Ciberseguridad 2024: synaforce hace balance
7 min. de lectura
El BSI ha publicado, en su informe anual sobre la situación de la ciberseguridad en Alemania, cifras récord una vez más. La amenaza para las empresas alemanas se mantiene así en niveles elevados. synaforce hace balance de un año lleno de acontecimientos que, junto con numerosos desafíos, también dejó algunos logros.
¿Qué es Ciberseguridad?
Ciberseguridad es una prioridad concreta para las empresas en 2026, porque influye directamente en la capacidad de datacenter, la eficiencia energética y el cumplimiento. Este artículo utiliza el ejemplo de synaforce para mostrar qué requisitos, cifras y pasos operativos importan en la práctica.
Lo más importante en breve
- 309.000 nuevas variantes de malware al día en 2024, un aumento del 26 por ciento respecto al año anterior (informe de situación del BSI).
- En marzo de 2024, synaforce obtuvo la certificación C5 del BSI para servicios en la nube conformes con las normativas de KRITIS.
- Alianza estratégica con TEHTRIS para desplegar la plataforma XDR AI PLATFORM, que ofrece una protección integral.
- La directiva NIS2, a fecha de diciembre de 2024, aún no se ha transpuesto al derecho alemán, lo que mantiene la incertidumbre para las empresas.
- Perspectivas para 2025: ataques mediante deepfakes, APTs y exigencias crecientes en materia de infraestructuras críticas.
Según el informe de situación sobre seguridad informática del Bundesamt für Sicherheit in der Informationstechnik (BSI), en 2024 se identificaron diariamente alrededor de 309.000 nuevas variantes de malware, lo que supone un incremento del 26 por ciento en comparación con el año anterior. Las amenazas se centraron especialmente en los sistemas en la nube, las infraestructuras críticas (KRITIS) y los dispositivos móviles. Al mismo tiempo, los ciberdelincuentes continuaron profesionalizando sus métodos, aprovechando vulnerabilidades de día cero y recurriendo de forma sistemática a herramientas modulares de ataque, como el modelo de Malware-as-a-Service. Asimismo, el avance de la inteligencia artificial tuvo un impacto decisivo en el panorama de las amenazas: las tecnologías generativas facilitan los ciberataques al permitir crear mensajes de phishing extremadamente realistas, programar código malicioso o incluso descifrar contraseñas.
Desde el punto de vista regulatorio, también se registraron importantes avances. La directiva NIS2, que establece estándares más estrictos de ciberseguridad en sectores considerados críticos, debía haber sido incorporada al ordenamiento jurídico alemán antes de octubre de 2024. Sin embargo, a fecha de diciembre de 2024, la legislación correspondiente aún no había sido aprobada, lo que mantiene cierta incertidumbre para las empresas.
synaforce se posiciona en 2024 como un socio de confianza para soluciones avanzadas de ciberseguridad
En 2024, synaforce ha dado pasos decisivos para reforzar su posición como proveedor de soluciones avanzadas de seguridad informática. El objetivo era ofrecer a los clientes servicios integrales y seguros, al tiempo que adaptaba sus propios sistemas a los desafíos cada vez mayores. Un hito central fue la obtención de la certificación C5 por parte del BSI (Oficina Federal de Seguridad de la Información) en marzo de 2024. Esta certificación confirma que los servicios en la nube de synaforce cumplen con los más altos estándares de seguridad y están especialmente diseñados para clientes de infraestructuras críticas.
Además, synaforce se preparó de manera específica para la implementación de la Directiva NIS2. La base de certificaciones existente, que incluye ISO/IEC 27001, ISAE 3402 y EN 50600, se vio reforzada aún más con la certificación C5. Gracias a ello, synaforce está capacitado para ayudar a las empresas a cumplir con los estrictos estándares mínimos establecidos a nivel europeo.
Otro punto destacado fue la asociación estratégica con TEHTRIS. Juntos, ambas empresas presentaron la TEHTRIS XDR AI PLATFORM, una solución de seguridad de última generación impulsada por inteligencia artificial. Esta plataforma supervisa en tiempo real todos los puntos finales, redes y servicios en la nube, y gestiona centralmente todas las medidas de seguridad desde un panel intuitivo. Las empresas se benefician de una protección integral, garantía de cumplimiento normativo, así como de la modularidad y flexibilidad de la solución. Por su parte, los proveedores de servicios gestionados pueden aumentar la eficiencia de sus medidas y procesos de seguridad, además de ampliar su cartera de servicios con Managed Detection and Response (MDR) proactivo, sin necesidad de invertir ellos mismos en costosas infraestructuras de ciberseguridad.
