Radar 2025 de Riesgos Emergentes: lo que debe decidir un comité hoy

Publicado en por juancornago

El Emerging Risk Radar 2025 reúne, en un solo documento, los riesgos emergentes y las grandes tendencias que pueden cambiar la forma de suscribir, invertir y operar durante los próximos cinco años. El radar organiza cada riesgo según dos criterios. El primer criterio es el impacto esperado, que se clasifica como bajo, medio o alto. El segundo criterio es el horizonte temporal, que distingue entre riesgos ya visibles, riesgos con un horizonte de uno a cinco años y riesgos con un horizonte de cinco a diez años.

En 2025 el radar incorpora una novedad relevante. El riesgo denominado «Deterioro de los sistemas públicos de salud» entra por primera vez como categoría específica. El documento también eleva el impacto asociado a los conflictos comerciales, a las sanciones y a los riesgos espaciales. Además, el concepto de sostenibilidad deja de tratarse como tendencia independiente y pasa a integrarse en el bloque de «Medioambiente y clima».

Macrotendencias que reordenan el contexto

  • Desarrollo económico. La economía global transita desde una etapa de tipos de interés cercanos a cero hacia un periodo con inflación más alta, deuda récord y riesgo de recesión. A esta dinámica se añade una fragmentación comercial y tecnológica que incrementa la volatilidad y complica la planificación de las compañías.
  • Medioambiente y clima. El sistema climático muestra eventos extremos más frecuentes y graves, lo que ejerce presión sobre la biodiversidad y los recursos naturales. Estas tensiones generan dificultades de asegurabilidad en determinadas geografías y líneas de negocio, y obligan a revisar primas y coberturas.
  • Tecnología. La inteligencia artificial y la automatización aumentan la eficiencia, pero también introducen nuevos vectores de riesgo, entre los que destacan las ciberamenazas potenciadas por IA, los retos de privacidad y ética y la necesidad de mantener criptoagilidad para preparar la transición a la era poscuántica.
  • Geopolítica. La rivalidad entre Estados Unidos y China convive con guerras abiertas y con un uso más intenso de sanciones y de la llamada instrumentalización de las finanzas y de las cadenas de valor. Este entorno altera el comercio, la inversión y la seguridad de suministro.
  • Demografía y cambio social. La sociedad afronta envejecimiento poblacional, aumento de problemas de salud mental, fragmentación social y escasez de habilidades en sectores clave. Estos factores repercuten en la productividad y en la demanda de productos y servicios.

Riesgos destacados

  • Inteligencia artificial. La IA introduce riesgos de sesgo, opacidad y cumplimiento regulatorio. También incrementa las ciberamenazas y puede provocar disrupción laboral por cambios en tareas y perfiles.
  • Máquinas autónomas. Los sistemas autónomos plantean dudas sobre la responsabilidad civil por daños y exponen a riesgos ciberfísicos y a fallos en cadena, especialmente cuando varios sistemas se interconectan.
  • Clima, en sus dimensiones física y de transición. El cambio climático incrementa la frecuencia y severidad de eventos y ejerce presión sobre la prima técnica. La transición climática añade el riesgo de activos varados y de litigios por «greenwashing».
  • Infraestructura crítica. La combinación de interdependencias y subinversión aumenta la probabilidad de fallos en cascada y apagones. La dependencia de IoT y de satélites crece de forma constante.
  • Ciberriesgos. La cadena de suministro de software presenta vulnerabilidades relevantes. La IA ofensiva acelera el spear‑phishing y el desarrollo de malware. La llegada de la computación cuántica exige preparación para proteger los datos a largo plazo.
  • Privacidad y ética del dato. Las limitaciones en el uso de datos sensibles afectan a la tarificación y a los modelos analíticos. Las organizaciones se exponen a acciones colectivas y a sanciones si no cumplen los requisitos legales.
  • Conflictos comerciales y sanciones. Las empresas deben soportar costes de cumplimiento más altos y asumir volatilidad e interrupciones en pagos, activos y logística.
  • Fiabilidad de la información y escasez de talento. La desinformación y los deepfakes favorecen el fraude y aumentan la incertidumbre en la selección y en el pricing. La escasez de habilidades eleva el riesgo operativo y la siniestralidad.

El gráfico de la página 3 del informe muestra, por capas, el nivel de impacto y el horizonte temporal de cada riesgo. El riesgo de deterioro de la sanidad pública aparece marcado con un asterisco. Este material resulta muy útil para priorizar en el comité y para apoyar la presentación.

Un guion de decisiones para directivos

Este informe no es un simple listado de amenazas. El documento propone un guion de decisiones que orienta qué métricas conviene solicitar, qué inversiones se deben priorizar, qué supuestos se deben revisar (modelos, límites y reservas) y qué capacidades resultan imprescindibles (datos, talento, simulación y respuesta). A lo largo del texto, el radar se traduce en diez decisiones concretas, en indicadores clave de riesgo (KRIs) y en un plan de 90 días. El gráfico del radar de la página 3 constituye el mejor punto de partida para abrir el briefing del comité.

1) Por qué importa y qué debe decidir el comité

Entre 2024 y 2025 el radar recalibra los impactos y los horizontes temporales y integra la sostenibilidad dentro del bloque climático. Al mismo tiempo, el documento eleva el impacto de las sanciones y del comercio. Además, el espacio deja de considerarse un ámbito nicho, porque la dependencia de los satélites y el riesgo de colisiones y de basura espacial ya se aproximan al umbral de infraestructura crítica.

La traducción directiva de estos cambios exige revisar el apetito de riesgo, ajustar coberturas y coberturas de reaseguro, reforzar coberturas de cobertura de riesgo de mercado (hedges) y reordenar las prioridades de resiliencia.

2) Cinco macrotendencias para el Consejo

  • Economía. El endeudamiento récord y los tipos de interés elevados aumentan la probabilidad de impagos, generan estrés de liquidez y favorecen el desplazamiento hacia activos refugio.
  • Clima y recursos. La atención se desplaza desde las catástrofes físicas hacia la litigación climática y hacia tensiones de precio y de asegurabilidad. La biodiversidad entra con fuerza en la agenda financiera y regulatoria.
  • Tecnología. La IA está transformando el perfil de riesgo, la productividad y la seguridad. La era poscuántica amenaza los sistemas de cifrado actuales, mientras que la concentración tecnológica incrementa la dependencia sistémica de unos pocos proveedores.
  • Geopolítica. Los conflictos abiertos, las sanciones y las estrategias de friend‑shoring reconfiguran las cadenas de suministro. Al mismo tiempo, el gasto militar crece y se debilitan los marcos de control.
  • Sociedad y salud. Los problemas de salud mental aumentan, los sistemas públicos de salud sufren una tensión significativa y varios sectores afrontan un déficit de talento persistente.

3) Riesgos con «señal roja» para 2025 (nivel ejecutivo)

  • Inteligencia artificial. Las organizaciones deben tratar el sesgo y la explicabilidad de los modelos, garantizar el cumplimiento, anticipar la IA ofensiva en ciberseguridad y gestionar el posible desplazamiento de capacidades que afecte a los modelos y al pricing.
  • Máquinas autónomas. La progresiva automatización del transporte y de la logística traslada parte del riesgo desde la persona hacia el producto y el software. Este proceso produce acumulaciones de riesgo interconectadas que conviene monitorizar.
  • Clima físico y de transición. La frecuencia y severidad de los siniestros crece y presiona el reaseguro y las primas. La transición añade el riesgo de activos varados y de reclamaciones por «greenwashing».
  • Infraestructuras críticas. La subinversión, la complejidad y las interdependencias aumentan el riesgo de fallos en cascada. El uso de drones y de IoT puede ayudar a predecir y prevenir fallos, siempre que exista un programa sólido de mantenimiento y de seguridad.
  • Ciberseguridad. La IA refuerza la eficacia del spear‑phishing y del malware. La cadena de suministro de software concentra riesgos importantes y la preparación poscuántica sigue siendo insuficiente en muchos sectores.
  • Privacidad y ética del dato. Las limitaciones sobre datos sensibles pueden restringir la tarificación y erosionar la equidad del pricing. Las compañías se enfrentan a acciones colectivas y a sanciones si no cumplen los requisitos.
  • Comercio y sanciones. El cumplimiento normativo eleva los costes y puede provocar bloqueos de pagos y de activos, volatilidad de mercados y disrupciones logísticas.
  • Fiabilidad de la información. La expansión de los deepfakes puede facilitar el fraude, distorsionar la selección y la tarificación y alimentar la agitación social, lo que a su vez trae presión regulatoria.
  • Déficit de habilidades. La escasez de profesionales críticos aumenta los errores operativos, alarga la recuperación tras interrupciones y elevan la siniestralidad por problemas de calidad en la reparación y en el servicio.
  • Sanidad pública en deterioro. El empeoramiento de la atención se traduce en mayor morbilidad y mortalidad, inflación médica y tensión sobre los seguros privados y el absentismo laboral.

4) Diez decisiones que el comité debería tratar en 2025

  1. Apetito de riesgo y límites. La organización debe actualizar los supuestos de clima físico y de ciberseguridad, incluyendo la acumulación, las exclusiones y los sublímites, y debe contrastarlos con el reaseguro disponible.
  2. Libro de escenarios geopolíticos. La empresa debe elaborar un dosier operativo que incorpore sanciones, comercio, deuda y energía, y que defina umbrales de acción claros para cada escenario.
  3. Programa de IA responsable. La dirección debe implantar mecanismos de explicabilidad, un marco de gestión del riesgo de modelos (model risk management), trazabilidad de datos y un mecanismo de parada de emergencia (o kill switch) para situaciones críticas.
  4. Preparación poscuántica. La compañía debe construir un inventario criptográfico y una hoja de ruta de migración, priorizando los datos con largos periodos de retención.
  5. Gestión de la cadena de suministro. El equipo debe clasificar a los proveedores críticos por niveles, mantener un SBOM (inventario de componentes de software) actualizado e implantar planes de continuidad específicos.
  6. Resiliencia de la infraestructura crítica. La organización debe probar fallos en cascada que abarquen OT, IT, energía y telecomunicaciones y debe cerrar acuerdos de respuesta con terceros especializados.
  7. Gobernanza de datos y privacidad. La empresa debe minimizar los datos y limitar sus usos en la tarificación, además de contratar o revisar coberturas frente a acciones colectivas.
  8. Talento crítico. La dirección debe impulsar recualificación en analítica, respuesta a incidentes y ciberseguridad, y establecer pares sombra (dobles operativos) para funciones de alto riesgo.
  9. Biodiversidad y recursos. La compañía debe definir una política de inversión y una descripción estructurada de los riesgos relacionados con la naturaleza, alineada con TNFD (Taskforce on Nature‑related Financial Disclosures).
  10. Riesgos espaciales. La organización debe cuantificar su dependencia de los satélites (GPS, observación y telemetría) y establecer medidas de contingencia para pérdidas temporales de servicio.

5) Indicadores clave de riesgo (KRIs) para el panel directivo

El panel directivo debería incluir, como mínimo, los siguientes indicadores expresados con objetivos, umbrales y responsables definidos.

  • Porcentaje de datos no aptos para tarificación. Este indicador mide qué parte de los datos queda fuera de uso por restricciones regulatorias o éticas. La métrica debe acompañarse del número de requerimientos y de litigios de privacidad en curso.
  • Tiempo de restauración de servicios críticos. Este indicador registra el tiempo necesario para recuperar servicios de energía, telecomunicaciones o cloud tras un fallo.
  • Exposición geográfica a eventos climáticos extremos. Esta métrica evalúa la exposición por líneas de negocio y el ratio de pérdida catastrófica.
  • Progreso en criptografía poscuántica. Este indicador refleja el porcentaje del inventario criptográfico que ya está identificado y planificado para la migración.
  • Dependencia satelital. Este indicador cuantifica el número de servicios de negocio que se verían afectados por la pérdida de GPS o de telemetría.
  • Vacantes críticas y errores operativos. Esta métrica recoge el número de vacantes abiertas durante más de 90 días y la tasa de errores en procesos sensibles.

6) Plan de 90 días

  • Semanas 1 y 2. La organización debe construir un mapa de calor que cruce los riesgos del radar con el apetito de riesgo y con la capacidad de respuesta actual.
  • Semanas 3 a 6. La empresa debe realizar ejercicios de mesa sobre sanciones y sobre deepfakes y fraude, y debe simular un fallo satelital para medir el tiempo hasta la degradación del servicio.
  • Semanas 7 a 10. La compañía debe lanzar un piloto de criptografía poscuántica en dos flujos críticos y debe redactar un guion de actuación para acciones colectivas relacionadas con privacidad o con greenwashing.
  • Semanas 11 y 12. La dirección debe cerrar el conjunto de KRIs y presentar una propuesta de inversión 2025–2026 centrada en datos, talento y continuidad de negocio.

7) Notas de prudencia

La organización debe proteger la confidencialidad y anonimizar cualquier referencia a clientes o a incidentes en curso. El equipo no debe formular promesas absolutas, como «cero incidentes», porque la gestión de riesgos se orienta a la reducción y al control, no a la eliminación total. Además, el documento debe citar la fuente del radar como CRO Forum – Emerging Risks Initiative, 2025.

Referencias visuales clave del informe

El radar de 2025 que aparece en la página 3 muestra las capas por horizonte e impacto y destaca con un asterisco el nuevo riesgo de deterioro de la sanidad pública. Esta ilustración resulta adecuada para abrir el briefing del comité. Las páginas 4 y 5 presentan las macrotendencias de economía, clima y recursos, tecnología, geopolítica y demografía y sociedad. Las fichas de riesgo ofrecen detalle adicional en las siguientes páginas: IA (página 6), Máquinas autónomas (página 7), Clima físico y de transición (páginas 8 y 9), Infraestructura crítica (página 10), Ciberseguridad (página 11), Datos y ética (página 12), Sanidad pública (página 13), Comercio y sanciones (página 14), Información y deepfakes (página 19), Incertidumbre regulatoria (página 20), Habilidades (página 23), Espacio (página 24) y Cadena de suministro (página 25).

Acceso al documento. ERI-Risk-Radar_2025.

Enlace CRO Forum. https://thecroforum.org/emerging-risks-initiative-major-trends-and-emerging-risk-radar-2025/

Si te ha gustado puedes valorar la intervención aquí: 1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)

Cargando...
Sin comentarios aún
Ciberresiliencia Clima y Transición CRO Forum Economía de la Ciberseguridad Emerging Risks Gobernanza de Datos Retos del CISO Tendencias Globales

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.