El año 2025 ha puesto de manifiesto que una evaluación inadecuada del riesgo constituye, en sí misma, un riesgo significativo.
La gestión del riesgo empresarial y tecnológico ha experimentado una transformación profunda respecto a modelos utilizados hace apenas cinco años. La generalización de la automatización, el uso extensivo de inteligencia artificial (tanto por actores legítimos como maliciosos) y el incremento de las exigencias regulatorias en el ámbito europeo han obligado a replantear los criterios tradicionales de medición del riesgo.
En este contexto, persiste una dificultad relevante: numerosas organizaciones continúan midiendo aquellos aspectos que resultan más sencillos de cuantificar, en lugar de aquellos que reflejan con mayor fidelidad la exposición real al riesgo. Esta aproximación resulta cada vez menos adecuada para entornos dinámicos y altamente interconectados.
De cara a 2026, las funciones de ciberseguridad con mayor grado de madurez deberán incorporar métricas que permitan comprender el riesgo de forma continua, objetiva y basada en evidencias, superando enfoques excesivamente estáticos o cualitativos.
A continuación, se describen siete métricas clave que permiten avanzar hacia una gestión del riesgo más alineada con la realidad operativa actual.
1. Tiempo de materialización del riesgo (Time-to-Exploit)
Una de las métricas más relevantes y, a menudo, menos consideradas.
Durante 2025, el intervalo entre la divulgación de una vulnerabilidad y su explotación efectiva se ha reducido de forma significativa:
- De plazos cercanos a los 90 días a rangos medios de 48–72 horas.
- En escenarios de explotación automatizada, incluso por debajo de las 6 horas.
Relevancia: el tiempo disponible para actuar condiciona la prioridad real de mitigación. La ausencia de esta métrica dificulta la toma de decisiones oportunas.
2. Riesgo residual dinámico
El uso de modelos de riesgo residual revisados de forma anual resulta insuficiente en el contexto actual.
El riesgo residual debería recalcularse de forma automática ante cambios relevantes, tales como:
- la aparición de nuevas amenazas,
- modificaciones en la exposición de activos,
- la incorporación o degradación de controles,
- la detección de explotación activa.
La evolución hacia modelos de riesgo dinámicos constituye una tendencia clave para 2026.
3. Cobertura real de telemetría (Detection Coverage Rate)
La disponibilidad de herramientas como SIEM o EDR no garantiza, por sí misma, una visibilidad efectiva.
La métrica relevante es el porcentaje de activos críticos que generan señales suficientes para permitir una detección temprana.
En análisis posteriores a incidentes, esta cobertura suele situarse en rangos inferiores a lo esperado.
Sin visibilidad adecuada, la capacidad de detección y respuesta se ve seriamente limitada.
4. Eficacia real de los controles (Control Effectiveness Score)
La existencia formal de un control no implica necesariamente su funcionamiento efectivo.
Ejemplos habituales observados durante 2025 incluyen:
- autenticación multifactor desplegada de forma parcial,
- procesos de parcheo incompletos en sistemas críticos,
- copias de seguridad no verificadas periódicamente.
La medición basada en evidencias objetivas de la eficacia de los controles resulta esencial.
5. Deuda de riesgo (Risk Debt)
El aplazamiento de acciones de mitigación genera una acumulación progresiva de riesgo, incrementando:
- la superficie de exposición,
- el número de actores capaces de explotarlo,
- el impacto regulatorio y reputacional,
- la probabilidad de materialización.
Esta métrica facilita la comunicación con los órganos de dirección y la priorización de recursos.
6. Índice de fricción organizativa (Organizational Friction Index)
Numerosos incidentes recientes han puesto de relieve que los principales obstáculos para la ciberseguridad no son exclusivamente tecnológicos, sino organizativos.
La fricción se manifiesta, entre otros aspectos, cuando se retrasan decisiones, se bloquean cambios necesarios o existen desalineaciones entre áreas técnicas y de negocio.
Medir esta fricción permite evaluar la capacidad real de respuesta de la organización.
7. Velocidad del riesgo emergente (Emerging Risk Velocity)
Además de identificar riesgos emergentes, resulta necesario evaluar la rapidez con la que evolucionan.
Ejemplos recientes incluyen:
- el uso de IA generativa para automatizar ataques,
- el empleo de deepfakes en fraude corporativo,
- compromisos masivos de accesos remotos,
- riesgos derivados de dependencias críticas en la cadena de suministro digital.
La velocidad del riesgo condiciona directamente la urgencia de actuación.
Los incidentes de mayor impacto registrados en los últimos años no se han debido, en muchos casos, a la ausencia de controles, sino a la falta de métricas que permitan evaluar su eficacia real.
Una gestión del riesgo basada en indicadores adecuados facilita la anticipación, mejora la toma de decisiones y contribuye a reforzar la resiliencia de las organizaciones frente a amenazas cada vez más dinámicas.s frente a amenazas cada vez más dinámicas.
