En un contexto donde el uso de internet y el ordenador está ocupando la centralidad de la mayoría de los trabajos, este artículo busca compartir una visión sobre los retos y desafíos que se presentan en la seguridad informática (conocido también como ciberseguridad), así como en la seguridad referida a datos. 

Pero si ambos son seguridad, ¿por qué no son lo mismo?  

Muchas organizaciones creen tener “ganada la batalla” en tema de seguridad informática al contar con herramientas fundamentales como un firewall, VPN u otras como el IPS/IDS que monitorean las redes o los famosos antivirus. Sin embargo, estas medidas de seguridad no tienen una relación directa con la “seguridad de los datos” debido a que se tratan de dos dimensiones diferentes. 

Para entenderlo, debemos pensar en la Ciberseguridad como la arquitectura de una fortaleza: los muros, las fosas y los guardias impiden que un extraño entre. Su misión es proteger el continente. Por el contrario, la Seguridad de los Datos se enfoca en el contenido: es el conjunto de medidas que aseguran que, incluso si alguien está dentro de la fortaleza, no pueda leer un documento secreto si no tiene permiso. No se trata solo de quién entra, sino de qué se puede hacer con el dato.  

Mientras la ciberseguridad bloquea ataques externos, la seguridad de datos implementa técnicas como el cifrado de bases de datos, el enmascaramiento o la anonimización. Esta capa pertenece a la dimensión del ‘Gobierno del Dato’, pues es el negocio quien decide, bajo criterios éticos y legales, qué dato es sensible y qué nivel de blindaje requiere según su ciclo de vida. 

A su vez, también se busca establecer una línea de base para cumplir con las normativas vigentes (como el RGPD o la LOPDGDD), así como tener una conciencia de qué valor tienen los datos que tenemos en caso de sufrir un ataque. 

En definitiva, la seguridad informática y la seguridad de los datos son dos caras de una misma moneda: mientras la primera cuida que nadie entre, la segunda asegura que se llegue a donde se desea y puede ir. Este matiz en el vocabulario ha tenido impactos cada vez mayores para las empresas y que compartimos a continuación. 

Los ataques crecen y los gastos también 

Según una nota del 2025 el FMI estimaba en el 2024 que la “ciberdelincuencia” costará unos 23 billones de dólares en 2027 a todo el mundo, suponiendo un aumento del 175% con respecto a 2022. A su vez, se considera que no muchas organizaciones tienen personas capacitadas y abocadas exclusivamente a esta tarea.   

En el mismo sentido, en el informe “Prospectives 2026” de la Agencia de Ciberseguridad de Cataluña se ha dado a conocer que en el 82,6% de las estafas por correo electrónicos se han identificado enlaces maliciosos que ya utilizan IA.  

Además de esta técnica (conocida como phishing) se encuentran otras asociadas a la vulneración de la seguridad, como pueden ser: suplantación de identidad, software malicioso, ataques a dispositivos o a las nubes donde alojamos nuestros datos.  

Por último, cabe mencionar otra cuestión: A los problemas derivados del ataque se le deben sumar las sanciones regulatorias: una brecha que exponga datos personales puede derivar en multas de hasta 20 millones de euros o el 4 % del volumen de negocio global anual bajo el RGPD. El coste del incidente no termina con el ataque. 

El régimen sancionador es severo: el RGPD prevé multas de hasta 20 millones de euros o el 4% de la facturación global, y NIS2 añade sanciones de hasta 10 millones para entidades esenciales, extendiendo además la responsabilidad personal a los órganos de dirección. La ciberseguridad deja de ser un asunto exclusivamente técnico para convertirse en una cuestión de agenda ejecutiva.

A estas, debe sumarse el “factor humano” que es la principal causa de la mayoría de los casos de vulneración. 

Entonces, el problema de la seguridad, además de evitar intrusos o fugas, es también un problema mayor debido al desarrollo de la herramienta estrella de esta década: la IA.  

Gracias al crecimiento de la herramienta, muchas formas de vulnerar sistemas de seguridad han mejorado su eficacia, a su vez que también ha crecido la filtración de los datos privados por y para su uso como consecuencia de la ausencia de la aplicación de medidas de seguridad sobre los datos en las empresas u organismo.  

Hay una paradoja en todo esto, que vale la pena compartir: Se estima que hay un 60% de personal externo dedicado a temas de seguridad en las empresas mientras que otros estudios definen que se necesitan otros millones de personas formadas para el 2030, sin embargo, gracias a la IA se puede hacer frente a esta falta de mano de obra especializada. La pregunta que cabe hacerse es ¿hasta cuándo? 