«Estamos orgullosos de lo que hemos logrado en 2024. Sin embargo, el panorama de las amenazas demuestra cuán importante es seguir fortaleciendo nuestra posición de forma constante. Para nosotros, 2025 será otro año de avance, en el que intensificaremos aún más nuestro compromiso en el ámbito de la ciberseguridad».
– Tobias Lehner, CTO de synaforce, en el balance anual de 2024
Lo que se avecina para las empresas en 2025
Pues en 2025, el panorama de la seguridad informática enfrentará desafíos aún mayores. Los ciberdelincuentes recurren cada vez más a tecnologías de deepfake para, por ejemplo, burlar sistemas de reconocimiento de voz durante los procesos de verificación. Sectores como el financiero se ven ante la tarea de desarrollar nuevas estrategias de defensa para protegerse contra estas sofisticadas técnicas de engaño.
Además, las amenazas persistentes avanzadas (APTs) vuelven con fuerza al foco de atención. Estas se caracterizan por su longevidad y precisión, lo que las convierte en una seria amenaza para las empresas, ya que permiten a los atacantes obtener acceso prolongado a información valiosa. En particular, cada vez más, sus objetivos son compañías consideradas infraestructuras críticas.
A estos desafíos tecnológicos se suma la incertidumbre sobre la implementación de la Directiva NIS2. Aunque el plazo para transponer esta normativa a nivel europeo ya ha expirado, el proceso legislativo sigue retrasándose en Alemania. Sin embargo, las empresas no deberían esperar a que la situación jurídica quede clara; adoptar medidas proactivas seguirá siendo la clave en 2025 para mantener sistemas informáticos seguros.
«La situación de las amenazas ya era enorme en 2024 y, según las previsiones, no mejorará en 2025. Nuestra resiliencia colectiva será fundamental para hacer frente a riesgos cada vez más complejos. La implementación de la Directiva NIS2 juega un papel crucial en este contexto. En synaforce apoyamos activamente a las empresas mediante asesoramiento integral, así como con la planificación e implantación de medidas específicas destinadas a minimizar los riesgos cibernéticos y establecer estrategias de seguridad sostenibles», afirma Andreas Braidt, CEO de synaforce.
Qué significa concretamente la certificación C5
BSI-C5, el Catálogo de Criterios de Cumplimiento en Computación en la Nube, es un conjunto de directrices compuesto por 17 áreas temáticas elaborado por la Agencia Federal Alemana para la Seguridad de la Información. Este catálogo evalúa de forma sistemática a los proveedores de servicios en la nube en cuanto a controles de seguridad técnicos, organizativos y procesales. Por lo tanto, una certificación C5 va más allá de ser un simple sello; se trata de un informe de auditoría independiente basado en la norma internacional de auditoría ISAE 3000, que documenta de manera transparente a los subproveedores, los flujos de datos y las medidas de control implementadas.
Para clientes procedentes de sectores altamente regulados, como el financiero, el sanitario o el público, contar con un socio en la nube certificado bajo el estándar C5 suele ser un requisito fundamental antes de formalizar cualquier contrato. Esto simplifica considerablemente la documentación interna de cumplimiento, ya que muchos de los puntos de verificación ya quedan cubiertos por dicha certificación. En el caso de synaforce, esta certificación abre directamente el acceso a segmentos del mercado empresarial que, sin el aval C5, habrían permanecido sistemáticamente excluidos. Al mismo tiempo, la empresa se diferencia claramente de sus competidores dentro del sector de pequeñas y medianas empresas alemanas, quienes no están en condiciones ni muestran interés en afrontar el proceso de auditoría exigido por el estándar C5.
