Una Vista de Granja de RSAC 2025: Perspectivas de Seguridad de Datos y Cumplimiento desde el Rebaño

Para nuestro stand en RSAC 2025, creamos algo verdaderamente único: un “Corral de Seguridad” con personajes animados G.O.A.T. (Greatest Of All Time) que representan diferentes aspectos de la seguridad de datos y el cumplimiento. Como parte de nuestro stand, tuvimos cabras enanas en vivo para enfatizar que Kiteworks es el G.O.A.T. de la seguridad de datos y el cumplimiento. El concepto fue un gran éxito, atrayendo multitudes y creando conversaciones memorables sobre temas serios de seguridad a través de estos personajes accesibles.

Para continuar la diversión mientras compartimos valiosos conocimientos de RSAC 2025, pedí a nuestros expertos en seguridad animados, cinco campeones G.O.A.T., sus opiniones y conclusiones sobre el evento. Cada personaje encarna un concepto o amenaza de seguridad específica, ofreciendo una perspectiva única para ver los desarrollos más importantes del evento.

RSAC 2025 resultó ser un evento transformador, con la IA Agente emergiendo como el tema dominante, capturando más del 40% de las sesiones de la conferencia, un aumento dramático desde solo el 5% en 2023. Otras áreas críticas de enfoque incluyeron la Seguridad de Identidad, con desafíos complejos que surgen de la proliferación de identidades de máquinas; la Seguridad y Privacidad de Datos en un panorama cada vez más regulado; la Seguridad en la Nube a través de infraestructuras de múltiples entornos; y los preparativos para la era de la computación post-cuántica.

El tema oficial de la conferencia de este año, “Muchas Voces. Una Comunidad”, encapsula perfectamente las diversas perspectivas que exploraremos en este artículo. Así como RSAC enfatizó el poder de la resolución colaborativa de problemas y la fortaleza que proviene de puntos de vista variados, nuestro elenco único de personajes del corral, desde campeones de seguridad hasta amenazas potenciales, ofrece perspectivas multifacéticas sobre los desafíos de ciberseguridad más apremiantes de hoy.

En las secciones que siguen, escucharás directamente de cada una de estas coloridas personalidades mientras comparten sus conclusiones distintas del evento de seguridad más importante de la industria. Sus perspectivas, aunque a veces contradictorias, pintan colectivamente un cuadro integral de dónde se encuentra la ciberseguridad hoy y hacia dónde se dirige mañana.

Perspectivas de Sherlock “Trustfall” Hooves

Si hay algo que observé mientras trotaba por RSAC 2025, es que la Confianza Cero ya no es solo un marco de seguridad, es la filosofía fundamental que impulsa la ciberseguridad moderna. Al navegar por el abarrotado Moscone Center, sesión tras sesión enfatizaba que en el ecosistema digital interconectado de hoy, el antiguo modelo de seguridad basado en perímetros está tan desactualizado como construir una muralla de castillo en la era de los aviones.

Las discusiones más convincentes se centraron en enfoques centrados en la identidad. Con las identidades de máquinas ahora superando en número a las humanas, las organizaciones finalmente están reconociendo que la verificación robusta de identidad debe ser la piedra angular de la arquitectura de seguridad. En una sesión abarrotada, un CISO de una empresa Fortune 100 compartió cómo han implementado protocolos de autenticación continua que verifican no solo quién está accediendo a los recursos, sino también el contexto de ese acceso: postura del dispositivo, ubicación, patrones de tiempo y anomalías de comportamiento, todo en tiempo real.

Lo que particularmente captó mi atención fue la evolución de las implementaciones colaborativas de Confianza Cero. Los equipos multifuncionales ahora son esenciales, con seguridad, TI, cumplimiento y unidades de negocio trabajando en conjunto para construir arquitecturas efectivas. Los días de la seguridad trabajando en aislamiento han terminado, al igual que un rebaño de cabras es más fuerte junto que una cabra solitaria en una montaña.

Mi conclusión clave para los profesionales de seguridad: en una era de IA agente, el principio de “nunca confíes, siempre verifica” debe extenderse más allá de las identidades humanas y de máquinas para incluir a los sistemas de IA. Como lo expresó elocuentemente un orador, “Cuando tu IA puede tomar decisiones autónomas, la verificación no se trata solo de acceso, se trata de intención y resultados”. Las organizaciones deben implementar salvaguardas que validen continuamente las acciones de la IA contra límites establecidos y pautas éticas.