Del “Ok pero a mí no me va a tocar” al “KO, lo perdimos todo” 

Es normal creer que no podemos ser víctimas de un ataque, pero también puede ser normal recibir cada vez más llamadas por teléfono de números desconocidos, correos que intentan hacerse pasar por entidades conocidas, SMS con “cuentas bloqueadas, por favor llame al banco…”, entre tantas otras. Pero el golpe que no se ve es ese que hace que pasemos del todo OK al KO.  

En efecto, a pesar de que las regulaciones europeas se pongan más exigentes, hay una brecha entre su implementación total y los tiempos para lograrlo siendo esto la tormenta perfecta para los vulneradores de seguridad.  

Por poner más ejemplos: en España, se han registrado según el INCIBE-CERT unos 122.223 incidentes de ciberseguridad en el año 2025, significando un aumento del 26% respecto al año 2024. La normativa europea aplicable (NIS2) se promulgó en 2023 y recién en enero de 2025 se ha creado un “Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad”, creando el marco integral para su implementación y publicación durante el año 2026 definiendo el nuevo marco de la seguridad informática: ya no es una recomendación, es una obligación. 

Bajo la premisa de “a mí no me va a pasar”, se anula una de las herramientas más potentes para evitar la vulneración de datos: la previsión.  

En efecto, hoy en día hay sectores que están siendo los preferidos para los ataques, debido a la falencia humana, a sistemas desactualizados o a la capacidad de la IA de vulnerarlos.  

Según el mismo informe del INCIBE, en el 2025 se cometieron 401 incidentes relacionados con “operadores esenciales e importantes, alineados con la directiva NIS2, y vitales para el funcionamiento de la sociedad” de los cuales 34% fue banca, 14% transporte, 8% energía, 7% infraestructura de los mercados financieros y 6% aseguradores y fondos de pensiones. Es decir, 1 de cada 3 bancos recibieron ataques durante el 2025. 

Y si se analizan las incidencias más frecuentes de los 122.223 incidentes registrados, se encuentran casi la mitad (55.411 casos) con softwares maliciosos incluyendo virus. Con relación al fraude online se registraron 45.445 casos siendo un 19% más que el año anterior y en donde el phishing se destaca con 25.133 casos (más del 50% de las incidencias). Las demás formas se completan con 4600 dominios webs potencialmente fraudulentos y, por último, los casos de robo de información que han ascendido a 3.849 casos. 

Si se comparan estos datos con los del año 2024, encontramos que la categoría “robo de información” figura como la novedad del 2025, por lo que debemos estar preparados y preparadas para que esta modalidad crezca en tanto las fallas técnicas de la ciberseguridad existan, así como un ausencia o debilidad en una estrategia de Gobierno del dato que organice los activos y los proteja según su sensibilidad y criticidad.  

Entonces, ¿Qué es seguridad informática y seguridad de los datos? 

Desde la perspectiva de DAMA (DMBOK2) y las especificaciones UNE 0077/0078, la Seguridad de Datos es una de las áreas de conocimiento centrales del Gobierno del Dato. No se trata solo de «poner muros», sino de la planificación, ejecución y control de políticas para garantizar la autenticación, autorización y acceso adecuado a los datos. 

Mientras que la seguridad informática se preocupa por cómo alguien entra en el sistema, la seguridad de datos se preocupa por qué puede hacer una vez dentro y qué tipos de datos está manejando, cumpliendo con estos 3 principios básicos de seguridad: 

• Confidencialidad: Asegurar que solo personas autorizadas accedan a información sensible. 

• Integridad: Garantizar que los datos no sean manipulados o alterados de forma inapropiada. 

• Disponibilidad: Asegurar que los datos estén listos cuando el negocio los necesite. 

Una organización que pretenda ser segura debe incorporar una visión integral sobre la seguridad informática y la seguridad de los datos, como parte de un gobierno de datos que convierta los datos en un valor seguro y superior.  

En Desidedatum te podemos ayudar con ello. Con una experiencia de casi 10 años en proyectos de gobierno del dato te podemos ayudar a orientar a la organización hacia decisiones basadas en los datos o preparar los mismos para intensificar el uso de la IA.  

Y como la seguridad del dato va asociada a la seguridad informática, también te acompañamos en la certificación ENS, la adecuación a la directiva NIS2, en la clasificación y protección de la información entre otras cuestiones para que el 2026 todavía sea el año “donde a mí no me toca”.