CIONET News

Cybersecurity Quest 2025

Written by Redacción CIONET Spain | April 03, 2025 @ 4:11 PM

Este artículo está basado en las intervenciones que tuvieron lugar durante el último encuentro del Programa Quest, que se llevó a cabo el pasado miércoles 27 de febrero en el Espacio Co-Studio de Prosegur en Madrid. Durante este encuentro, más de 70 líderes digitales tuvieron la oportunidad de explorar cómo grandes organizaciones están no solo defendiéndose contra amenazas cada vez más sofisticadas y asegurando su resiliencia, sino también facilitando la innovación segura, gestionando entornos regulatorios complejos y fomentando una cultura de confianza. A través de diversos casos de uso y estrategias de varias empresas, sectores y expertos, profundizamos en la importancia de adaptarse a las nuevas necesidades y oportunidades que ofrece la ciberseguridad

Safeguarding Innovation and Resilience in a Complex World

 

 

Presente y Futuro de la Ciberseguridad en la Comunidad de Madrid

Con Alejandro Las Heras | Consejero Delegado | Agencia de Ciberseguridad de la Comunidad de Madrid

Plan estratégico de Ciberseguridad de la Comunidad de Madrid

La Comunidad de Madrid ha dado un paso adelante para consolidar su posición como referente en ciberseguridad a nivel regional, nacional e internacional. A través de su Agencia de Ciberseguridad, la región ha lanzado el 'Ciberescudo', un plan estratégico que se despliega desde 2024 hasta 2027 y promete redefinir los contornos de la seguridad digital en el área. El plan de desarrollo del escudo digital de la Comunidad de Madrid establece una hoja de ruta clara y ambiciosa con cuatro fases principales: 

  1. Referente Regional (2024): el año pasado comenzó este proyecto con la creación de la Agencia de Ciberseguridad de acuerdo a la Ley 14/2023 para dirigir y coordinar la ciberseguridad de la Comunidad de Madrid mediante modelo de gobernanza y control.
  2. Referente Nacional (2025): el enfoque está en fortalecer la capacidad de la región para liderar a nivel nacional a través de la implementación de las capacidades, así como la incorporación de los recursos humanos y técnicos necesarios.. Los objetivos incluyen el despliegue de tecnologías de ciberseguridad, la creación de un CSIRT (Computer Security Incident Response Team) de referencia, y garantizar un cumplimiento efectivo de las normativas en todas las entidades madrileñas. Además, se buscará fomentar el ecosistema empresarial de ciberseguridad, reconociendo su papel crucial en el crecimiento económico y la innovación industrial.
  3. Referente Europeo (2026): en esta etapa, la Comunidad de Madrid buscará fomentar alianzas estratégicas con otros estados miembros de la Unión Europea y potenciar la cooperación internacional para reforzar las capacidades de ciberseguridad a nivel europeo. El enfoque será en liderar proyectos que puedan ser replicados en otros países, promoviendo una defensa común frente a las amenazas cibernéticas.
  4. Referente Internacional (2027): la fase final del plan tiene como meta posicionar a Madrid como líder mundial en ciberseguridad. Esto implicará no solo mantener un alto estándar en la implementación de medidas de seguridad, sino también en liderar la discusión global sobre políticas de ciberseguridad y en la formación de marcos regulatorios internacionales que respondan a los retos de la ciberseguridad en la era digital.

La Agencia ha introducido varias iniciativas como Cybershield, una solución de protección cloud, y Pentesting Automático, que permite la simulación de ataques para identificar y gestionar vulnerabilidades. Esta modernización no solo se enfoca en la infraestructura tecnológica, sino también en capacitar a las instituciones y entidades regionales para que puedan responder de manera efectiva a los desafíos cibernéticos.

El proyecto se caracteriza por su enfoque colaborativo, buscando alianzas estratégicas con otros gobiernos, el sector privado y organizaciones internacionales para reforzar la seguridad. El objetivo es claro: posicionar a Madrid no solo como un líder tecnológico, sino como un modelo a seguir en la integración de la ciberseguridad en la gestión y políticas públicas.

Líneas estratégicas de la Agencia de Ciberseguridad

El plan de ciberseguridad de la Comunidad de Madrid se estructura en torno a siete líneas estratégicas claves que guían su implementación y desarrollo:

  • Usar la tecnología con propósito
  • Entendimiento profundo del negocio
  • Establecer un modelo de gobernanza y control de ciberseguridad 
  • Garantizar el cumplimiento efectivo de la legislación aplicable
  • Fortalecer las capacidades de prevención y detección
  • Potenciar las capacidades de gestión y respuesta a ciberincidentes 
  • Fomentar el talento y cultura de ciberseguridad
  • Impulso y transformación del ecosistema de ciberseguridad de la Región 
  • Impulsar la realización de eventos y alianzas estratégicas