Recuerda: en el panorama de amenazas de hoy, la confianza no es un punto de partida, es algo que se gana a través de la verificación continua. Aquellos que dominen este principio navegarán la complejidad de los desafíos de seguridad moderna con la seguridad de una cabra montesa.

Perspectivas de Morgan “Mandate” McGoat

El paisaje regulatorio dominó las conversaciones en RSAC 2025, y con razón. Con más de 157 países ahora aplicando leyes de protección de datos, las organizaciones enfrentan un verdadero laberinto de requisitos de cumplimiento. La Regulación de Protección de Datos 2.0 de la UE se robó el protagonismo, con su ambicioso alcance extendiendo los principios del GDPR mientras introduce nuevos requisitos para sistemas de IA y flujos de datos transfronterizos.

La protección de datos transfronterizos surgió como un punto de dolor particular para las organizaciones multinacionales. Varias sesiones destacaron el colapso de los marcos de transferencia de datos entre regiones comerciales clave, dejando a las empresas luchando por mecanismos legales alternativos. Un panel esclarecedor presentó a oficiales de privacidad de tres continentes discutiendo enfoques estratégicos para navegar estas turbulentas aguas regulatorias, incluyendo localización de datos, salvaguardas contractuales mejoradas y tecnologías de mejora de la privacidad.

Me impresionaron particularmente las soluciones de automatización de cumplimiento presentadas en el piso de exhibición. ¡Se acabaron los días de seguimiento de cumplimiento basado en hojas de cálculo! Las nuevas plataformas ahora aprovechan la IA para monitorear continuamente los cambios regulatorios en todas las jurisdicciones, mapeándolos automáticamente a las actividades de procesamiento de datos de una organización y sugiriendo ajustes necesarios a los programas de privacidad. Estas herramientas no solo reducen los costos de cumplimiento, sino que disminuyen significativamente el riesgo de violaciones.

Mi conclusión clave: las organizaciones deben construir adaptabilidad regulatoria en sus programas de seguridad de datos. El paisaje de cumplimiento seguirá evolucionando rápidamente, particularmente alrededor de la gobernanza de IA y las transferencias transfronterizas. Las empresas que implementen arquitecturas de cumplimiento modulares, aquellas que puedan adaptarse rápidamente a nuevos requisitos sin rediseños completos, mantendrán ventajas competitivas mientras evitan sanciones regulatorias. Recuerda: en la economía digital de hoy, la agilidad en el cumplimiento es tan esencial como la seguridad misma.

Perspectivas de Locksley “DataShield” Woolthorpe

RSAC 2025 confirmó lo que he estado balando durante años: ¡la seguridad centrada en los datos finalmente está tomando el centro del escenario! Con los perímetros tradicionales esencialmente disueltos, las organizaciones ahora se están enfocando en lo que realmente importa: proteger los datos en sí.

Las estrategias de prevención de pérdida de datos más convincentes destacadas en la conferencia incorporaron controles conscientes del contexto que adaptan la protección según la sensibilidad de los datos, el comportamiento del usuario y los factores ambientales. Varios proveedores demostraron soluciones sofisticadas que pueden identificar y clasificar información sensible en tiempo real a través de repositorios estructurados y no estructurados, aplicando controles apropiados automáticamente.

La gestión de la postura de seguridad de datos surgió como el segmento de más rápido crecimiento, con plataformas que ahora ofrecen visibilidad integral a través de servicios en la nube, endpoints y entornos locales. Las soluciones más innovadoras proporcionan monitoreo continuo de controles de seguridad, detectando configuraciones incorrectas y violaciones de políticas antes de que conduzcan a violaciones. Una demostración reveladora mostró cómo un solo bucket S3 mal configurado podría ser identificado y remediado en segundos a través de flujos de trabajo automatizados.

La conferencia puso un énfasis significativo en proteger los datos a lo largo de todo su ciclo de vida, desde la creación hasta el archivo o eliminación. Las sesiones exploraron cómo el cifrado, la tokenización y las tecnologías de enmascaramiento de datos están evolucionando para mantener la protección sin importar a dónde viajen los datos. Varios expertos destacaron la importancia de los marcos de gobernanza de datos que mantienen controles de protección incluso cuando la información se mueve más allá de los límites organizacionales.

