Ciberseguridad en Pymes Latinoamericanas.Escribe Nazly Borrero Vásquez

Nazly Borrero Vásquez, distinguida como una de las 100 mujeres líderes de México, columnista de www.globalbuenosaires.com.ar, escribe sobre la ciberseguridad en Pymes Latinoamericanas  y advierte sobre los riesgos de la desprotección en las empresas.

Nazly Borrero Vásquez es además  Ingeniera Informática, cuenta con estudios en las especializaciones y diplomados en Gerencia Estratégica, Derecho Informático, Maestra en Ciberseguridad con la UTH Florida, cuenta con certificaciones internacionales en Protección de Datos Personales, Auditoria Forense, ISO27001 Seguridad de la Información, Perito Ciberjudicial.

También ese autora de los libros “Fronteras Invisibles de la Ciberseguridad”, “A un Click de Enredarse Recargado 1 y 2”, “Clickea y Procede Mejor” y “Cadena Inmutable: Homologación y Forensia en la Era Digital” y su último libro “Cyber Artificial. Conectando las Fuerzas Digitales de Protección”. 

En los últimos meses, la realidad digital ha golpeado con mayor fuerza a empresas de todos los tamaños en América Latina. Informes recientes muestran que muchas organizaciones están siendo atacadas semanalmente. Según CheckPoint Research, promedio regional para primeros semestres de 2025 arroja unos 2,716
ciberataques por semana por organización, diferencia notable frente al promedio global. Además, un estudio de ESET indica que 1 de cada 4 empresas latinoamericanas declaró haber sufrido un ciberataque en el último año, y más de un 30 % admitió carecer de herramientas para confirmar si ha sido atacada o no.

Para un CEO de Pyme, estas cifras dejan claro que no se trata de probabilidades, sino de amenazas constantes. Para el CISO, acompañar esa conciencia con acciones visibles es parte del liderazgo. El problema más frecuente no es laignorancia, sino la falta de preparación formal y de recursos certificados que muchas
veces resultan inaccesibles.

Por qué la conciencia digital debe convertirse en política organizacional. Cada correo que llega sin verificación, cada dispositivo móvil personal sin protección y cada contraseña compartida representan puertas que los adversarios pueden abrir sin muchas complicaciones. Las empresas que ignoran estos vectores viven en una
falsa seguridad.

Los datos sensibles que una Pyme suele manejar —datos de clientes, nóminas, cuentas bancarias, propiedad intelectual ligera, contratos digitales— pueden servir de palanca para extorsiones, fraudes o pérdidas reputacionales. Muchos ataques recientes en Latinoamérica no han sido por fallas de infraestructura sofisticada, sino por errores humanos combinados con herramientas básicas de phishing, malware
o compromisos de correo electrónico (BEC).

La conciencia no debe quedar en charlas aisladas. Debe sistematizarse mediante políticas claras, prácticas repetibles y roles definidos que aseguren que cada miembro de la empresa entienda que su acción diaria también abre o cierra brechas de seguridad.

Protección de la información: medidas urgentes que deben implementarse
1. Inventario de activos informativos
Identificar qué datos se tienen, dónde se almacenan, quién los maneja, qué nivel de sensibilidad tienen. No basta con saber que hay archivos digitales; hay que conocer cuáles contienen datos personales, bancarios, información
legal o propiedad intelectual.

2. Políticas de acceso y autenticación fuerte

Contraseñas robustas, autenticación multifactor, control de dispositivos que pueden acceder a los sistemas, establecimiento de cuentas con privilegios mínimos necesarios.
3. Respaldo constante y almacenamiento seguro
Copias periódicas cifradas, ubicaciones separadas, restauraciones de prueba para asegurar que la copia funcione cuando se requiera.
4. Monitoreo activo y logs auditables
Registrar accesos, eventos relevantes, incidentes sospechosos, y revisar esos registros de forma rutinaria.
5. Respuesta ante incidentes
Tener un plan documentado que defina roles, tiempos de acción, notificaciones internas y externas, recuperación de la operación, revisión de lo ocurrido para evitar repetición.
6. Capacitación continua orientada al comportamiento
No basta con conocer la teoría: simulacros de phishing, capacitación sobre buenas prácticas digitales, membresías en foros de seguridad compartida.
Cuando alguien de la empresa detecta un correo dudoso y lo reporta, está aportando a la defensa colectiva.
Estadísticas recientes en Latinoamérica que no permiten ignorar la urgencia
• El promedio de ataques por organización en Latinoamérica ha sido de 2,569
a 2,716 por semana, lo cual marca un aumento cercano al 40 % frente a promedios globales.
• En Pymes, más del 57 % reportó que los ciberataques se han incrementado en el último año, siendo el phishing la amenaza más frecuente (43 % empresas afectadas), seguido por malware oculto (37 %), BEC (28 %) y
ransomware (20 %).
• Un problema extendido: una parte significativa (alrededor del 32 %) de las organizaciones reconoce que no dispone de herramientas para confirmar si han sido vulneradas, lo que limita la detección y respuesta temprana.
Estos datos muestran que muchas Pymes están siendo atacadas repetidamente, sin saberlo o sin poder comprobarlo, lo que agrava el daño.

