Reconocer que la ciberseguridad es un riesgo crítico fue el primer paso. Ahora, la pregunta que define la supervivencia organizacional es otra: cuando el ataque llegue —y llegará—, ¿podrá su empresa seguir operando?
El riesgo ya fue diagnosticado. ¿Y ahora qué?
En la primera entrega de esta serie analizábamos cómo la ciberseguridad se ha consolidado como el segundo riesgo más crítico para los directorios chilenos, cómo América Latina enfrenta decenas de miles de millones de intentos de ciberataque al año, y cómo una sola contraseña débil liquidó 158 años de historia empresarial en el caso de KNP Logistics. El diagnóstico fue contundente: la complacencia ya no es opción. Pero diagnóstico sin tratamiento es negligencia.
¿No la leiste? Te tomará solo 5 minutos:
Ahora que ya leíste el articulo anterior, sigamos.
El problema es que muchas organizaciones confunden reconocer el riesgo con gestionarlo. Tener la ciberseguridad en el mapa de riesgos corporativos, incluso asignarle presupuesto, no equivale a estar preparados para resistir un incidente. La diferencia entre las empresas que sobreviven a un ciberataque y las que no radica en una capacidad específica que va más allá de la protección perimetral: la ciber-resiliencia.
Esta segunda entrega propone un cambio de paradigma. Ya no se trata de si el ataque ocurrirá, sino de cuánto daño causará cuando ocurra, cuánto tardará la organización en recuperarse y si podrá mantener sus operaciones críticas durante la crisis. Pasamos del “prevenir a toda costa” al “resistir, responder y recuperar”.
Ciberseguridad vs. ciber-resiliencia: una distinción que no es semántica
Existe una confusión persistente que conviene despejar: la ciber-resiliencia no es simplemente “más ciberseguridad” ni un sinónimo elegante para el mismo concepto. La ciberseguridad se enfoca en proteger los activos digitales mediante controles preventivos y detectivos —firewalls, cifrado, gestión de vulnerabilidades, controles de acceso—.
Es la muralla. La ciber-resiliencia, en cambio, parte de una premisa radicalmente distinta: la muralla será vulnerada. La pregunta no es si, sino cuándo.
Bajo esta lógica, la ciber-resiliencia es la capacidad de una organización para anticipar, resistir, recuperarse y adaptarse ante incidentes cibernéticos adversos, manteniendo la continuidad de las operaciones críticas del negocio. Es, en esencia, la diferencia entre una empresa que se paraliza ante un ataque de ransomware y una que logra mantener sus operaciones esenciales mientras contiene y remedia el incidente.
Los marcos normativos internacionales reflejan esta evolución. El NIST Cybersecurity Framework 2.0(CSF 2.0), actualizado en 2024, estructuró sus funciones en seis pilares: Gobernar (Govern), Identificar, Proteger, Detectar, Responder y Recuperar. La incorporación de “Gobernar” como función transversal no fue casual: refleja el reconocimiento de que la ciberseguridad sin gobernanza desde la alta dirección es incompleta. Pero son las funciones de Responder y Recuperar las que marcan el territorio específico de la resiliencia. No basta con detectar una intrusión; la organización debe ser capaz de contenerla, erradicarla y restaurar sus servicios críticos en tiempos que no comprometan su viabilidad.
En paralelo, la norma ISO 22301:2019 (Sistemas de Gestión de Continuidad de Negocio) proporciona el marco para asegurar que las funciones esenciales de la organización puedan mantenerse ante disrupciones. Cuando se integra con ISO/IEC 27001:2022 (Sistema de Gestión de Seguridad de la Información), emerge un modelo robusto: la 27001 define qué proteger y cómo; la 22301 establece cómo seguir operando cuando la protección falla. Es la combinación de ambas —no una u otra— la que construye ciber-resiliencia real.
Para ponerlo en términos ejecutivos: la ciberseguridad protege el castillo; la ciber-resiliencia garantiza que el reino siga funcionando aunque el castillo sea asediado. Y en 2025, los asedios son constantes.
Los números que confirman la urgencia
Si el artículo anterior presentaba datos sobre el volumen de ataques y el costo de la inacción, los datos actualizados de 2025 agregan una dimensión nueva: la brecha entre quienes están construyendo resiliencia y quienes se están quedando atrás se está convirtiendo en un abismo.
La fractura global: el WEF Global Cybersecurity Outlook 2025
El informe del World Economic Forum de enero de 2025, elaborado en colaboración con Accenture, identifica una complejidad sin precedentes en el panorama cibernético. El 72% de las organizaciones encuestadas reporta un aumento en sus riesgos cibernéticos, con el ransomware manteniéndose como la principal preocupación. Pero el hallazgo más revelador es la profundización de la inequidad cibernética: el 35% de las organizaciones pequeñas considera que su ciber-resiliencia es inadecuada, una proporción que se ha multiplicado por siete desde 2022. En contraste, las grandes organizaciones que reportan resiliencia insuficiente se redujeron casi a la mitad.
Esta divergencia tiene implicaciones sistémicas. El 71% de los líderes en ciberseguridad encuestados por el WEF cree que las organizaciones pequeñas ya alcanzaron un punto crítico donde no pueden protegerse adecuadamente por sí solas. Y dado que estas organizaciones forman parte de cadenas de suministro que alimentan a corporaciones mayores, su fragilidad se propaga. No por nada el 54% de las grandes organizaciones identifica las interdependencias en la cadena de suministro como la mayor barrera para alcanzar la ciber-resiliencia.
Para América Latina, la lectura es particularmente inquietante. Mientras que en Europa y Norteamérica solo el 15% de las organizaciones no confía en la capacidad de su país para responder a incidentes cibernéticos mayores, en nuestra región esa cifra se dispara al 42%. No estamos hablando de percepción: estamos hablando de una evaluación realista de capacidades institucionales, regulatorias y técnicas que aún están en construcción.
El costo de la lentitud: IBM Cost of a Data Breach 2025
El reporte anual de IBM, que en 2025 celebra su vigésima edición, trae una noticia en apariencia positiva: el costo promedio global de una brecha de datos bajó un 9% respecto a 2024, ubicándose en 4.44 millones de dólares. El motor de esta reducción fue la detección y contención más rápida, impulsada por herramientas de inteligencia artificial y automatización en operaciones de seguridad. Las organizaciones que utilizan IA de manera extensiva en sus operaciones de seguridad ahorraron en promedio 1.9 millones de dólares y redujeron el ciclo de vida de la brecha en 80 días.
Sin embargo, el dato que debería preocupar a todo directorio está en la recuperación: el 76% de las organizaciones afectadas tardó más de 100 días en recuperarse por completo. Cien días. Más de tres meses en los que la organización opera con capacidades degradadas, confianza erosionada y costos que se acumulan. Y casi dos tercios de las organizaciones estudiadas declararon que aún estaban en proceso de recuperación al momento de la investigación.
El reporte también revela una nueva amenaza que merece atención directiva: el shadow AI —el uso no autorizado de herramientas de inteligencia artificial por parte de empleados sin supervisión de TI— estuvo presente en el 20% de las brechas y agregó 670,000 dólares adicionales al costo promedio. El 63% de las organizaciones afectadas no contaba con políticas de gobernanza de IA, y un inquietante 97% de las que sufrieron una brecha relacionada con IA carecía de controles de acceso adecuados para sus sistemas de inteligencia artificial.
Estos datos configuran una paradoja peligrosa: la IA está ayudando a detectar y contener brechas más rápido, pero la adopción acelerada de IA sin gobernanza está creando nuevas superficies de ataque que los adversarios ya están explotando. En uno de cada seis incidentes estudiados por IBM, los atacantes utilizaron IA —principalmente para phishing (37%) y suplantación mediante deepfakes (35%)—.
La brecha de talento: el agravante silencioso
Ningún análisis de ciber-resiliencia está completo sin abordar el factor humano en su dimensión más estructural: la escasez de profesionales. Según el WEF, la brecha global de talento en ciberseguridad se amplió un 8% entre 2024 y 2025, con estimaciones que la sitúan entre 2.8 y 4.8 millones de profesionales faltantes. Dos de cada tres organizaciones reportan brechas de habilidades entre moderadas y críticas. El sector público es el más golpeado: el 49% de las organizaciones gubernamentales declara no tener el talento necesario para cumplir sus objetivos de ciberseguridad, un aumento del 33% respecto a 2024.
En Chile, el CSIRT ha identificado una brecha de 28,000 especialistas en ciberseguridad, cifra que podría crecer hasta 63,500 para 2026 si se mantiene el ritmo actual de adopción tecnológica. Esta carencia no es solo un problema de recursos humanos: es un multiplicador de riesgo que debilita la capacidad de detección, respuesta y recuperación. Una organización puede tener las mejores herramientas del mercado, pero sin el talento para operarlas, configurarlas y responder ante alertas, la inversión tecnológica pierde gran parte de su valor.
Lo que viene: de la teoría a la acción
Los datos son elocuentes: la brecha entre las organizaciones que están construyendo resiliencia y las que se limitan a reconocer el riesgo se profundiza cada trimestre. La inequidad cibernética es real, la adopción de IA sin gobernanza es una bomba de tiempo, y la escasez de talento agrava todo lo anterior.
Pero el diagnóstico, por sí solo, no salva empresas. En la segunda entrega de este análisis abordaremos el terreno práctico: cómo Chile se está posicionando con la Ley Marco de Ciberseguridad (Ley 21.663) y la creación de la Agencia Nacional de Ciberseguridad como el marco regulatorio más ambicioso de América Latina, cuáles son los pilares concretos que una organización necesita para construir ciber-resiliencia real, y por qué la resiliencia no es un proyecto con fecha de término sino una disciplina permanente.
La pregunta que queda abierta para cada líder de negocio: si mañana su organización sufre un ciberataque mayor, ¿tiene un plan probado para seguir operando? Si la respuesta no es un “sí” contundente, la segunda entrega les interesa.
¿Listo para dar el salto? Contáctanos
César Millavil
Chief Executive Officer
CompunetGroup
7345 W Sand Lake RD