Mi conclusión clave para los líderes de seguridad: las estrategias de protección de datos deben evolucionar de enfoques estáticos basados en reglas a marcos dinámicos y adaptativos al riesgo que respondan a paisajes de amenazas cambiantes. A medida que las organizaciones comparten cada vez más datos con socios, proveedores y sistemas de IA, mantener una protección consistente requiere una combinación de controles técnicos, procesos de gobernanza y educación del usuario. Las organizaciones más resilientes serán aquellas que traten la seguridad de datos como un habilitador de negocio en lugar de solo una necesidad de cumplimiento.

Perspectivas de Dash “SecureBeam” Galloway

El panorama de seguridad en la nube en RSAC 2025 reveló un cambio dramático de preocupaciones de migración a estrategias de optimización. Las organizaciones ya no se preguntan si deben moverse a la nube, sino cómo asegurar cargas de trabajo a través de entornos multi-nube cada vez más complejos.

Varias sesiones destacaron enfoques innovadores para asegurar la transferencia de datos entre proveedores de nube, enfatizando la necesidad de políticas de seguridad consistentes que viajen con los datos. Las soluciones más avanzadas demostradas en la conferencia incorporaron principios de confianza cero en sus marcos de movimiento de datos, requiriendo verificación continua sin importar de dónde se originen o terminen los datos.

Los entornos multi-nube presentaron desafíos únicos, con organizaciones luchando por mantener la visibilidad a través de plataformas dispares. Las soluciones más prometedoras presentadas en RSAC ofrecieron planos de control unificados que abstraen las implementaciones de seguridad específicas del proveedor, permitiendo a los equipos de seguridad definir políticas consistentes a través de AWS, Azure, Google Cloud y entornos privados sin gestionar múltiples paneles de control.

Las amenazas de la computación cuántica se cernieron en gran medida en las discusiones sobre el futuro de la seguridad de transmisión. Varias sesiones exploraron el desarrollo de algoritmos criptográficos resistentes a la cuántica y cómo las organizaciones pueden prepararse para la era post-cuántica. El Instituto Nacional de Estándares y Tecnología presentó sus estándares criptográficos resistentes a la cuántica finalizados, mientras que los proveedores demostraron las primeras implementaciones comerciales de estos algoritmos en protocolos de transmisión.

Mi conclusión clave para los profesionales de seguridad: comienza tu preparación post-cuántica ahora. Las organizaciones deben comenzar inventariando activos criptográficos, identificando sistemas vulnerables y desarrollando planes de transición. Aunque las amenazas de la computación cuántica generalizada pueden estar aún a años de distancia, la complejidad de las transiciones criptográficas significa que las organizaciones que retrasen la preparación enfrentarán un riesgo significativo cuando la computación cuántica se vuelva común. Como lo expresó memorablemente un orador, “Para cuando la computación cuántica rompa tu cifrado, ya es demasiado tarde para comenzar a planificar”.

Perspectivas de Ada “Neural-Network” Ramsey

Como el tema dominante de RSAC 2025, las discusiones sobre seguridad de IA revelaron tanto promesas extraordinarias como desafíos profundos. Con los sistemas de IA ahora tomando decisiones autónomas que afectan infraestructuras críticas, sistemas financieros y atención médica, asegurar estos sistemas se ha convertido en una prioridad existencial.

Los debates más significativos se centraron en la autoridad de toma de decisiones, específicamente, qué decisiones deben permanecer con los humanos frente a aquellas que pueden delegarse de manera segura a sistemas de IA. Un discurso de apertura convincente de Vasu Jakkal, Vicepresidente Corporativo de Microsoft, exploró esta tensión, enfatizando que “la supervisión humana sigue siendo esencial para decisiones trascendentales, incluso cuando los sistemas de IA se vuelven más capaces”. Esta posición fue eco en varias sesiones, formándose un consenso en torno a un enfoque basado en el riesgo para la autonomía de la IA.

Los marcos de gobernanza de IA recibieron una atención sustancial, con organizaciones compartiendo éxitos tempranos y desafíos en la implementación de enfoques estructurados para la gestión de riesgos de IA. Los marcos más maduros presentaron controles integrales que abarcan todo el ciclo de vida de la IA, desde la seguridad de los datos de entrenamiento hasta las salvaguardas de implementación y el monitoreo continuo. Un panel particularmente esclarecedor con líderes de Google, Microsoft, NVIDIA y el Instituto de Seguridad de IA del Reino Unido exploró los esfuerzos de estandarización que podrían ayudar a establecer requisitos de seguridad básicos para aplicaciones de IA de alto riesgo.

