticos, desde plataformas de aprendizaje hasta sistemas administrativos, aumentando nuestra resiliencia y estableciendo un mayor grado de operatividad frente a incidentes graves o desastres. Acompasado además con la realización periódica de auditorías de seguridad, junto a la realización de simulacros y ciberejercicios alineados con las tácticas, técnicas y procedimientos (TTP) de los adversarios, perfeccionando continuamente nuestra capacidad de respuesta.
¿Qué nivel de consideración tiene la ciberseguridad dentro de tu empresa?
La ciberseguridad ocupa un lugar central en UNIVERSAE, no solo como garantía de la protección de nuestros activos y servicios educativos, sino también como parte de nuestro compromiso social. Hemos integrado la ciberseguridad en nuestra estrategia organizativa, asegurando un enfoque integral que combina tecnologías avanzadas, procesos sólidos y formación continua para todo nuestro equipo.
Nuestra visión de la ciberseguridad trasciende la protección interna, pues como institución educativa, entendemos nuestra responsabilidad de ser un referente y un socio confiable para las administraciones públicas, empresas y estudiantes. Por ello, contribuimos activamente al fortalecimiento del ecosistema de ciberseguridad en los países donde operamos y ponemos a disposición de las Autoridades y Fuerzas y Cuerpos de Seguridad nuestros laboratorios forenses y de operaciones de seguridad, ofreciendo soporte técnico y asesoramiento especializado en determinadas investigaciones. Este compromiso refleja nuestra voluntad de colaborar en la construcción de un entorno digital más seguro y resiliente.
¿Cuáles son los métodos más comunes utilizados por los ciberdelincuentes para infiltrarse en sistemas de grandes corporaciones o entidades gubernamentales?
Los ciberdelincuentes emplean diversos métodos para infiltrarse en sistemas de grandes corporaciones y entidades gubernamentales, combinando técnicas avanzadas con tácticas que explotan el factor humano. Uno de los métodos más comunes es el phishing, donde a través de ingeniería social los atacantes engañan a los usuarios a través de correos electrónicos fraudulentos, webs simuladas, sms, etc. para obtener credenciales de acceso, información confidencial o directamente el acceso inicial.
En su versión más elaborada, el spear phishing, personalizan los ataques para objetivos específicos sobre quienes ya disponen información, como altos directivos, aumentando las probabilidades de éxito.
Las amenazas internas, conocidas como insiders, también representan un riesgo significativo. Empleados o proveedores pueden comprometer los sistemas de forma intencional, motivados por beneficios económicos o ideológicos, o de manera inadvertida al caer en trampas de ingeniería social o no seguir políticas de seguridad adecuadas. A esto se suman los ataques que explotan vulnerabilidades no parcheadas en software o aplicaciones, aprovechando brechas de seguridad.
Otro método eficaz es atacar la cadena de suministro. Los ciberdelincuentes comprometen a proveedores o socios que tienen acceso a las redes de la organización objetivo, utilizando su confianza para infiltrarse. Asimismo, los atacantes recurren al uso de malware, como troyanos de acceso remoto (RAT) o keyloggers, que les permiten obtener acceso persistente a los sistemas comprometidos.
El robo y reutilización de credenciales también es habitual. Los atacantes obtienen contraseñas mediante phishing, bases de datos filtradas o ataques de fuerza bruta, y luego las prueban en múltiples servicios mediante ataques de credential stuffing. Además, algunos actores especializados conocidos como initial access brokers venden accesos iniciales a redes corporativas en el mercado negro, facilitando a otros actores la ejecución de ataques más complejos.
Estos métodos reflejan la sofisticación y versatilidad de los atacantes, quienes combinan herramientas técnicas avanzadas con la explotación del error humano.
¿Qué podemos temer los ciudadanos ante ciberataques como el presuntamente sufrido por la Agencia Tributaria?
Los ciberataques dirigidos a entidades gubernamentales, como el presunto incidente reciente en la Agencia Tributaria, pueden tener consecuencias significativas para los ciudadanos. La principal preocupación es la posible exposición de datos personales y financieros sensibles, incluyendo registros fiscales, números de identificación, cuentas bancarias y otra información confidencial. Esta exposición puede llevar a riesgos como el robo de identidad, fraudes financieros y ataques de ingeniería social.
En este caso específico, el ataque fue atribuido al grupo Trinity quienes han reclamado su autoría, afirmando que han sustraído 560 GB de datos sensibles de la Agencia Tributaria, con información de miles de ciudadanos. Aunque a día de hoy, la Agencia Tributaria ha negado haber detectado brechas de seguridad en sus sitemas, la mera posibilidad de que dicha información esté comprometida genera preocupación sobre su posible uso indebido.
