El estudio CISO Survey de Kaspersky, muestra que las organizaciones confunden prevención con reacción, sobrestiman su nivel de madurez y mantienen brechas críticas en tecnologías y procesos de seguridad.

Una paradoja preocupante domina el escenario de la ciberseguridad entre las empresas de América Latina. Aunque la mayoría de los líderes de TI afirma adoptar estrategias preventivas, en la práctica se evidencia la ausencia incluso de métodos reactivos y una falta de claridad sobre lo que realmente caracteriza una defensa proactiva. Este fenómeno de “proactividad de fachada” fue identificado por el CISO Survey, un estudio encargado por Kaspersky y realizado con 300 responsables de seguridad de seis países de la región, incluido Argentina.

Según la investigación, el 50% de los líderes en Argentina clasifica su enfoque de protección como proactivo. Sin embargo, esta cifra contrasta con brechas básicas dentro de las organizaciones. De acuerdo con el informe, el 40% de las empresas opera sin firewall, el 48% no utiliza inteligencia de amenazas para anticipar ataques y el 40% carece incluso de software antivirus.

Los datos también muestran una confusión conceptual sobre las posturas de defensa. Entre los encuestados, el 38% clasifica erróneamente el antivirus como una solución proactiva. En la práctica, se trata de un recurso reactivo, que activa alertas solo después de que se ha identificado una amenaza.

También resulta preocupante que el 32% y el 26% de los encuestados, respectivamente, consideren que EDR (Endpoint Detection and Response) y XDR (Extended Detection and Response) son tecnologías reactivas. En realidad, estos sistemas avanzados son partes fundamentales de una estructura preventiva, ya que correlacionan datos provenientes de múltiples vectores —como redes, correos electrónicos y entornos en la nube— para identificar intrusiones antes de que se conviertan en crisis.

“Una estrategia realmente proactiva no se define solo por las herramientas que una organización tiene instaladas, sino por su capacidad de identificar señales tempranas de ataque y actuar antes de que el incidente escale. Cuando esa distinción no está clara, las empresas pueden terminar priorizando soluciones equivocadas y dejando espacios que los ciberdelincuentes aprovechan”, asegura Andrea Fernández, Gerente General para SOLA en Kaspersky.

Para reducir la “proactividad de fachada” y fortalecer la resiliencia digital, Kaspersky recomienda realizar ajustes en la gobernanza de seguridad, con foco en alineación estratégica, automatización y madurez tecnológica. La compañía destaca las siguientes medidas:

• Promover talleres ejecutivos de alineación, orientados a aclarar a la alta dirección las diferencias entre tecnologías reactivas, como firewall y antivirus, y tecnologías proactivas, como inteligencia de amenazas, SIEM y XDR, capaces de anticipar riesgos y correlacionar eventos en etapas tempranas.
• Desarrollar hojas de ruta tecnológicas alineadas con el nivel de madurez cibernética de la organización, consolidando controles básicos y priorizando gradualmente la integración de soluciones de detección y respuesta en endpoints (EDR) y de orquestación y automatización (SOAR), reduciendo la dependencia de procesos manuales.
• Establecer indicadores claros de desempeño (KPIs) y de riesgo (KRIs), conectando la ciberseguridad directamente con los objetivos del negocio, con foco en métricas como el tiempo medio de detección y respuesta, la tasa de ataques evitados en la fase de reconocimiento y la frecuencia de ejercicios de simulación.
• Crear una agenda recurrente de evaluaciones de riesgo, con periodicidad mínima trimestral, evitando que las revisiones de seguridad ocurran solo después de incidentes internos o casos ampliamente divulgados en el mercado.
• Automatizar el uso de inteligencia de amenazas, sustituyendo la compilación manual de información por feeds integrados a las plataformas de seguridad, lo que permite identificar comportamientos anómalos en tiempo real y acelerar la respuesta a incidentes.

Origen

Sin diagnósticos ni evaluaciones de riesgos claros, la protección empresarial se vuelve reactiva.

Decidir en qué invertir para fortalecer la ciberseguridad empresarial es uno de los mayores retos para el 40% de los líderes en América Latina. Así lo admite el 38% de los argentinos, 31% de brasileros y chilenos, 45% de mexicanos, 46% de colombianos y el 47% de los líderes peruanos. Según la encuesta más reciente de Kaspersky a responsables de seguridad digital en la región, más de la mitad de las organizaciones (56%) tampoco cuenta con un calendario regular de evaluaciones de riesgo, por lo que terminan actuando de manera reactiva y revisan sus medidas de protección solo cuando ocurre un incidente o aparece una alerta externa.

