La ciberseguridad está fallando: por qué los resultados no mejoran y qué debe cambiar.

“La ciberseguridad está fallando de forma fundamental, sistemática y desde su base.”

Ese fue el primer ataque del fundador y director ejecutivo de Illumio, Andrew Rubin, en una mesa redonda con aforo completo en RSAC 2026.

¿La verdadera sorpresa? Algunos de los principales expertos en ciberseguridad de la actualidad —un exdirector de informática de la Casa Blanca, el jefe de inteligencia de amenazas de Microsoft, el CISO de SolarWinds y el director de seguridad de una de las mayores instituciones financieras del Reino Unido— coincidieron con él.

En la última década, la ciberseguridad se convirtió en una de las funciones con mayor financiación dentro de las compañías. Los equipos crecieron, las herramientas maduraron y surgieron nuevas categorías para resolver problemas cada vez más específicos.  

En teoría, debería funcionar.

Pero los resultados cuentan una historia diferente. Las brechas de seguridad no están disminuyendo. Cada vez son más grandes, más complejos y más costosos de erradicar, y a menudo se propagan rápidamente por entornos que se consideraban seguros.

El panel, titulado "Verdades engorrosas en ciberseguridad: miedo, responsabilidad y las mayores mentiras del sector", llenó un salón de baile en el hotel Hyatt Regency del distrito SOMA de Santo Francisco. Junto a Rubin estaban David Boda de Nationwide Building Society, Tim Brown de SolarWinds, Sherrod DeGrippo de Microsoft y Theresa Payton, exdirectora de informática de la Casa Blanca.

Lo que quedó claro es que, si bien la industria no se quedó estancada, tampoco cambió los resultados. Y solucionarlo requiere replantearnos cómo medimos el éxito, cómo evaluamos el riesgo y cómo limitamos el impacto de las inevitables brechas de seguridad.

Las siguientes cuatro conclusiones del panel demuestran por qué el modelo actual no funciona y por qué la contención, y no solo la prevención, debe convertir en un elemento central de la estrategia de seguridad moderna.

1. Estamos midiendo las cosas equivocadas y lo llamamos progreso.

Los panelistas coincidieron en que la ciberseguridad no tuvo dificultades por falta de esfuerzo, sino porque la industria estuvo optimizando para obtener resultados equivocados.

Tim Brown describió cómo las organizaciones definen la madurez en la actualidad.

“A menudo, la madurez se mide en términos de actividad en lugar de reducción de la superficie de amenaza”, afirmó.  

Esta distinción conlleva consecuencias reales.

Los equipos de seguridad están siempre ocupados. Implementan controles y siguen marcos de trabajo establecido. Los paneles de control se llenan de alertas que dan lugar a investigaciones. Para la junta directiva, podría parecer un progreso constante.

Pero las brechas de seguridad no ocurren en los paneles de control. Se producen en los huecos entre los controles y en las suposiciones que hacen los equipos sobre la cobertura. Es la diferencia entre marcar una casilla y reducir realmente la exposición.

Brown también señaló que el cumplimiento de las normas puede reforzar silenciosamente este problema. Los marcos de trabajo aportan estructura, pero también pueden generar una falsa sensación de confianza.

Las organizaciones cumplen con los requisitos, superan la auditoría y, aun así, se encuentran lidiando con incidentes que esos mismos controles estaban destinados a abordar.

Es aquí donde la conversación comienza a orientar hacia la contención de la brecha. Si el éxito solo significa detener todos los ataques, entonces cada brecha de seguridad parecerá un fracaso. Pero si el éxito implica limitar las consecuencias de las brechas de seguridad, la atención se centra en reducir hasta dónde puede llegar un atacante y la magnitud del daño que puede causar.

2. La ciberseguridad sigue tratando el riesgo como algo binario. La realidad no.

Rubin insistió en un problema más profundo: la ciberseguridad sigue tratando los resultados como binarios. O estás a salvo o sufres una brecha de seguridad.

En la mayoría de las disciplinas, el riesgo se sitúa en un espectro. Los problemas se clasifican y la respuesta varía según la gravedad.

Rubin empleó la analogía de que si un médico te dice que tienes un resfriado, no das por sentado lo peor. Te recuperas y sigues adelante. Pero si el diagnóstico es más grave, su respuesta también se vuelve más seria.

La ciberseguridad no adoptó completamente esa mentalidad. Las estrategias aún tienden a voltear en torno a intentar eliminar todos los riesgos, aunque eso no sea posible en el panorama de amenazas actual.

David Boda abordó este tema desde la perspectiva de la ciberresiliencia.

“No siempre podemos garantizar la seguridad”, dijo. “Estamos fortaleciendo nuestra capacidad de resiliencia ante las amenazas que se presenten.”

