La ciberseguridad ha dejado de ser una cuestión exclusivamente tecnológica para convertirse en una preocupación estratégica para empresas, administraciones y gobiernos. Miguel Rego ha vivido esa transformación desde posiciones de máxima responsabilidad tanto en el sector público como en el privado. Con más de 25 años de experiencia en ciberseguridad, defensa, gestión del riesgo e innovación tecnológica, fue director general del Instituto Nacional de Ciberseguridad (INCIBE) y hoy asesora a empresas, instituciones y organismos en la gestión de riesgos complejos y procesos de transformación digital.
A su juicio, el cambio responde a una realidad sencilla: hoy prácticamente todo depende de la tecnología. “Los servicios ahora dependen 100% de lo digital y cualquier ataque que vaya dirigido contra esos servicios tiene una afectación que va mucho más allá de lo técnico”.
Por eso, explica, un incidente ya no afecta únicamente a sistemas informáticos. Puede comprometer el funcionamiento de servicios esenciales, alterar la actividad de una organización y generar consecuencias económicas y reputacionales de gran alcance. “Ha pasado a ser algo absolutamente estratégico”, afirma.
La ciberseguridad entra en la agenda de los consejos de administración
Durante años, la conversación sobre ciberseguridad permaneció lejos de los órganos de dirección. Rego considera que parte de la responsabilidad recae en los propios profesionales del sector, que tradicionalmente trasladaron el debate desde una perspectiva excesivamente técnica. “Quizá los especialistas de ciberseguridad no hemos tenido la capacidad de explicar correctamente cuál era la importancia en términos de negocio y nos hemos centrado más en la componente técnica”.
Sin embargo, la creciente dependencia de los sistemas digitales, junto con la evolución regulatoria y la aparición de incidentes cada vez más visibles, ha terminado llevando esta cuestión a los consejos de administración. Para Rego, la razón es evidente: gestionar los riesgos forma parte de las responsabilidades fundamentales de cualquier órgano de gobierno corporativo. “Uno de los temas más importantes que tiene que hacer un consejero es comprobar que los riesgos de la organización están identificados y bien gestionados”. Y dentro de esos riesgos, los relacionados con la ciberseguridad ocupan ya un lugar destacado.
Innovar sí, pero con seguridad
A lo largo de su trayectoria, Miguel Rego ha observado un comportamiento recurrente en muchas organizaciones: la tendencia a adoptar nuevas tecnologías con rapidez sin prestar la misma atención a su protección.
En su opinión, la inteligencia artificial representa actualmente el mejor ejemplo de esta situación. Empresas y administraciones reconocen su enorme potencial para transformar procesos, mejorar la productividad y generar nuevas oportunidades de negocio. Sin embargo, no siempre incorporan la seguridad al mismo ritmo que la innovación. “Algunas organizaciones, no ya solamente privadas sino públicas también, están en la carrera de adoptar la IA descuidando los temas de ciberseguridad”.
Lejos de plantear una disyuntiva entre innovación y protección, Rego defiende que ambas deben avanzar juntas desde el principio. “La ciberseguridad no puede, no debe y no va a ser un stopper. No debe paralizar la adopción”. La clave, explica, consiste en incorporarla desde las primeras fases de cualquier proceso de transformación, igual que se tienen en cuenta otros requisitos técnicos o funcionales.
Prepararse antes de que llegue la crisis
Cuando la conversación se traslada a la gestión de crisis, Miguel Rego insiste en una idea que considera esencial: las organizaciones deben asumir que, tarde o temprano, pueden verse afectadas por un incidente grave.
La diferencia no estará únicamente en la capacidad para prevenirlo, sino en la preparación para responder adecuadamente. Por eso concede una importancia especial a los protocolos de gestión de crisis y a los mecanismos de coordinación entre las distintas áreas de una organización. “La peor forma de enfrentarse a una crisis es improvisando”.
Según explica, muchos incidentes comienzan con señales aparentemente menores. Solo cuando su impacto afecta a la capacidad de prestar servicios, cumplir objetivos de negocio o preservar la reputación corporativa se convierten en auténticas crisis empresariales. En ese momento ya no intervienen únicamente los equipos técnicos: también lo hacen la dirección, los responsables de negocio, los departamentos legales y los equipos de comunicación.
Una nueva era de riesgos
La inteligencia artificial también está transformando el panorama de amenazas. Miguel Rego advierte de que los grupos cibercriminales están utilizando estas tecnologías para desarrollar ataques cada vez más sofisticados y difíciles de detectar. “Los malos están utilizando la IA para que la amenaza sea mutable, dinámica, más difícil de detectar y tenga mayor impacto”.
Al mismo tiempo, alerta sobre fenómenos como el denominado Shadow AI, que se produce cuando empleados utilizan herramientas de inteligencia artificial de forma no controlada dentro de las organizaciones, generando posibles fugas de información o nuevos vectores de riesgo.
Ante este escenario, considera imprescindible que la propia ciberseguridad incorpore capacidades de inteligencia artificial para responder a amenazas cada vez más complejas. “Los ciberataques progresivamente se están haciendo más inteligentes”, alerta Rego.
La resiliencia como factor clave
Mirando al futuro, Rego señala dos grandes transformaciones que marcarán la próxima década: la evolución acelerada de la inteligencia artificial y el desarrollo de la computación cuántica. Esta última plantea un desafío especialmente relevante para la protección de la información, ya que podría poner en cuestión algunos de los mecanismos criptográficos utilizados actualmente.
Sin embargo, más allá de los cambios tecnológicos, considera que el principal reto seguirá siendo construir organizaciones resilientes. Para ello es necesario asumir una realidad incómoda: ningún sistema es invulnerable. “La resiliencia está en cómo una organización sale después de un ciberataque”, asegura. Las compañías que mejor afronten el futuro no serán necesariamente aquellas que eviten todos los incidentes, sino las que estén preparadas para reducir su impacto y recuperarse con rapidez.
Miguel Rego resume en una frase el consejo que daría a cualquier CEO: “Está bien que te preocupes, pero es mejor que te ocupes”. Una frase que resume buena parte de su visión sobre la ciberseguridad: una disciplina que ya forma parte de la gestión empresarial y que debe abordarse desde la planificación, la anticipación y la responsabilidad.
Lejos de transmitir una visión alarmista, concluye con un mensaje optimista. Considera que la ciberseguridad terminará integrándose de forma natural en las organizaciones, igual que otras medidas de protección que hoy forman parte de la vida cotidiana.
Además, ve en ella una oportunidad de futuro para nuevas generaciones de profesionales y emprendedores. “Si te gusta investigar, si te gusta el cambio, si te gusta estudiar, súbete al carro de la ciberseguridad porque vas a tener muchísimas oportunidades profesionales”.