Servicios Clave de Ciberseguridad de la Comunidad de Madrid

  • Políticas de seguridad y ciberrriesgos: establece las condiciones para la implementación y supervisión del sistema de gestión de seguridad de la información de la Comunidad de Madrid, asegurando que todos los organismos cumplan con los estándares definidos.
  • Vigilancia digital y respuesta a incidentes: actúa rápidamente ante ciberincidentes, facilitando la comunicación y colaboración entre las entidades afectadas para una respuesta efectiva y coordinada.
  • Auditorías técnicas y de cumplimiento: realiza evaluaciones exhaustivas para asegurar que todos los organismos y entidades locales cumplan con las normativas de seguridad establecidas, garantizando la implementación efectiva de medidas de seguridad.
  • Concienciación y formación: desarrolla programas de formación y sensibilización sobre seguridad de la información dirigidos al sector público, privado y a los ciudadanos, con el objetivo de fortalecer la cultura de seguridad en toda la comunidad.
  • Colaboración interinstitucional: promueve el intercambio de experiencias y mejores prácticas en materia de ciberseguridad a nivel interinstitucional, tanto a nivel nacional como internacional, fomentando un entorno colaborativo que beneficie a toda la región.

Comité de Seguridad de la Información de la Comunidad de Madrid

El Comité de Seguridad de la Información de la Comunidad de Madrid juega un papel crítico en la estructura de la ciberseguridad regional. Su función es triple y abarca distintos aspectos de la seguridad informática desde la supervisión estratégica hasta la implementación práctica y la evaluación de las políticas de seguridad.

  • Primera línea de defensa: operativa directa. Se encarga de las operaciones diarias de seguridad, implementando medidas de protección y prevención en tiempo real. Incluye la gestión de las herramientas de seguridad, la monitorización de redes y sistemas, y la respuesta inmediata a incidentes de seguridad.
  • Segunda línea de defensa: supervisión y control. Verifica y asegura que las políticas y procedimientos de ciberseguridad se apliquen correctamente y de manera efectiva. Esto implica realizar evaluaciones de riesgo, supervisar la conformidad con las normas de seguridad y gestionar la educación y formación en ciberseguridad dentro de todas las entidades gubernamentales.
  • Tercera línea de defensa: auditoría interna. Revisa y evalúa la efectividad de las otras dos líneas de defensa. Esta revisión ayuda a garantizar que las estrategias de ciberseguridad se implementen de manera efectiva y se ajusten a las necesidades cambiantes de la seguridad informática.

 

Prensa Ibérica y Fortinet | Recuperando el control perdido en movilidad

Con Alberto Manchado Martínez | Director de Sistemas e IT | Prensa Ibérica y Jesús Varela | Sales Director | FORTINET

Prensa Ibérica en cifras

Con una red que abarca 23 diarios de información general, 2 diarios deportivos y diversas revistas especializadas en moda, estilo y viajes, Prensa Ibérica ha sabido posicionarse como un referente en el panorama nacional. Su estrategia no solo se centra en la cantidad, sino también en la calidad y la proximidad. Con publicaciones en prácticamente todas las comunidades autónomas, incluyendo regiones como Cataluña, Galicia, Madrid y las Islas Canarias, la editorial garantiza una cobertura amplia y diversa, reflejando las particularidades de cada región.

Además de su presencia en prensa escrita, Prensa Ibérica se ha sabido adaptar al entorno digital, ofreciendo plataformas en línea que complementan sus ediciones impresas, lo que permite a los lectores acceder a contenido actualizado en cualquier momento y lugar. Este enfoque multicanal no solo ha ampliado el alcance de la editorial, sino que también ha fortalecido su capacidad para mantener a los lectores informados y comprometidos, un factor crucial en tiempos donde la información es más accesible pero también más volátil.

Dimensiones

  • Dar servicio a más de 3000 empleados y colaboradores
  • Más de 100 sedes conectadas a través de la Red Corporativa
  • Más de 30000 dispositivos conectados a la Red del Grupo
  • 30 millones de usuarios únicos al mes y más de 600 millones de páginas vistas
  • Más de 1500 servidores desplegados que sostienen un porfolio de numerosos servicios

Desafíos

Prensa Ibérica enfrenta desafíos que son reflejo de la profunda transformación que vive el sector de los medios de comunicación. La evolución tecnológica y los cambios en la cultura laboral están redibujando el panorama laboral, obligando a esta editorial a repensar y adaptar sus estrategias operativas y de seguridad.

Uno de los retos más significativos es la transformación de la topología de red tradicional. Ya no es suficiente confiar en la seguridad del firewall central en la sede; la adopción de la nube ha deslocalizado la infraestructura crítica a través de varios entornos cloud, demandando un enfoque más holístico y robusto en la seguridad de los datos donde la inteligencia de negocio ya no está en el Datacenter.

Además, el perfil del empleado en Prensa Ibérica está cambiando. La creciente figura del freelance o colaborador y los contratos por proyecto exigen nuevas políticas de gestión de recursos humanos, desde el reclutamiento hasta la compensación y los beneficios, adaptándose a una fuerza laboral más flexible y móvil.

La utilización de dispositivos móviles y la política de traer tu propio dispositivo (BYOD) ha aumentado la flexibilidad y la eficiencia, pero también ha planteado riesgos de seguridad significativos. Prensa Ibérica debe enfrentar el desafío de gestionar de manera segura estos dispositivos, que acceden constantemente a información confidencial y a la red corporativa.

Las redes privadas virtuales (VPN) que antes se consideraban una solución segura para el acceso remoto, ahora enfrentan desafíos en cuanto a la administración de permisos y el control sobre los dispositivos que se conectan, lo que requiere un enfoque más matizado y controlado.

Finalmente, el uso extensivo de herramientas colaborativas ha facilitado una comunicación eficiente entre equipos distribuidos, pero también ha creado desafíos en la interoperabilidad y seguridad de la información. Prensa Ibérica debe asegurarse de que la información sensible se maneje de manera segura a través de múltiples plataformas.

Este conjunto de desafíos describe una pérdida de control tradicional en la infraestructura de IT que Prensa Ibérica está abordando con soluciones innovadoras. La adaptación continua a estas nuevas realidades no solo protege la infraestructura y los datos críticos de la empresa, sino que también asegura que pueda seguir siendo líder en el mercado mediático, fomentando un ambiente laboral que responde proactivamente a las necesidades del mercado moderno.

 

Necesidades o retos

El reto ahora es cómo recuperar ese control sin frenar la agilidad operativa que ha hecho posible la expansión digital del grupo. Fortinet, en colaboración con Prensa Ibérica, ha identificado una serie de necesidades prioritarias para hacer frente a esta nueva realidad. Entre ellas se encuentran:

  • Asignar políticas de seguridad de forma global, independientemente de la ubicación o el dispositivo del usuario.
  • Garantizar el cumplimiento normativo (compliance), clave en el manejo de datos sensibles y personales.
  • Ejercer un control de acceso a la red preciso y dinámico, en función del contexto del usuario, el tipo de dispositivo y su estado.
  • Monitorizar y supervisar constantemente la actividad de la red, para poder anticiparse a posibles amenazas.
  • Aplicar una segmentación granular de acceso a servicios y datos, evitando accesos innecesarios o riesgosos.

El enfoque actual se orienta hacia una arquitectura de red segura, flexible y distribuida, que incluye soluciones como el acceso definido por software (ZTNA), entornos multicloud y el refuerzo del control en el punto final. Es un modelo que combina conectividad total con vigilancia permanente, permitiendo que cada periodista, redactor, colaborador o técnico acceda justo a lo que necesita, desde donde lo necesita, pero bajo condiciones seguras y controladas.

Prensa Ibérica está, por tanto, inmersa en un proceso de modernización que va mucho más allá del contenido. Es una transformación estructural que busca garantizar que el periodismo del presente y del futuro pueda sostenerse sobre una base tecnológica robusta, segura y adaptable.

Resultados y aprendizajes

Tras enfrentarse a un entorno de red cada vez más descentralizado, condicionado por la movilidad de empleados, la adopción del cloud y el trabajo colaborativo, la compañía ha logrado recuperar el control sobre su infraestructura tecnológica. Los resultados y aprendizajes de este proceso son tan significativos como reveladores.

Resultados obtenidos

Recuperar el perímetro: volver a tener control real.

Uno de los mayores logros ha sido la recuperación de un perímetro de control que prácticamente había desaparecido. En un ecosistema donde los dispositivos personales se mezclan con los corporativos, y donde el acceso a los servicios se realiza desde múltiples ubicaciones y redes, restablecer un entorno seguro y gestionable se convirtió en una prioridad. Este nuevo perímetro no está vinculado a un lugar físico, sino a una lógica de control contextual: quién accede, desde qué dispositivo, en qué condiciones y a qué recursos. De este modo, se garantiza un control de acceso a la red verdaderamente independiente del dispositivo utilizado.

Controles inteligentes: detección y respuesta en tiempo real

Prensa Ibérica ha apostado por un sistema de seguridad capaz de detectar anomalías en tiempo real y de integrarse fácilmente con soluciones de análisis y respuesta (como el SIEM). Esto ha permitido un cambio de paradigma: de una protección reactiva a una estrategia preventiva y predictiva, donde la supervisión es constante y los riesgos se mitigan antes de que escalen.

Neutralidad tecnológica y agnosticismo de red

Desde el punto de vista metodológico, la organización ha optado por un enfoque agnóstico, desvinculandose de fabricantes concretos o de operadores específicos. Esto le ha permitido desplegar soluciones en función de las necesidades reales, adaptándose a distintos entornos telco y ubicaciones sin verse limitada por una única arquitectura. En este proceso también se ha tomado la decisión estratégica de retirar progresivamente el uso de VPNs, consideradas una solución limitada para el contexto actual.

Lecciones aprendidas: regulación, organización y realismo

Este proceso ha traído consigo importantes aprendizajes que ahora forman parte del know-how operativo del grupo:

  • Regulación y organización: tener una base sólida de cumplimiento normativo (compliance) es esencial, especialmente en lo relativo a la gestión de perfiles de empleados, políticas BYOD y protección de datos personales según el GDPR.
  • Identificación clara de servicios: contar con un catálogo de servicios internos bien definido permite aplicar políticas de manera más efectiva, diferenciando niveles de acceso y asegurando que cada recurso esté correctamente protegido.
  • Elección del proveedor adecuado: en un entorno que exige rendimiento y adaptabilidad, seleccionar partners que ofrezcan flexibilidad arquitectónica y cercanía técnica ha sido clave para superar obstáculos en momentos críticos.
  • Pruebas en entornos reales: una de las lecciones más valiosas ha sido la necesidad de realizar pruebas directamente en producción o en contextos que imiten lo más fielmente posible la realidad. Las integraciones simuladas o de laboratorio suelen quedarse cortas frente a los desafíos reales.