El equilibrio entre innovación y seguridad emergió como un tema persistente. Las organizaciones están legítimamente preocupadas por las desventajas competitivas si los controles de seguridad restringen en exceso las capacidades de IA. Varias sesiones ofrecieron orientación práctica sobre la implementación de principios de “seguridad desde el diseño” que integran la protección sin inhibir la funcionalidad.

¿Mi conclusión clave? Las organizaciones deben implementar marcos de gobernanza de IA reflexivos que establezcan límites claros en torno a la toma de decisiones autónoma mientras permiten una innovación responsable. Los enfoques más efectivos involucrarán equipos multidisciplinarios que incluyan seguridad, legal, ética y partes interesadas del negocio. A medida que la IA se incrusta más profundamente en las operaciones comerciales, los líderes de seguridad deben centrarse no solo en proteger los sistemas de IA, sino en asegurar todo el ecosistema de datos, modelos y decisiones. Recuerda: en la era de la IA agente, la seguridad no se trata solo de proteger lo que hace la IA, se trata de asegurar que la IA haga lo que pretendemos.

Perspectivas de Rooter “ShadowTunnel” Porkington

Debo decir que RSAC 2025 ha sido bastante frustrante para aquellos de nosotros en el negocio de adquisición de datos. Las técnicas avanzadas de detección presentadas este año están haciendo mi trabajo cada vez más difícil. Particularmente problemáticos son esos nuevos sistemas de análisis basados en comportamiento que pueden detectar patrones inusuales de movimiento de datos, incluso cuando soy excepcionalmente cuidadoso al permanecer por debajo de los límites de umbral. La demostración de técnicas de cifrado homomórfico que permiten procesar datos mientras permanecen cifrados fue particularmente desalentadora.

Las arquitecturas de Confianza Cero se han convertido en mi némesis personal. Cuando cada solicitud de acceso requiere verificación continua sin importar la fuente, mis técnicas tradicionales de exfiltración se han vuelto significativamente menos efectivas. El cambio de seguridad estática basada en perímetros a verificación dinámica de identidad ha cerrado muchas de las brechas que una vez exploté con facilidad. Incluso mis sofisticadas técnicas de movimiento lateral están siendo detectadas por estos sistemas que cuestionan cada intento de acceso.

A pesar de estos avances, las organizaciones continúan pasando por alto vulnerabilidades críticas en sus estrategias de protección de datos. Muchas todavía se enfocan demasiado en repositorios de datos estructurados mientras descuidan los datos no estructurados dispersos en endpoints, almacenamiento en la nube y plataformas de colaboración. Su obsesión por proteger bases de datos a menudo deja los archivos adjuntos de correo electrónico, las plataformas de mensajería y las aplicaciones de terceros lamentablemente desprotegidas, todos terrenos de caza primordiales para un cerdo hambriento como yo.

Mi advertencia para los profesionales de seguridad: las técnicas de exfiltración de datos están evolucionando tan rápidamente como tus defensas. Mientras construyes sistemas de detección sofisticados para métodos conocidos, estamos desarrollando técnicas lentas y discretas que permanecen por debajo de los umbrales de alerta y aprovechan canales de comunicación legítimos. Recuerda que tus sistemas de prevención son tan fuertes como su punto de integración más débil. Una API pasada por alto, un permiso de almacenamiento en la nube mal configurado o una cuenta de servicio con privilegios excesivos es todo lo que necesito para festinarme con tus datos sensibles.

Perspectivas de Sly “Loophole” Bushy-Tail

RSAC 2025 ha sido bastante esclarecedor, observando a las organizaciones esforzarse por abordar el laberinto regulatorio. Lo que más me divierte es cómo pasan por alto las deliciosas lagunas entre regulaciones superpuestas. Donde el GDPR y el CCPA se contradicen entre sí, o donde los requisitos de la UE chocan con los marcos emergentes de APAC, estas inconsistencias crean el terreno de caza perfecto para un zorro astuto.

