Bajo la organización de Red Seguridad, Seguritecnia y la Fundación Borredá, el 21 y 22 de abril en Madrid tuvo lugar el XIII Congreso de Protección, Resiliencia y Ciberseguridad. Un evento que sirvió de punto de unión para el sector privado, organismos públicos y expertos en resiliencia y ciberseguridad.
La bienvenida corrió a cargo de Ana Borredá, presidenta de la Fundación Borredá; y Yolanda Duro, directora de Red Seguridad. A continuación, Álvaro de Lossada, jefe de la Oficina de Coordinación de Ciberseguridad, inauguró la sesión con un discurso en el que destacó que la ciberseguridad ya no es un ámbito aislado y que las amenazas actuales son manifestaciones modernas de fenómenos «tan antiguos como la enfermedad y la guerra». Bajo esta premisa, subrayó que la respuesta ante ataques no puede ser solo tecnológica, sino que exige una «coordinación completa entre el mundo físico y el entorno digital».
Implantación de las normas NIS2 y CRA
Bajo el título «Gobernanza, resiliencia y cumplimiento: Cómo NIS2 está redefiniendo la ciberseguridad», se articuló la primera de las mesas, que moderó Luis Jiménez, director de Ciberseguridad del Centro Tecnológico del Notariado. En este foro de alto nivel, voces como las de Raúl Castaño, CISO de Redeia; Máximo Yarritu, responsable de Ciberseguridad y Comunicaciones de UFD Grupo Naturgy; y Laura Parra, CISO Global de Cellnex Telecom, analizaron el cambio de paradigma que supone la nueva directiva europea.
Los ponentes coincidieron en que la normativa no solo eleva el listón del cumplimiento, sino que obliga a las organizaciones a integrar la seguridad en su ADN estratégico para garantizar la continuidad del servicio en un entorno cada vez más hostil.
En la ponencia «NIS2 y CRA: Más allá del cumplimiento normativo», Enrique Perona, subdirector de Consultoría; y Rubén Montilla, especialista en Ciberseguridad de S2Grupo, analizaron los retos de la Directiva NIS2 y la Cyber Resilience Act (CRA), advirtiendo que «NIS2 no reinventa la rueda», sino que exige una gestión de riesgos real más allá del mero cumplimiento formal. Los expertos destacaron que no es suficiente con certificaciones tradicionales como la ISO 27001, ya que estas se centran en el mundo IT. Dado que muchos sectores críticos tienen una fuerte base industrial, proponen una «aproximación integral IT más OT». Según explicaron, es vital entender que las infraestructuras industriales tienen características especiales y «vulnerabilidades que no estaban pensadas desde el punto de vista de la ciberseguridad» en su origen.
Para S2Grupo, la resiliencia depende de que la seguridad no sea «un compartimento estanco», integrando la cadena de suministro y la seguridad por diseño. Concluyeron que, para proteger servicios esenciales, se requiere un equipo que entienda ambos mundos para lograr una «seguridad integral de toda la infraestructura».
La siguiente intervención corrió a cargo de Pierre Cáceres-Casanova, Presales Engineer; y Capucine Bardet, Country Manager de Cyberwatch. Ambos expertos alertaron sobre el crecimiento exponencial de las amenazas, señalando que en 2023 se publicaron más de 48.000 vulnerabilidades, una media de 130 CVE [Common Vulnerabilities and Exposures] por día.
En su intervención, utilizaron el ataque al software MOVEit para ilustrar cómo el retraso en la priorización puede causar daños de «más de 15.000 millones de dólares». Ante este panorama, explicaron que NIST y MITRE están desbordados, lo que supone «una batalla perdida» si se mantiene el modelo actual. Como solución, proponen la descentralización mediante bases de datos europeas y el apoyo de entidades como el Instituto Nacional de Ciberseguridad o ENISA. Su propuesta tecnológica se basa en dos pilares: la gestión de vulnerabilidades y el «cumplimiento técnico». El objetivo final es reducir la carga de equipos «sobredemandados» mediante una solución «anclada en el marco regulatorio europeo».
Ciberseguridad bajo lupa
Bajo el título «La seguridad desde el diseño: ¿Teoría o realidad?», el siguiente panel estuvo moderado por Mariano J. Benito, Cybersecurity & Privacy Ambassador de GMV. En el debate participaron Javier A. Gil-Ruiz Gil-Esparza, director de la División de Ciberseguridad para la Transformación Digital de Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales; Alberto López, CISO Europa de Sigma/Campofrío Food Group; José Manuel Pulido, director de jtsec Beyond IT Security; y Estefanía Linares, responsable del CPSTIC del Centro Criptológico Nacional.
