La ciberseguridad reactiva le está saliendo cara a las empresas en México

Casi la mitad de las organizaciones en México reconoce que no sabe en qué invertir primero para fortalecer su ciberseguridad. Según la encuesta CISO 2025 de Kaspersky, 45 % de los líderes en el país tiene dificultades para priorizar su presupuesto de protección digital y 66 % no cuenta con un calendario regular de evaluaciones de riesgo. El resultado es un modelo peligroso: empresas que revisan su postura de seguridad solo cuando ya sufrieron un incidente o reciben una alerta externa.

Diagnósticos ausentes, decisiones a ciegas

La investigación de Kaspersky muestra una brecha preocupante entre intención y disciplina. La mayoría de las organizaciones realiza simulaciones de incidentes —42 % lo hace cada mes y 48 % de forma trimestral—, pero una de cada diez no tiene ninguna rutina de pruebas. Al mismo tiempo, 15 % de los encuestados admite no contar con una estrategia clara de seguridad.

Sin diagnósticos periódicos ni un marco estratégico, la ciberseguridad se vuelve reactiva. Los equipos de TI y seguridad dejan de identificar vulnerabilidades ocultas, no desarrollan la resiliencia necesaria para el panorama actual de ciberamenazas y, sobre todo, pierden capacidad para explicar al negocio qué debe hacerse, cuándo y por qué.

En ese contexto, hablar de “invertir más en seguridad” es insuficiente. El verdadero reto es elegir qué reforzar primero y qué nivel de riesgo residual está dispuesto a aceptar el negocio.

La brecha entre la confianza y la realidad

El comunicado subraya otro problema menos visible: la disparidad entre la confianza que las empresas tienen en su protección digital y el nivel de seguridad real con el que operan. Cuando la organización se percibe más protegida de lo que está, se distorsiona la conversación interna:

• se subestima el riesgo,
• se posponen inversiones necesarias,
• y se dificulta justificar medidas impopulares (cambios de procesos, segmentación de redes, revisiones de proveedores, etcétera).

“Cuando no hay visibilidad real sobre el estado de la ciberseguridad, las decisiones de inversión se vuelven inciertas, intuitivas y más difíciles de medir correctamente”, explica Claudio Martinelli, director general para Américas en Kaspersky. A su juicio, sin un escenario claro de dónde está la empresa y a dónde quiere llegar, es casi imposible construir un plan de inversiones por etapas con metas y expectativas de mejora verificables.

El ROI de la seguridad: un seguro, no una máquina de ingresos

Uno de los puntos más interesantes del análisis de Kaspersky es la manera en que aborda el retorno de la inversión en ciberseguridad. A diferencia de otras iniciativas de transformación digital, la seguridad no genera ingresos de forma directa: su función es evitar pérdidas, interrupciones y daños a la reputación.

“En ciberseguridad, el retorno de la inversión (ROI) es un tema complicado, pues no hay generación de ingresos con seguridad. Debe ser entendido más como un habilitador del negocio, como un seguro del coche que necesitamos tener pero deseamos nunca usarlo”, apunta Martinelli.

Esta metáfora es útil para el comité directivo: la seguridad no compite con proyectos comerciales, sino que los hace viables. Sin un nivel mínimo de protección:

• una nueva línea de negocio digital puede convertirse en un vector de ataque,
• una alianza estratégica puede exponer datos sensibles,
• y un incidente puede neutralizar en días el valor creado por años de inversión.

Del miedo al método: diagnóstico estructurado y análisis de riesgos

Para salir del círculo vicioso de la reacción, Kaspersky propone un enfoque pragmático: partir de un diagnóstico estructurado del estado actual de la ciberseguridad y/o de un análisis de riesgos basado en impacto, como el Análisis Factorial del Riesgo de la Información (FAIR, por sus siglas en inglés).

El objetivo de este ejercicio no es generar un documento perfecto, sino:

• identificar de manera objetiva las áreas críticas que requieren atención inmediata;
• vincular cada debilidad con escenarios de impacto para el negocio (interrupción operativa, sanciones regulatorias, filtración de datos, afectación a clientes);
• y traducir estos hallazgos en una hoja de ruta de inversiones priorizadas.

Con un diagnóstico sólido, el equipo de seguridad deja de pedir presupuesto “por si acaso” y empieza a defender inversiones específicas con argumentos claros: qué se va a corregir, qué riesgo se reduce y qué tipo de daño potencial se evita.

Empresas grandes, PyMEs y el factor complejidad

El texto recoge también un punto relevante para la realidad latinoamericana: el tamaño de la organización no elimina la necesidad de estrategia; solo cambia la complejidad. “Ya sea una pequeña empresa que busca establecer una buena protección y adoptar mejores prácticas, o una gran organización que requiere una estrategia más robusta, todas pueden definir con claridad las mejoras que necesitan. Lo único que cambia es la complejidad”, señala Martinelli.

Para una Pyme, el diagnóstico puede traducirse en medidas muy concretas:

• segmentar redes básicas,
• reforzar controles de acceso,
• proteger datos críticos de clientes,
• definir un plan mínimo de respuesta ante incidentes.

En una gran empresa, el mismo enfoque se extiende a múltiples unidades de negocio, cadenas de suministro globales y terceros críticos. Pero la lógica es la misma: entender dónde duele más un incidente y actuar primero allí.

Cinco prácticas para priorizar inversión en ciberseguridad

Kaspersky cierra el comunicado con un conjunto de recomendaciones que, vistas desde la óptica de Neurona, pueden funcionar como checklist para CIOs, CISOs y directores de riesgo:

1. Establecer un calendario de evaluaciones de riesgo recurrentes.
   Con periodicidad mínima trimestral o semestral, para que el mapa de riesgos no se vuelva obsoleto entre una revisión y otra.
2. Realizar simulaciones de ataques de forma regular.
   Idealmente mensuales o trimestrales, incluso en formato simplificado, para medir avances y ajustar acciones de mitigación y respuesta.
3. Definir indicadores de riesgo claros.
   Alinearlos con los planes de continuidad y con el impacto operativo en el negocio: tiempo de inactividad, sistemas críticos afectados, alcance en clientes, entre otros.
4. Revisar políticas y controles con base en datos de nuevas amenazas.
   Incorporar información proveniente de servicios de inteligencia de amenazas, no solo de auditorías de cumplimiento. Esto aumenta la probabilidad de neutralizar ataques en curso y, al mismo tiempo, brinda casos concretos para justificar inversiones.
5. Alinear inversiones a resultados esperados.
   Priorizar correcciones que reduzcan exposición y fortalezcan la gobernanza, en lugar de sumar herramientas sin una lógica clara de integración o uso.

De la lista de compras al mapa de riesgos

Para los líderes que leen Neurona, la conclusión es directa: el problema no es solo cuánto se invierte en ciberseguridad, sino cómo se decide cada peso. Sin diagnósticos regulares, sin simulaciones y sin un marco mínimo de análisis de riesgos, la conversación sobre seguridad se reduce a listas de compras de tecnología y a reacciones ante el último titular de ciberataques.

El estudio de Kaspersky sobre empresas en México pone sobre la mesa una agenda pendiente: profesionalizar la gestión de riesgos digitales con la misma seriedad con la que se gestiona el riesgo financiero, operativo o de cumplimiento.

El cambio de enfoque es claro: pasar de preguntarse “¿qué herramienta me falta?” a plantear, primero, “¿qué riesgos son inaceptables para mi organización y qué nivel de protección necesito para seguir operando con tranquilidad?”. A partir de ahí, la inversión deja de ser un gasto defensivo y se convierte en una pieza más de la estrategia de negocio.