El gasto promedio por país en ciberseguridad en América Latina (Chile, Colombia, México, Brasil) es de aproximadamente el 0,08 % del PIB. Esto contrasta marcadamente con el promedio global (0,17 % del PIB) y con países como el Reino Unido, Singapur, EE. UU. o Canadá (entre el 0,28 % y el 0,35 % del PIB).

América Latina, a pesar de enfrentar amenazas cibernéticas cada vez más sofisticadas y potenciadas por inteligencia artificial, muestra una inversión significativamente menor en ciberseguridad en comparación con otras regiones del mundo.

Esta discrepancia, sumada a una brecha crítica de talento y a la aparición de “amenazas silenciosas” como la computación cuántica, crea una vulnerabilidad sistémica que requiere una respuesta estratégica desde el más alto nivel organizacional. Hoy, integrar la ciberresiliencia en la gestión del riesgo es un imperativo.

El gasto promedio por país en ciberseguridad en América Latina (Chile, Colombia, México, Brasil) es de aproximadamente el 0,08 % del PIB. Esto contrasta marcadamente con el promedio global (0,17 % del PIB) y con países como el Reino Unido, Singapur, EE. UU. o Canadá (entre el 0,28 % y el 0,35 % del PIB).

Si bien el costo promedio de un “accidente o ataque” en América Latina es de aproximadamente USD 4,2 millones – ligeramente inferior al promedio global (USD 4,9 millones) y al de EE. UU. (USD 9,4 millones) – no deja de ser una preocupación, considerando que existen eventos tipo “cisne negro” que pueden generar daños multimillonarios. Hoy, la protección es importante, pero quizás lo más relevante es la capacidad de mantener operaciones (continuidad del negocio) y restaurarlas (recuperación ante desastres).

Hay que considerar que la tecnología inadecuada causa el 28 % de las brechas, mientras que las fallas en organización, procesos y personas explican el 72 % restante. El tiempo medio global que un atacante permanece en una red antes de ser detectado es de entre 101 y más de 200 días. La automatización asistida por IA es necesaria para gestionar el millón de alertas semanales y encontrar las incidencias que requieren investigación profunda.

Si analizamos los principales desafíos —que van más allá del gasto promedio por país— encontramos la falta de talento calificado, lo que genera una vulnerabilidad sistémica. Solo en América Latina faltan 320 mil expertos, y a nivel global la brecha alcanza los 4 o 5 millones de profesionales. Nuestro déficit de talentos equivale a toda la población de Costa Rica o Irlanda. Hoy contamos con un ejército demasiado pequeño para enfrentar atacantes que usan machine learning para evadir la detección y contenido generado por IA (deepfakes, correos electrónicos) para engañar a los usuarios.

Por otra parte, el crecimiento masivo de dispositivos IoT —a menudo mal asegurados y con recursos limitados para implementar medidas de protección— representa un riesgo considerable. La infraestructura de Tecnología Operacional (OT), que controla sistemas críticos como energía, agua, transporte o fábricas, está cada vez más conectada y es difícil de asegurar debido a su antigüedad y a la limitada aplicabilidad de enfoques tradicionales de seguridad TI.

Y hacia el futuro —que ya es casi parte del presente— enfrentamos la “amenaza silenciosa” de la computación cuántica. Esta tecnología tiene el potencial de romper la criptografía que protege gran parte del tráfico actual de internet, incluyendo la banca en línea y el comercio electrónico, en los próximos tres a siete años. El tiempo para migrar hacia criptografía resistente a la computación cuántica es ahora, y muchas empresas aún no comprenden plenamente este riesgo.

Finalmente, la adopción acelerada de inteligencia artificial está expandiendo la superficie de ataque más rápido de lo que las leyes y regulaciones pueden seguirle el ritmo. Se necesitan enfoques más ágiles, como la regulación centrada en resultados en lugar de prescripciones rígidas, y un involucramiento temprano con comunidades de innovación para comprender los riesgos y proponer marcos normativos pragmáticos.

La ciber resiliencia debe ser un pilar de la gestión estratégica de riesgos empresariales y elevarse al nivel del directorio. Esto no puede esperar, debió haberse hecho ayer.

Por: Marcial González*
*El autor es managing director y socio de Boston Consulting Group (BCG).

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Colombia.

Lea también: El testamento como semilla: la responsabilidad intergeneracional del liderazgo