La ciberseguridad nunca ha sido un estado o proceso estable, sino un proceso dinámico sometido a tensiones constantes entre innovación y control. Hoy esa tensión se acelera hasta desafiar los marcos tradicionales de gestión del riesgo. La tecnología evoluciona impulsada por la creatividad del negocio, que introduce complejidad orientada a la eficiencia, la experiencia de usuario o los ingresos. La seguridad debe comprender y acompañar esa transformación, no limitarla. Pero el camino es bidireccional: sin ciberseguridad no hay negocio.

La adopción de la nube ha supuesto un cambio estructural, aunque muchas organizaciones aún no la han interiorizado plenamente. Persisten dificultades en la definición de responsabilidades compartidas, en la visibilidad de activos distribuidos, en la gestión de identidades y privilegios y en la integración de capacidades de detección, y respuesta a incidentes, así como en forense. La nube ha ampliado la superficie de ataque y diluido los perímetros, tensando modelos operativos que todavía arrastran inercias del mundo on‑premise.

Y cuando todavía no dominamos este entorno, la llegada de la inteligencia artificial, especialmente la IA agéntica, supone otro salto cualitativo. Ya no hablamos solo de modelos asistenciales, sino de sistemas capaces de ejecutar acciones, encadenar decisiones y operar con cierto grado de autonomía. Esto, unido a la capacidad de generar nuevos agentes de forma automática, multiplica tanto la creatividad del negocio como los riesgos asociados. Se amplía la exposición al uso de datos sin calidad y la automatización de errores. Se vuelve crítico disponer de mecanismos sólidos de supervisión, trazabilidad y control de comportamiento. Las guías recientes de la AESIA y los trabajos asociativos ofrecen marcos valiosos sobre gobernanza, evaluación de riesgos y control del ciclo de vida de la IA.

Mientras asimilamos esta nueva transformación, surge la computación poscuántica. Aunque su impacto generalizado no es inmediato, sus implicaciones son tan profundas que requieren planificación anticipada. La obsolescencia futura de algoritmos criptográficos plantea un riesgo estratégico que afecta a la confidencialidad a largo plazo, a la integridad de las comunicaciones y a la confianza en infraestructuras críticas. La transición a criptografía poscuántica será compleja, lenta y desigual. El primer paso es claro: inventariar qué datos están cifrados y dónde se generan, consumen y almacenan.

En este escenario, la función de ciberseguridad, apoyada por la Alta Dirección, debe reforzar su papel como disciplina de gobierno capaz de traducir desafíos tecnológicos en decisiones informadas de negocio. No basta con desplegar controles: hay que anticipar escenarios, priorizar riesgos y acompañar la innovación desde el diseño. La velocidad del cambio no disminuirá; la resiliencia dependerá de nuestra capacidad para entender, hacer entender y gestionar esta complejidad sin limitarnos a reaccionar ante ella.

Francisco Lázaro, CISO, DPO del Grupo Renfe, Presidente del Grupo de Seguridad de AUTELSI