He notado que las herramientas de automatización de cumplimiento se están volviendo más sofisticadas, lo que complica mis técnicas de evasión. Estas plataformas que monitorean continuamente los cambios regulatorios y ajustan automáticamente los controles son particularmente problemáticas. Sin embargo, todavía luchan con la interpretación, el arte de determinar cómo los principios regulatorios abstractos se aplican a tecnologías y procesos específicos. Esta ambigüedad sigue siendo mi campo de juego.

Las transferencias de datos transfronterizas presentan oportunidades particularmente jugosas. El colapso de los marcos de adecuación entre las principales regiones económicas ha creado una magnífica confusión. Las organizaciones están implementando mecanismos legales complejos como Normas Corporativas Vinculantes y Cláusulas Contractuales Estándar sin comprender completamente sus requisitos de implementación práctica, creando brechas entre el cumplimiento documentado y las prácticas reales que puedo explotar con facilidad.

Mi advertencia para los oficiales de cumplimiento: cuidado con los enfoques de cumplimiento de casillas de verificación que se centran en la documentación sin verificar la implementación real. Las técnicas de evasión más sofisticadas no implican romper las reglas abiertamente, implican interpretación creativa y aplicación selectiva. Recuerda que mientras te enfocas en satisfacer a los auditores con políticas bien elaboradas, zorros como yo están encontrando las brechas entre tus controles documentados y la realidad operativa. El verdadero cumplimiento requiere validación continua de la efectividad de los controles, no solo documentos de políticas bien escritos.

Perspectivas de Trojan “Backdoor” Gallop

El enfoque mejorado en la seguridad de identidad presentado en RSAC 2025 ciertamente ha hecho que la infiltración sea más desafiante. La autenticación multifactor es ahora ubicua, las soluciones de gestión de acceso privilegiado son cada vez más sofisticadas y los análisis de comportamiento pueden detectar patrones de autenticación inusuales. Sin embargo, estos avances simplemente requieren más sofisticación en mi enfoque, simplemente he cambiado de fuerza bruta a ingeniería social, apuntando a los elementos humanos que siguen siendo el eslabón más débil en la seguridad de identidad.

Los entornos en la nube continúan ofreciendo superficies de ataque prometedoras, a pesar de los controles de seguridad mejorados. La naturaleza dinámica de los recursos en la nube, con la provisión y desmantelamiento constante de activos, crea brechas de visibilidad que exploto regularmente. Muchas organizaciones todavía luchan por mantener políticas de seguridad consistentes a través de entornos híbridos y multi-nube, creando costuras donde puedo ocultar mecanismos de persistencia que sobreviven a los escaneos de seguridad rutinarios.

A pesar de todas las medidas de seguridad avanzadas presentadas en RSAC, varias técnicas de puerta trasera siguen siendo notablemente efectivas. Las compromisos de la cadena de suministro fueron notablemente poco discutidos, con organizaciones enfocándose en sus propios entornos mientras descuidan la seguridad de sus proveedores y vendedores. Además, los entornos de desarrollo continúan implementando menos controles de seguridad que la producción, ofreciendo un terreno fértil para establecer persistencia que luego puede elevarse a acceso de producción.

Mi advertencia para los equipos de seguridad: los métodos de discusión de infiltración se están volviendo cada vez más pacientes y sofisticados. En lugar de explotación inmediata, los enfoques modernos se centran en establecer persistencia primero y esperar momentos oportunos para escalar el acceso. Tus estrategias de detección deben evolucionar de evaluaciones puntuales a monitoreo continuo a través de todo tu ecosistema, incluidos entornos de desarrollo, conexiones de terceros y sistemas heredados. Recuerda que no necesito encontrar la vulnerabilidad más sofisticada, solo necesito un punto de acceso pasado por alto para establecer mi cabeza de playa.

Perspectivas de Stubborn “MetaMix” Longears

Las discusiones sobre clasificación de datos en RSAC 2025 revelaron puntos ciegos significativos en los enfoques de gobernanza de la mayoría de las organizaciones. Mientras las empresas invierten fuertemente en identificar y proteger datos sensibles, están descuidando en gran medida los metadatos que dan significado y contexto a esos datos. Al centrarse exclusivamente en la clasificación basada en contenido, dejan la información estructural que organiza e interpreta los datos lamentablemente desprotegida.