XDR y la detección y respuesta gestionadas como ámbitos de crecimiento
La asociación con TEHTRIS aborda una de las tendencias más fuertes en el mercado de la ciberseguridad: la consolidación de herramientas de seguridad aisladas en plataformas de detección y respuesta extendidas (XDR). En lugar de soluciones separadas de detección de endpoints, monitorización de redes y seguridad en la nube, cada una con su propia interfaz de usuario, XDR ofrece una visión centralizada de todos los vectores de ataque. Para los proveedores de servicios gestionados (MSP), esto supone un aumento de la eficiencia; para los clientes finales, una mayor tasa de detección frente a amenazas complejas.
La detección y respuesta gestionadas van aún más allá. En este caso, un proveedor especializado no solo suministra las herramientas, sino que también se encarga de la operación diaria de la supervisión de la seguridad. Se ofrecen servicios como monitorización 24 horas al día, respuesta a incidentes y búsqueda proactiva de amenazas. Para las empresas que no pueden mantener sus propios centros de operaciones de seguridad (SOC), esta suele ser la única opción económicamente viable para alcanzar, dentro de su organización, el nivel de protección de las grandes corporaciones. Con la asociación con TEHTRIS, synaforce se posiciona en este ámbito de crecimiento y abre así nuevas oportunidades de ingresos y expansión dentro de su red de proveedores de servicios gestionados.
Lo que las empresas de infraestructura crítica deberán implementar concretamente en 2025
Para las empresas consideradas como infraestructura crítica, la combinación de NIS2, la Ley BSI y DORA ha creado un marco regulatorio muy estricto. Concretamente, los operadores de KRITIS deberán asegurar en 2025 los siguientes aspectos: una gestión documentada de los riesgos de las tecnologías de la información y la comunicación (TIC), procesos formalizados de respuesta a incidentes con plazos de notificación establecidos, pruebas regulares de resiliencia y una gestión activa de los riesgos asociados a terceros proveedores de servicios. El esfuerzo requerido es considerable y su implementación puede llevar desde varios meses hasta años.
Muchos pequeños y medianos negocios subestiman la dimensión organizativa de este desafío. En las regulaciones modernas, la seguridad informática ya no se limita a cuestiones puramente técnicas; se ha convertido en una tarea de gobernanza que debe abordarse a nivel directivo. Quienes aún piensen que basta con instalar un cortafuegos y realizar una prueba de penetración anual para cumplir con DORA o NIS2 están equivocados de forma sistemática. Las nuevas normativas exigen una documentación continua de los procesos, roles y responsabilidades claramente definidos, así como la demostración de una cultura de seguridad realmente arraigada en la organización.
Por qué los certificados de cumplimiento se están convirtiendo en una puerta de entrada al mercado
Un efecto secundario a menudo subestimado de la ola de regulaciones es que los certificados de cumplimiento están cada vez más convirtiéndose en requisitos para acceder al mercado. Quienes participan en licitaciones públicas sin el C5 del BSI, la norma ISO 27001 ni la documentación que demuestre su preparación ante la Directiva NIS2, sistemáticamente quedan relegados a los últimos puestos. Incluso en los procesos de adquisición privados de grandes corporaciones, las pruebas de seguridad se solicitan cada vez con mayor frecuencia como un criterio obligatorio.
Para los proveedores de servicios TI de tamaño mediano, esto plantea una clara decisión estratégica. O bien desarrollan activamente las certificaciones pertinentes y las posicionan como una ventaja competitiva, o bien serán progresivamente desplazados de los segmentos de clientes con márgenes más altos. synaforce ha tomado precisamente este camino con su inversión en el C5, posicionándose así como un proveedor que no solo cumple con las exigencias regulatorias, sino que las utiliza de forma activa como elemento diferenciador. Para sus propios clientes, synaforce se convierte en un socio que elimina los riesgos de incumplimiento, en lugar de aumentarlos.
Protección contra deepfakes como nuevo ámbito de actuación
Entre las amenazas previstas para 2025, los ataques de ingeniería social basados en deepfakes ocupan un lugar especial. A diferencia de los ataques de phishing tradicionales, no se limitan a mensajes de texto manipulados, sino que emplean voces y vídeos extremadamente realistas. Ejemplos de 2024 demuestran que los atacantes han logrado, mediante una voz generada por inteligencia artificial, convencer a directores financieros (CFO) para que transfieran sumas multimillonarias a cuentas desconocidas. Estos ataques eluden la autenticación de doble factor clásica, ya que se fundamentan en la confianza interpersonal.
