Tecnología

Si eres CEO, esto es lo básico que debes saber de ciberseguridad

Los directivos de las empresas, de cualquier tamaño, deben saber algunos conceptos básicos de higiene digital.

lun 01 diciembre 2025 04:30 PM

Ni los CEO se salvan: la importancia de que conozcan lo básico de ciberseguridad para sus empresas — El último Global Threat Landscape Report de Fortinet muestra un incremento acelerado en la explotación de fallas, en el robo de credenciales y en intentos de intrusión automatizados que superan los 97,000 millones a escala global.
(Foto: everythingpossible)

Eréndira Reyes

Durante mucho tiempo, la ciberseguridad fue vista como un asunto técnico del que se tenían que preguntar los líderes de tecnologías de la información de cada empresa, pero ahora los directivos deben conocer distintos temas para tomar decisiones.

En México y en el mundo, los directores generales están aprendiendo, muchas veces a la fuerza, que un ataque digital puede detener su operación completa, poner en riesgo su reputación y comprometer el futuro del negocio. Y ese giro, explica Alberto Martínez, líder de consultoría de riesgos cibernéticos en Marsh México, cambió para siempre el papel del CEO.

“Hoy todos me dicen, esto me preocupa y queremos que toda la empresa sepa la relevancia de este tema”, cuenta Martínez.

El IBM X-Force Threat Intelligence Index 2025 advierte que, a diferencia de años anteriores, los atacantes ya no dependen únicamente del ransomware; ahora se mueven con mayor sigilo, aprovechan el robo de identidades digitales, vulneran aplicaciones en la nube y utilizan la inteligencia artificial (IA) para acelerar cada fase del ataque.

A su vez, el último Global Threat Landscape Report de Fortinet muestra un incremento acelerado en la explotación de fallas, en el robo de credenciales y en intentos de intrusión automatizados que superan los 97,000 millones a escala global.

Para Martínez, la clave no está solo en entender las cifras, sino que la relevancia de este tema ayuda a proteger de manera más estratégica las empresas. “Estamos acostumbrados a pensar que un ataque va dirigido a una computadora, pero puede comenzar con una persona”, señaló Martínez.

Por eso, cuando él y su equipo capacitan a comités directivos, empiezan derribando la idea de que el problema vive dentro de los sistemas. Los CEOs deben mapear riesgos que incluyan procesos, conductas, terceros y decisiones estratégicas.

“Tienen que saber qué les preocupa realmente, ¿es la continuidad operativa?, ¿la reputación?, ¿el cumplimiento regulatorio?, ¿la relación con clientes? Ese ejercicio, que parece simple, permite ubicar dónde están las grietas que pueden explotarse” precisó el ejecutivo.

Tener un conocimiento previo ayuda a que en caso de una cibercrisis el liderazgo esté presente, tome decisiones rápidas, respalde a los equipos y comunique con precisión.

“Si la alta dirección se limita a presionar o exigir soluciones inmediatas, el caos se multiplica. Pero si acompaña, si autoriza recursos, si convoca expertos o incluso si releva al personal agotado, la contención avanza con mayor estabilidad”, comparte Martínez.

Además de la contención, existe otro tema que crece a causa del uso de Inteligencia Artificial por parte de los ciberdelincuentes y esto es el uso de deepfakes, es decir, videos y audios tan convincentes que directivos y empleados confían en ellos sin cuestionar. De hecho, ya existen casos en los que directivos se ven suplantados.

En 2024, la firma global de ingeniería Arup sufrió uno de los fraudes corporativos más sofisticados registrados por este tipo de trama, cuando un empleado de finanzas fue convocado a una videollamada donde aparecían, en apariencia, el CFO y otros ejecutivos de la empresa. Los rostros, voces y gestos eran recreaciones generadas con IA, pero lo convincente de la simulación llevó al trabajador a autorizar 15 transferencias por un total de 25 millones de dólares a cuentas controladas por los delincuentes.

El riesgo se extiende incluso al ámbito personal, pues los criminales pueden simular la voz de un hijo o una pareja para chantajear a un ejecutivo. Por eso, Martínez insiste en crear protocolos de verificación offline, mecanismos alternos de confirmación y códigos compartidos que permitan distinguir lo real de lo fabricado.