La lista de los ciberataques más graves de 2025 parece una novela policíaca económica, pero afecta a empresas reales. Los siguientes ejemplos demuestran que los ciberataques hace tiempo que han dejado de ser un problema aislado de TI para convertirse en un riesgo empresarial. Afectan a la facturación, la capacidad de suministro y la posición en el mercado y, en casos extremos, ponen en peligro la existencia de una empresa.
En agosto, la producción de Jaguar Land Rover se paralizó durante casi seis semanas. Se vieron afectadas grandes partes de las fábricas del Reino Unido y hubo que cerrar plantas de producción y aislar las redes de distribuidores. Los daños estimados ascendieron a unos 2000 millones de euros.
En el caso del minorista británico Marks & Spencer, los atacantes paralizaron la tienda en línea. Durante seis semanas, los clientes no pudieron realizar sus pedidos como de costumbre. Las pérdidas de ingresos, los costes adicionales de las medidas de emergencia y los daños a la reputación ascendieron a casi 350 millones de euros.
En Estados Unidos y Canadá, los clientes se encontraron con estanterías parcialmente vacías porque el mayorista United National Foods pasó varias semanas de junio sin poder realizar entregas debido a que el sistema de pedidos dejó de funcionar tras un ciberataque. El resultado fueron daños por valor de casi 400 millones de euros.
La ciberseguridad suele aparecer en la parte de los costes porque no genera productos, máquinas ni ingresos directos. Al mismo tiempo, los costes de una seguridad adecuada son casi siempre inferiores a los costes de un incidente de seguridad grave. Al fin y al cabo, un ataque grave puede consumir los beneficios de todo un año y acarrear sanciones contractuales y reclamaciones por daños y perjuicios. Hasta puede conllevar sanciones reglamentarias. Y lo que es más importante es que un ataque grave daña la confianza de los clientes, socios e inversores.
Para las empresas, esto se traduce en que la seguridad debe ser una parte integral de la gestión de riesgos y debe figurar en la agenda de la dirección y el consejo de administración, independientemente del sector o el tamaño de la empresa.
A parte del aspecto económico, existen requisitos legales claros. Entre ellos se incluyen, por ejemplo, los requisitos de protección de datos, las leyes de seguridad informática específicas de cada sector o país y las normas de seguridad laboral y operativa aplicables cuando los fallos informáticos pueden afectar a la seguridad de las personas. Además, la Directiva europea sobre seguridad de las redes y la información (NIS2) establece obligaciones de seguridad vinculantes para cada vez más empresas. Estas no solo deben «hacer algo» por la seguridad, sino que deben establecer un nivel de protección adecuado y demostrable, y revisarlo continuamente.
Para no abordar la ciberseguridad de forma puntual sino de manera sistemática, muchas organizaciones se basan en normas establecidas, como el Marco de Ciberseguridad del NIST (CSF) y la norma ISO/IEC 27001 para sistemas de gestión de la seguridad de la información. El marco del NIST describe la seguridad a tenor de cinco funciones básicas: identificar, proteger, detectar, responder y recuperar. Y resulta muy sencillo trasladar estas funciones a una estrategia de seguridad práctica.
1. Identificación (Identify)
El objetivo es la transparencia: ¿qué hay que proteger, de qué y con qué prioridad? Esto incluye el registro de sistemas de TI y OT (tecnología operativa), aplicaciones, datos y procesos empresariales. Pero también la evaluación de las amenazas y vulnerabilidades y el impacto empresarial. A partir de ahí se derivan los objetivos de protección y los requisitos de seguridad.
2. Protección (Protect)
En esta función se aplican las medidas que dificultan los ataques o minimizan sus efectos. Esto implica, por ejemplo, conceptos de red y segmentación, el endurecimiento de los puntos finales, los servidores y los entornos cloud, así como la gestión de identidades y accesos, incluida la autenticación segura y el acceso basado en roles. Además, también incluye el cifrado de datos sensibles y la formación y sensibilización de los empleados.
3. Detección (Detect)
Dado que ninguna protección es absoluta, la capacidad de detectar rápidamente los ataques es fundamental. La supervisión continua de la seguridad de los sistemas, las redes y las cargas de trabajo en el cloud permite detectar este tipo de ataques. Para ello, las plataformas de seguridad analizan los datos de registro y los eventos. Además, la información sobre amenazas (Threat Intelligence) y los análisis de comportamiento proporcionan indicios de ataques y a continuación activan mecanismos claros de alarma y escalada. Cuanto antes se detecta un ataque, menores son los daños. En T-Systems, por ejemplo, contamos con un centro de operaciones de seguridad (SOC) y ofrecemos servicios de detección y respuesta gestionados (MDR). De este modo, supervisamos de manera ininterrumpida los sistemas importantes de las empresas sin que estas tengan que crear equipos propios con este nivel de profundidad. Las actividades sospechosas se analizan y evalúan, y se responde a ellas directamente con las primeras contramedidas en función de lo acordado. Esto pone fin a la «navegación a ciegas» en la propia red.
4. Respuesta (Respond)
Cuando se produce un incidente de seguridad, la calidad de la respuesta determina el alcance y la duración del impacto. Esto incluye la preparación de planes y manuales de respuesta a incidentes, la creación de equipos de respuesta a incidentes bien coordinados y la realización de análisis forenses estructurados para comprender la causa, la propagación y el impacto. Y por último, pero no menos importante: una comunicación interna y externa profesional.