Por ello, es fundamental que las Administraciones refuercen sus medidas de ciberseguridad para garantizar la continuidad de los servicios y sobre todo proteger la información de los ciudadanos, que, en definitiva, siempre somos el eslabón más vulnerable. Por ello, es importante que los ciudadanos estén atentos a posibles comunicaciones fraudulentas que puedan surgir a raíz de estos incidentes, como intentos de phishing que buscan aprovechar la confusión generada por las noticias que han trascendido de este supuesto incidente.
La irrupción de la IA generativa, ¿cómo trastoca o revoluciona este ámbito?
La irrupción de la inteligencia artificial generativa está transformando la ciberseguridad, ampliando tanto las capacidades ofensivas de los ciberdelincuentes como las defensivas de las organizaciones. Por un lado, los atacantes están empleando esta tecnología para sofisticar y automatizar sus operaciones. Utilizan IA generativa para diseñar campañas de phishing altamente personalizadas y dinámicas que imitan con precisión comunicaciones legítimas, generan deepfakes —incluyendo suplantación de voces— y fabrican desinformación para potenciar ataques de ingeniería social. Además, se emplea en el desarrollo de malware capaz de explotar vulnerabilidades conocidas no parcheadas y de innovar herramientas automatizadas con capacidades avanzadas para evadir los sistemas de detección de seguridad de algunos fabricantes.
Por otro lado, la IA generativa fortalece las defensas al mejorar significativamente la capacidad de detección de amenazas mediante el análisis de patrones anómalos en grandes volúmenes de datos y la simulación de escenarios de ataque para anticiparse a tácticas adversarias. También está revolucionando la respuesta a incidentes, automatizando playbooks dinámicos adaptados a cada situación, lo que permite contener y mitigar ciberataques con mayor agilidad y eficacia.
¿De qué manera normativas como DORA o NIS2 ayudarán a protegerse a las empresas?
Normativas como DORA (Digital Operational Resilience Act) y NIS2 (Network and Information Security Directive) desempeñan un papel clave en la mejora de la resiliencia operativa y la protección frente a ciberamenazas para las empresas, al establecer marcos normativos claros y uniformes en la Unión Europea. Estas regulaciones abordan aspectos fundamentales de la ciberseguridad y fomentan prácticas sólidas para mitigar riesgos en sectores críticos y estratégicos. Hay cinco aspectos básicos: gestión del riesgo, requisitos de seguridad más estrictos, mayor énfasis en la supervisión y notificación de incidentes, evaluación y supervisión de proveedores, promoción de la colaboración y el intercambio de información y cumplimiento y sanciones.
¿Cómo crees que va evolucionar este ámbito en 2025?
A mi parecer, en 2025, el panorama de la ciberdelincuencia continuará diversificándose y sofisticándose, con actores cada vez más organizados que adoptarán tecnologías avanzadas para maximizar su impacto. Los ciberdelincuentes están incrementando cada vez más el uso de inteligencia artificial para automatizar ataques y personalizar tácticas como campañas de phishing, deepfakes más convincentes y desinformación dirigida a sectores estratégicos. Además, de emplearla para la generación de nuevo malware o la mejora y evolución de otros ya conocidos, y de esta forma tener mayor índice de garantías de éxito evadiendo las medidas de detección de las organizaciones.
Los ataques a la cadena de suministro seguirán siendo una táctica clave, comprometiendo proveedores estratégicos para infiltrarse en objetivos más grandes y complejos. También se espera un incremento en los servicios ofrecidos por los initial access brokers, quienes proseguirán vendiendo accesos comprometidos a redes corporativas y gubernamentales en el mercado underground, facilitando operaciones de ciberespionaje o extorsiones de ransomware. Por otro lado, el ransomware as a service, continuará siendo una amenaza predominante fruto de la bajada en la tasa de afiliación que están ofertando nuevas organizaciones como Ransomhub, que comienzan a comerle el terreno a los archiconocidos de Lockbit.
Ante este panorama, el sector profesional deberá adaptarse con rapidez y eficacia, reforzando la colaboración internacional y el intercambio de inteligencia.
Será fundamental apostar por la innovación tecnológica, como el uso de IA en defensas predictivas y respuestas automatizadas, así como fortalecer la formación continua de los equipos de ciberseguridad para enfrentar tácticas cada vez más avanzadas. Solo mediante un enfoque integral que combine tecnología, personas y procedimientos será posible mitigar el impacto de las amenazas emergentes y proteger el entorno digital en un panorama de riesgos cada vez más desafiante.
