Lucero Ramos, CISO de Idealista: «La IA facilita la creación de ataques más sofisticados, veloces y automatizados»

Lucero Ramos, CISO de Idealista, lidera la estrategia de seguridad de la plataforma inmobiliaria. Ramos destaca cómo ha logrado integrar la seguridad de forma orgánica en el ADN de la compañía mediante una red de coordinadores locales. Con el presupuesto alineado al negocio y al cumplimiento regulatorio, la CISO analiza los desafíos de la IA generativa y apuesta por el modelo Zero Trust y la criptografía post-cuántica como pilares de una resiliencia proactiva ante las amenazas emergentes en el sur de Europa.

Entrevista con Lucero Ramos, CISO de Idealista

¿A qué se dedica la parte principal del presupuesto de su departamento?

La parte principal del presupuesto del departamento se orienta a cubrir las iniciativas y necesidades identificadas en el plan de seguridad, el cual está directamente alineado con la estrategia global del negocio. En este sentido, la mayor proporción de los recursos se destina a fortalecer los controles y capacidades necesarios para mitigar los riesgos más significativos y emergentes que podrían impactar la continuidad operativa, la integridad de la información y el cumplimiento de los objetivos internos.

Además, gran parte del presupuesto se destina al cumplimiento de las exigencias regulatorias aplicables, lo que implica inversiones en tecnologías, procesos y auditorías que aseguren que la empresa opera bajo los estándares normativos vigentes.

¿Qué proyecto es del que está más satisfecho?

El proyecto del que estoy más satisfecha es en el que hemos logrado integrar la seguridad como una parte natural del día a día de las operaciones, sin que sea percibida como una imposición, sino como una necesidad inherente al trabajo. Este enfoque ha permitido que los equipos adopten una cultura de seguridad más madura, entendiendo el valor real que aporta a sus actividades y al negocio en general.

Para conseguirlo, trabajamos de forma muy directa y cercana con las distintas áreas, promoviendo la colaboración y la comunicación continua. Uno de los elementos clave del proyecto fue la creación y consolidación de una red de coordinadores locales, quienes actúan como puntos de contacto, facilitadores y apoyo en cada equipo. Esto no solo ha acelerado la resolución de dudas y necesidades, sino que también ha fomentado un sentido de corresponsabilidad sobre la seguridad.

Gracias a este modelo, la seguridad dejó de estar centralizada para convertirse en un componente transversal y compartido. Hemos logrado que las personas se involucren de manera más proactiva, integrando buenas prácticas de manera orgánica y sostenible. Este cambio cultural ha tenido un impacto directo en la reducción de riesgos, la mejora del cumplimiento y la eficiencia operativa, por lo que considero este proyecto uno de los más significativos y gratificantes.

Si le pusieran todos los beneficios de Idealista a cargo del departamento de ciber, ¿qué le gustaría implementar?

Si contara con una “barra libre” de recursos, el área en la que pondría un enfoque mucho más afinado sería en el fortalecimiento de la arquitectura de seguridad y en la implementación de capacidades de protección proactiva. Considero que estas dos dimensiones son fundamentales para anticiparnos a las amenazas, reducir la superficie de ataque y construir un entorno tecnológico resiliente y alineado a los estándares más modernos del sector.

En primer lugar, impulsaría una adopción completa de un modelo de Zero Trust Architecture. Este enfoque permitiría incorporar una evaluación continua del estado de los dispositivos, la segmentación dinámica de la red en función de roles y la aplicación estricta del principio de mínimo privilegio. Esto no solo reduciría la exposición frente a accesos indebidos, sino que también permitiría una administración más granular y contextualizada de permisos, elevando significativamente el nivel de seguridad sin comprometer la productividad de los equipos.

Adicionalmente, impulsaría el desarrollo de un Centro de Operaciones de Seguridad (SOC) con capacidades mejoradas mediante inteligencia artificial. Esto incluiría el uso de un SIEM de nueva generación capaz de ingerir mayores volúmenes de datos con correlaciones avanzadas. Con ello, lograríamos una monitorización continua y más inteligente, capaz de identificar patrones inusuales, responder en segundos y anticipar comportamientos maliciosos incluso antes de que se materialicen.

Otro eje clave sería la aplicación de IA semántica para la detección de fraudes, especialmente en el análisis automatizado de anuncios fraudulentos. La capacidad de interpretar textos, imágenes y señales de comportamiento sospechoso permitiría filtrar de forma mucho más eficiente contenido malicioso o engañoso que intente suplantar identidades, manipular información o estafar a usuarios. Esta tecnología se convertiría en un pilar para proteger la plataforma y preservar la confianza del ecosistema.

