En el último año, las conversaciones en torno a la ciberseguridad han dado un giro radical: ya no se trata sólo de protección básica, sino más bien de mitigación del riesgo humano, preparación normativa y prueba de madurez de la seguridad, y se espera que los MSP lideren el cambio.
En las últimas sesiones de formación, hemos insistido en un mensaje muy sencillo: Los MSP ya no pueden permitirse ser pasivos en materia de seguridad; tienen que liderar el cambio. Y el último artículo de ChannelWeb lo confirma: el mercado está cambiando, ¡y rápido!
En este blog, analizaremos tres de las tendencias más apremiantes que configuran el futuro de la ciberseguridad y cómo deben responder a ellas los MSP.
Temas tratados en este blog:
Hoy en día, la mayoría de las infracciones se deben al comportamiento humano, ya sea un correo electrónico mal dirigido, una contraseña débil o un clic en un enlace de phishing.
Según el informe 2024 Voice of the CISO de Proofpoint, el 74% de los directores de seguridad de la información (CISO) identificaron el error humano como su principal preocupación en materia de ciberseguridad, lo que supone un notable aumento con respecto al 60% del año anterior. En apoyo de esta afirmación,el informe State of Human Risk Report de Mimecast reveló que el error humano desempeña un papel en el 95% de las violaciones de datos, lo que pone de relieve su impacto crítico en la seguridad de las organizaciones.
Mientras que las estadísticas señalan al error humano como la principal causa de las violaciones cibernéticas, los incidentes del mundo real ponen de manifiesto este punto con un impacto mucho mayor. Sólo en el primer semestre de 2025, una oleada de violaciones de la ciberseguridad de gran repercusión en todos los sectores ya ha sacudido a las empresas de todo el mundo.
| Organizaciones/Incidentes | Sectores | Errores humanos | Consecuencias |
| Marks & Spencer (M&S) | Venta al por menor | Ataque a un proveedor externo mediante phishing | Beneficios de 300 millones de libras, Pérdida de capitalización bursátil de 750 millones de libras |
| Aflac | Seguros | Empleados engañados por ingenieros sociales que se hacían pasar por soporte técnico | Compromiso de datos sensibles de clientes y de salud |
| Qantas Airways | Aviación | Error en un centro de llamadas | Vulneración de 5,7 millones de registros de clientes |
| Coinbase | Cripto | Se soborna a un empleado para que permita el acceso | Exfiltración de datos internos, petición de rescate y caída de las acciones de la empresa >6% a la mañana siguiente. |
| Cartier | Venta al por menor | Relleno de credenciales debido a contraseñas reutilizadas | Correos electrónicos, direcciones e historial de clientes expuestos |
| WestJet y Hawaiian Airlines | Aviación | Manipulación del servicio de asistencia | Alerta del FBI, se está investigando un posible riesgo |
| Distritos escolares de Long Island | Educación | El personal cayó en la trampa del phishing y los sitios de inicio de sesión falsos | Más de 10.000 expedientes de alumnos revelados |
| Consultores de enfermedades digestivas de Texas | Sanidad | Servidor no seguro expuesto por una mala configuración de los empleados | Aproximadamente 205.000 historiales de pacientes expuestos |
| Condado de Los Ángeles | Gobierno | Un empleado hizo clic en un enlace de phishing en su bandeja de entrada | Varios sistemas cifrados por un ransomware |
| Ciberespionaje dirigido a los semiconductores de Taiwán | Fabricación de semiconductores | Ciberespionaje mediante spear-phishing y robo de credenciales a proveedores | Hasta 20 organizaciones comprometidas, actividades de espionaje en toda la cadena de suministro |
En todo el mundo, la normativa sobre ciberseguridad es cada vez más estricta, amplia y aplicable. Los gobiernos ya no tratan el riesgo cibernético como una cuestión puramente técnica: ahora esperan que las organizaciones demuestren responsabilidad, resistencia y defensa proactiva. Desde la Directiva NIS 2 de la UE y la aplicación del GDPR hasta la CIRCIA de EE.UU. y mandatos específicos del sector como HIPAA y PCI DSS v4.0, los requisitos de cumplimiento se están ampliando rápidamente.
Muchas de las leyes, marcos y normas de ciberseguridad incluyen ahora requisitos centrados en las personas, diseñados para reducir el riesgo humano y demostrar una gestión proactiva de la seguridad. A continuación se muestran algunas de las expectativas normativas más comunes que deben cumplir los MSP y sus clientes:
| Muy requerida por la NIS 2 (Artículo 20(1)), GDPR (Artículo 39(1)(b)), HIPAA (§164.308(a)(5)), PCI DSS v4.0 (Requisito 12.6), ISO 27001 (Anexo A 6.3), DORA (Artículo 5 Sección 2(g), Cyber Essentials (Requisito 4) y NIST CSF 2.0 (Identificar). |
Preparación y simulación de phishing
| Muy requerido por la NIS 2 (Artículo 21 (2)(g)), PCI DSS v4.0 (Requisito 5.4), ISO 27001 (Anexo A 6.3), Cyber Essentials (Requisito 5), NIST CSF 2.0 (Detectar). |
Muchas leyes y marcos hacen hincapié en la necesidad de simular ciberataques para evaluar y mejorar la preparación de los usuarios, especialmente contra el phishing, uno de los vectores de ataque más comunes.
