Que más de 40.000 personas se congregaran durante tres días en el Moscone Center de San Francisco revela una dimensión de la ansiedad en torno a la ciberseguridad. La RSA Conference, el mayor encuentro especializado, ha vuelto a crecer en 2025. Otra vez la inteligencia artificial ha sido el leit motiv: está cambiando las reglas de juego pero el balance entre atacantes y defensores muestra que el peligro está vivo. Unos días antes, el CISO (chief information security officer) de JP Morgan Chase, Patrick Opet, había marcado el tono con una carta abierta muy crítica con la industria: repetía algo elemental: los clientes y usuarios tienen derecho a esperar que el software sea seguro por defecto.
La confianza, materia prima de la seguridad, es muy escasa, sostenía Opet en su carta, pero los mensajes del marketing merecen poca confianza, venía a decir. Pese a la cuantía de las inversiones, cuando se produce alguna incidencia, raramente se dispone de respuesta para algunas cuestiones básicas, recordaba con un inconformismo que, viniendo de quien viene, es de agradecer.
Ante todo, hay que consignar que el gasto en ciberseguridad sigue en alza, si bien en los últimos doce meses el 43% de las organizaciones han ajustado sus presupuestos en vista de las tensiones y conflictos geopolíticos, para recalibrar sus estrategias. Sectores como le energía y los servicios públicos destacan en esta corriente: el 70% percibe (sic) un mayor número de amenazas: Entre ellos, un 20% las califica como significativas y un 37% dice prepararse proactivamente para una escalada, a modo de gasto preventivo.
El lema de la conferencia en 2025, Muchas voces, una comunidad, jerarquiza lo obvio: es imposible mejorar la ciberseguridad en solitario. El número de ataques casi se ha triplicado en los últimos cinco años y el correo electrónico es a la vez el uso más corriente de Internet y el mayor vehículo que usan los atacantes. No ahora, sino desde siempre. Un informe – firmado por Barracuda Networks – sostiene que el 25% de los archivos adjuntos HTML son maliciosos. Mientras, el phishing campa a sus anchas, cada vez más preciso y eficaz. Como consecuencia de estas advertencias, las empresas están dedicando más tiempo a clasificar los mensajes que a contener los ataques, es la tesis de la carta abierta.
La IA generativa, tan festejada por unos como temida por otros, ha traído una novedad, los deepfakes en tiempo real (los de audio, porque en vídeo aún necesitan perfeccionarse). En la avalancha de amenazas construidas con IA, la identidad se ha convertido en la primera línea de defensa: no queda otra cuando se difuminan los perímetros tal como se han entendido tradicionalmente. Algunos de los anuncios conocidos en la conferencia de este año apuntan en esa dirección: CrowdStrike ha presentado Falcon Privileged Access como protección contra los ataques basados en técnicas de suplantación de la identidad.
Ha vuelto a hablarse una tendencia ya identificada a ganar visibiliidad en los entornos cloud pero en la RSAC 2025 se ha puesto énfasis en la gradual desaparición de las contraseñas en favor de las claves de acceso, la biometría y la autenticación adaptativa. No es que el planteamiento sea nuevo, pero acentúa el objetivo de reducir el número de contraseñas, que trae aparejado el riesgo de phishing, a la vez que hace más fluída la experiencia de usuario, en especial con la abundancia de entornos híbridos. El criptógrafo Whitfield Diffie, un pionero de la seguridad en las claves públicas y privadas, predijo en su ponencia de San Francisco que la informática cuántica [otro gran asunto que volverá el año próximo] lo cambiará todo en materia de desencriptación.
Por otro lado, tras los discursos oportunistas a la IA – a los que se han sumado de buena gana parte de los medios, todo sea dicho – basta rascar un poquito para que aparezcan fisuras que inquietan a quienes se baten el cobre cada día combatiendo los ciberataques. Para la RSAC, la edición de las promesas fue la de 2024, por lo que este año tocaba rendir cuentas; pues no ha habido aprobado general. Esto es notorio con la predicción (reiterada) acerca de los agentes de IA encargados de la seguridad en los SOC (security operations center) autónomos que se auguraban como cercanos.
Frente a las grandes narrativas de una IA agéntica, por parte de Microsoft y Google, no pocos CISO temen que se conviertan en un problema nuevo, en lugar de solucionar los existentes. Otro elemento que gestionar y que, además, puede acarrear riesgos de privacidad y de rendimiento, al ampliar la superficie de ataque. De dar la alerta se ocupó el ex jefe de ciberseguridad de la NSA: debido a su autonomía, estos agentes de IA se van a convertir en uno de los objetivos de los atacantes, por lo que se espera que en los próximos meses y años se multipliquen las incidencias.
El grado de autonomía para detectar proactivamente amenazas y neutralizarlas parece aceptable, no así otro tipo de acciones, como abrir/cerrar puertos o deshabilitar políticas de seguridad, por ejemplo. A fin de cuentas, uno de los problemas señalados es que los ataques pueden ahora dirigirse a los datos con los que ha sido entrenada la IA, haciendo que esta proponga decisiones desacertadas sin supervisión que podrían derivar en una denegación de servicio. Anatema. El sentir mayoritario parecería indicar que, tal como sucede con la generación de código por GenAI – que requiere de supervisión humana antes de entrar en producción – los agentes de IA para seguridad deberían ser sometidos a controles en determinadas tareas.
