Al igual que un paciente en la sala de emergencias, las empresas están acudiendo a los especialistas en ciberseguridad para someterse a un triaje digital y detectar, en el menor tiempo posible, si están siendo víctimas de un ataque por parte de hackers de sombrero negro. Solo en el 2024, año que marcó un récord en el número de ciberataques, las organizaciones en el mundo enfrentaron 1,876 intentos de intrusión semanales. “Año a año, los ciberataques varían según el nicho de mercado”, dice Shirley Villacorta, gerente de Ciberseguridad y Privacidad de PwC Perú, una experta que lleva 18 años en el campo de la seguridad y la ciberseguridad.
Durante los últimos años, en los que el presupuesto destinado a ciberseguridad en las empresas ha aumentado —el 78% de las compañías a nivel mundial incrementó su inversión en esta área—, Villacorta señala que hay dos preguntas recurrentes entre empresarios y altos ejecutivos peruanos con respecto a los ataques digitales: cómo gestionar adecuadamente el riesgo cibernético y cómo prevenir estos incidentes, cumpliendo además con las exigencias regulatorias vigentes. “La gestión de la ciberseguridad ha evolucionado, pasando de ser un simple requisito de cumplimiento a convertirse en una estrategia integral dentro del marco de riesgos empresariales”, señala.
LEA TAMBIÉN: Latinoamérica necesita 1.3 millones de profesionales en ciberseguridad
Una empresa que no identifica sus principales vulnerabilidades y no está preparada para responder el ataque difícilmente reconocerá el costo y beneficio de aplicar una herramienta integral de ciberseguridad. No solo podría obtener sanciones, sino también pérdidas operativas. El Foro Económico Mundial, por ejemplo, ha proyectado que los costos relacionados con la ciberdelincuencia alcanzarían los US$10.5 billones de dólares este 2025.
Que el número de ciberataques siga en aumento no es una novedad, especialmente cuando las técnicas se perfeccionan gracias —en parte— a la Inteligencia Artificial (IA). Sin embargo, el verdadero problema, señala la experta, no es ese, sino si las empresas han logrado construir confianza con sus stakeholders, y si han capacitado y comprometido a toda la organización—desde el directorio y C-Level, hasta los usuarios finales— para identificar a tiempo un ataque, reportarlo y escalarlo al área correspondiente.
“Los cibercriminales aumentan sus ataques por factores como intereses políticos y por selección de industria, año a año van variando de nicho de mercado, pero eso no debe ser un factor de decisión para optar o no por un esquema de seguridad, más bien las empresas deben revisar si tienen las herramientas para responder a esos ciberataques”, indica.
LEA TAMBIÉN: Bancos deben informar filtración de datos en 48 horas, ¿es posible?
Postura de ciberresilencia
Según la encuesta 2025 Global Digital Trust Insights, el top 5 de preocupaciones en ciberamenazas en Latinoamérica son: amenazas en la nube (51%), robo y filtración de datos (49%), ataques en productos conectados (32%), brechas de seguridad en terceros (30%) e ingeniería social (28%).
Mes a mes, además, se reportan cuáles son las industrias más afectadas. En el 2024, uno de los sectores más afectados en la región fue el sector salud, aunque también se vieron casos importantes en el sector financiero, de seguros y en otras industrias. “Este año con el aumento de las operaciones digitales, la incorporación de soluciones basadas en IA y la innovación tecnológica, las amenazas se centrarán en las empresas que tengan brechas en ciberresiliencia, brechas en el nivel de madurez de ciberseguridad y brechas en la gestión del ciber riesgo”, resalta. Entonces, ¿cómo estar preparados ante un ciberataque?
De hecho —añade—en el mercado peruano estamos enfrentando un desafío: desarrollar y definir una postura de ciberresilencia para responder a los ciberataques; ahora más que nunca luego que el Ministerio de Justicia emitiera en noviembre del 2024 una actualización al reglamento de la ley de Protección de Datos Personales, donde coloca la necesidad de mejorar y elevar el grado de madurez de la gestión de incidentes de ciberseguridad.
Algunas pautas previas
- La ingeniería social siempre será la parte más vulnerable y el punto débil de todas las industrias expuestas a los ciberataques. En el sector financiero, específicamente, los ataques casi siempre están dirigidos a los aplicativos o a las soluciones a través de las cuales se brindan los servicios. “No es extraño que, cada vez que se actualiza un aplicativo, el ciberatacante esté interesado en conocer si se ha desarrollado de manera segura o no”, apunta la experta.
- Es fundamental considerar que los ciberdelincuentes cambian sus tácticas en tiempo real, por lo que se debe poner énfasis en los análisis de vulnerabilidades. Por ejemplo, una empresa minera que importe tecnología de punta debería realizar una evaluación de riesgos en redes OT (tecnología operativa) para identificar posibles brechas de seguridad.
- Es clave que las organizaciones diferencien los roles y responsabilidades de cada miembro de su equipo de ciberseguridad. Por un lado, está el experto encargado de garantizar que la tecnología y las herramientas implementadas cumplan con los estándares de seguridad; por otro, está quien acompaña el proceso desde una perspectiva de seguridad operativa. Son estos especialistas quienes deben tomar decisiones críticas en caso de un ciberataque.
Prevención, siempre clave
- Primero, es fundamental desarrollar capacidades técnicas para responder en el menor tiempo posible dentro de un marco de evaluación de riesgos ante eventos disruptivos. Si una empresa enfrenta un ciberataque, ya sea por ransomware o malware, debe tener la capacidad de identificar en qué fase del ataque se encuentra. Para ello, es necesario realizar un diagnóstico de madurez y contar con datos precisos sobre la capacidad operativa instalada.
- Estas capacidades técnicas incluyen la implementación de métodos de detección de incidentes y triaje para reconocer el tipo de ciberataque que se está enfrentando, determinar qué talento especializado se requiere y qué disciplina debe liderar la respuesta. Además, es esencial identificar qué activos críticos están siendo atacados, ya sea propiedad intelectual, “joyas de la corona” o información estratégica.
- Finalmente, no solo se trata de detener el ciberataque, sino también de garantizar una recuperación en un tiempo razonable, alineado con las expectativas de la organización y del usuario final.
“No puede existir una estrategia de ciberseguridad si no se ha incorporado un servicio integral. Y no hablamos solo de implementar un antivirus, sino de contar con un servicio especializado que monitoree en tiempo real las alertas de posibles intentos de intrusión en una organización”, señala Shirley Villacorta, quien deja dos mensajes finales para las compañías: la importancia de un fuerte trabajo de concienciación interna y la necesidad de instaurar una disciplina de hacking ético (hackers buenos), que garantice el cumplimiento de las buenas prácticas de gobierno corporativo. Además, recomienda incorporar estrategias de Red Teaming para poner a prueba las capacidades del equipo de ciberseguridad.