5. Recuperación (Recover)
Después de un incidente, los sistemas y procesos deben recuperarse lo más rápido posible y de forma controlada. Esto solo funciona con conceptos de copia de seguridad y restauración resistentes, así como con planes de continuidad del negocio y recuperación ante desastres. Todo esto debe practicarse con los llamados «simulacros de incendio» y «lecciones aprendidas» sistemáticas para aumentar aún más la resiliencia.
Usar IA generativa, Copilot y servicios de IA en el cloud no solo aumenta el ritmo de la innovación, sino también la superficie de ataque. Muchas empresas se preguntan cómo utilizar la IA de forma productiva sin poner en peligro la propiedad intelectual, los datos sensibles o el cumplimiento normativo. Para detectar los ataques más rápidamente, evaluarlos con mayor precisión y detenerlos de forma más eficaz, en T-Systems utilizamos la IA en nuestras propias tecnologías de seguridad, por ejemplo, en los servicios SOC y MDR, en la correlación de eventos, en el análisis de comportamiento y en la derivación automatizada de contramedidas. El objetivo es proporcionar IA en un entorno controlado, auditable y conforme a la normativa, como facilitador de procesos más eficientes, mejores decisiones y nuevos modelos de negocio digitales.
Durante las conversaciones con los clientes y en los eventos especializados queda muy claro cuáles son los temas que centran la atención:
1. Ciberdefensa 24/7 y detección y respuesta gestionadas
Muchas empresas se dan cuenta de que la seguridad perimetral clásica ya no es suficiente. Buscan específicamente servicios que supervisen y evalúen de manera continua los ataques y, en el mejor de los casos, adopten automáticamente las primeras contramedidas. Aquí nos posicionamos con ofertas SOC y MDR escalables, dirigidas tanto a medianas como a grandes organizaciones.
2. Arquitecturas de red y cloud seguras y soberanas
El uso del cloud, el trabajo independiente de la ubicación y las ubicaciones distribuidas requieren nuevos enfoques en lo que a seguridad de redes y acceso se refiere. La atención se centra en arquitecturas basadas en principios claros de confianza cero, que permiten un acceso seguro a las aplicaciones y, al mismo tiempo, cumplen los requisitos normativos relativos a la protección y almacenamiento de datos y a la soberanía.
3. Seguridad para la producción y las infraestructuras críticas
Sobre todo en el entorno industrial crece la presión para proteger mejor las instalaciones de producción y las redes OT, no solo contra el malware clásico, sino también contra manipulaciones específicas que interfieren directamente en los procesos físicos. Para ello, T-Systems aúna sus conocimientos en seguridad de TI y OT y se dirige a sectores como la fabricación, el suministro de energía, el transporte o la sanidad.
Estos puntos clave constituyen el núcleo de lo que hoy se considera «lo último» en ciberseguridad: supervisión continua, arquitecturas resistentes y una visión integrada de los procesos de TI, OT y empresariales.
Existen algunas recomendaciones claras válidas para cualquier sector o tamaño de empresa:
1. Empezar por determinar la situación actual
En lugar de introducir inmediatamente productos o herramientas particulares, el primer paso debe ser una evaluación estructurada: ¿Dónde nos encontramos en relación a las funciones del NIST? ¿Qué sistemas, datos y procesos son críticos? ¿Qué requisitos normativos se nos aplican?
2. Consolidar la seguridad como una cuestión prioritaria
La ciberseguridad forma parte tanto de la gestión de riesgos como de la gestión empresarial. Es fundamental establecer responsabilidades claras, informar periódicamente a la dirección y coordinar el procedimiento con los departamentos de cumplimiento normativo, protección de datos y especializados.
3. Pasar del «Estamos a salvo» a «Asumir la brecha»
Los ataques se producirán, la cuestión es lo bien preparado que se está. Las empresas deben partir de la base de que en algún momento se producirá una brecha en alguna de las medidas de protección y, por lo tanto, deben centrarse en una detección rápida, un respuesta estructurada y una recuperación resistente. Los servicios de detección y respuesta gestionados son un componente esencial en este sentido.
4. Integrar la seguridad en los proyectos de digitalización y cloud
Las nuevas aplicaciones, las migraciones al cloud o los conceptos de trabajo remoto deben diseñarse desde el principio con una arquitectura de seguridad. Es mucho más eficiente integrar la seguridad en la planificación que «añadirla» a posteriori.
5. Establecer una mejora continua
La seguridad no es un proyecto, sino un proceso. Mediante evaluaciones periódicas, pruebas de penetración, medidas de concienciación y ejercicios de respuesta y recuperación ante incidentes se garantiza que el sistema de seguridad se mantiene al día de las amenazas y de su propia digitalización.
Los grandes ciberataques de 2025 demuestran lo rápido que un incidente técnico puede convertirse en un siniestro total en el aspecto económico. Quienes siguen considerando que la ciberseguridad es, más que nada, una fuente de costes subestiman el riesgo para las ventas, la reputación y el cumplimiento normativo.
Marcos como el Marco de Ciberseguridad del NIST y la norma ISO/IEC 27001 ofrecen una estructura clara para pensar en la seguridad de forma integral, desde la identificación, la protección y la detección hasta la respuesta y la recuperación. Con esto, la ciberseguridad no solo se convierte en una obligación, sino en un factor clave para una digitalización estable, fiable y sostenible.