Los ponentes señalaron que la CRA corregirá la «asimetría informativa», obligando a los fabricantes a entregar productos con «algo razonablemente serio de base». Además, Gil subrayó que la norma protege al cliente al exigir un «listado de librerías», permitiéndole gestionar su cadena de suministro. Y Linares (CCN) añadió que el beneficio es claro para sectores tradicionalmente ajenos a la ciberseguridad, como el médico o industrial.
Aunque existe preocupación por el «exceso normativo» y la falta de estándares técnicos definitivos, los expertos coincidieron en que la CRA es un «facilitador y aporta transparencia». Para las empresas, esta regulación convertirá la seguridad en un factor de «viabilidad económica» y resiliencia real.
Por otro lado, Mariano J. Benito (GMV) destacó que el objetivo principal es que la nueva regulación empiece a ser conocida. Según explicó, aunque los expertos del sector ya están familiarizados con ella, «me temo —y luego lo podremos confirmar— que aún queda un largo camino para que sea acreditada por los auténticos interesados», advirtiendo además que el plazo se está agotando.
De hecho, se hizo eco de las voces que consideran que la batalla contra las vulnerabilidades está perdida. No obstante, afirmó: «Independientemente de eso, el que estemos empantanados no significa que no podamos hacerlo mejor. La nueva normativa está enfocada directamente en esa área: conseguir que todos los productos digitales con procesamiento, sean o no de seguridad, no representen una preocupación al llegar a nuestras manos, sino una utilidad, al contar ya con una base razonablemente seria». En cualquier caso, este experto quiso mostrarse optimista y recalcó que en España «se está avanzando a buen ritmo en la implantación de normativas».
Ataques no convencionales a infraestructuras críticas
Alejandro Aliaga, CTO de ESET, participó en una ponencia titulada «Ataques no convencionales a infraestructuras críticas». El interviniente explicó que vivimos en una situación geopolítica inestable que funciona como un «laboratorio de nuevas amenazas», donde tecnologías de uso cotidiano se adaptan para el ataque a costes reducidos. Un ejemplo crítico es el uso de drones, que actúan como una «tecnología de uso dual» capaz de vulnerar perímetros físicos y lógicos, como simular puntos de acceso inalámbricos.
El experto advirtió que la superficie de exposición ha cambiado radicalmente debido a las comunicaciones inalámbricas (5G, GPS, IoT…). También describió que vectores no convencionales, como el SMS blasting o la manipulación de tarjetas SIM en flotas de vehículos, permiten saltarse las defensas tradicionales. Por ello, instó a las organizaciones a «cambiar el chip en cómo percibimos el riesgo», integrando la seguridad física y lógica.
Finalmente, subrayó que la verdadera resiliencia no solo depende de la normativa, sino de «conocer muy bien a nuestro enemigo» y entender que cualquier tecnología puede ser un arma.
Posteriormente, bajo el título «Seguridad end-to-end: El reto de proteger la cadena de suministro», un panel de expertos analizó las vulnerabilidades y estrategias necesarias para blindar este ciclo vital. El debate contó con la visión de Francisco González, arquitecto de Ciberseguridad de Mahou San Miguel; Pedro Iván Montes, experto en ciberseguridad; Inés Díaz, responsable de Seguridad en la Cadena de Suministro de BBVA; Iván Sánchez, CISO de ALS; y Elena García, CSO de Microsoft.
Bajo la moderación de Yolanda Duro, directora de Red Seguridad, la sesión profundizó en cómo la visibilidad total y la confianza verificada son hoy los pilares fundamentales para garantizar la resiliencia operativa frente a las amenazas globales. El debate se centró en la gestión de la cadena de suministro ante la llegada de la Directiva NIS2.
Nuevos paradigmas en ciberseguridad
Óscar García, Enterprise Account Manager de TrendAi, inauguró su ponencia titulada «Gestión de riesgo como pilar en la trasformación digita» con un análisis del tema. Durante su discurso, destacó que «la unión del mundo de la IA con la ciberseguridad» permite abordar los retos actuales de forma integral. Mencionó que su plataforma Vision One unificó la telemetría de terceros para ofrecer una «visibilidad holística», eliminando así los silos operacionales que tanto preocuparon a las empresas en los entornos IT y OT.
El ponente detalló que la compañía descubrió la mayoría de las vulnerabilidades zero-day y defendió que el virtual patching garantiza la continuidad de negocio. Afirmó que su enfoque abandona la venta tradicional para centrarse en un modelo «consultivo» alineado con los KPI financieros. Y, finalmente, recalcó que la clave reside en la confianza personal, pues «esto no va de tecnología», sino de ser socios estratégicos.