¿Cómo alinea la estrategia de ciber con las necesidades específicas de Idealista?

La estrategia de ciberseguridad se alinea de forma directa con las necesidades específicas de idealista y de todo su ecosistema. Para ello, partimos de una comprensión profunda de cómo funciona el negocio, teniendo en cuenta que idealista está compuesta por distintas marcas operando en España, Italia y Portugal, cada una con un nivel de independencia y autonomía muy elevado. Esto implica que la estrategia no puede ser un modelo único y rígido, sino un marco flexible que se adapta a la realidad operativa de cada unidad de negocio.

El primer paso es entender los objetivos estratégicos de cada marca, su grado de madurez tecnológica, los riesgos asociados a sus operaciones y las características particulares de sus productos y servicios. A partir de ahí, se define una estrategia común que actúa como paraguas corporativo pero que a la vez permite personalizaciones para cada país o línea de negocio en función de su contexto.

La estrategia se construye de manera colaborativa, escuchando sus necesidades, limitaciones y particularidades, y asegurando que las medidas de seguridad no sean un obstáculo, sino un facilitador para que puedan operar de forma segura y eficiente. Esto incluye adaptar procesos, acompañar a las marcas durante la implementación y ajustar las soluciones para que encajen con sus metodologías de trabajo.

Además, mantenemos una visión unificada del riesgo a nivel global, lo que nos permite priorizar iniciativas que protejan a todo el ecosistema, pero que puedan escalarse y aplicarse de forma progresiva según la realidad de cada marca. De esta manera aseguramos coherencia, eficiencia operativa y un nivel homogéneo de seguridad, sin perder la agilidad y autonomía que caracterizan a idealista.

¿Qué supone la IA para la ciberseguridad?

La Inteligencia Artificial representa uno de los mayores puntos de inflexión en la historia de la ciberseguridad. Su impacto es doble: por un lado, ofrece enormes oportunidades para fortalecer la defensa; por otro, introduce nuevos riesgos y desafíos que elevan el nivel de complejidad del panorama de amenazas.

Desde la perspectiva defensiva, la IA supone un avance significativo. Permite automatizar y acelerar procesos, lo que se traduce en detección temprana de incidentes, análisis de grandes volúmenes de datos en tiempo real y respuestas mucho más rápidas y eficientes. Gracias al uso de modelos de machine learning, los sistemas pueden identificar patrones anómalos, comportamientos sospechosos y posibles brechas incluso antes de que se materialicen, algo prácticamente imposible con enfoques tradicionales. Esto reduce la carga de trabajo de los equipos de seguridad, evita tareas repetitivas y permite focalizar recursos en decisiones estratégicas.

Sin embargo, esa misma inteligencia también está siendo utilizada por los ciberdelincuentes. La IA facilita la creación de ataques más sofisticados, veloces y automatizados. Por ejemplo, se pueden generar campañas de phishing altamente personalizadas, deepfakes utilizados para suplantación, malware que se adapta al entorno para evadir detección o ataques masivos optimizados mediante algoritmos. Esto eleva el nivel de amenaza y exige a las empresas a adoptar nuevas estrategias, controles más avanzados y un mayor nivel de resiliencia.

¿Qué supone que la IA sea utilizada por los ciberdelincuentes cuando ellos van un paso por delante de la defensa?

Es un reto para todas las empresas ya que nos enfrentarnos a amenazas que no solo crecen en número, sino que aprenden, se adaptan y escalan a una velocidad que antes era impensable. Cuando los atacantes van un paso por delante, la IA deja de ser solo una herramienta defensiva y se convierte en un campo de batalla inteligente.

Además, los criminales pueden usar IA para automatizar ataques, clonar identidades digitales casi perfectas, generar mensajes hiperpersonalizados y detectar vulnerabilidades con una rapidez que un equipo humano no puede igualar.

Es por ello en un entorno donde los atacantes innovan, la seguridad no puede ser estática; debe ser predictiva, autónoma y capaz de anticipar patrones “anormales” antes de que el daño ocurra.

¿Qué tecnologías emergentes ve con mayor potencial para transformar la ciberseguridad?

Hay varias tecnologías emergentes que, combinadas, tienen el potencial de cambiar por completo cómo nos defendemos en el mundo digital.

