Miércoles 3 de septiembre del 2025

La ciberseguridad se ha convertido en una prioridad urgente para las empresas en Latinoamérica, sin importar su tamaño o sector. En términos de costos, el 35% de las empresas destinó entre US$1,5 millones y US$3 millones a la gestión de estos incidentes solo en 2023 de acuerdo con el estudio de EY Global Cybersecurity Leadership Insights Study.

“En esta coyuntura, el error más grave que pueden cometer las empresas es pensar que ‘esto solo les pasa a otros’ o ‘es un problema del área de tecnología’. La realidad demuestra lo contrario: todas las empresas están en la mira de los ciberdelincuentes y muchas aún operan con sistemas desactualizados, sin planes de respuesta efectivos y probados, sistemas de monitoreo continuo, sin autenticación multi-factor, ni capacitación ni concientización adecuada a todo nivel, lo cual las hace altamente vulnerables”, comenta Rodrigo Delgado, Gerente Senior de Servicios Forenses y Riesgos de Integridad de EY Perú.

De acuerdo con casos reportados por la Fiscalía, desde el 2021 hemos pasado de 18,424 reportes de delitos informáticos a 42,161 al cierre del 2024 y en lo que va del primer trimestre del 2025 se han reportado 9,193 casos. Es decir, un promedio de 100 casos diarios a nivel nacional.

¿Qué acciones deberían implementarse de forma preventiva como protección frente a un ciberataque? EY Perú te comenta cuáles son los 5 aspectos fundamentales.

1. Simulaciones de crisis con prensa y equipos legales en tiempo real: No basta con los tabletop o simulaciones internas con el área de tecnología. Involucra a tu equipo legal y de comunicación para simular un incidente con presión mediática realista. Esto permite afinar respuestas estratégicas bajo estrés, reducir errores de comunicación y garantizar que todos sepan cómo actuar en un escenario público adverso. Un fallo de PR en un incidente puede ser más costoso que el daño técnico.

2. Contratos de respuesta a incidentes pre-acordados con proveedores externos: Negociar y firmar acuerdos de retención anticipada con firmas de Digital Forensics & Incident Response (DFIR), legales y de comunicación antes de un ataque acelera la reacción en momentos críticos. Evita bloqueos administrativos y garantiza disponibilidad inmediata de expertos. En medio de una crisis, el tiempo que se pierde negociando puede ser letal; tenerlo preacordado es como tener a los bomberos ya estacionados fuera del edificio.

3. Integración de detección de manipulación psicológica (social engineering) en análisis de amenazas: No basta con detectar malware o phishing: hay que identificar patrones de ingeniería social, phishing altamente dirigidos y campañas de desinformación internas. Usar herramientas que analicen lenguaje, contexto y patrones de comportamiento permite anticipar ataques antes de que escalen. La manipulación humana sigue siendo el vector más efectivo, y analizarlo como parte de la inteligencia técnica es una ventaja clave.

4. Incentiva el «shadow IT» con enfoque de caza proactiva: En vez de esperar que el área de TI controle todo, es posible crear equipos de threat hunting o cazadores dedicados a mapear y auditar herramientas, aplicaciones y accesos no documentados. Estas rutas olvidadas son puertas traseras perfectas para atacantes. Sorprendentemente, muchos Chief Information Security Officers (CISO) subestiman el shadow IT hasta que es demasiado tarde. Mapear lo oculto puede prevenir lo irreparable.

5. Entrenamiento de modelos de IA con incidentes propios y amenazas regionales: En lugar de depender exclusivamente de modelos genéricos entrenados con datasets globales, las organizaciones pueden desarrollar o afinar modelos de IA con sus propios logs de incidentes y muestras de amenazas específicas a su sector y región (por ejemplo, malware que afecta a Latinoamérica). Esto permite una detección hipercontextualizada y reduce los falsos positivos. Además, ayuda a anticipar patrones que una IA global podría pasar por alto por falta de contexto local. Es como enseñarle a un perro guardián a reconocer el olor de su barrio, no solo el de los intrusos globales.

“Una vez que se enfrenta un ciberataque, lo principal es no entrar en pánico. El primer paso es aplicar todo el conocimiento generado durante las simulaciones y seguir el plan de respuesta para contener el incidente sin perder evidencia. Eso significa saber qué aislar, cómo preservar los registros de auditoría y cómo coordinar la respuesta técnica. En paralelo, trabajar en la comunicación: hay que informar con claridad a las partes internas y externas, especialmente si se trata de una obligación legal. Y finalmente, recuperar operaciones de forma segura y documentar todo para aprender y reforzar las defensas”, finaliza el vocero de EY Perú.