En el mundo de los negocios, los líderes están acostumbrados a gestionar riesgos: financieros, operativos, reputacionales. Sin embargo, hay un riesgo que sigue subestimado en México: el riesgo cibernético. Lo más alarmante no es solo la frecuencia con la que ocurren los ataques, sino la facilidad con la que los criminales operan... y se salen con la suya.
A diferencia de Estados Unidos o Europa, donde existe un marco legal robusto que obliga a reportar incidentes de ciberseguridad, investigar responsables y notificar a las víctimas, en México el entorno legal es laxo, la supervisión escasa y las consecuencias casi nulas. Hoy, en nuestro país, robar una base de datos o extorsionar a una empresa con ransomware es, en la práctica, un delito de bajo riesgo y alta rentabilidad.
Las estadísticas lo confirman: según el Cyberthreat Defense Report 2024, el 97% de las empresas en México reportaron haber sido atacadas exitosamente al menos una vez. Es el porcentaje más alto de los 19 países evaluados. Y sin embargo, la mayoría de esos casos no se denuncian, no se investigan, y mucho menos se resuelven.
No es un problema exclusivo del sector privado. El caso del Guacamaya Leaks, que expuso millones de documentos de la Secretaría de la Defensa Nacional, demostró que incluso las instituciones más estratégicas carecen de defensas adecuadas. Pero en el mundo corporativo, los ataques más comunes son aún más silenciosos: phishing, robo de bases de datos, ransomware. En muchos casos, las empresas prefieren guardar silencio por temor a la afectación reputacional. Paradójicamente, el riesgo reputacional más grave es no actuar.
La gran lección para cualquier líder empresarial es clara: la ciberseguridad ya no es un tema técnico, es un tema de continuidad de negocio. No se trata solo de tener buenos firewalls o sistemas de respaldo, sino de asumir desde la alta dirección una postura activa, ética y estratégica ante esta amenaza.
¿Qué puedes hacer como líder?
- Establece políticas claras de protección de datos y respuesta a incidentes.
- Invierte no solo en tecnología, sino en capacitación continua para todo tu equipo.
- Adopta estándares internacionales como el GDPR de manera voluntaria, aunque la ley mexicana no lo exija.
- Asume que el ataque va a ocurrir, y que tu ventaja competitiva radica en cómo respondes.
Incluso si un día recibes una ataque de ransomware, hay herramientas de defensa como Sentinel One, que te permiten hacer un rollback para volver a tu estado pre ataque y recuperar tus datos y tu operación sin necesidad de interrumpir operaciones y/o pagar un rescate al cibercriminal.
No podemos seguir esperando a que la legislación mexicana se ponga al día. En un entorno de impunidad digital, la protección de datos debe ser una decisión de liderazgo, no una imposición legal. Y quienes entiendan esto primero, serán también quienes logren proteger mejor su reputación, su operación… y la confianza de sus clientes.
A finales de Septiembre en la Ciudad de México, una vez más tendrá lugar Infosecurity México, donde seguramente se discutirá este y otros temas para construir un marco jurídico y una cultura de prevención más robustas alrededor de los datos que tenemos en nuestras empresas y los que retienen en el gobierno; sin duda una tarea pendiente de nuestro México.
Manuel Rivera (manuel@nektgroup.com @mriveraraba) es CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad. www.nektcyber.com
