Lectura 4:00 min
El 45% de las empresas en México no sabe cómo invertir en ciberseguridad
Las empresas mexicanas operan a ciegas en materia de ciberseguridad, con 66% sin evaluaciones regulares de riesgo y 15% sin estrategia definida, lo que hace que reaccionen únicamente cuando ocurre un incidente.
Foto: AFP
Decidir en qué gastar los recursos destinados a ciberseguridad se ha convertido en un rompecabezas para casi la mitad de las empresas en México. De acuerdo con una encuesta de Kaspersky a responsables de seguridad digital, 45% de los líderes de empresas en México reconoce que no sabe cómo priorizar sus inversiones para proteger sus datos, redes y sistemas.
El problema de fondo, de acuerdo con Kaspersky, es la falta de diagnósticos. En México, 66% de las organizaciones no cuenta con un calendario regular de evaluaciones de riesgo y solo revisa su postura de seguridad cuando ocurre un incidente o aparece una alerta externa. Esto coloca a la mayoría en un modo reactivo frente a un entorno donde los ataques son más frecuentes y sofisticados.
Las simulaciones existen, pero no alcanzan a todo el mercado. La mayoría de las empresas mexicanas realiza ejercicios de respuesta a incidentes: 42% lo hace cada mes y 48% de manera trimestral; sin embargo, una de cada 10 no tiene ninguna rutina de pruebas, lo que deja una brecha en su preparación real frente a un ataque dirigido.
A esta falta de disciplina se suma la ausencia de una ruta clara. En México, 15% de los encuestados afirma no contar con una estrategia de ciberseguridad definida, lo que dificulta todavía más saber dónde invertir, qué proyectos priorizar y cuál debería ser el nivel mínimo de protección para el negocio.
Te puede interesar
Problema regional
Los datos regionales muestran que el problema no es exclusivo del país. En América Latina, 56% de las organizaciones no tiene un programa regular de evaluación de riesgos y reacciona solo cuando hay una brecha interna o un incidente grave en su industria.
La encuesta CISO para América Latina detalla además que la adopción de tecnologías de protección básica sigue incompleta. El 70% utiliza antimalware o antivirus, 56% firewalls y 52% servicios de inteligencia de amenazas; casi un tercio no cuenta con protección antimalware y 44% no tiene firewall, lo que deja huecos evidentes en la primera línea de defensa.
Las capacidades más avanzadas también están lejos de ser un estándar. Solo 42% de las organizaciones en la región emplea SIEM, 31% usa EDR y apenas 25% tiene XDR, aunque alrededor de un tercio planea implementarlas en los próximos 18 meses.
Esta infraestructura incompleta entre las empresas de América Latina contrasta con un entorno de riesgo al alza. Ocho de cada 10 empresas de la región reportan un aumento significativo en el volumen de ciberataques en los últimos dos años y 82% observa mayor complejidad técnica.
Sus principales preocupaciones son las brechas de seguridad en la nube (50%), los ataques basados en inteligencia artificial (48%) y el phishing y otras campañas de ingeniería social (40%), por encima incluso del ransomware.
Te puede interesar
Presupuesto
En este contexto, los responsables de TI dicen confiar en su capacidad para identificar amenazas y responder rápido, pero reconocen que falta trabajo, 90% considera que debe hacer mejoras para mantener seguros sus sistemas en los próximos dos años y 45% admite que ese esfuerzo será “mucho trabajo”.
Los planes de gasto muestran hacia dónde se moverán los presupuestos. Más de la mitad de las organizaciones en la región (51%) piensa invertir en nuevos softwares para detección de amenazas, 49% en capacitación específica para profesionales de ciberseguridad y 41% en entrenamiento para empleados no técnicos, un reconocimiento de que el factor humano sigue siendo una de las mayores vulnerabilidades.
Pero incluso con más dinero, el dilema sobre cómo invertir persiste. Entre los obstáculos para adoptar tecnologías proactivas como XDR o inteligencia de amenazas, los CISO advierten sobre la falta de personal calificado (22%), la complejidad técnica de la implementación (21%) y la falta de presupuesto (19%). Solo 17% dice destinar al menos la mitad de su inversión en seguridad a este tipo de soluciones, mientras que 37% invierte menos de una cuarta parte.
En un México donde 45% de las empresas aún no sabe cómo invertir en ciberseguridad, la recomendación de Kaspersky no es comprar más tecnología, sino ganar visibilidad sobre el riesgo real que enfrentan.
