NIS2 es la Directiva europea de Seguridad de las Redes y los Sistemas de Información, en vigor desde octubre de 2024. Obliga a las organizaciones esenciales e importantes a implantar controles de ciberseguridad y notificar incidentes.

¿Quién debe cumplir con NIS2?

NIS2 se aplica a organizaciones en sectores esenciales (energía, transporte, banca, sanidad, infraestructura digital) e importantes (servicios postales, gestión de residuos, fabricación, alimentación, proveedores digitales) con más de 50 empleados o 10 millones de euros de facturación. Los estados miembros pueden ampliar el alcance.

¿Qué diferencia hay entre un red team y un pentest?

Un pentest evalúa sistemáticamente vulnerabilidades en un alcance definido. El red team simula un adversario real con objetivos específicos, sin alcance predefinido, durante un período prolongado.

¿Cuánto tiempo lleva obtener la certificación ISO 27001?

El plazo depende del tamaño y la madurez de seguridad existente de la organización. Para la mayoría de las empresas medianas, el proceso desde el análisis de brechas hasta la auditoría de certificación lleva entre 6 y 12 meses. Una planificación sólida y una recopilación de evidencias estructurada pueden reducir significativamente este plazo.

¿Qué es MDR (Detección y Respuesta Gestionadas)?

MDR es un servicio de ciberseguridad gestionado que combina tecnología de detección de amenazas con analistas humanos disponibles 24/7. A diferencia de un SIEM tradicional, el MDR incluye respuesta activa: contención, investigación y remediación cuando se detecta una amenaza, no solo alertas.

DORA (Reglamento de Resiliencia Operativa Digital) es obligatorio para entidades financieras de la UE desde enero de 2025. Exige gestión del riesgo TIC, pruebas de resiliencia y notificación de incidentes.

¿Qué ocurre si sufrimos una brecha de seguridad?

Si sospecha una brecha activa, llame inmediatamente a su equipo de respuesta a incidentes. No tome medidas de contención precipitadas, ya que pueden destruir evidencias forenses. Bajo NIS2, las organizaciones esenciales e importantes deben notificar incidentes significativos a la autoridad competente en un plazo de 24 horas desde que tomen conocimiento.

Tus defensas fueron diseñadas para un atacante que ya no existe

Las empresas construyen su seguridad sobre una asunción que ya no es verdad: que el atacante tiene que elegir entre atacar a muchos o atacar bien. La IA eliminó ese tradeoff. El phishing que llega hoy fue escrito para ti.

Todas las publicaciones

Ciberseguridad29 May 2026

Tus defensas fueron diseñadas para un atacante que ya no existe

Author

Jaime Dordio

Post on X Share on LinkedIn

Cuando una empresa diseña su programa de seguridad — formación, filtros, protocolos — lo hace contra un modelo mental del atacante: alguien con recursos limitados que tiene que elegir entre volumen y precisión. Si manda miles de correos genéricos, algunos colarán pero la mayoría se detectarán. Si investiga a fondo a una víctima específica, el ataque será más creíble, pero solo podrá hacerlo con unos pocos objetivos.

Ese modelo mental ya no es correcto. La IA eliminó el tradeoff entre escala y precisión. Y las defensas que construiste asumiendo ese tradeoff necesitan revisión.

El phishing que no parece phishing

La formación tradicional en ciberseguridad enseña a detectar señales de alerta: errores tipográficos, remitentes con dominios extraños, urgencia artificial, archivos adjuntos inesperados. Esas señales correspondían a ataques de volumen diseñados para el objetivo más bajo posible: convencer a alguien, quien fuera.

Ese phishing sigue existiendo. Pero ya no es el único.

Un modelo de lenguaje puede, en segundos por objetivo, redactar un correo que menciona tu cargo real, el proyecto en el que trabajas, el nombre de tu responsable y el contexto de una conversación reciente. Lo hace con el tono adecuado, sin errores, con referencias que solo alguien de dentro conocería. Puede enviarse desde una dirección que se confunde fácilmente con la de un proveedor o compañero real.

El problema no es que el mensaje parezca legítimo. Es que fue escrito para que tú, específicamente, lo consideres legítimo. La formación que enseña a detectar señales genéricas no tiene respuesta para eso.

El desfase que nadie mide

Las empresas actualizan su postura de seguridad en ciclos largos: formación anual, revisiones trimestrales de políticas, renovación de herramientas cada varios años. Es el ritmo que permite la organización.

Los atacantes operan en un ritmo completamente diferente. Pueden probar variantes de un señuelo en horas, cambiar infraestructura en minutos, adaptar el mensaje al perfil específico de cada objetivo antes de enviarlo. No hay reunión de aprobación. No hay proceso de cambio.

El resultado es una brecha de cadencia que se amplía de forma silenciosa. Las empresas entrenan a sus empleados para detectar el phishing de hace dos años. Los atacantes llevan meses usando técnicas para las que esa formación no tiene respuesta.

Este desfase no aparece en ningún dashboard. No hay un indicador que mida cuánto tiempo llevas defendiéndote contra ataques que ya no se usan. Pero existe, y crece.

Lo que cambia para las empresas

La consecuencia directa es que el modelo de prevención basado en la detección por parte del usuario está roto para los ataques más sofisticados. No porque los empleados sean descuidados, sino porque fueron entrenados para detectar señales que ya no están.

Esto no significa que la formación no sirva. Significa que no puede ser la primera línea de defensa para acciones de alto riesgo.

Las organizaciones que están adaptando su modelo están haciendo tres cosas:

Protocolos de verificación para acciones críticas. Transferencias, cambios de credenciales, accesos a sistemas sensibles: independientemente de quién solicite la acción, hay una verificación fuera del canal digital. El canal digital es el que puede estar comprometido.

Detección por comportamiento, no por firma. Un correo bien redactado no activa filtros de contenido. Pero una secuencia de acciones inusual — acceder a un sistema que no se usa habitualmente, exportar datos fuera de horario, ejecutar un proceso nuevo — sí puede detectarse. El foco se desplaza del mensaje al comportamiento posterior al clic.

Resiliencia cuando la prevención falla. Asumir que algún ataque tendrá éxito cambia el diseño del sistema. Segmentación de redes, privilegios mínimos, capacidad de respuesta rápida: no son medidas de último recurso, son parte del diseño desde el principio.

Criterio

La brecha no es tecnológica. Es de modelo.

Las defensas actuales fueron construidas para un atacante que tenía que elegir: atacar a muchos o atacar bien. Ese atacante todavía existe, pero ya no es el único. El que no tiene que elegir es el que más probabilidades tiene de entrar.

La respuesta no es gastar más en las mismas cosas. Es revisar la asunción sobre la que están construidas.

Siguiente paso

Forma a tu equipo para el atacante que existe hoy

La formación que enseña señales de hace dos años deja al equipo expuesto. Diseñamos programas de concienciación ajustados al modelo de amenaza actual.

Hablar con Dasenda

Soluciones

Empresa

Sectores