En la gestión de riesgos digitales, el lenguaje no es un asunto menor, puesto que la forma en la que nombramos y categorizamos un riesgo influye en cómo se interpreta, prioriza y finalmente se gestiona en una organización.
En español solemos utilizar la palabra «emergente» para referirnos tanto a lo «emergent» como a lo «emerging«, dos términos en inglés que, aunque similares, describen realidades diferentes en el ciclo de vida del riesgo, lo que nos acaba pasando factura al generar confusión en informes, matrices de riesgo y conversaciones con juntas directivas.
El NIST Cybersecurity Framework (CSF 2.0) y la guía preliminar NIST SP 1331 (Quick‑Start Guide for Using CSF 2.0 to Improve Management of Emerging Cybersecurity Risks) abordan esta distinción, subrayando la importancia de diferenciar entre riesgos emergent y emerging, dadas las consecuencias estratégicas en la ciberresiliencia corporativa.
1. Marco conceptual del riesgo en ciberseguridad
Según NIST SP 800-30 (Guide for Conducting Risk Assessments), un riesgo es la probabilidad de que una amenaza explote una vulnerabilidad, generando un impacto adverso en los objetivos organizativos. Bajo esta definición, los riesgos pueden estar en diferentes fases de desarrollo y visibilidad.
Aquí es donde entran los conceptos emergent y emerging:
- Emergent cyber risk: Riesgo que ya existe y se está manifestando de forma creciente, intensificándose o mutando.
- Emerging cyber risk: Riesgo incipiente, aún en fase embrionaria, con un grado alto de incertidumbre y potencial de impacto a futuro.
La guía NIST SP 1331 enfatiza que los emerging cyber risks requieren procesos estructurados de anticipación y análisis prospectivo, ya que suelen carecer de datos históricos suficientes para una gestión tradicional.
2. ¿Qué es un «Emergent Cyber Risk«?
Un emergent cyber risk es un riesgo que ya se encuentra presente en el entorno organizacional, pero cuya naturaleza está evolucionando o intensificándose, por lo que estos riesgos deben ser tratados con mecanismos de detección, análisis continuo y mitigación activa.
Características principales:
- Actual porque se manifiesta en el sector o en la propia organización.
- Tendencia creciente en términos de frecuencia, severidad o complejidad.
- Datos abundantes ya que existen registros, incidentes y métricas.
- Necesidad de gestión porque requiere controles inmediatos, mejora de capacidades y monitoreo.
Ejemplos:
- Ransomware que pasa de cifrar datos a utilizar tácticas de triple extorsión.
- Vulnerabilidades en cadenas de suministro (Log4j, SolarWinds) que escalan rápidamente.
- Aumento de fraudes por Business Email Compromise (BEC) con técnicas de deepfake de voz.
3. ¿Qué es un Emerging Cyber Risk?
En contraste, un emerging cyber risk es un riesgo que aún no se ha materializado de manera significativa, pero cuya existencia se intuye debido a cambios tecnológicos, sociales o regulatorios, por lo que necesitamos de preparación estratégica más que mitigaciones inmediatas.
Características principales:
- Latencia, dado que no se ha manifestado ampliamente en incidentes.
- Alta incertidumbre, al no haber suficientes datos históricos.
- Dependencia contextual asociada a tecnologías emergentes o cambios disruptivos.
- Gestión bajada a tierra mediante exploración, simulación y preparación futura.
Ejemplos:
- Impacto potencial de la computación cuántica en la criptografía actual.
- Uso de IA generativa en ataques de desinformación a gran escala.
- Riesgos asociados a gemelos digitales en entornos industriales.
- Amenazas derivadas de implantes biomédicos conectados.
4. Diferencias clave entre Emergent y Emerging
| Dimensión | Emergent Cyber Risk | Emerging Cyber Risk |
|---|---|---|
| Estado actual | Activo, ya visible | Incipiente, aún no manifiesto masivamente |
| Horizonte temporal | Corto plazo (0–2 años) | Mediano-largo plazo (2–5+ años) |
| Evidencia | Datos y casos documentados | Escenarios hipotéticos y proyecciones |
| Gestión | Controles inmediatos, mitigación activa | Vigilancia, investigación y planificación |
| Ejemplo | Evolución del ransomware | Criptografía poscuántica |
5. Implicaciones estratégicas
Asignación de recursos
- Emergent: Demandará presupuesto inmediato para reforzar controles y capacidades.
- Emerging: Requiere inversión en I+D, análisis prospectivo y participación en foros internacionales.
Comunicación con la Junta Directiva
- Emergent: Se comunica como un riesgo operativo con impacto financiero tangible.
- Emerging: Se expone como un riesgo estratégico a futuro, vinculado a la innovación.
Regulación
- Emergent: Ya suele estar regulado (ejemplo: RGPD, NIS2, DORA).
- Emerging: Puede anticipar regulaciones futuras (ejemplo: IA generativa, criptografía cuántica).
6. Casos ilustrativos
Caso de Emergent: Ransomware en salud
En 2023 varios hospitales europeos enfrentaron ataques de ransomware con interrupciones críticas. La tendencia era conocida, pero la sofisticación de las tácticas mostraba que el riesgo estaba evolucionando: un emergent cyber risk.
Caso de Emerging: Criptografía poscuántica
Hoy, RSA-2048 sigue siendo seguro. Sin embargo, la posibilidad de que la computación cuántica lo haga obsoleto convierte esta amenaza en un emerging cyber risk, aún latente pero de gran impacto futuro.
En definitiva, diferenciar ambos conceptos permite asignar correctamente recursos, comunicar con precisión a la alta dirección y anticiparse a un entorno de riesgo cibernético cada vez más dinámico, razones por las que las organizaciones requieren de equipos de gobernanza de riesgos operativos capaces de coordinar ciberseguridad, gestión de riesgos corporativos, innovación y cumplimiento regulatorio.