La IA se está convirtiendo en el motor central de la ciberdefensa moderna. Los nuevos modelos no solo detectan amenazas, sino que aprenden patrones de comportamiento, anticipan anomalías y actúan en milisegundos.

La computación cuántica aún está en modo inicial pero su capacidad para romper sistemas criptográficos actuales es enorme. En unos años, proteger datos no será solo cifrar, tendremos que blindarnos con técnicas resistentes a máquinas que pueden procesar en segundos lo que hoy llevaría siglos. Y algo que cada vez tiene más sentido y uso, el zero trust, pero habrá que ir a la siguiente generación basándose en identidades dinámicas.

¿Es la implantación de una cultura de la ciberseguridad uno de los mayores desafíos?

La cultura de ciberseguridad no se limita sólo a implementar herramientas tecnológicas o políticas internas, sino que implica un cambio organizativo profundo. Crear una cultura sólida significa transformar la forma en la que las personas piensan, actúan y toman decisiones respecto a la seguridad de la información.

Un cambio cultural depende de personas con hábitos, comportamientos, creencias y niveles de conciencia diferentes, y estos elementos no se pueden modificar de forma inmediata ni mediante un simple comunicado. Requiere tiempo, constancia y un enfoque estratégico integrado y transversal.

Otro aspecto relevante es que la cultura requiere consistencia: formación continua, comunicación clara, políticas actualizadas, simulaciones, incentivos y retroalimentación.

¿Sigue siendo el usuario el eslabón más débil?

Aunque tradicionalmente se ha considerado al usuario final como el “eslabón más débil” de la ciberseguridad, esta afirmación requiere matices. Es cierto que el factor humano continúa siendo un componente crítico dentro del ecosistema de seguridad sobre todo porque los atacantes suelen aprovechar técnicas de ingeniería social, como el phishing o el spear phishing, para manipular a los empleados y obtener acceso no autorizado. Sin embargo, responsabilizar únicamente al usuario es una visión incompleta.

Hoy en día existen muchos otros elementos que pueden convertirse en puntos vulnerables dentro de la empresa. Por ejemplo, las configuraciones erróneas en entornos cloud siguen siendo una de las fuentes más comunes de brechas de seguridad, ya sea por permisos demasiado amplios, políticas mal aplicadas o falta de monitoreo adecuado. De igual forma, el software desactualizado o sin parches abre la puerta a ataques que explotan vulnerabilidades conocidas, a pesar de que podrían haberse mitigado con una buena gestión de actualizaciones.

Otro factor relevante son las APIs expuestas o mal protegidas, que pueden ser explotadas para acceder a datos sensibles o manipular servicios internos. A esto se suma la creciente complejidad de la cadena de suministro, donde un incidente en un proveedor nos puede impactar directamente.

En este escenario, el usuario sigue siendo importante, pero no es el único ni necesariamente el más vulnerable. La ciberseguridad se debe entender como una responsabilidad compartida que abarca a las personas, los procesos y la tecnología. Fortalecer la postura de seguridad requiere no solo capacitar a los usuarios, sino también implementar controles técnicos robustos, realizar auditorías continuas, automatizar la detección de anomalías y adoptar buenas prácticas de configuración.

¿Cómo ve la ciberseguridad en los próximos años?

Veo un escenario en el que coexistirán nuevos riesgos, nuevas capacidades defensivas y un incremento notable en las expectativas regulatorias y sociales en torno a la protección de la información.

Uno de los temas que ya está tomando gran relevancia es la computación cuántica. Su potencial disruptivo es enorme, especialmente porque podría romper una parte muy importante de la criptografía actual que protege transacciones, comunicaciones y datos sensibles. Esto representa un riesgo crítico para gobiernos, empresas y usuarios. Por ello, la transición hacia soluciones de criptografía post-cuántica será uno de los mayores desafíos estratégicos de la próxima década. Tenemos riesgos más cercanos impulsados por la IA generativa capaz de crear campañas de phishing más creíbles, detectar vulnerabilidades más rápido y adaptar malware en tiempo real.

Así como el incremento de la regulación y expectativas de cumplimiento, con marcos más estrictos de protección de datos, resiliencia operacional y gobernanza tecnológica (como DORA, NIS2 u otros estándares emergentes). Es por ello por lo que la ciberseguridad deberá de ser más proactiva, más automatizada e integrada en todos los procesos del negocio para lograr adaptarse rápidamente, invertir en modelos de protección escalables y anticipar cambios disruptivos.