El cibercrimen en México: paradojas que cuestionan la seguridad

El estudio Impacto de los delitos financieros en México 2024. Enfoque holístico ante una problemática cambiante y evolutiva, expone información reveladora sobre la incidencia de los cibercrímenes y la manera en que las organizaciones los enfrentan.

Consulta la publicación Tipos de fraude en México y su impacto en las organizaciones

Aunque las medidas de prevención, detección y respuesta de las organizaciones en México parecieran ser adecuadas, los datos sugieren que nunca es mal momento para replantear el enfoque.

De acuerdo con las organizaciones encuestadas, 39% experimentó ciberataques en el último año, representando un incremento de 16 puntos porcentuales desde 2020.^[1]

Seis paradojas que podrían hacer vulnerables a las organizaciones

1. La capacitación

Aunque 47% de las organizaciones ofrecen entrenamiento en seguridad y 52% responden a incidentes aumentando la capacitación, el phishing no solo persiste, sino que sigue creciendo dramáticamente (de 32% en 2020 a 59% en 2024). ^[2] La paradoja se hace más evidente cuando las principales respuestas a los ataques son técnicas: 52% actualiza sus parches de seguridad, 38% implementa medidas más robustas de control de acceso y 34% adquiere herramientas avanzadas de detección. Esto sugiere que las organizaciones están abordando un problema fundamentalmente humano con soluciones puramente técnicas.

2. El monitoreo

A pesar de que 51% afirma realizar un monitoreo proactivo de amenazas, 55% no logra identificar el origen de los ataques que sufre. Más revelador aún: solo 24% realiza auditorías después de los incidentes y apenas 21% incrementa la frecuencia de sus evaluaciones de seguridad. Pareciera que estamos invirtiendo en observar, pero no en comprender; acumulamos datos, pero no necesariamente los transformamos en inteligencia.

3. Las buenas prácticas

47% cuenta con planes de continuidad de negocio y 38% asegura estar alineado con estándares internacionales de ciberseguridad; sin embargo, 45% de las organizaciones afectadas no pueden cuantificar el impacto económico de los ataques y solo 29% tiene un plan formal de respuesta a incidentes. ¿Estar en línea con las buenas prácticas realmente nos ayuda, si no se pueden medir las pérdidas ni saber cómo responder a los incidentes adecuadamente?

4. Las amenazas internas

El estudio revela que 27% de los ataques identificados provienen de colaboradores actuales o que estuvieron en la organización; no obstante, solo 34% de las empresas realizan evaluaciones de ciberseguridad y apenas 26% cuenta con políticas bring your own device (BYOD). Es decir, conocen el origen de este tipo de amenazas, pero no necesariamente se implementan los controles adecuados para mitigarlas.

5. La inversión

Las organizaciones suelen responder a los ciberataques con inversiones: 34% adquiere herramientas avanzadas de detección y 38% implementa controles de acceso más robustos; sin embargo, solo 19% cuenta con pólizas de seguro contra incidentes de ciberseguridad. Se invierte en tecnología, pero no necesariamente en proteger a la organización del impacto financiero que representan los ataques exitosos.

6. La madurez

Mientras algunas organizaciones implementan controles avanzados, 17% afirma operar sin controles de ciberseguridad. En un mundo interconectado, esta brecha de madurez crea un ecosistema en el cual las organizaciones más preparadas siguen siendo vulnerables por sus conexiones con terceros menos protegidos.

Transformando contradicciones en oportunidades

Hay distintos caminos para resolver estas paradojas, pero la clave está en realizar un cambio fundamental que vaya más allá de lo tecnológico. A continuación, compartimos algunos puntos clave:

• Entrenamiento personalizado: la capacitación tradicional parece no estar funcionando, por lo que es necesario pasar de entrenamientos genéricos a experiencias de aprendizaje personalizadas. Imaginemos programas que se adapten al comportamiento de cada colaborador mediante la creación de escenarios realistas basados en incidentes específicos que pudieran ocurrir en su área de trabajo. Sin duda, nos permitirían construir una verdadera cultura de seguridad, más allá del cumplimiento.
• Tecnología como habilitador: la inteligencia artificial (IA) puede transformar nuestro enfoque de monitoreo. En lugar de simplemente acumular datos, es posible utilizar sistemas inteligentes para detectar patrones sutiles, predecir amenazas emergentes y automatizar respuestas iniciales. Esto, siempre considerando que la tecnología debe ser un habilitador, no un fin en sí mismo.
• Gobernanza y gestión de riesgos: además de implementar marcos tradicionales de cumplimiento es necesario contar con enfoques adaptativos que evalúen continuamente la madurez de la organización en ciberseguridad, y generen métricas significativas. Por tanto, la ciberseguridad debe ser una parte integral de la gestión de riesgos.
• Nuevos indicadores para medir el éxito: es esencial desarrollar métricas que reflejen el valor real y la efectividad de nuestras inversiones en ciberseguridad. Es válido preguntarse: ¿realmente la organización está más segura? ¿Está aprendiendo de los incidentes? ¿Está construyendo resiliencia?

[1] El impacto de los delitos financieros. Prevención, detección y respuesta, KPMG México, 2020.

[2] Idem.

Opine: ¿Cómo pueden las organizaciones transformar las paradojas en oportunidades para mejorar su ciberseguridad?