Protocolos internos para manejar ataques digitales
Para CEO y CISO de Pymes, formular protocolos no es lujo sino imperativo. Aquí algunos componentes que deben formar parte del protocolo interno:

• Detección temprana y alerta inmediata: definir quién recibe alertas, cómo se reportan internamente, canales de comunicación abierta cuando algo anómalo ocurra.
• Roles y responsabilidades claras: quién hace qué, quién decide, quién ejecuta, quién informa a clientes o autoridades si es necesario.

• Plan de continuidad operativa: qué hacer si un sistema crítico cae, cómo restaurar servicios esenciales, cómo operar en modo degradado mientras se soluciona el problema.
• Procedimientos de forensia digital mínima: guardar evidencias de logs, metadatos, capturas de pantalla, hashes, quién tocó qué, cuándo; asegurar que nada se altere.
• Revisión post-incidente: después de cada incidente, aunque parezca menor, evaluar lo que ocurrió, qué se puede mejorar, ajustar políticas, reforzar controles.
• Comunicaciones externas: definición de cuándo y cómo comunicar a clientes, socios, reguladores; transparencia con protección de reputación. Implementar estos protocolos no significa copiar lo que hacen grandes empresas con enormes presupuestos, sino adaptar las prácticas a los recursos disponibles; muchas de estas acciones pueden hacerse con inversiones pequeñas si se prioriza lo que realmente protege los activos más sensibles.

Desafío del talento certificado
Muchas Pymes tienen colaboradores capaces, conocedores de buenas prácticas, pero enfrentan barreras formales. Las certificaciones internacionales de seguridad, que aseguran competencias, son costosas en matrícula, renovación, capacitación preparatoria y auditorías externas.

Comentarios de informes en Latinoamérica señalan que para una Pyme con 11-50 personas, certificaciones como ISO 27001 pueden tener costos de USD $6,000– $15,000 o más en algunos países, dependiendo del organismo certificador, el alcance del sistema de gestión, la madurez técnica existente y las sedes que se
tengan.

Estos montos incluyen evaluación, auditoría, adecuaciones y mejoras previas que, en organizaciones con poca infraestructura de seguridad, se traducen en costo elevado para el presupuesto de TI o de seguridad.

Posibilidades de solución accesible
El desafío del talento y de los costos puede abordarse con creatividad:

• Priorizar certificaciones locales o regionales, con organismos menos conocidos pero confiables, que ofrezcan certificaciones adaptadas al nivel de operación de la Pyme.
• Dividir el alcance: empezar con los procesos más sensibles, como protección de datos de clientes, sistemas financieros y recursos humanos.
• Aprovechar colaboraciones: alianzas entre Pymes, asociaciones empresariales, cámaras de comercio, universidades, para compartir formación o servicios de auditoría.

• Uso de modelos flexibles: contratar un V-CISO o consultoría externa para partes del programa, mientras se capacita personal interno para asumir responsabilidades.
• Herramientas open source o de bajo costo para detecciones básicas, monitoreo de logs y respaldo cifrado. No todos los controles deben ser de alta gama, sino adecuados y mantenidos.
Para un CEO, el liderazgo consiste en incluir la conciencia en cada reunión, mover recursos a seguridad proactivamente, exigir que la protección de la información no esté relegada. Para el CISO, implica traducir datos de amenazas en acciones concretas, medir el riesgo, dar seguimiento a cada incidente y asegurar que cada
integrante del equipo sepa que cada acción cuenta.

Cuando las Pymes latinoamericanas decidan asumir que la seguridad informativa es parte del negocio, no un gasto destinado únicamente a tecnología, estarán gestionando riesgos reales y reforzando su viabilidad. Y cuando la protección de la información sea vista no solo como un deber técnico, sino como un valor de
confianza ante clientes, socios y mercado, la decisión deja de ser opcional.