 

Prosegur Alarms y AVOS | SPIP - Construyendo negocios ciber resilientes sin morir en el intento

Con Walter Santiago Doval | CISO | Prosegur Alarms y AVOS Y Javier Luzón Martín | Head of Cybersecurity Architecture Services | Cipher

En un contexto en el que la digitalización es imparable y las amenazas cibernéticas crecen en volumen, sofisticación y coste, la ciberresiliencia se ha convertido en un objetivo prioritario para organizaciones de todos los tamaños. Pero ¿cómo lograrlo sin comprometer la operativa diaria ni realizar inversiones inasumibles? Cipher, empresa del grupo Prosegur, propone una respuesta clara y estructurada a través de su modelo SPIP: una solución integral diseñada para mejorar la postura de seguridad de las tecnologías convergentes de forma eficaz, asequible y sostenible.

Con un lema tan directo como ambicioso —"making cyber resilient businesses something affordable"—, Cipher lanza un mensaje claro: la ciberseguridad no debe ser un lujo ni un proyecto inabordable. SPIP nace precisamente para democratizar la resiliencia, permitiendo a las empresas avanzar en su madurez sin depender de grandes presupuestos ni equipos internos hiper especializados.

Contexto

Uno de los pilares diferenciales del modelo SPIP es su enfoque centrado en el negocio. A diferencia de muchas metodologías que parten de la tecnología, SPIP comienza preguntando: ¿cómo genera ingresos tu empresa?. Esta sencilla pero poderosa cuestión marca el inicio del análisis de contexto, el primer eje del modelo, que busca alinear la estrategia de ciberseguridad con los procesos clave del negocio. Cipher propone una visión transversal que no se queda en los equipos o la infraestructura, sino que abarca cuatro áreas fundamentales:

  • Negocio: se analiza cómo la organización crea valor y cuáles son los procesos críticos que sostienen la actividad económica. El objetivo es comprender qué debe protegerse de forma prioritaria.
  • Operaciones: se identifican los problemas operativos actuales, los cuellos de botella y las ineficiencias que pueden afectar tanto la productividad como la seguridad.
  • Infraestructura: se revisa cómo los sistemas técnicos (redes, servidores, aplicaciones) están soportando —o entorpeciendo— el desarrollo fluido de los procesos de negocio.
  • Trabajo de campo: el equipo de Cipher acompaña a los usuarios en su día a día para detectar riesgos reales, malas prácticas o necesidades no satisfechas. Esta “inmersión” permite identificar brechas que muchas veces no aparecen en los informes, pero que son decisivas en la práctica.

Más que una auditoría clásica, el enfoque de Cipher con SPIP es una escucha activa y estratégica: poner el foco en las verdaderas prioridades del negocio para luego aplicar una protección eficaz, adaptada y sostenible. Porque solo entendiendo profundamente cómo funciona una organización es posible diseñar una defensa que no solo sea técnicamente sólida, sino también relevante y realista.

Controles técnicos

En esta fase, el objetivo es obtener una radiografía precisa del estado actual de la seguridad en las tecnologías convergentes de la organización, abarcando desde redes y dispositivos IoT hasta entornos cloud, identidades digitales y prácticas DevOps.

Este diagnóstico no es genérico ni superficial. Cipher apuesta por lo que denomina “sensorización adaptativa”: un despliegue inteligente de mecanismos de detección que permiten monitorizar de forma activa múltiples entornos, incluyendo:

  • Infraestructura de red (IT/IoT)
  • Plataformas cloud como AWS, Azure, Google Cloud o Microsoft 365
  • Sistemas de identidad (Microsoft Entra ID, Active Directory, AWS IAM)
  • Herramientas DevOps (Jenkins, Terraform, Azure DevOps)

Una vez obtenida esta visibilidad técnica, se procede a definir el estado As-Is, es decir, cómo está la infraestructura hoy, con foco en aspectoscríticos como:

  • CVE’s (Common Vulnerabilities and Exposures) detectadas
  • Desconfiguraciones y debilidades de protocolos
  • Hardening pendiente de aplicar
  • Niveles de exposición por activos o usuarios

Los hallazgos no se presentan como listas interminables de errores, sino como insights estructurados, acompañados de métricas comprensibles como un Cloud Security Posture Score o informes de cumplimiento (compliance) con estándares como NIST o CIS.



 

Finalmente, esta etapa desemboca en el diseño del estado To-Be, es decir, el escenario deseado. Aquí se aplica una lógica de priorización inteligente basada en exposición real, criticidad del negocio, inteligencia de amenazas y severidad del riesgo. El resultado es un plan de acción claro y ejecutable: el Remediation Work Package, una hoja de ruta con tareas concretas, responsables y prioridades, pensada para facilitar una mejora progresiva y medible de la postura de seguridad.

Defensa en profundidad

Una de las fortalezas del modelo SPIP de Cipher es su capacidad para no quedarse en el diagnóstico, sino transformarlo en arquitectura. El eje de Defense in Depth propone un enfoque sistemático para construir una defensa multicapa, alineada con estándares internacionales y basada en las necesidades reales de cada organización.