Asimismo, según un valioso estudio de Enterprise Technology Research (ETR), muchas empresas están dejando de comprar la mejor solución en cada área de ciberseguridad debido a la saturación de aplicaciones y, muy especialmente, al giro hacia las plataformas que se observa en los proveedores. Según ETR, la proporción de CISO que se inclinan por una estrategia de best-of-breed ha caído del 35% al 18%. Más todavía: un 46% de quienes están recortando el número de proveedores lo hace por simplificación: integrar todas las herramientas y formar al personal no son tareas sencillas. Además, cuantas más sean, aumentarán los problemas con la automatización que todos pretenden.
La alternativa existe, sostienen casi al unísono los proveedores de primera fila, que ya han dado ese giro hacia la plataformización (sic). El más notorio es Palo Alto Networks, que lleva años evangelizando sobre esa idea; pero también hay que señalar a Microsoft: inesperadamente, ha pasado de ser considerada como un “parcheador” reactivo a defender la proactividad en formato plataforma. O bien la antes mencionada CrowdStrike, que tras el fiasco sufrido el verano de 2024 se las ha arreglado para salvaguardar su reputación.
De hecho, los analistas bursátiles que siguen esta categoría señalan a Palo Alto y CrowdStrike como puntas de lanza de la innovación y ven en Cisco signos de eficacia en el aprovechamiento de su legado en las redes Entre los hiperescalares, señalan que AWS no está monetizando suficientemente su oferta de seguridad, pero debería cambiar de enfoque ante los insistentes pulsos de Microsoft y Google.
Eric Bradley, uno de los autores del informe State of Security 2025, de ETR, señala que la tendencia de los CISO en favor de la plataformización es más plausible cuanto que la suite escogida integra mejores controles de identidad, una plataforma EDR/XDR [end-point detection and response / extended detection and response] integrada y la corrección automatizada de vulnerabilidades. Sin embargo, también aquí aparece la desconfianza y el escepticismo de los profesionales, que no ven las cosas con la misma lente que los analistas de bolsa.
No por conformar una suite de productos se puede dar por sentado que se trata de una plataforma cohesionada o que proporcione una visión holística de la seguridad. Limitarse a agrupar productos bajo una nomenclatura común puede ser una forma de dar gato por liebre, es una opinión que Bradley recoge sin remilgos.
Matices a un lado, la buena acogida que está teniendo el enfoque sobre plataformización ha despertado adquisiciones que durante años han escaseado porque el sector, tal como era, iba como un tiro (sigue yendo como un tiro, pero no como antes ). Son protagonizadas por hiperescalares o por proveedores que tienen ya una oferta bien engrasada. Ejemplos de actualidad: la compra de Wiz por Google y la de Prospect AI por Palo Alto Networks.
Estas adquisiciones no buscan sólo agrupar funcionalidades; también reducir el riesgo de cumplimiento normativo, grave asunto que ha ocupado a buena parte de los ponentes en RSAC 2025.
Mientras los CISO e incluso los proveedores en las fichas técnicas de sus productos, incorporan cada vez más la noción que ha sido llamada CRQ (cuantificación del riesgo cibernético, pero en inglés) que da forma al impacto material en este negocio peculiar, cobra peso a lo largo de la cadena de suministro. Para su evaluación y análisis, empiezan a salir soluciones basadas en IA.
Cosecha 2025
Toda conferencia tan concurrida es una ocasión para el marketing. En esta, además del enfoque sobre plataformización, los proveedores se han presentado como actores relevantes en la detección y respuesta automatizadas gracias a la IA, nicho que está subiendo cuota en el total del gasto en seguridad. Palo Alto Networks y CrowdStrike – que no son precisamente amigos – destacaron por sus lanzamientos.
La primera, con la puesta de largo de su nueva plataforma de IA, Prisma AIRS, que presume de capacidad para escanear un LLM así como de blindar a los agentes de IA evitando suplantaciones de identidad. Además, destacó la incorporación de seguridad avanzada de correo electrónico en su Cortex XSIAM 3.0 y anunció su Prisma Access Browser 2.0 para ganar visibilidad y control de acceso en tiempo real para el uso de GenAI.
CrowdStrike, además del ya mencionado Falcon Privileged Access, ha ampliado las capacidades de su plataforma Charlotte AI para unirse a la corriente “agéntica”: Charlotte AI Agentic Response y Charlotte AI Agentic Workflows.
Era fácil barrruntar que la geopolítica – o sea, la política estadounidense y el influjo de la presidencia actual – tendría su papel en RSAC, en un año tan revuelto. Por presencia y por ausencia. Fue llamativo que no estuvieran los responsables de ciberseguridasd del gobierno federal, lo que impidió conocer sus respuestas a las preguntas sobre los recortes de Donald Trump (y Elon Musk) en las agencias gubernamentales y su efecto en las especializadas.
El programa federal Common Vulnerabilities and Exposures (CVE) de la CISA (Critical Infrastructure Security Agency) tiene fecha de caducidad en septiembre del 2026 y en estas cuestiones no se improvisa. No hay constancia de retrasos, pero la fuga de cerebros en CISA con la nueva administración no es una buena noticia.
[informe de David Bollero]