El estudio también revela que, aunque la mayoría de las empresas en la región realiza simulaciones de incidentes, 43% cada mes y 38% de forma trimestral, una de cada cinco no tiene ninguna rutina de pruebas. La falta de estas prácticas abre una brecha crítica que compromete su preparación real frente a un ataque. Sin un plan estructurado, los equipos de seguridad dejan de identificar vulnerabilidades ocultas y no desarrollan la resiliencia que exige el panorama de ciberamenazas actual.

Otro dato relevante es que el 29% de los encuestados afirma no contar con una estrategia clara de seguridad. Esto refuerza que, para muchas organizaciones, el reto no solo está en saber qué se necesita hacer, sino en la falta de una directriz estructurada que guíe las decisiones, priorice los recursos y defina el nivel mínimo de protección necesario.

Esta falta de disciplina para identificar y revisar debilidades y riesgos deriva en otro problema identificado por los expertos: existe una disparidad entre la confianza que las empresas tienen en su protección digital y el nivel de seguridad que poseen en realidad. Cuando una empresa cree estar más protegida de lo que está, se vuelve más difícil identificar prioridades, justificar inversiones y corregir los puntos críticos.

“Cuando una organización no cuenta con una lectura precisa de su situación en ciberseguridad, las decisiones sobre dónde y cómo invertir se vuelven imprecisas y difíciles de justificar. La falta de métricas sólidas termina convirtiendo el ROI en un cálculo incierto. En cambio, cuando la empresa comprende claramente su nivel actual de madurez y el punto al que desea llegar, es posible estructurar un plan de inversión progresivo, con objetivos concretos y resultados esperados, lo que facilita tanto la gestión operativa como la evaluación del retorno”, comenta Andrea Fernández, Gerente General para la Región Sur de América Latina en Kaspersky.

Para cambiar este escenario, el ejecutivo de Kaspersky recomienda que los responsables de seguridad adopten un enfoque pragmático, basado en un diagnóstico estructurado del estado de la ciberseguridad actual y/o un análisis de riesgos basado en el impacto que un incidente podría generar en su organización, como el Análisis Factorial del Riesgo de la Información (FAIR, por sus siglas en inglés).

A partir de ese diagnóstico, ya sea un análisis de debilidades o una matriz de riesgos, el equipo de seguridad contará con un documento objetivo que identifica las áreas críticas que requieren mejoras y deben recibir las primeras inversiones. Además, este insumo expone las razones para justificar cada inversión y define beneficios concretos y medibles.

La ejecutiva destaca que recientemente muchas empresas han sido noticia tras sufrir un ciberataque, aumentando la preocupación de los directivos por los riesgos digitales. Aunque el presupuesto puede ser un limitante, señala que una estrategia de ciberseguridad pragmática puede establecer un nivel de protección adecuado para cada organización, así como la inversión y el tiempo que se requieren para alcanzarlo.

“Desde pequeñas compañías que buscan establecer una base segura hasta grandes corporaciones que requieren una estrategia más completa, todas pueden identificar con claridad cuáles son los pasos necesarios para avanzar; lo único que varía es el grado de complejidad”, agrega.

Para garantizar un ciclo de mejora continua y una medición constante del avance, Kaspersky recomienda las siguientes medidas para asegurar la eficacia de las inversiones en ciberseguridad:

• Establecer un calendario de evaluaciones de riesgo recurrentes, con una periodicidad mínima trimestral o semestral.
• Realizar simulaciones de ataques mensuales o trimestrales, incluso en formato simplificado, para medir avances o identificar la necesidad de ajustar las acciones de mitigación y respuesta ante incidentes.
• Definir indicadores de riesgo claros, vinculados a los planes de continuidad e impacto operativo en el negocio.
• Revisar políticas y controles con base en datos de nuevos ataques o riesgos, disponibles mediante servicios de Inteligencia de Amenazas, y no solo por criterios de cumplimiento normativo. El uso de este tipo de información aumenta las posibilidades de neutralizar ataques en curso, y los casos de éxito ayudan a justificar inversiones.
• Alinear las inversiones a los resultados esperados, priorizando correcciones que reduzcan exposición y fortalezcan la gobernanza empresarial.

Para conocer más sobre la investigación de Kaspersky, descarga el informe de la encuesta CISO 2025.

Origen