Vodafone Lab Café: ¿Está tu empresa altamente ciberprotegida? Claves de la Ciberseguridad Nacional
El pasado 9 de octubre de 2025 se celebró la primera edición del Vodafone Lab Café, un nuevo espacio de conocimiento y divulgación de Vodafone Business. El evento abordó el desafío global de la ciberseguridad bajo el título “¿Está tu empresa altamente ciberprotegida?” y contó con la participación de importantes especialistas en ciberseguridad. Si no lo viste en directo, aquí te contamos lo más destacado.
Conducido por Carlos Becker (Director de Marketing y Desarrollo de Negocio en Vodafone Business), el encuentro reunió a voces clave de la ciberseguridad pública y privada de España, generando una conversación intensa —de ahí el concepto de Lab Café que, como explicó Becker, trata de despertar el interés, no solo divulgar e informar— y derivó en una demostración práctica sobre las amenazas digitales que acechan a empresas y administraciones.
En ese paso de la teoría a la práctica, pudimos asistir a una demostración forense móvil en vivo por parte de Iván Portillo (especialista en Ciberseguridad de Vodafone Business), que enseñó cómo herramientas proactivas pueden detectar spyware avanzado como Pegasus en dispositivos de alta dirección, subrayando la urgencia de la prevención. Tanto el debate como la demostración la puedes volver a ver en este vídeo, pero mientras, te invitamos a leer las principales conclusiones.
Nunca confiar, siempre comprobar
A lo largo de la sesión, los especialistas fueron repasando un conjunto de temas interconectados que definen el panorama de amenazas actual y - futuro, siempre con la premisa de que el mayor error es quedarse esperando a que suceda algo. La mejor estrategia es la de Zero Trust, o “confianza cero”, tratando de adelantarse al incidente para, si no es posible evitarlo, reducir su impacto.
En este sentido, los especialistas explicaron el cambio de paradigma de reactivo a proactivo. Se analizó la necesidad de abandonar los sistemas de defensa clásicos (reactivos) para implementar modelos proactivos y adaptativos, debido a la rapidez con la que se producen los ataques actuales. Como destacó el coronel José Fco. García Gil (CESTIG, Ministerio de Defensa): “Hay que buscar esa proactividad en la defensa y no esa reactividad a la que estábamos acostumbrados antes de la aparición de todas estas tecnologías emergentes.”
Entre los riesgos más inmediatos, todos destacaron la amenaza a la cadena de suministro, especialmente en las pymes, como el eslabón más débil y el principal vector de entrada para los ataques dirigidos, con ejemplos de incidentes recientes en grandes corporaciones. Es importante dejar clara esta necesidad a la hora de preguntarse por las inversiones necesarias en ciberseguridad ya que hablamos del futuro de un negocio. Como quiso dejar claro Roberto Lara (Director de Ciberseguridad en Vodafone Business), “ya no estamos hablando del ROI, del retorno de la inversión por invertir en ciberseguridad. Yo creo que las empresas ya creen en la continuidad del negocio y que la ciberseguridad es continuidad del negocio.”
Como no podía ser menos por su indudable actualidad, otro de los temas abordados fue el impacto de la inteligencia artificial (IA) y cómo se utiliza en la nueva guerra híbrida, que fusiona los entornos físico y digital. Se debatió sobre el uso de la IA por parte de los atacantes (fraude del CEO, deepfakes) y de los defensores, y se llegó a la conclusión de que la única forma de combatir la IA maliciosa es mediante una IA defensiva. En palabras del coronel José Fco. García Gil: “O ponemos una inteligencia artificial delante o seremos literalmente barridos y desbordados.”
Otra de las cuestiones que se pusieron sobre la mesa fue el impacto de NIS 2 y la regulación, como un factor que obligará a las empresas a madurar sus procesos. Se destacó que la ciberseguridad debe abordarse por diseño y por defecto, y no como una imposición. Para Patricia Alonso (INCIBE), es necesario contar con “ese plan de acción, pero que no sea un papel que tengamos en el armario, sino que también esté entrenado.”
Formarse desde el miedo a lo desconocido
En el momento de sacar conclusiones y proponer estrategias y hojas de ruta, quedó patente la importancia de tres factores combinados: formación, acción y miedo. Es decir, se abordó la concienciación argumentando que el miedo a lo desconocido debe transformarse en conocimiento de los riesgos y planes de acción concretos y entrenados para - aumentar la resiliencia. Patricia Alonso lo explicaba así: “Siempre tienes miedo a lo que no conoces. Lo ideal es conocer los riesgos, cuál puede ser la probabilidad de que te ocurra ese riesgo y cuál sería su impacto en tu organización.”
En cuanto a la formación, la sensación común de todos los invitados fue que la escasez de talento convierte la formación y retención de especialistas en ciberseguridad en un reto nacional crítico, dado que el sector privado y las empresas extranjeras compiten agresivamente por los profesionales. El coronel José Fco. García Gil hizo una comparación muy gráfica referida a su ámbito de la Defensa: “Tardamos más en formar a un especialista en ciberseguridad que a un piloto de Airbus”. En este sentido, se pusieron en valor los servicios externos de ciberseguridad con los que puede contar una empresa u organización más allá de su estructura interna, como es el caso del nuevo CREC (Centro de Resiliencia y Excelencia en Ciberseguridad de Vodafone Business), que, según Roberto Lara, “trata de democratizar la ciberseguridad para que llegue a todos los segmentos, a la empresa más pequeña, al ciudadano, a las administraciones públicas.”
Como conclusiones generales del encuentro, podríamos destacar que, si bien los expertos coincidieron en que España está en el camino correcto, subrayaron también que aún queda mucho por hacer, especialmente en lo que respecta a la protección de las pymes y a la formación y retención del talento especializado. También quedó claro que la ciberseguridad es, hoy, una inversión continua que equilibra tecnología, personas y procesos. Y que juntos siempre es más fácil estar protegidos, por lo que la colaboración entre ciudadanos, empresas y administraciones públicas es vital para hacer frente a una amenaza que es real y global.
La nueva normativa sobre llamadas comerciales introduce un cambio relevante para las empresas que utilizan el teléfono como canal de captación, venta o prospección. A partir del periodo de adaptación previsto, estas comunicaciones deberán identificarse con el prefijo 400, un rango específico que permitirá diferenciarlas de otras llamadas, como las de atención al cliente o servicio posventa. Para las pymes, esto implica revisar centralitas, sistemas VoIP, marcadores automáticos y flujos comerciales para garantizar una transición ordenada.
La conectividad se ha convertido en un activo crítico para la continuidad operativa, la seguridad y la competitividad de las empresas. Cada vez más procesos dependen del acceso a información en tiempo real, tanto para la toma de decisiones como para la comunicación entre equipos, sedes, sistemas y dispositivos IoT.
Durante años, la conexión satelital estuvo asociada a entornos muy aislados, velocidades limitadas y costes elevados. Era una opción excepcional, reservada para casos donde no existía ninguna alternativa terrestre viable. Sin embargo, la evolución tecnológica de los últimos años está cambiando esta percepción.
La aparición de constelaciones de satélites en órbita baja (LEO), junto con los acuerdos entre operadores móviles globales y proveedores espaciales, ha ampliado el papel del satélite dentro de las arquitecturas corporativas. Hoy ya no se plantea únicamente como una solución de último recurso, sino como una capa complementaria para organizaciones que necesitan movilidad, resiliencia y cobertura más allá de los límites de las redes terrestres.
La cuestión clave para cualquier director de IT, CTO o responsable financiero ya no es si el satélite es mejor o peor que la fibra óptica o el 5G, sino en qué escenarios aporta un verdadero retorno operativo y estratégico.
La digitalización de procesos, sedes, aplicaciones y modelos de trabajo está cambiando la forma en que las organizaciones consumen tecnología. Del mismo modo que muchas empresas han pasado de comprar software a contratarlo como servicio, la conectividad corporativa también está evolucionando hacia modelos más flexibles, escalables y adaptados a las necesidades reales del negocio.
Aquí es donde surge NaaS, o Network as a Service, un modelo que permite consumir servicios de red bajo demanda, mediante suscripción y con una estructura de costes más previsible. La red deja de entenderse como una infraestructura rígida basada en grandes inversiones iniciales para convertirse en un servicio capaz de crecer, adaptarse y gestionarse de forma más ágil.
La auditoría de ciberseguridad se ha convertido en una herramienta clave para que las pequeñas y medianas empresas refuercen la protección de sus sistemas y tengan una visión más completa de su entorno digital. Los ciberataques ya no solo afectan a las grandes corporaciones, las pymes necesitan identificar con precisión sus puntos débiles antes de que puedan ser aprovechados por un atacante.
Lejos de ser un examen punitivo, la auditoría funciona como un chequeo preventivo que permite detectar vulnerabilidades, optimizar la seguridad de la infraestructura tecnológica y reforzar la resiliencia digital de la empresa.
Además, el aumento del ransomware dirigido específicamente a pequeñas empresas ha convertido este tipo de evaluaciones en una medida estratégica para minimizar interrupciones, proteger la información crítica y garantizar la continuidad del negocio.
Las pymes gestionan cada vez más información y servicios conectados, contar con una evaluación periódica facilita la detección de áreas de mejora, el fortalecimiento de la resiliencia digital y el avance hacia un entorno tecnológico más seguro. Además, ayuda a garantizar la continuidad operativa y a reforzar la confianza en todos los procesos de la empresa.
A medida que la ciberseguridad gana protagonismo en las estrategias corporativas, las empresas se vuelven más exigentes con sus proveedores especializados en ciberseguridad.
Este aumento de la exigencia ha evidenciado una relación más compleja de lo previsto. Un estudio para Sophos de la firma de investigación Vanson Bourne revela una desconexión profunda entre la confianza que las organizaciones depositan en sus proveedores y el valor real que perciben de esa relación.
De hecho, solo el 5% de los responsables de TI afirma confiar plenamente en sus proveedores de ciberseguridad, una cifra que confirma hasta qué punto la relación cliente-proveedor se ha tensionado por la falta de transparencia, resultados verificables y acompañamiento estratégico.
La digitalización está transformando de forma radical la gestión de los recursos humanos. Tradicionalmente, los departamentos de RR.HH. han funcionado con criterios intuitivos, procesos manuales y decisiones basadas en la experiencia acumulada. Sin embargo, en los últimos años ha surgido el People Analytics, un enfoque que aplica el análisis de datos a la gestión del talento y que se está consolidando como puente entre la ciencia de datos y la gestión de capital humano. Su gran ventaja es que va más allá de la acumulación pasiva de registros, ya que emplea modelos estadísticos y algoritmos de inteligencia artificial para mejorar la toma de decisiones.
La carrera de las empresas por aprovechar las ventajas de la Inteligencia Artificial choca frontalmente con un problema estructural que muchas organizaciones todavía no han resuelto: la IA no corrige el desorden empresarial, sino que lo amplifica.
El uso de IA sin haber resuelto previamente ese desorden ha generado una paradoja cada vez más frecuente con compañías que quieren implementar modelos predictivos, automatización avanzada o asistentes inteligentes mientras su información crítica continúa fragmentada en hojas de Excel locales, bases de datos desconectadas y departamentos que operan como compartimentos estancos.
La situación es especialmente habitual en organizaciones que han crecido de forma acelerada o que han digitalizado procesos de manera parcial y descoordinada. El departamento financiero maneja sus propios indicadores, operaciones trabaja sobre otros datos y ventas utiliza versiones distintas con la información comercial. El resultado es un ecosistema donde la información no fluye, sino que se duplica o triplica, y en muchos casos, pierde fiabilidad y genera más ruido del que pretende eliminar.
Es aquí cuando emerge un concepto fundamental denominado AI Ready. Una empresa AI Ready no es simplemente aquella que utiliza herramientas de Inteligencia Artificial, sino la que ha alcanzado un nivel de madurez técnica y organizativa que permite que cualquier algoritmo opere sobre datos fiables, consistentes y gobernados.
La digitalización de la economía ha convertido el dato en el activo más valioso de cualquier organización. Lo que antes era un recurso complementario se ha transformado en un elemento estratégico para competir, innovar y tomar decisiones de negocio. Lo mismo sea Big Data cuantitativo que microdata cualitativo, este cambio de paradigma redefine la definición de modelos de negocio y el concepto de competitividad empresarial. Partiendo del dato generado, quien mejor lo controla, explota y protege su información camina un paso por delante.
Pero ese uso generalizado del dato da lugar a nuevos marcos regulatorios como la Data Act o Reglamento (UE) 2023/2854, que introduce una obligación clara para mayo de 2026. En ese momento, las empresas deberán garantizar el control total sobre sus datos. Esto implica no solo acceso, sino también capacidad real de uso, transferencia y gobernanza. La llamada ley de datos marca así un punto de inflexión en la soberanía de datos, trasladando el poder desde los proveedores tecnológicos hacia las organizaciones usuarias. Si pensabas que en cuestión de datos protegidos bastaba con las directrices RGPD, ahora el escenario regulatorio es mucho más amplio y exigente.
La digitalización de las pymes en España vive una realidad contradictoria. La mayoría de las empresas cree haber avanzado lo suficiente, sin embargo, los datos muestran una realidad muy distinta: muchas han incorporado herramientas digitales, aunque todavía no han transformado sus procesos de negocio.
El Barómetro de Digitalización de la pyme española 2026 confirma esta brecha: el 79% de las pequeñas y medianas empresas considera que tiene un nivel medio o alto de digitalización, pero solo el 9% ha logrado una adopción sólida de tecnologías clave como cloud, inteligencia artificial y ciberseguridad. Esta diferencia de 70 puntos revela que miles de empresas están tomando decisiones estratégicas basadas en una percepción equivocada de su madurez digital.
El 5G Network Slicing emerge como una de las capacidades más estratégicas del ecosistema 5G, especialmente para sectores donde la disponibilidad, la latencia y la continuidad operativa son factores de negocio irrenunciables. La conectividad ha dejado de ser únicamente un canal de comunicación para convertirse en un componente crítico de la continuidad operativa.
La evolución de las redes móviles hacia entornos completamente virtualizados está transformando la manera en que las empresas diseñan, protegen y garantizan sus operaciones críticas. A diferencia de generaciones anteriores, el 5G no solo incrementa la velocidad de transmisión, sino que su verdadero salto evolutivo reside en la posibilidad de crear redes virtuales independientes sobre una misma infraestructura física, cada una optimizada para un caso de uso concreto y respaldada por acuerdos de nivel de servicio (SLA) específicos.
El trabajo diario en cualquier empresa ya no se limita al espacio físico de la oficina. Desde hace años, el smartphone se ha convertido en una extensión de la actividad empresarial. A través de él, se accede a las cuentas bancarias de la empresa, se gestionan las bases de datos de los clientes, se coordinan pedidos o se firman documentos.
Sin embargo, el móvil es el dispositivo que más se descuida en lo que a seguridad se refiere. La realidad es que, mientras las empresas refuerzan la seguridad de sus servidores, endpoints o redes corporativas, el smartphone sigue sin considerarse un dispositivo vulnerable.
Esto supone un riesgo directo para la seguridad y continuidad del negocio, ya que puede comprometer el acceso a datos, sistemas y herramientas esenciales para la actividad diaria de la empresa.
Mejorar la eficiencia energética y reducir el consumo de energía es un factor clave para incrementar la competitividad de las pymes. Más que una cuestión de ahorro, el gasto energético se ha convertido en una palanca estratégica que afecta directamente a la rentabilidad y la sostenibilidad del negocio. En este contexto, el Internet de las Cosas (IoT) se presenta como un aliado inmediato, accesible y efectivo capaz de transformar la forma en que las empresas gestionan su consumo energético.
La entrada en vigor de la AI Act a partir del 2 de agosto de 2026 marca un antes y un después en la forma en que las empresas desarrollan y utilizan sistemas de Inteligencia Artificial. Aunque la normativa comenzó su despliegue en 2024, será este año cuando la mayoría de sus obligaciones sean plenamente exigibles. Adaptarse a la AI Act, la ley de IA europea, es ya una prioridad para cualquier organización que quiera operar con garantías.
Como suele ocurrir con cada nueva normativa, existen dudas y cuestiones a desarrollar que muchos necesitan aclarar para ponerse manos a la obra en su aplicación. En este escenario, adoptar un enfoque de IA ética será clave para cumplir con la regulación y generar confianza.
