Decidir en qué invertir para fortalecer la ciberseguridad empresarial es uno de los mayores retos para el 45 % de los líderes en México, revela una encuesta reciente de Kaspersky, de acuerdo con el estudio más de la mitad de las organizaciones (66 %) en el país carece de un calendario regular de evaluaciones de riesgo, por lo que muchas actúan solo de forma reactiva: revisan sus medidas de protección únicamente cuando ocurre un incidente o cuando reciben una alerta externa.
El informe apunta que aunque la mayoría de las empresas en México realiza simulaciones de incidentes 42 % cada mes y 48 % de forma trimestral, una de cada diez no tiene ninguna rutina de pruebas. Esta ausencia de práctica sistemática deja una brecha crítica: sin un plan estructurado, los equipos de seguridad difícilmente pueden identificar vulnerabilidades ocultas, evaluar riesgos reales, y desarrollar la resiliencia que exige el panorama actual de amenazas cibernéticas. En este sentido, la carencia de controles formales y de revisiones periódicas no solo impide anticiparse a un ataque, sino que también dificulta construir una estrategia de defensa coherente.
Además, el 15 % de los encuestados afirma no contar con una estrategia clara de seguridad para muchas organizaciones, el reto no es solo saber qué hacer, sino carecer de una directriz estructurada que guíe decisiones, priorice recursos y defina un nivel mínimo de protección necesario.
Una peligrosa brecha entre confianza y realidad
Según el mismo estudio, persiste una desconexión entre la confianza de los responsables en sus defensas digitales y el nivel real de seguridad de sus sistemas. Muchas empresas creen estar más protegidas de lo que están, lo que complica aún más la identificación de prioridades, la justificación de inversiones, y la corrección de puntos críticos antes de que un incidente ocurra, de acuerdo con Claudio Martinelli, director general para Américas en Kaspersky “Cuando no hay visibilidad real sobre el estado de la ciberseguridad, las decisiones de inversión se vuelven inciertas, intuitivas y más difíciles de medir correctamente. Como consecuencia, justificar la inversión se convierte en una tarea desafiante.”
Martinelli compara la ciberseguridad con un seguro automotriz: “lo necesitamos tener pero deseamos nunca usarlo”. Su argumento evidencia una realidad poco considerada por muchas empresas: el retorno de inversión (ROI) de la seguridad digital no se mide en ingresos, sino en evitar pérdidas, interrupciones operativas y daños reputacionales.
La urgencia de invertir en ciberseguridad no es una preocupación aislada. Datos recientes muestran que el número de ataques a empresas mexicanas aumenta año con año. De acuerdo con Kaspersky, en el tercer trimestre de 2024 los ciberataques en México crecieron 30 %. En ese periodo, las empresas sufrieron 42.4 millones de ataques de malware un promedio de 116 mil intentos diarios, de los cuales casi un 30 % estuvieron dirigidos al sector manufacturero.
Otro estudio, esta vez de ManageEngine, asegura que en 2023 alrededor del 65 % de las empresas mexicanas reportaron un aumento en los incidentes de seguridad respecto a años anteriores, lo que posiciona a México como uno de los países más afectados por brechas digitales en la región. En buena medida, este contexto refuerza lo señalado por Kaspersky: las prácticas actuales de ciberseguridad son insuficientes ante la persistente y creciente ola de ataques.
Además, la percepción de amenaza cambió según otro estudio de Kaspersky, el 78 % de las empresas en México considera que los ciberataques potenciados por inteligencia artificial representan una amenaza seria, y más de la mitad afirma que su organización ya ha sido blanco de este tipo de ataques.
Asimismo, un informe reciente de PwC destaca que el 86 % de las empresas en México planea aumentar su inversión en ciberseguridad hacia 2026, lo que sugiere un cambio de mentalidad hacia una gestión más preventiva del riesgo digital.
Para asegurar un ciclo de mejora continua, Kaspersky propone medidas concretas: establecer un calendario recurrente de evaluaciones de riesgo (mínimo trimestral o semestral), realizar simulaciones de ataques de forma periódica, definir indicadores de riesgo vinculados a la continuidad del negocio, y revisar políticas y controles con base en inteligencia de amenazas actualizada. Además, recomienda alinear inversiones con resultados esperados, priorizando correcciones que reduzcan la exposición y fortalezcan la gobernanza empresarial.
Lee más:
- NiCE fortalece su estrategia en Latinoamérica con el nombramiento de Claudia Argenton como directora de Canales
- 8 configuraciones básicas para proteger tu red Wi-Fi corporativa en 2026
- Canales de distribución destacan en la 19ª edición de los Premios Monarca de HP
Compartir nota:
