Por David Leonor
La ciberseguridad se ha convertido en un terreno donde la innovación y la evidencia empírica juegan un papel decisivo. El último informe del Cyber Risk Intelligence Center (CRIC) de Marsh McLennan, ‘Cybersecurity signals: Connecting controls and incident outcomes (2025)’, aporta datos sobre qué controles realmente reducen la probabilidad de sufrir una brecha de seguridad. Su conclusión central es clara: no basta con desplegar herramientas; lo que marca la diferencia es cómo se gestionan, prueban y mantienen en el tiempo.
El informe parte de miles de respuestas de organizaciones al Cyber Self-Assessment (CSA) de Marsh, cruzadas con historiales de reclamaciones por incidentes. Este cruce permite identificar correlaciones objetivas entre la madurez de los controles y la probabilidad de que una compañía sufra un ciberataque con consecuencias materiales.
Los hallazgos refuerzan una tendencia iniciada en 2023: las prácticas fundamentales siguen siendo el núcleo de una defensa eficaz, pero ahora la cuestión no es solo “qué controles” adoptar, sino “cómo” desplegarlos y gestionarlos.
La planificación de respuesta a incidentes: un control crítico
Uno de los resultados más llamativos es que la planificación de respuesta a incidentes emerge como un control prioritario. Aunque suele asociarse con la fase posterior a una brecha, el análisis demuestra que las organizaciones que realizan ejercicios de simulación, pruebas de mesa (tabletop) y planes de respuesta estructurados son significativamente menos propensas a sufrir un evento grave.
Esto ocurre porque la preparación ante incidentes no solo mejora la capacidad de contención y recuperación, sino que también impulsa hábitos positivos: obliga a documentar procesos, a definir responsabilidades y a reforzar otros controles de seguridad. En palabras del informe, “las buenas prácticas generan resiliencia organizativa y reducen incidentes antes de que ocurran”.
EDR: cuanto más extenso, mejor
El Endpoint Detection and Response (EDR) se mantiene como uno de los controles más eficaces. Sin embargo, el estudio revela un matiz clave: la cobertura completa es lo que marca la diferencia. Cada incremento del 25% en la implementación de EDR en estaciones de trabajo y portátiles se traduce en una reducción adicional del 10% en la probabilidad de sufrir una brecha.
Además, el modo de configuración es crucial: las soluciones desplegadas en “blocking mode” -capaces de detener la ejecución de código malicioso- aportan una capa extra de protección.
MFA: el reto ya no es adoptarla, sino configurarla bien
En 2023, la autenticación multifactor (MFA) era todavía un diferenciador. Hoy, su adopción se acerca al 100% en la mayoría de organizaciones. La clave ya no es “tener o no tener MFA”, sino qué tipo de MFA se utiliza.
El informe subraya que solo los esquemas resistentes a phishing aportan beneficios significativos, reduciendo en un 9% la probabilidad de brechas frente a implementaciones más básicas. De nuevo, el mensaje es claro: la calidad de la implementación pesa más que la simple existencia del control.
SOC y SIEM: más capacidades, mejores resultados
Contar con un centro de operaciones de seguridad (SOC), ya sea interno o externalizado, sigue siendo un factor protector. Pero lo determinante son sus capacidades específicas.
El CRIC identifica como diferenciales:
- operaciones 24/7,
- integración de inteligencia de amenazas,
- capacidades de contención y remediación,
- y un SIEM (Security Information and Event Management) afinado y en constante ajuste.
Las organizaciones que afinan sus reglas de correlación y reducen falsos positivos obtienen mejores resultados que aquellas que simplemente instalan un SIEM sin mantenimiento continuo.
Formación en ciberseguridad: calidad sobre cantidad
Otro hallazgo relevante está en la concienciación y formación de empleados. El informe desmonta la idea de que “más sesiones” equivale a más seguridad. Lo que importa es la calidad y realismo de los entrenamientos.
Simulaciones actualizadas de ataques de phishing, ejercicios de ingeniería social y contenidos adaptados a las tácticas más recientes aportan un mayor impacto que la formación genérica o repetitiva. En definitiva, se trata de preparar a los usuarios para escenarios reales, no solo de cumplir con un requisito formal.
Gestión de vulnerabilidades y parches: automatizar siempre que sea posible
Con la explotación de vulnerabilidades entre las principales causas de ataques, la gestión de parches y la automatización emergen como controles vitales.
El informe muestra que las organizaciones que realizan evaluaciones periódicas, pruebas de penetración y despliegue automatizado de parches reducen significativamente su riesgo. En cambio, confiar únicamente en sistemas de clasificación como el CVSS (Common Vulnerability Scoring System) no es suficiente: la velocidad y regularidad en aplicar parches pesa más que priorizar en función de un número.
Además, el auge de servicios en la nube reduce la carga de la gestión manual de parches, al externalizar parte de esa responsabilidad a los proveedores.
Una evolución respecto a 2023
El CRIC ya había identificado en 2023 doce controles fundamentales para reducir riesgos. Desde entonces, la adopción se ha generalizado y la investigación de 2025 muestra un cambio de enfoque: ahora el reto es la profundidad y madurez de las implementaciones.
Por ejemplo, los parches críticos, que en 2023 apenas se aplicaban con regularidad en un 53% de las organizaciones, hoy superan el 89%. El uso de EDR pasó del 82% al 91%. Estos avances reflejan que muchas empresas han invertido, pero también que los atacantes se adaptan y que la simple adopción de controles ya no garantiza seguridad.
Para Marsh McLennan, la clave está en medir la eficacia de los controles con datos de la vida real: qué prácticas se asocian estadísticamente con menos siniestros y cómo varía esa relación según el sector, el tamaño de la empresa y el tipo de amenaza.
Este enfoque también contribuye a mejorar el mercado de ciberseguros, al ofrecer métricas más objetivas para la suscripción y la tarificación de pólizas.
Conclusión: resiliencia a través de la gestión activa
El informe cierra con una reflexión fundamental: en ciberseguridad, la única constante es el cambio. La adopción de la nube, el auge del software como servicio y la incorporación de la inteligencia artificial transforman tanto la infraestructura digital como el panorama de amenazas.
Por ello, la resiliencia no se logra acumulando herramientas, sino gestionando activamente los controles, probándolos, afinándolos y adaptándolos. La receta:
- Invertir en controles sigue siendo crucial,
- pero lo que realmente genera ventajas competitivas es la calidad de la implementación,
- la capacidad de aprender de los datos,
- y la creación de una cultura organizativa donde la ciberseguridad se entiende como un proceso vivo y dinámico.
En última instancia, la innovación en ciberseguridad no está solo en la tecnología, sino en cómo las empresas integran esa tecnología en su día a día para adelantarse a las amenazas.
Fuente: David Leonor para Füture. Blog de innovación para el sector asegurador. (29 agosto de 2025)