Un cambio hacia la resiliencia modifica la forma en que las organizaciones se preparan. Esto lleva al diseño de sistemas que puedan absorber las perturbaciones sin permitir que se propaguen sin control. También se alinea estrechamente con las estrategias de contención, cuyo objetivo es mantener los incidentes pequeños y controlados en lugar de permitir que se agraven.

3. No puedes protegerlo todo, y eso debería influir en tu estrategia cibernética.

La exdirectora de informática de la Casa Blanca, Theresa Payton, aportó una perspectiva forjada por su experiencia trabajando en entornos donde lo que está en juego es inmediato e inevitable.

En la Casa Blanca, la protección de la ciberseguridad no se aplica de manera uniforme a todos los activos porque no es posible.

“Es imposible protegerlo todo”, dijo.  

Esa restricción exige claridad. Los equipos deben decidir qué es lo más importante y centrar sus esfuerzos en consecuencia.

Payton describió cómo las organizaciones necesitan identificar y clasificar sus activos más importantes en términos prácticos. Eso podría incluir la exposición a riesgos regulatorios, la confianza del cliente o los datos confidenciales.  

Cada organización define su propia versión de lo que más importa, pero el ejercicio de priorizar es esencial.

Es más fácil decirlo que hacerlo. Muchas organizaciones aún no tienen una visibilidad completa de sus entornos. Payton lo comparó con "la búsqueda del santo grial de Monty Python". Provocó risas durante el panel, pero también puso de relieve el verdadero desafío de que, sin visibilidad, la priorización se convierte en una mera conjetura.

Cuando los equipos tienen claridad, cambia su forma de abordar la arquitectura de seguridad. Pueden aislar sistemas críticos, restringir las vías de comunicación y controlar estrictamente el acceso. Si algo sale mal, las consecuencias se mantienen controladas.

Ese es un enfoque muy diferente al de intentar aplicar el mismo nivel de protección en todas partes.

4. La IA está acelerando el beneficio de los atacantes.

La IA surgió como una fuerza inmediata que configuró el panorama de amenazas.

Sherrod DeGrippo describió cómo podría ser ese cambio:

“Creo que muy pronto veremos la aparición del ciberdelincuente unicornio: un ciberdelincuente de nivel supremo que posee una capacidad asombrosa con un solo ser humano.”

Su idea refleja la rapidez con la que se están ampliando las capacidades. Las tareas que antes requerían equipos coordinados ahora pueden ser realizadas por individuos mediante la automatización y herramientas basadas en inteligencia artificial. La barrera de entrada sigue disminuyendo, mientras que el impacto potencial continúa aumentando.

Tim Brown relacionó ese cambio con algo más fundamental: los incentivos.

“Aún se puede ganar mucho dinero sin ir a la cárcel”, dijo.  

Esa dinámica no cambió. Los atacantes siguen teniendo una fuerte motivación económica y consecuencias limitadas. Lo que cambió es la velocidad, la magnitud y la persistencia que pueden aportar a un ataque.

Brown describió cómo la IA permite llevar a cabo campañas a largo plazo y con paciencia, que no dependen de victorias rápidas. Estos ataques pueden observar los sistemas a lo largo del tiempo, adaptar su estrategia y atacar cuando se presenta la oportunidad adecuada.

Esto genera un tipo de presión diferente para los defensores. La detección sigue siendo importante, pero ya no es suficiente. Los líderes deben reflexionar detenidamente sobre qué sucede después de que un atacante obtiene acceso y hasta dónde puede extender dicho acceso.

La ciberseguridad está fallando, ¿y ahora qué?

El panel de Hard Truths ofreció una visión más clara de la situación actual de la industria cibernética y hacia dónde debe dirigir.

El modelo actual no está cambiando los resultados. Un mayor número de herramientas y una mayor actividad no redujeron el impacto general de las filtraciones de datos. La IA está aportando velocidad y escala a un problema que ya de por sí es difícil.

Lo que quedó más claro es que la ciberseguridad necesita evolucionar en la forma en que define el éxito. El éxito incluye la capacidad de resistir los ataques y continuar operando. También significa limitar la propagación de un incidente y proteger lo que más importa.

Ahí es donde la contención de la brecha juega un papel fundamental. Funciona conjuntamente con la prevención y la detección, determinando lo que sucede después de que un atacante logra acceder al sistema.

La ciberseguridad no mejora si se sigue por el mismo camino. La situación cambia cuando las organizaciones dejan de medir la actividad y empiezan a medir el impacto, y cuando la contención se vuelve tan fundamental como la prevención.

Aprende cómo Illumio contiene fallos de seguridad. para detener el movimiento lateral y neutralizar los ataques rápidamente.