Partiendo del análisis previo del estado actual (As-Is), Cipher estructura todos los hallazgos dentro de marcos de referencia sólidos y reconocidos como NIST, ENS, NIS2, CNCS, ISA/IEC 62443 o las buenas prácticas de plataformas como AWS y Azure. Esto permite no solo identificar brechas, sino contextualizarlas dentro de un marco de cumplimiento y buenas prácticas comúnmente aceptado.

La visualización de esta etapa es especialmente reveladora. Consta de un inventario de capacidades, puntuaciones de madurez, niveles de exposición y visualización gráfica de la arquitectura existente. Este análisis está acompañado por un resumen de vulnerabilidades críticas y áreas prioritarias de mejora, lo que permite pasar de la percepción a la evidencia.

 

 

El siguiente paso es diseñar el escenario deseado (To-Be), donde se representa una arquitectura segura, segmentada y robusta, con roles claramente definidos, flujos de datos controlados y puntos de refuerzo tecnológico. Aquí es donde Cipher introduce su hoja de ruta estratégica: una planificación por fases con acciones específicas, responsables asignados y presupuesto estimado.

Este plan no es una lista infinita de tareas, sino una secuencia priorizada que permite avanzar de forma progresiva, minimizando impactos y maximizando resultados. La lógica es clara: no se trata de hacerlo todo a la vez, sino de hacerlo bien y con sentido.

Rutas de ataque

El último eje del modelo SPIP, Attack Paths, representa la culminación del proceso de evaluación: la identificación precisa de los caminos que un atacante podría seguir para llegar a los activos más valiosos de la organización —lo que Cipher denomina sus Crown Jewels—.

A través de técnicas avanzadas de análisis y simulación de escenarios reales, Cipher genera evidencias concretas sobre cómo una amenaza podría moverse lateralmente por la red, explotando configuraciones débiles, credenciales expuestas o accesos innecesarios. Estos ejercicios, lejos de ser puramente teóricos, se documentan con informes técnicos detallados, capturas de tráfico, árboles de decisión y flujos de ataque.

Pero el objetivo no es solo demostrar vulnerabilidades, sino mapearlas directamente con el plan de acción definido en fases anteriores. Es decir, cada brecha se conecta con una medida de remediación concreta, con impacto medible y calendario definido. Esta trazabilidad entre evidencias y soluciones es lo que convierte a SPIP en una herramienta de transformación real, no solo de auditoría.

SPIP: Key Values

  • Optimización del presupuesto: hasta un 80% de ahorro potencial, gracias a la priorización inteligente de acciones según exposición y criticidad.
  • Medidas listas para desplegar: iniciativas activables en tan solo 5 días, lo que permite empezar a mejorar desde el primer momento.
  • Diseño ágil de planes tecnológicos: la hoja de ruta completa puede estar diseñada en menos de 6 semanas, con respaldo en inteligencia y automatización.
  • Cobertura integral: Cipher propone un enfoque que cierra el círculo, combinando GRC, ciberseguridad, vigilancia digital y seguridad física bajo un mismo paraguas.

Principales Casos de Uso

  • Cumplimiento normativo y regulaciones: ENS & QNRCS, ISO/IEC 27001,NIS 2 
  • Gobierno de la seguridad: Security Director Plan, RFP Design, Budget justification
  • Áreas tecnológicas clave: Cloud & Data, SecDevOps, IoT/OT, Identity & Access

 

 

Moeve y Accenture | Zero Trust: Transformación del modelo de ciberseguridad y tecnología

Con Javier Galindo Alduán | CISO | MOVIE y Elena Matilla | Executive Account | Accenture

Presentación del caso

Contexto

Moeve ha iniciado una profunda transformación de su modelo de ciberseguridad, impulsada por la necesidad de responder a los desafíos actuales y futuros de su entorno tecnológico. El punto de partida es un ambicioso Plan de Seguridad 2024–2026, concebido no como un documento estático, sino como una hoja de ruta viva que exige personalización, acción concreta y resultados medibles.

La estrategia gira en torno al marco Zero Trust, un modelo de seguridad que se fundamenta en el principio de “no confiar en nada, verificar todo”, y que se estructura sobre cinco pilares esenciales: identidad, dispositivos, redes, aplicaciones y datos, todos ellos coordinados bajo una capa de gobernanza centralizada.

El enfoque adoptado por Moeve no se limita a soluciones técnicas: responde a tres dimensiones estratégicas —personas, procesos y tecnología—, integradas de forma transversal en toda la organización. Además, esta transformación está plenamente respaldada e impulsada por la Dirección de Sistemas de Información, garantizando su alineación con los objetivos operativos de la compañía.

Uno de los elementos clave del proyecto es la exigencia de un impacto medible, tanto en la reducción del riesgo como en la eficiencia operativa. La iniciativa no busca solo reforzar la seguridad, sino hacerlo de forma tangible, sostenible y estratégica.

Desafíos de Zero Trust

Para Moeve, implementar un modelo Zero Trust no significa simplemente adoptar nuevas herramientas tecnológicas, sino replantear toda la estrategia de seguridad desde una visión integral. Esto implica gestionar tanto las expectativas como la viabilidad real de las medidas, teniendo en cuenta tres dimensiones clave: personas, procesos y tecnología.

Entre los principales retos se encuentra la necesidad de proponer una solución integrada, capaz de traducirse en acciones concretas que reduzcan riesgos reales. Las decisiones sobre el estado futuro deben estar justificadas por su impacto en la mejora de la seguridad y la continuidad del negocio.

Algunos elementos clave de la estrategia son:

  • Cambiar de una cultura de denegación por defecto a una de autorización basada en roles y riesgo.
  • Autenticar antes de permitir el acceso, y segmentar de forma granular los derechos de usuarios, aplicaciones y cargas de trabajo.
  • Eliminar el perímetro interno tradicional, adoptando una arquitectura de seguridad distribuida.
  • Cifrar las conexiones y eliminar protocolos inseguros.
  • Garantizar que todas las aplicaciones se integren y adhieran a los controles de seguridad.
  • Permitir el consumo seguro de servicios empresariales vía Internet.
  • Supervisar el comportamiento de usuarios y dispositivos en tiempo real.

Además, se prioriza la integración de la ciberseguridad desde el diseño en arquitecturas empresariales, junto a medidas como:

  • "Permiso implícito" para la comunicación entre cargas de trabajo del mismo entorno (DEV / QA / PROD)
  • Procesos y gates de seguridad en el ciclo de vida del software.
  • Ciberseguridad por diseño en todas las arquitecturas de red empresariales

En definitiva, Moeve no ve la ciberseguridad como un departamento aislado, sino como un eje transversal que debe impregnar la cultura, la operativa y la tecnología de toda la organización.

Descripción del caso

Metodología Accenture: Implementación ZT para Moeve

La colaboración entre Moeve y Accenture para transformar el modelo de ciberseguridad se ha estructurado en una metodología rigurosa, diseñada específicamente para operativizar el enfoque Zero Trust en entornos complejos. Este enfoque se desarrolla en cuatro fases clave, con el objetivo de asegurar una implementación coherente, medible y transversal.

  • AS-IS: el punto de partida consistió en un análisis detallado de la situación actual de seguridad de Moeve. Para ello, el equipo de Accenture utilizó una lista exhaustiva de más de 700 criterios específicos de Zero Trust, evaluando la postura de seguridad en torno a los cinco pilares fundamentales: identidad, datos, dispositivos, redes y aplicaciones.
  • TO-BE: a partir del diagnóstico, se definieron los objetivos de madurez deseados en cada uno de esos cinco pilares. Este ejercicio permitió proyectar el estado ideal al que Moeve aspira llegar, marcando claramente las metas técnicas y organizativas que guiarán la transformación.
  • ROADMAP: con el objetivo claro, se trazó una hoja de ruta a tres años vista, realista y ejecutable. Este roadmap establece los pasos necesarios para alcanzar progresivamente el modelo Zero Trust, garantizando viabilidad operativa y alineación con las capacidades internas de Moeve.
  • WORKSHOPS: como parte fundamental del proceso, se organizaron talleres colaborativos para compartir, alinear y consolidar la visión Zero Trust entre todas las áreas involucradas. Esta fase permite generar compromiso interno y asegurar que la estrategia no sea únicamente tecnológica, sino también cultural.

ZT Maturity State: todo el proceso se apoya en un marco de madurez global, que permite a Moeve evaluar y medir objetivamente el progreso del plan de transformación. Esta capacidad de seguimiento continuo es esencial para garantizar que la estrategia evoluciona con coherencia y responde a los riesgos en tiempo real.

Para garantizar una implementación coherente del modelo Zero Trust, Accenture ha utilizado un marco estructurado que permite identificar con claridad las necesidades actuales de Moeve en materia de seguridad, y elaborar una hoja de ruta completa y personalizada. Este modelo se articula en torno a cinco pilares fundamentales, cada uno con sus dominios clave de actuación:

 

 

Este enfoque permite no solo evaluar el nivel de implantación de controles, sino también situar a Moeve dentro de una escala de madurez que permite monitorizar el progreso a lo largo del tiempo. Los niveles de madurez definidos por Accenture son:

  • Initial: la organización no suele proporcionar un entorno estable y los procesos se consideran impredecibles.
  • Repeatable: los requisitos se gestionan y los procesos se planifican, realizan, miden y controlan.
  • Defined: los procesos están bien caracterizados y descritos en normas, procedimientos, etc.
  • Q. Managed: se incorporan medidas de calidad y rendimiento para apoyar la toma de decisiones
  • Optimized: se centra en la mejora continua del rendimiento de los procesos a través de mejoras tecnológicas innovadoras.

Metodología Accenture: Puntuación de la evaluación de madurez futura

El despliegue de Zero Trust en Moeve no es un proyecto puntual, sino un programa estratégico y plurianual que abarca personas, procesos y tecnología. Su objetivo no es solo implementar controles de seguridad, sino transformar la cultura y la postura digital de toda la organización, desde una madurez inicial hasta un modelo optimizado.

El enfoque de Accenture se traduce en una hoja de ruta por fases, que permite avanzar paso a paso en función del nivel de madurez actual y de las capacidades internas de Moeve:

  • Nivel de madurez inicial: es el punto de partida desde el cual se establece dónde está realmente la organización y cuáles son sus principales carencias.
  • Fase 1 – Año 1: se ejecutan las primeras iniciativas que permiten estabilizar la seguridad en los aspectos más críticos. Es una etapa orientada a ganar tracción rápida y mostrar resultados iniciales.
  • Fase 2 – Año 2: se abordan las iniciativas intermedias, más complejas o de carácter estructural. Aquí se empieza a consolidar la visión global del modelo Zero Trust.
  • Fase 3 – Año 3: la última etapa está diseñada para implementar las iniciativas finales que completan la arquitectura de seguridad y aseguran que Moeve pueda sostener el cambio a largo plazo.

Resumen de la hoja de ruta

 

Lecciones aprendidas

El despliegue del enfoque Zero Trust en Moeve no solo ha sido una transformación técnica, sino también un proceso organizativo que ha dejado importantes aprendizajes para el futuro. Estas lecciones no solo consolidan lo avanzado, sino que se convierten en principios rectores para la mejora continua del modelo.

  • Visión 360°: uno de los elementos clave fue contar con un socio con experiencia probada en todos los ámbitos del modelo Zero Trust —identidad, datos, redes, dispositivos y aplicaciones—. La amplitud de visión resultó fundamental para diseñar una estrategia integral y coherente.
  • Equipo especializado: el éxito del proyecto también se apoyó en la participación de un equipo con competencias específicas en cada uno de los cinco pilares. Profesionales con capacidad de diagnóstico, planificación y diseño, capaces de traducir la teoría Zero Trust en acciones concretas adaptadas al contexto de Moeve.
  • Gestión del cambio: implementar un nuevo modelo de ciberseguridad exige mucho más que tecnología: requiere involucrar a todas las áreas implicadas, facilitar la comunicación y romper silos. La gestión del cambio fue decisiva para generar alineación interna y compromiso organizativo.
  • Personalización del plan: cada organización es única, y Moeve no fue la excepción. Uno de los aciertos del proyecto fue customizar el plan de transformación en función de las necesidades reales, actuales y futuras de la compañía, evitando soluciones genéricas.
  • Alta implicación de los equipos técnicos: la implicación de los equipos internos de Moeve fue determinante para el buen desarrollo del proyecto. Su conocimiento del entorno y su compromiso con la ejecución garantizaron una adopción efectiva y ágil.

Mide. Ejecuta. Mejora. Repite.


 

ABANCA | Caso Ganador Premios CIONET 2024 - Categoría Cybersecurity, Risk Management & Business Continuity

Con Francisco Martínez Ansia | Manager de Banca Móvil | Abanca

El aumento de llamadas fraudulentas, mensajes manipulados y accesos no autorizados ha provocado un contexto de alarma generalizada. Y no es para menos: estamos ante una verdadera epidemia digital, impulsada por una combinación cada vez más sofisticada de técnicas como Phishing, Smishing, Vishing, Malware, Spoofing e Ingeniería social.

Estos vectores de ataque no actúan de forma aislada, sino que se entrelazan para explotar una de las principales debilidades del ecosistema actual: la autenticación basada en SMS y llamadas telefónicas, todavía muy extendida como método de verificación en múltiples servicios financieros. A lo largo de los últimos años, instituciones como ABANCA han lanzado diferentes iniciativas para mitigar el impacto del fraude digital:

  • Medidas internas para reforzar los controles y procedimientos de validación.
  • Colaboraciones internacionales, como procedimientos anti SIM swapping o el registro de protección de SMS impulsado por el Mobile Ecosystem Forum (MEF), que ayuda a bloquear el spoofing mediante el uso de listas protegidas de remitentes legítimos.

A pesar de estos avances, el problema persiste. ¿Por qué? Porque los sistemas actuales siguen confiando en mecanismos inseguros, basados en tecnologías obsoletas, y delegan parte de la seguridad al usuario final.mFrente a este contexto, surge un movimiento global que agrupa a las grandes empresas tecnológicas, financieras y de telecomunicaciones: la FIDO Alliance.

Organizaciones como Google, Apple, Microsoft, Amazon, Meta, TikTok, PayPal, VISA, Cisco o Samsung —junto a bancos, operadores y proveedores de identidad digital— han unido fuerzas en una alianza que tiene un objetivo claro: eliminar las contraseñas como punto débil del sistema, e impulsar un estándar de autenticación más seguro, más rápido y resistente al phishing. Este es el entorno en el que ABANCA lanza su iniciativa “Llave ABANCA”, una apuesta firme por sumarse a la vanguardia internacional de la autenticación moderna.

¿Qué es Llave ABANCA?

Llave ABANCA es la nueva solución de verificación de identidad lanzada por la entidad gallega, diseñada bajo el estándar internacional de autenticación FIDO. Se trata de un servicio que elimina las contraseñas tradicionales, ofreciendo una alternativa mucho más segura, basada en la autenticación biométrica y el control total por parte del cliente.

Tras años de trabajo conjunto con los principales actores tecnológicos del mundo, ABANCA presenta esta propuesta con un objetivo claro: cerrar la puerta al robo de identidad y al fraude digital. Las principales características de Llave ABANCA son:

  • Autenticación sin contraseñas (passwordless): Llave ABANCA permite al usuario identificarse utilizando únicamente los sistemas de desbloqueo de su propio dispositivo móvil: huella dactilar, reconocimiento facial o PIN. La experiencia es fluida, rápida y segura. Esta solución puede funcionar como método de acceso principal o como segundo factor (MFA) para reforzar aún más la seguridad.
  • Diseñada para el usuario, no solo para el sistema: uno de los grandes avances es que, por primera vez, la seguridad no va reñida con la experiencia de usuario. Llave ABANCA ha sido diseñada desde el principio poniendo al cliente en el centro, garantizando facilidad de uso sin comprometer la protección.
  • Claves imposibles de reutilizar o interceptar: a diferencia de las contraseñas tradicionales, las claves generadas por este sistema no se pueden adivinar, robar ni volver a utilizar. Están vinculadas al dispositivo concreto del cliente, y protegidas por hardware, lo que las hace extremadamente resistentes al phishing y otras técnicas de suplantación.
  • Privacidad garantizada: los datos biométricos no salen del dispositivo. Uno de los aspectos más innovadores y tranquilizadores de Llave ABANCA es que los datos biométricos nunca se comparten con ABANCA ni con ningún tercero. Toda la verificación ocurre dentro del propio dispositivo del usuario, protegiendo así al máximo su privacidad.

Roadmap de Llave ABANCA

El lanzamiento de Llave ABANCA no ha sido fruto de la improvisación, sino el resultado de una estrategia cuidadosamente planificada en cuatro fases clave. Desde agosto de 2023 hasta mayo de 2024, el equipo del banco ha transitado por las etapas de desarrollo, pruebas y despliegue general con una visión clara: proteger al cliente sin fricciones.


  • +500.000 usuarios ya utilizan Llave ABANCA: una cifra que consolida esta solución como una de las implementaciones FIDO más exitosas del país.
  • +430.000 usuarios con protección avanzada (86%): la mayoría de los usuarios han adoptado además el nivel más robusto de seguridad, aprovechando las capacidades biométricas del sistema.
  • 21,4 usos por usuario: la recurrencia en el uso es un claro indicador de confianza y comodidad. Los clientes no solo adoptan Llave ABANCA, sino que lo integran en su día a día.
  • Más de 8,4 millones de operaciones protegidas sin fallos técnicos: desde su activación, el sistema ha funcionado con pleno rendimiento y sin incidentes relevantes, consolidando una experiencia digital segura y estable.
  • Puntuación CES de 4,7: el índice de Customer Effort Score —que mide la facilidad de uso desde la perspectiva del cliente— confirma que esta tecnología reduce la fricción sin comprometer la seguridad.

Arquitectura Llave ABANCA

Detrás de la sencillez de uso de Llave ABANCA hay una arquitectura robusta, moderna y alineada con los más altos estándares de la industria. Todo el sistema ha sido desarrollado de forma nativa e interna por los equipos tecnológicos de ABANCA, convirtiendo esta solución en un activo estratégico core dentro de la entidad.

Llave ABANCA está disponible para sistemas iOS y Android, garantizando una experiencia uniforme desde el dispositivo del cliente hasta el backend del banco. El proceso de autenticación se basa en el estándar WebAuth, que permite vincular de forma segura el dispositivo del cliente con su identidad digital mediante claves criptográficas únicas y biometría. Estas claves se almacenan localmente en el terminal, nunca en servidores.

La arquitectura conecta directamente con los sistemas core del banco y sus herramientas antifraude, permitiendo validaciones en tiempo real y una rápida detección de comportamientos anómalos.

  • Alineada con los estándares de mercado
  • Tolerante a fallos
  • Baja latencia y alta disponibilidad
  • Totalmente Cloud Ready, lo que garantiza resiliencia y escalabilidad

Roadmap hacia la autenticación sin claves

 

Problemas pendientes de resolver

Aunque Llave ABANCA supone un gran avance en términos de usabilidad y seguridad digital, existen todavía ciertos retos que deben abordarse para garantizar una adopción universal, regulada y plenamente eficaz.

  • Uno de los principales desafíos técnicos es la fragmentación de Android, que dificulta la implementación homogénea del estándar Passkeys. La diversidad de versiones del sistema operativo, capas de personalización de los fabricantes y diferencias en el soporte de hardware generan comportamientos inconsistentes, afectando la experiencia del usuario y la interoperabilidad con otros sistemas.
  • Compatibilidad con el RGPD. Aunque las claves FIDO ofrecen altos niveles de privacidad, todavía queda por validar plenamente su alineación con los requisitos del RGPD, especialmente en lo que respecta a la trazabilidad de consentimientos, el derecho al olvido y la portabilidad de datos. El uso de biometría almacenada localmente plantea preguntas sobre jurisdicción y responsabilidad.
  • Alineación con las normativas financieras (PSD2 y PSD3). Una de las claves del futuro será determinar si estas claves de acceso cumplen plenamente con los requisitos técnicos y jurídicos de la Directiva de Servicios de Pago 2 (PSD2) y su futura evolución, PSD3. La doble autenticación (SCA) es obligatoria en operaciones sensibles y aunque FIDO es técnicamente compatible, se requiere mayor claridad sobre su validación oficial por parte de los reguladores.

 

 

 

 

 
View full post