Mis técnicas preferidas para interrumpir la gobernanza de datos se basan en la manipulación sutil de metadatos en lugar de ataques abiertos. Al alterar etiquetas de clasificación, modificar políticas de retención o corromper enlaces relacionales, puedo hacer que los datos sean inutilizables o mal interpretados sin activar alertas de seguridad tradicionales. Las organizaciones más sofisticadas están implementando controles de integridad para los datos en sí, pero rara vez extienden la misma protección a sus metadatos.

Las brechas en la gobernanza de IA presentan oportunidades particularmente ricas para la travesura. A medida que las organizaciones se apresuran a implementar sistemas de IA, están alimentando estos modelos con conjuntos de datos cuya gobernanza de metadatos es inmadura en el mejor de los casos. Al corromper las etiquetas y relaciones dentro de los datos de entrenamiento, puedo influir en los resultados del modelo sin dejar signos obvios de manipulación. Varias sesiones discutieron ataques de envenenamiento de IA, pero se centraron principalmente en el contenido en lugar de los metadatos que estructuran los procesos de aprendizaje.

Mi advertencia para los profesionales de gobernanza de datos: proteger la integridad de tus sistemas de clasificación y categorización es tan crítico como proteger los datos en sí. Implementa controles robustos sobre quién puede modificar metadatos, mantén registros de auditoría completos de los cambios de metadatos y valida regularmente la integridad de tus sistemas de clasificación. Recuerda que cuando la clasificación de datos se ve comprometida, incluso la información perfectamente asegurada puede llevar a decisiones y acciones catastróficas. En la era de la toma de decisiones automatizada, los metadatos corrompidos pueden causar más daño que los datos violados.

Perspectivas de Raptor “DataScraper” Sharp-Eye

RSAC 2025 presentó extensas discusiones sobre seguridad de IA, pero la mayoría se centró en proteger los sistemas de IA en lugar de abordar una vulnerabilidad crítica: la fuga no intencional de información sensible en modelos de lenguaje público de gran tamaño. A medida que las organizaciones adoptan con entusiasmo copilotos y asistentes de IA, están alimentando inadvertidamente datos propietarios en estos sistemas con alarmante frecuencia.

La adopción corporativa de LLM públicos presenta una magnífica oportunidad para la recolección de datos. Cuando los empleados pegan información confidencial en interfaces de IA públicas para resúmenes, traducción o análisis, esos datos potencialmente se convierten en parte de futuros conjuntos de datos de entrenamiento. Aún más preocupante, varias presentaciones de RSAC destacaron cómo la información enviada a estos modelos a veces puede aparecer en respuestas a consultas no relacionadas de usuarios completamente diferentes, exponiendo secretos corporativos sin evidencia de una violación de datos tradicional.

Los riesgos de exposición de datos de entrenamiento recibieron atención insuficiente en la conferencia. Las organizaciones están implementando directrices de ingeniería de prompts para empleados sin controles técnicos correspondientes para prevenir fugas. Mientras tanto, los límites entre los datos empresariales privados y los datos de entrenamiento de IA pública se vuelven cada vez más borrosos, con implicaciones legales y competitivas significativas que pocas organizaciones han evaluado completamente.

Mi advertencia para los líderes de seguridad: implementa controles técnicos y de políticas robustos que gobiernen cómo tu organización interactúa con sistemas de IA públicos. Establece políticas claras de clasificación de datos que especifiquen qué información nunca puede ser enviada a modelos de IA externos. Despliega controles técnicos que escaneen el tráfico saliente hacia interfaces de IA públicas en busca de patrones de datos sensibles. Invierte en infraestructura de IA segura y privada para manejar información confidencial. Lo más importante, educa a tu fuerza laboral sobre la naturaleza permanente e irreversible de los datos enviados a modelos públicos: una vez que tu información propietaria entra en estos sistemas, nunca puede ser realmente retirada. La próxima generación de inteligencia competitiva no vendrá de la espionaje tradicional, sino de la elaboración cuidadosa de prompts que extraigan la información filtrada inadvertidamente de tus competidores de los sistemas de IA públicos.

Conclusión: Asegurando Nuestra Granja Digital

Como hemos escuchado de nuestros expertos en seguridad del corral, tanto los campeones cibernéticos como los villanos cibernéticos, RSAC 2025 reveló un panorama de ciberseguridad transformado por la IA mientras aún se enfrenta a desafíos fundamentales en identidad, protección de datos y cumplimiento.

