¿Tus datos están seguros en la nube? Forcepoint revela por qué vivimos en una falsa “realidad asegurada”
Migrar sistemas heredados a la nube sin una estrategia adecuada provoca que las vulnerabilidades previas se “hereden” y se vuelvan más visibles y explotables.
En 2025, México cerrará el año con un aumento del 32% en incidentes de ciberseguridad, según estimaciones del sector, actualmente, la industria se ha habituado a creer que almacenar información en servidores externos equivale a blindarla, cuando en realidad y como apuntan expertos la seguridad sigue siendo responsabilidad del usuario. Y el costo del error, especialmente para sectores como el financiero puede alcanzar millones en pérdidas y un daño reputacional difícil de revertir.
Dicho lo anterior, Forcepoint busca poner sobre la mesa la realidad asegurada término que cuestiona la distancia entre lo que las organizaciones creen proteger y lo que realmente está en riesgo.
Para entender mejor este término y sus implicaciones Ramón Castillo, gerente de ingeniería preventa para México y Latinoamérica en Forcepoint, comentó en entrevista que es testigo directo de cómo la nube se convirtió en “la solución rápida” que muchos adoptaron sin detenerse a pensar en su arquitectura de seguridad.
La falsa sensación de protección
Castillo define la realidad asegurada como esa percepción o ilusión que acompaña a las organizaciones al migrar sus sistemas y datos a la nube. Es, como él dice, “la sensación de sentirnos seguros sin realmente estarlo”.
“El simple hecho de poner nuestros datos en un servidor tercerizado no significa que estén 100% seguros”, afirma. “Muchas veces solo tenemos la sensación de que lo están.”
Su explicación remite al punto que la protección no se transfiere automáticamente al proveedor de nube. Y aunque empresas como Amazon, Google o Microsoft cuentan con infraestructuras robustas, la configuración y resguardo final de los datos sigue recayendo en el cliente. Castillo advierte que la percepción de seguridad por defecto provoca que miles de organizaciones, especialmente en México vivan bajo una narrativa distorsionada.
De acuerdo con el vocero existe un error común y es asumir que pagar por un servicio en la nube es sinónimo de blindaje total. “Hay compañías que invierten millones en ciberseguridad para cumplir normativas, y otras que creen que no necesitan invertir en nada porque ‘así están seguras’”, indica. El resultado es una brecha significativa entre la expectativa y realidad, una brecha que se agrava cuando la velocidad de despliegue supera a la planeación.
La deuda técnica: el enemigo silencioso
La transición masiva hacia la nube acelerada por la demanda de agilidad, dejó un rastro de configuraciones incompletas, parches pendientes y servicios que se activaron sin revisar la arquitectura de seguridad. “La velocidad es muchas veces el enemigo de la ciberseguridad”, explica Castillo. “Hacer las cosas rápido no significa hacerlas bien”.
Este fenómeno, conocido como deuda técnica, se traduce en vulnerabilidades que permanecen dormidas hasta el momento exacto en que un atacante decide explotarlas. De acuerdo con el especialista, esa deuda también se hereda cuando un sistema legado se migra sin una auditoría adecuada.
“Las migraciones arrastran los vicios de origen”, advierte. “No es lo mismo tener un sistema protegido dentro de casa que ponerlo en un ambiente expuesto a riesgos directos de la nube”.
Casos recientes como caídas en servicios de AWS o Cloudflare evidencian otro punto crítico como la disponibilidad, aunque la infraestructura de nube es sólida, no está exenta de fallas, interrupciones o errores humanos. Y cuando un proveedor sufre una caída global las empresas que dependen exclusivamente de él se ven paralizadas.
Dónde están los datos y quién los toca
Para Forcepoint, la primera línea de acción es la visibilidad. Su propuesta, conocida como Data Security Everywhere, busca responder una pregunta esencial para cualquier organización: ¿dónde están mis datos y quién tiene acceso a ellos?
“Si no sabes dónde están tus datos, no puedes protegerlos”, señala Castillo. La solución permite clasificar información, medir su nivel de riesgo y aplicar controles según sensibilidad desde propiedad intelectual hasta datos financieros o personales.
Este enfoque se vuelve indispensable cuando entran en juego regulaciones como la Ley Federal de Protección de Datos Personales o el GDPR europeo, especialmente cuando los datos cruzan fronteras. En ese sentido, la soberanía digital se convierte en un reto técnico y legal que no todas las empresas mexicanas han entendido completamente.
Aunque todas las industrias manejan información sensible, el sector financiero continúa siendo el objetivo principal del cibercrimen. No es casualidad: como apunta Castillo, “los atacantes siempre irán tras el eslabón más débil”.
El panorama se vuelve más complejo cuando sectores tradicionalmente ajenos a la tecnología ahora procesan pagos, datos financieros o información biométrica. El retail, por ejemplo, pasó de ser comercio a convertirse en proveedor de servicios financieros. Y la cadena de suministro, fabricación, energía, agua, gas está viviendo un proceso de digitalización acelerada que la vuelve vulnerable.
Shadow IT e IA generativa: el nuevo riesgo
Pero no todo el riesgo proviene de sistemas heredados. Uno de los desafíos más recientes es el Shadow IT, tecnologías adoptadas por empleados sin intervención del área de TI. Y en 2025, el Shadow IT tiene un nuevo protagonista: la inteligencia artificial generativa.
“Muchos datos se están yendo por ahí, sin control, sin protección y sin respaldo”, advierte Castillo. Herramientas como ChatGPT, Gemini o Copilot están siendo utilizadas como atajos operativos, pero también están absorbiendo información crítica que debería permanecer dentro de entornos seguros.
A esto se suma un problema que México arrastra años: la falta de talento especializado. Empresas que desean mejorar su seguridad simplemente no encuentran personal calificado. “Un CIO debe preguntarse si realmente su información está segura y si está sacrificando ciberseguridad por productividad”. No se trata solo de proteger datos, sino de garantizar la continuidad del negocio y minimizar el riesgo de ser el siguiente caso de exposición masiva.
Lee más:
- Dell Technologies y NVIDIA avanzan en la innovación de IA empresarial
- Los mitos y verdades que necesitas conocer antes de comprar un equipo seminuevo de acuerdo con Clevercel
- Dahua Technology entra en la era de los grandes modelos de IA con “Xinghan”
