Por: Marcos Polanco, Director Ejecutivo de Gobierno Corporativo y CISO de Scitum TELMEX.
Cada inicio de año hacemos el mismo ritual: 12 campanadas, 12 uvas y una lista de propósitos de año nuevo. Nos convencemos de que esta vez sí será diferente. Sin embargo, conforme pasan las semanas y los meses, esos propósitos suelen esfumarse, no porque estuvieran mal planteados, sino porque seguimos haciendo las cosas de la misma manera.
En ciberseguridad, ocurre prácticamente lo mismo. Durante diciembre y enero nos llegan múltiples reportes sobre “tendencias”, “predicciones”, “nuevas amenazas” y/o “riesgos emergentes” para el año que comienza, junto con diversas recomendaciones para atenderlos. Cambia el orden, la justificación y los ejemplos, pero el fondo es similar.
En este cierre de año, al observar diversos reportes disponibles, el panorama de riesgos y tendencias para 2026 se repite con bastante consistencia:
- Robo de identidad (humanas y no humanas) y abuso de privilegios.
- Automatización de los ataques de ransomware y esquemas de extorsión más complejos.
- Riesgos asociados con la cadena de suministro.
- Exposición por configuraciones incorrectas en los entornos de nube.
- Ataques de ingeniería social cada vez más convincentes y difíciles de detectar.
- Uso malicioso y/o descuidado de la inteligencia artificial y todos los aspectos de seguridad alrededor de “Agentic AI”.
- Una superficie de ataque más amplia y dinámica.
- Seguridad post cuántica.
Nada que pudiera ser sustancialmente nuevo en comparación con el año anterior. Lo que sí es nuevo es la velocidad y la escala con la que esos riesgos pueden materializarse, así como la interconexión y el impacto sistémico que estos tienen.
Seguimos hablando de los mismos problemas fundamentales, pero ahora estos se materializan más rápido, se propagan con mayor facilidad y sus impactos directos en la reputación, la continuidad y el valor del negocio son cada vez más significativos.
Entonces, la pregunta para 2026 no debería ser si hay riesgos nuevos, sino: ¿estamos cambiando verdaderamente la forma en que abordamos la ciberseguridad o solo estamos poniendo otro nombre a los mismos problemas?
Parte del dilema está en que seguimos tratando estos riesgos como eventos aislados, mantenemos un enfoque fragmentado y, sobre todo, reactivo, en vez de tener una visión integral y proactiva.
Todavía hay organizaciones que se centran solo en los incidentes (detectarlos y responder oportunamente), en lugar de gestionar los escenarios de riesgo: añaden más controles sin validar la efectividad real de los que ya han implementado; miden las actividades técnicas y operativas, pero no la reducción del riesgo lograda; y operan la ciberseguridad como una función técnica y no como una capacidad organizacional.
Cuando ocurre un incidente, solemos preguntar ¿Qué control falló? Eso es correcto, pero insuficiente. La pregunta completa debería ser: ¿qué parte de nuestro modelo de riesgo fue incorrecta o qué decisión tomamos -o dejamos de tomar- para que ese riesgo no se mitigara?
En 2026 las organizaciones debemos buscar un cambio de enfoque. No se trata de qué tecnología de ciberseguridad nueva debemos adoptar, sino de cambiar la forma en que entendemos, gestionamos y operamos la ciberseguridad. Esto significa pasar de:
• Implementar controles a desarrollar capacidades,
• de dar cumplimiento a mejorar la toma de decisiones,
• de tener indicadores técnicos a traducir la ciberseguridad en una narrativa de riesgo y,
• de ubicar la responsabilidad en el área de seguridad a verla como una responsabilidad organizacional y compartida.
Más allá de listas y predicciones, este panorama debería llevarnos a decidir si seguiremos viendo la ciberseguridad como un tema técnico cotidiano o como un riesgo que forma parte del negocio y que requiere un planteamiento distinto.
Si es lo primero, 2026 no será muy diferente a 2025. Si es lo segundo, entonces, aunque los riesgos no son realmente nuevos, nuestra forma de enfrentarlos sí podrá serlo.
Lee más:
- ASUS y Republic of Gamers redefinen la inmersión visual en el CES 2026
- CES 2026: ASUS ROG anuncia la tecnología RGB OLED para sus nuevos monitores gamers
- ASUS en CES 2026 le apostó a la inteligencia artificial y a las mini PC que están redefiniendo el cómputo moderno