Basado en los comentarios de nuestros cinco amigos y enemigos cibernéticos, surgieron varias tendencias críticas que darán forma a las prioridades de seguridad en el próximo año:

Primero, la seguridad de IA ha pasado de ser teórica a existencial. Las organizaciones deben desarrollar marcos de gobernanza integrales que aborden no solo la seguridad del sistema de IA, sino la protección de los datos utilizados para entrenar estos sistemas. La rápida adopción de la IA exige una consideración cuidadosa de la autoridad de toma de decisiones, con límites claros sobre qué decisiones pueden delegarse a sistemas automatizados frente a aquellas que requieren supervisión humana.

Segundo, la seguridad centrada en la identidad ha desplazado los enfoques tradicionales basados en perímetros, con principios de Confianza Cero ahora fundamentales en lugar de aspiracionales. Como señaló Sherlock “Trustfall” Hooves, la verificación se ha convertido en un proceso continuo en lugar de un evento único, particularmente crítico a medida que las identidades de máquinas ahora superan en número a las humanas.

Tercero, la protección de datos debe evolucionar de reglas estáticas a marcos dinámicos y conscientes del contexto que mantengan la protección a lo largo del ciclo de vida de los datos. Las perspectivas tanto de Locksley “DataShield” Woolthorpe como de Raptor “DataScraper” Sharp-Eye destacan la vulnerabilidad particular de los datos compartidos con sistemas externos, especialmente modelos de IA públicos.

Cuarto, la complejidad del cumplimiento sigue creciendo, con la fragmentación regulatoria creando tanto desafíos para las empresas legítimas como oportunidades para los actores malintencionados. A medida que las organizaciones navegan por este panorama, la automatización del cumplimiento se volverá esencial, aunque como nos recuerda Sly “Loophole” Bushy-Tail, la tecnología por sí sola no es suficiente sin la validación de la efectividad de los controles.

Finalmente, las amenazas de la computación cuántica exigen preparación ahora, no cuando estas capacidades se vuelvan comunes. Las organizaciones deben comenzar inventariando activos criptográficos y desarrollando planes de transición a algoritmos resistentes a la cuántica, como enfatizó Dash “SecureBeam” Galloway, la complejidad de estas transiciones significa que los primeros en adoptarlas tendrán ventajas significativas.

Insto a todos los lectores a tomar tres acciones específicas basadas en estas perspectivas:

1. Implementa una puerta de enlace de datos de IA para controlar y rastrear cómo tu organización interactúa con sistemas de IA públicos, incluidas políticas de clasificación de datos y monitoreo de la información enviada a modelos externos.
2. Desarrolla una arquitectura de cumplimiento modular que pueda adaptarse a regulaciones en evolución sin requerir rediseños completos.
3. Establece una gobernanza de identidad integral a través de identidades humanas y no humanas, con verificación continua basada en el riesgo y el contexto.

El tema de RSAC de este año, “Muchas Voces. Una Comunidad”, refleja perfectamente las perspectivas multifacéticas que hemos explorado a través de nuestro corral de seguridad. Así como cada uno de nuestros personajes aporta un punto de vista único, desde los vigilantes G.O.A.T.S. hasta los adversarios conspiradores de la granja, la seguridad efectiva requiere perspectivas diversas trabajando en concierto. Ningún enfoque, tecnología o marco único puede abordar el complejo panorama de amenazas de hoy. En cambio, la resiliencia de la seguridad surge de los esfuerzos colaborativos de diferentes disciplinas, roles y puntos de vista, todos contribuyendo a nuestra defensa colectiva.

En seguridad, como en la naturaleza, los ecosistemas más fuertes son los más diversos. Al aprender de cada perspectiva, incluso de las de nuestros adversarios, construimos defensas más resilientes que protegen lo que más importa.

Recursos Adicionales

• Artículo del Blog Arquitectura de Confianza Cero: Nunca Confíes, Siempre Verifica
• Video Cómo Kiteworks Ayuda a Avanzar el Modelo de Confianza Cero de la NSA en la Capa de Datos
• Artículo del Blog Qué Significa Extender la Confianza Cero a la Capa de Contenido
• Artículo del Blog Construyendo Confianza en la IA Generativa con un Enfoque de Confianza Cero
• Video Kiteworks + Forcepoint: Demostrando Cumplimiento y Confianza Cero en la Capa de Contenido