David Fernández Granado, director Global de Prosegur CyberSecurity, en su charla titulada «Soberanía en detección y respuesta», destacó la necesidad crítica de una soberanía digital en España. Fernández advirtió que la ciberseguridad nacional dependía entonces de tecnologías y capitales extranjeros, lo que suponía un riesgo ante la inestabilidad geopolítica. Según este profesional, aunque se había perdido la carrera de fabricar hardware como firewalls, España debía liderar la resiliencia operativa exigiendo que el desarrollo tecnológico se realizara en territorio nacional para generar talento propio.
Además, presentó la plataforma XMDR como un «paraguas nacional» capaz de gobernar tecnologías foráneas de forma agnóstica. Este sistema integra inteligencia artificial con el factor humano para realizar una «caza de amenazas continua» bajo el modelo zero trust.
También subrayó que, frente al ciclo volátil de las startups, Prosegur ofrece estabilidad con capital cien por cien español, lo que garantiza la independencia jurisdiccional y una seguridad híbrida que conecta lo físico y lo digital para proteger infraestructuras críticas y procesos de negocio.
Por su parte, Alexandre Adam, Enterprise Account Executive Iberia & Latam de Riot, expuso en su ponencia cómo su empresa busca transformar la seguridad de los empleados frente a la creciente amenaza de la inteligencia artificial. El ponente narró la historia de un ciberataque masivo a United Health que costó 3.000 millones de dólares y explicó que una simple contraseña filtrada permitió a los atacantes usar prompts de inteligencia artificial para vulnerar sistemas sin doble factor de autenticación.
Adam criticó las «formaciones tradicionales» por ser largas e ineficaces y defendió un cambio hacia la «postura de seguridad», centrada en lo que el empleado tiene expuesto. Durante su charla presentó a Albert, un asistente que detectó debilidades en tiempo real y envía consejos directos por Teams o Slack. Además, el experto destacó que los ataques de phishing han aumentado un 1.265 por ciento y aseguró que la tecnología de Riot permite crear cursos personalizados mediante IA. Finalmente, concluyó que la clave reside en intervenciones cortas y continuas que fortalecen la resiliencia humana.
Riesgos y tecnología
Posteriormente, en la mesa «Infraestructuras inteligentes, riesgos inteligentes: Las nuevas tecnologías», se exploró cómo la innovación disruptiva redefine la seguridad en sectores críticos. El panel, moderado por Yolanda González, DPO de Moeve, reunió la experiencia de Manuel Rodríguez, CIO de Aresbank; Adolfo San Martín, CIO de Morchem; Montse Carrera, DPO de Naturgy; Jesús R. Abascal, CISO de Plenitude España; y Andrés Romero, CISO de Aleatica.
En él, los expertos opinaron que el paradigma de la ciberseguridad estaba cambiando: ya no bastaba con prevenir, sino que se debía «asumir que el ataque llegaría» y priorizar la detección rápida. Sostuvieron que la IA era vital para orquestar respuestas, aunque advertían sobre la dependencia de tecnologías extranjeras que comprometían la soberanía nacional.
«Escenarios del futuro para construir resiliencia» fue la ponencia que protagonizaron seguidamente María Lezana y María Gutiérrez, especialistas en ciberseguridad de NTT Data. A través de una mirada prospectiva, las expertas desglosaron los desafíos que definirán el mañana. Plantearon que el mayor riesgo no era el cambio en sí, sino «no entender qué estaba pasando» debido a la velocidad y ambigüedad de las señales tecnológicas. Defendieron un nuevo paradigma donde la resiliencia no consistía en volver a un estado previo, sino en usarla como «arma para adecuarse al cambio» y enfrentar crisis simultáneas. Para anticiparse, propusieron integrar la prospectiva tecnológica mediante dos herramientas: observatorios de tecnologías emergentes que monitorizaran la obsolescencia y tendencias como la IA generativa o la supremacía cuántica, y el diseño de escenarios posibles. Además, sostuvieron que no se debe buscar la probabilidad, sino «hacerse preguntas incómodas» sobre futuros alternativos.
La jornada culminó con una reflexión profunda sobre los pilares que definen la madurez digital actual. En este bloque final, Mabel González, coordinadora del Centro de Ciberseguridad del Ayuntamiento de Madrid; y Daniel López, subdirector de Explotación e Infraestructuras de Correos, dialogaron sobre la necesidad de integrar el cumplimiento normativo y la innovación técnica como elementos inseparables de la estrategia institucional.
Bajo la moderación de Enrique González, subdirector de Red Seguridad, el debate subrayó que las normativas NIS2 y CRA son herramientas clave para reforzar la ciberseguridad, especialmente en la cadena de suministro.
Por último, Yolanda Duro y Ana Borredá agradecieron la participación de todos los expertos, la asistencia del público y, sobre todo, la colaboración de los patrocinadores, «que hacen posible poner la gasolina a esta pequeña pyme para que hagamos este tipo de eventos».
Archivado en:
