La concentración del riesgo en ecosistemas tecnológicos centralizados en un panorama de amenazas en deterioro será uno de los principales riesgos para las organizaciones en 2025. La interrupción de CrowdStrike en 2024 resultó en una pérdida estimada de USD 5.2 mil millones. Ese fue un error de un actor benigno. Un ataque deliberado y malicioso en 2025 podría ser catastrófico.
Concentrar servicios y capacidades entre unos pocos proveedores importantes aumenta la amenaza de riesgos sistémicos y disrupciones globales. La proliferación de dispositivos conectados y autónomos en infraestructuras críticas y productos de consumo creará nuevas vulnerabilidades para ciberataques disruptivos. El modelo tradicional de control operativo está quedando rápidamente obsoleto, reemplazado por una necesidad urgente de adaptabilidad, innovación y resiliencia frente a una disrupción implacable.
El riesgo de concentración digital en 2025 tiene tres factores principales:
Actores estatales amenazantes envalentonados. Alentados por las crecientes confrontaciones en Europa y el Medio Oriente, los actores estatales están abandonando las normas de comportamiento anteriores en el espacio digital. A medida que se cruzan más líneas rojas en 2025, los actores estatales continuarán desplegando operaciones cibernéticas sistémicamente disruptivas contra infraestructuras críticas y proveedores de tecnología centralizados para obtener ventaja militar, política y económica sobre sus adversarios.
2025 marcará el año en que los actores estatales prescindan del uso de grupos proxy no atribuibles para operaciones en el espacio digital, aumentando aún más la probabilidad de escaladas de represalia en el dominio digital.
Objetivos críticos vulnerables. Los componentes críticos de nuestros ecosistemas digitales son el objetivo natural. Los servicios en la nube concentrados proporcionarán los mayores rendimientos para actores amenazantes envalentonados y propensos al riesgo en el dominio digital. La explotación de pilas tecnológicas vulnerables a través de compromisos en la cadena de suministro y envenenamiento de actualizaciones eludirá la mayoría de las defensas. La continua adopción de tecnologías emergentes, incluidas la IA y la robótica industrial, exacerbará los riesgos de concentración en 2025. La paradoja de la democratización tecnológica con costos de implementación más bajos pero una mayor concentración de fabricación, diseño y despliegue en manos de unos pocos proveedores globales está intensificando fundamentalmente los riesgos asociados con la concentración digital. Los diseñadores y propietarios de estos ecosistemas concentrados, a su vez, tienen pocos incentivos para la compatibilidad cruzada con sus rivales. Sin compatibilidad cruzada de ecosistemas, infraestructuras y aplicaciones, la resiliencia se convierte en un ejercicio costoso de duplicación. Esto es prohibitivo para la mayoría de las organizaciones, creando un conjunto de condiciones sin precedentes para riesgos digitales disruptivos a nivel global en 2025.
Respuestas gubernamentales ineficaces. La mayoría de los gobiernos han reconocido los riesgos sistémicos que los ecosistemas digitales concentrados representan para sus sociedades, pero no han respondido de manera efectiva. Reglamentos como el NIS2 y DORA de la UE traen obligaciones tangibles para que las empresas gestionen su propia resiliencia digital, así como la de sus proveedores. EE.UU. ya ha emitido pautas similares, y China ha buscado activamente preservar la seguridad de las tecnologías digitales críticas durante años.
Desafortunadamente, estos esfuerzos han demostrado ser ineficaces para reducir la exposición de la mayoría de las empresas a riesgos de concentración disruptivos. Peor aún, han impedido la capacidad de algunas para construir resiliencia mediante la diversificación de proveedores y, sin querer, han fomentado la concentración del desarrollo de tecnologías críticas en manos de unos pocos jugadores a nivel mundial. Aunque algunos reguladores están solicitando la posible disolución de estos jugadores, la probabilidad de esto es extremadamente pequeña.
Lo que significa para los negocios
La concentración de los ecosistemas digitales ha obligado a las empresas a renunciar al control sobre sus activos más críticos. Pocas tendrán la capacidad de proteger sus propias redes; aún menos podrán gestionar sus dependencias tecnológicas críticas. Los actores amenazantes ya no están restringidos por normas tácitas anteriores en el espacio digital. Las empresas deberán prepararse para fallos globales del sistema. La agilidad y la resiliencia definirán a quienes gestionen su impacto, frente a aquellos que sufran continuas interrupciones operativas en los años venideros.
