Del Desafío Técnico al Imperativo de Negocio

En esta ocasión, he decidido escribir algo más formal de lo normal y dirigir este articulo a mis pares gerentes, socios, dueños y directores; 

Estimados líderes de negocio todos:

Imaginen por un momento que la historia de su empresa, un legado de décadas o incluso más de un siglo, pudiera desvanecerse en un instante. No por una crisis financiera o un colapso del mercado, sino por una contraseña débil, un correo electrónico malicioso, un proveedor o socio de negocio poco diligente con la seguridad de la información y/o ciberseguridad o, como cada vez es más usual, un colaborador no debidamente concientizado. 

Esta no es una hipótesis lejana, sino una cruda realidad que ya ha paralizado a organizaciones en todo el mundo y que, alarmantemente, se cierne sobre nuestra América latina como uno de los desafíos más apremiantes. ¿No?, únicamente permite recordar el incidente que dejó a un gran mayorista de tecnología sin operación de negocio durante una semana completa generando millones en perdida.

Desde CompunetGroup, hemos analizado con detenimiento el panorama actual para ofrecer una perspectiva clara y profunda. Recientemente, el "Estudio de Percepción de Riesgos Empresariales 2024" de la Asociación de Auditores Externos de Chile y la Universidad Gabriela Mistral arrojó datos reveladores sobre las preocupaciones de los directores y C-Level en nuestro país. Si bien la ciberseguridad se ubica como el segundo riesgo más crítico con un 11.7% de menciones, esta cifra, en su aparente moderación, oculta una peligrosa miopía.Para sectores como la banca y los servicios financieros, que han sido objetivo de ataques constantes, la ciberseguridad se dispara como su principal preocupación con un 68.2%.

Esta disparidad sugiere que la percepción del riesgo está directamente ligada a la experiencia vivida. Las empresas que aún no han enfrentado un incidente significativo podrían estar subestimando su vulnerabilidad, creyendo que el riesgo es un problema para otros.

Sin embargo, los datos globales que cruzamos con el estudio del World Economic Forum demuestran que el panorama de amenazas está lejos de ser selectivo. Los ciberdelincuentes no discriminan por industria, y la digitalización ha convertido a cada empresa, sin importar su rubro, en un potencial blanco. El propósito de este análisis no es alarmar, sino posicionar la ciberseguridad en el lugar que le corresponde: como un riesgo estratégico y existencial para la continuidad del negocio que exige la atención del directorio y la alta gerencia. Un riesgo de posible extinción digital.

El Despertar de la Alarma: La Percepción de Riesgos en Chile y la Brecha con la Gobernanza

El informe "Percepción de Riesgos Empresariales 2024" proporciona una instantánea invaluable de la mentalidad de los ejecutivos chilenos. Aunque los riesgos financieros encabezan la lista de preocupaciones (12.4%), la ciberseguridad se consolida en una cercana segunda posición con un 11.7% de menciones. Este reconocimiento es un paso positivo, pero la verdadera paradoja se encuentra en la gestión de este riesgo.

La investigación revela que, si bien el 80% de las empresas chilenas afirma contar con una estrategia de gestión de riesgos, un preocupante 59% aún no tiene un comité de riesgos en su directorio. Esta desconexión es el punto de falla fundamental. Una estrategia sin una supervisión de alto nivel es, en esencia, un documento sin el peso ejecutivo ni la capacidad de toma de decisiones requerida. 

Los riesgos cibernéticos han trascendido el ámbito técnico; hoy son riesgos de negocio con implicaciones financieras, legales y reputacionales que solo el directorio puede abordar de manera estratégica. Delegar la ciberseguridad a un nivel puramente operativo o al departamento de TI convierte una función preventiva en una respuesta reactiva, un déficit de gobernanza que deja a las empresas expuestas a un riesgo sistémico.

Además, el estudio chileno (que es lindo referenciar estudios de riesgos de ciberseguridad de nuestro Chile) menciona que el 36.2% de los encuestados considera que la Inteligencia Artificial (IA) contribuye a mejorar la gestión de riesgos en áreas clave. Si bien este optimismo es alentador, es crucial contextualizarlo con la realidad global que se analizará más adelante, ya que la percepción regional podría no reflejar la verdadera y compleja dinámica que la IA está introduciendo en el panorama de amenazas. De hecho, es hoy la IA una de las amenazas con mayor auge e impacto como herramienta de ciberataques principalmente en el uso de ingeniería social.

Un Asedio Sin Fronteras: El Panorama de Amenazas en nuestra América Latina

La situación en Chile no es un caso aislado, sino un reflejo de una tendencia de creciente hostilidad digital en toda la región. El volumen de ciberataques ha escalado a niveles alarmantes, evidenciando una amenaza masiva y automatizada.

En Chile, los intentos de ciberataques alcanzaron la impactante cifra de 27.6 mil millones en 2024, lo que posiciona al país como el tercero más atacado de América Latina, detrás de Brasil y México. Esta cifra subraya la magnitud de la escalada y el rol que la nación juega como un blanco prioritario para los ciberdelincuentes.

En Perú, la situación es igualmente crítica. El país sigue siendo el de mayor cantidad de amenazas detectadas en la región. La incidencia de ciberdelitos ha experimentado una aceleración notable, con un aumento que bordea el 61% en 2024, y Kaspersky ha alertado que Perú recibe más de 177,000 ataques de malware al día. Lo más revelador es la simplicidad de las vulnerabilidades explotadas: el principal vector de ataque sigue siendo un exploit de Microsoft Excel de 2012, un fallo de seguridad conocido desde hace más de una década.

Colombia no se queda atrás, registrando 36 mil millones de intentos de ciberataques hasta noviembre de 2024, ocupando el cuarto lugar en la región. Al igual que en Perú, los métodos más comunes incluyen el phishing, el malware y la explotación de vulnerabilidades básicas como contraseñas débiles. La vulnerabilidad del ecosistema es un factor clave, como lo demostró el incidente de IFX Networks que, al comprometer a un solo proveedor de servicios, afectó a 762 empresas y entidades gubernamentales en Latinoamérica, incluyendo a Colombia.

Este análisis regional revela que los ciberdelincuentes no necesitan tecnologías de punta para tener éxito. Su estrategia se basa en la persistencia y la explotación de vulnerabilidades básicas, como la falta de higiene digital, las contraseñas débiles, la ausencia de parches y la baja conciencia de los empleados. La realidad es que el riesgo de sufrir un incidente en la región andina no es solo probable, es casi inevitable. Ni hablar, además, de las plataformas como servicios dispuestos por cibercriminales para la ejecución y despliegue de campañas de ciber ataques para quienes no poseen conocimientos técnicos. Es decir, hoy la cibercriminalidad se extendió y consagró como un negocio altamente lucrativo con muchas líneas y verticales de negocio y una estrategia clara: lanzar grandes redes, a todo el mar, para capturar algunos peces.

El Cruce de los Mundos: Los Hallazgos del World Economic Forum que Definen el Futuro del Riesgo

Para comprender plenamente el contexto regional, es esencial cruzar estos hallazgos con el "Global Cybersecurity Outlook 2024" del World Economic Forum. El informe no solo valida las tendencias que observamos en Chile, Perú y Colombia, sino que también las enmarca en un contexto global y de largo plazo, destacando cinco hallazgos clave:

1. Creciente Desigualdad en Ciber-resiliencia: Existe una brecha cada vez mayor entre las grandes corporaciones con recursos y las pequeñas y medianas empresas (PYMES). El informe señala que la población de organizaciones que mantienen un nivel mínimo de ciber-resiliencia está desapareciendo, siendo las PYMES las más afectadas por esta disparidad. Sin mencionar, el costo económico que implica y regulaciones (necesarias por supuesto) que impactan estos centros de costos.
2. El Impacto de la Tecnología Emergente: La adopción de tecnologías como la IA generativa está siendo más rápida entre los ciberdelincuentes que entre los defensores. El informe del WEF es contundente: menos de uno de cada diez ejecutivos cree que la IA dará una ventaja a los defensores en los próximos dos años. Este es un contraste directo con el optimismo del estudio chileno y evidencia una peligrosa asimetría de capacidades que podría intensificarse.
3. La Brecha de Talento: La escasez global de profesionales en ciberseguridad continúa ampliándose a un ritmo alarmante. La mitad de las organizaciones más pequeñas por ingresos afirman que carecen de las habilidades necesarias para cumplir sus objetivos de seguridad, lo que agrava la desigualdad de resiliencia.
4. Alineación entre Ciber y Negocio: Aunque la comunicación entre líderes de ciberseguridad y ejecutivos de negocio está mejorando, persisten brechas. El informe destaca una correlación directa entre la resiliencia y el compromiso de la alta dirección: el 93% de las organizaciones con alta resiliencia confían en que su CEO pueda hablar externamente sobre los riesgos cibernéticos, frente a solo el 23% de las menos resilientes.
5. Riesgo del Ecosistema: La interconexión de las empresas con proveedores y socios ha convertido la cadena de suministro en un vector de ataque crítico. El 41% de las organizaciones que sufrieron un incidente material en el último año lo atribuyeron a un tercero. Esta es una confirmación de la vulnerabilidad expuesta por el caso de IFX Networks en Colombia.

Estos hallazgos globales revelan que la situación regional es parte de un problema sistémico y mundial. La disparidad de recursos, el mal uso de la IA por parte de los atacantes y la brecha de talento son desafíos que deben ser abordados de manera estratégica.

El Precio del Silencio: Un Análisis Profundo de la Probabilidad, el Impacto y la Continuidad del Negocio

La ciberseguridad no es una preocupación abstracta; sus riesgos se manifiestan en pérdidas tangibles que pueden devastar una empresa. El costo de los ciberataques ha escalado dramáticamente de un "gasto inesperado" a un riesgo de continuidad del negocio.

El costo global de los daños causados por la ciberdelincuencia se estima en 10 billones de dólares anuales. Un ataque individual puede ser igualmente costoso: el costo promedio de recuperación en un ciberataque fue de 2.57 millones de dólares en 2024, el doble que en 2021. Para las organizaciones que pagan rescates, la cifra puede ser mucho mayor, con el 63% de las demandas excediendo el millón de dólares. Aunque muchas empresas contratan ciberseguros, un 42% de ellas afirma que sus pólizas solo cubrieron una pequeña porción de los costos incurridos.

El impacto operacional es quizás el más crítico. Un estudio reciente revela que el 58% de las organizaciones tuvo que cerrar sus operaciones temporalmente después de un ataque de ransomware, un aumento significativo desde el 45% en 2021.

El tiempo promedio de inactividad de los sistemas críticos es de 12 horas, y la contención y remediación de un ataque requiere, en promedio, 17.5 personas durante 132 horas cada una. Estos datos demuestran un cambio en la estrategia de los atacantes: ya no solo buscan robar datos (lo que sucede en el 32% de los casos), sino paralizar al negocio para forzar el pago del rescate.

Finalmente, el daño reputacional puede ser irreversible. Un 35% de las empresas sufren daños significativos a su marca, y un 41% reporta la pérdida de clientes. La confianza del cliente es uno de los activos más valiosos de una empresa, y un solo incidente puede erosionarla, llevando a los consumidores a optar por competidores que perciben como más seguros.

La falacia de pagar un rescate es un riesgo en sí mismo. Las estadísticas demuestran que el pago no garantiza la recuperación: solo el 13% de las organizaciones logra recuperar todos sus datos, y un alarmante 40% afirma que, a pesar de pagar, los datos fueron filtrados o mal utilizados. Además, casi el 80% de las organizaciones que pagaron el rescate sufrieron un segundo ataque. Pagar es, en muchos casos, financiar a los mismos criminales para que vuelvan a atacar a su empresa.

El Fin de un Legado: El Caso KNP Logistics como Advertencia Final

El caso de KNP Logistics, una empresa de logística con 158 años de historia en el Reino Unido es una advertencia que resume de manera contundente todos los riesgos teóricos que hemos analizado. Su colapso no fue resultado de un ataque de alta complejidad, sino de una vulnerabilidad básica y fatal: una contraseña débil.

El grupo de ransomware "Akira" explotó esta única falla para infiltrarse en la red de KNP. Una vez dentro, cifraron todos los datos críticos y paralizaron las operaciones de la empresa, dejándola inoperable. A pesar de tener seguros y supuestamente seguir los estándares de TI, KNP no pudo recuperarse del golpe. La interrupción operacional fue tal que la empresa fue incapaz de asegurar la inversión necesaria para su supervivencia, lo que la llevó a la insolvencia y al cierre de un negocio con un legado de más de siglo y medio. El resultado fue la pérdida de más de 700 empleos.

Este incidente no solo ilustra cómo un error humano fundamental puede tener consecuencias catastróficas, sino que también resalta el hecho de que el costo de un ciberataque va mucho más allá de las pérdidas financieras inmediatas. El ataque a KNP Logistics minó la capacidad de la empresa para funcionar y mantener su viabilidad, demostrando que la ciberseguridad es una inversión directa en la supervivencia y continuidad del negocio.

Permíteme dejar este breve resumen. Por favor, revísalo… Incluso si no leíste todo lo anterior, únicamente esta tabla:

Conclusión: Más Allá de la Percepción, Hacia la Acción y la Ciber-Resiliencia

El riesgo de ciberseguridad ha evolucionado de ser una preocupación aislada y técnica a un factor decisivo en la continuidad y sostenibilidad de cualquier empresa o institución. Desde la percepción de riesgo en los directorios chilenos, pasando por el asedio masivo en la región, hasta las tendencias globales de inequidad y talento, el mensaje es claro: la complacencia ya no es una opción. El caso de KNP Logistics es una advertencia final, un recordatorio trágico de cómo una única vulnerabilidad básica puede desatar una crisis existencial para un negocio llevando a la extinción.

Para transformar la ciberseguridad de un riesgo existencial a un habilitador estratégico, las empresas deben adoptar un enfoque proactivo y de gobernanza. Las siguientes recomendaciones son un punto de partida estratégico para la alta dirección:

• Establecer la Gobernanza como Prioridad: La creación de un comité de riesgos en el directorio no es un lujo, sino una necesidad. Este órgano debe supervisar la estrategia de ciberseguridad, asignar recursos y garantizar que las decisiones de seguridad se alineen con los objetivos de negocio y la continuidad operativa.
• Adoptar un Modelo Proactivo de "Zero Trust": Abandonar la mentalidad reactiva es fundamental. Implementar un modelo de "confianza cero" y una "gestión continua de exposición a amenazas" (CTEM) significa partir de la premisa de que ninguna entidad, interna o externa, es confiable por defecto. Este enfoque proactivo evalúa y mitiga riesgos de forma constante, en lugar de esperar a que ocurra un incidente.
• Invertir en el Eslabón más Débil: La capacitación y concienciación de los empleados son la primera línea de defensa. Dado que las contraseñas débiles y los ataques de phishing son los vectores más comunes, es imperativo invertir en programas de formación continua para transformar a cada colaborador en un sensor de seguridad.
• Proteger el Ecosistema y la Cadena de Suministro: La vulnerabilidad de un socio es la propia vulnerabilidad de la empresa. La debida diligencia debe extenderse a la resiliencia de los terceros, exigiendo estándares de seguridad y visibilidad sobre sus vulnerabilidades.

En un entorno digital cada vez más hostil, la inversión en ciberseguridad no es un costo de cumplimiento, sino una inversión en la supervivencia y el legado de su empresa. CompunetGroup está listo para ser su socio estratégico, ayudándole a construir una resiliencia que no solo proteja sus activos, sino que también asegure su sostenibilidad en la nueva era digital.

Sinceramente, espero te sea útil la información y, por sobre todo, te invite y guie hacia la acción.