Gestión de políticas y reconocimiento del usuario
| Muy requerido por GDPR (Artículo 33), HIPAA (45 CFR §§ 164.400-414), CIRCIA (Requisitos de Información de Incidentes Cibernéticos), ISO 27001 (Anexo A 6.8) y NIST CSF 2.0 (Proteger). |
Se espera que las organizaciones tengan políticas claras (por ejemplo, Uso Aceptable, Manejo de Datos, Trabajo Remoto) yse aseguren de que los usuarios las leen y reconocen. La falta de conocimiento de las políticas es una señal de alarma.
| Muy requerido por GDPR (Artículo 33), HIPAA (45 CFR §§ 164.400-414), CIRCIA (Requisitos de notificación de incidentes cibernéticos), ISO 27001 (Anexo A 6.8) y NIST CSF 2.0 (Proteger). |
Los MSP, considerados cada vez más como extensiones de las operaciones de seguridad y cumplimiento normativo de sus clientes, deben estar al tanto de los requisitos legales y ofrecer soluciones preparadas para el cumplimiento normativo y centradas en las personas que se ajusten a estas normas cada vez más estrictas.
El endurecimiento de las normas cibernéticas crea tanto un reto como una oportunidad de crecimiento. Los MSP que integren el cumplimiento normativo en sus servicios destacarán como socios estratégicos en este entorno de alto riesgo.
Hoy en día, los clientes ya no se conforman con garantías verbales o brillantes fichas de producto: quieren pruebas. Quieren pruebas concretas de que las soluciones aplicadas son seguras, conformes y de alto nivel.
Según una encuesta reciente de CyberSmart a 900 líderes de MSP, el 77% de los MSP afirmaron que están experimentando un mayor escrutinio de las capacidades de seguridad de sus propias empresas, lo que significa que los MSP deben elegir cuidadosamente a sus socios de ciberseguridad.
Para los MSP, no basta con decir que su pila es segura; deben demostrar que han tomado decisiones deliberadas e investigadas sobre los proveedores que utilizan.
Para cumplir las expectativas de sus clientes y las obligaciones normativas, a continuación le indicamos cómo puede seleccionar con confianza proveedores de soluciones que cumplan las normas actuales de seguridad y fiabilidad:
1. 1. Dé prioridad a los proveedores con certificaciones de ciberseguridad reconocidas
Cuando los clientes exigen garantías, la validación de terceros dice mucho. Elija proveedores que posean certificaciones creíbles como Cyber Essentials, Cyber Essentials Plus, ISO 27001, SMB1001, etc. Estas certificaciones demuestran un compromiso proactivo y auditado con la seguridad de la información, ayudándole a alinearse con las leyes de ciberseguridad a nivel mundial. Asociarse con proveedores certificados da a sus clientes confianza en su postura de seguridad - y ayuda a proteger su propio negocio también.
2. 2. Investigue la viabilidad a largo plazo y la estabilidad financiera de los proveedores
Demasiadas soluciones de ciberseguridad brillan y se apagan rápidamente. Para asegurarse de que su inversión merece la pena, elija proveedores que sean financieramente seguros y estén creciendo activamente. Busque socios con una sólida base financiera y una clara trayectoria de crecimiento. Indicadores como las rondas de financiación recientes, el crecimiento constante de los ingresos y las expansiones estratégicas son signos claros de viabilidad a largo plazo.
3. 3. Busque un historial coherente de desarrollo de productos
Las ciberamenazas evolucionan y sus proveedores también deberían hacerlo. Seleccione socios que mejoren constantemente su plataforma con actualizaciones significativas, nuevas funciones, correcciones de errores o ajustes de la interfaz de usuario. El desarrollo proactivo demuestra el compromiso de un proveedor con la mejora continua. Se trata de construir una plataforma que crezca con su negocio y se adapte a las necesidades de seguridad cambiantes de sus clientes.
Con la segunda mitad de 2025 ya en marcha, una cosa está clara: las amenazas y expectativas de ciberseguridad avanzan rápidamente. Los MSP ya no pueden permitirse ser reactivos en su enfoque de la mitigación de riesgos. ¿La buena noticia? Estos retos también presentan enormes oportunidades. Los MSP que asuman su papel de socios proactivos -ofreciendo soluciones centradas en el ser humano, servicios adaptados al cumplimiento y credibilidad respaldada por pruebas- se diferenciarán en un mercado saturado.
El mercado ha hablado, y los MSP que escuchen prosperarán. Póngase en contacto con nosotros hoy mismo para disfrutar de una prueba gratuita de 14 días de nuestros productos o acceda a una biblioteca de demostraciones a petición para experimentar la forma moderna de reducir el ciberriesgo humano, cumplir las normas de conformidad en evolución y demostrar su valor como socio de seguridad proactivo.