Las estrategias de defensa requieren una combinación de medidas técnicas y organizativas. La verificación fuera del canal habitual en transacciones sensibles, procesos de autorización documentados con el principio de “dos ojos”, formaciones continuas de concienciación y el uso de herramientas de detección de medios sintéticos constituyen ya el nuevo estándar. Para los proveedores de servicios gestionados (MSP), esto representa un nuevo campo de consultoría que va más allá de la seguridad informática tradicional y se adentra profundamente en los procesos y las normas de comunicación de sus clientes.
El panorama futuro
La situación de las amenazas en 2024 alcanzó niveles récord y, según todas las previsiones, se superará aún más en 2025. Al mismo tiempo, sin embargo, también está aumentando la madurez de las herramientas de defensa, los marcos regulatorios y los proveedores especializados. Para las empresas alemanas, esto abre una alternativa clara frente a la mera mitigación reactiva de daños: una combinación estructurada que incluye infraestructura certificada, plataformas XDR modernas y socios consultores con amplia experiencia. Quien establezca esta combinación con suficiente antelación no solo reduce los riesgos, sino que también obtiene ventajas competitivas ante clientes y autoridades reguladoras. synaforce inició este camino en 2024 y lo seguirá desarrollando de forma consistente en 2025 y 2026.
Para los responsables de TI en el sector de la pequeña y mediana empresa, así como en entornos KRITIS, se recomienda realizar anualmente un autoanálisis basado en cuatro preguntas clave: ¿Cuál es el nivel actual de madurez de la propia arquitectura de seguridad? ¿Qué certificaciones aún faltan? ¿Qué proveedores externos son críticos? Y, en caso de incidente, ¿quién asumirá la responsabilidad operativa y legal? Las respuestas a estas cuatro cuestiones serán determinantes para la futura competitividad en un entorno regulatorio que evoluciona con mucha mayor rapidez de lo que muchas de las hojas de ruta internas de seguridad ya prevén hoy en día.
Preguntas frecuentes
¿Cuántas nuevas variantes de malware se identificaron diariamente en 2024?
Según el informe de situación del BSI, en 2024 se identificaron alrededor de 309.000 nuevas variantes de malware cada día. Esto representa un aumento del 26 por ciento con respecto al año anterior.
¿Qué es la Directiva NIS2?
La Directiva NIS2 establece estándares más altos de ciberseguridad en sectores críticos y debía haber sido transpuesta al derecho alemán antes de octubre de 2024. Sin embargo, su implementación nacional se ha retrasado, aunque su efectividad a nivel europeo sigue vigente.
¿Qué implica la certificación C5?
La certificación C5 es otorgada por el BSI y acredita que los servicios en la nube de synaforce cumplen con los más altos estándares de seguridad, siendo especialmente adecuados para clientes de infraestructuras críticas (KRITIS). Esta certificación se basa en un catálogo de evaluación de 17 áreas y es auditada según la norma ISAE-3000.
¿Cómo ayuda synaforce a las empresas a cumplir con la Directiva NIS2?
synaforce apoya a las empresas en el cumplimiento de la Directiva NIS2 mediante asesoramiento integral, así como en la planificación e implementación de medidas específicas destinadas a minimizar los riesgos cibernéticos y a establecer estrategias de seguridad sostenibles.
¿Cuáles son los desafíos para el panorama de la seguridad informática en 2025?
El escenario de la seguridad informática enfrentará en 2025 retos aún mayores, como el uso de tecnologías de deepfake para burlar el reconocimiento de voz y las amenazas persistentes avanzadas (APT), que apuntan especialmente a empresas de infraestructuras críticas (KRITIS).
Fuente de la imagen de portada: Pixabay / BrianPenny
Recomendaciones de lectura de la redacción
Fusión: synaforce reúne a sólidos socios de TI de Alemania
Balance ecológico positivo en el centro de datos de alta gama de synaforce
Más del network de MBF Media
cloudmagazin: La ciberseguridad en 2024, un análisis retrospectivo
SecurityToday: Las simulaciones de phishing como herramienta de concienciación
Más sobre este tema de synaforce
Más servicios, casos de uso y contexto práctico están disponibles en synaforce para servicios de datacenter e infraestructura.
