La capacidad de continuar operando de manera segura en un entorno inseguro donde los competidores no pueden es una ventaja competitiva que rara vez se mide o discute.
06 de marzo de 2026
•
,
5 min. leer

La ciberseguridad es una de las pocas funciones empresariales en las que el éxito suele ser silencioso. Desde fuera puede incluso parecer tranquilo. En el interior, sin embargo, refleja una secuencia de procesos y controles aparentemente anodinos que hacen aquello para lo que fueron diseñados: evitar que los incidentes técnicos se conviertan en crisis empresariales. Usando una analogía trillada, nadie piensa en los cinturones de seguridad en su automóvil cuando su viaje transcurre sin problemas. Pero cuando los necesitan, el cálculo cambia.
Puede parecer un punto de partida extraño, pero esta dinámica se encuentra en el centro de un problema de larga data en ciberseguridad: cuando funciona, muy pocos cambios en la superficie. Todos en la organización hacen su trabajo y el día parece cualquier otro. ¿Pero cuando falla? Todo el mundo lo nota, aunque sólo sea porque la diferencia es palpable y los costos se acumulan rápidamente.
Si bien la necesidad de prevenir disrupciones es innegable, justificar el costo de hacerlo frente a prioridades comerciales competitivas no siempre es sencillo. Otras partes del negocio, especialmente los centros de ganancias, generalmente pueden indicar cambios visibles: mejores ventas o un tiempo de comercialización más corto. La seguridad rara vez se da ese lujo. En cambio, se le pide que se justifique basándose en situaciones que nunca debieron ocurrir. En el tira y afloja presupuestario, esta distinción tiene un peso real.
Para que no piense que tales preocupaciones son exageradas, considere lo siguiente: estudio de IANS y Artico encontró que “crecimiento promedio anual del presupuesto de seguridad [in 2025] cayó al 4%, el nivel más bajo en cinco años y una fuerte caída desde el 8% en 2024”. Es revelador que el estudio también encontró que «Hubo más CISO que enfrentaron presupuestos planos o reducidos que aquellos que vieron un crecimiento presupuestario, lo que subraya un desafío cada vez más profundo para asegurar recursos adecuados para la ciberseguridad».
¿Las matemáticas no son matemáticas?
Cuando pregunta «¿cómo se demuestra el valor de la seguridad cuando nada salió mal?», se intenta justificar los gastos señalando desastres que no ocurrieron. Este marco lo atrapa en una postura defensiva, sin mencionar que ignora la mayor parte de lo que hace la seguridad en el día a día y, en última instancia, oscurece su verdadero valor.
También puede alimentar una especie de sesgo de supervivencia: los ejecutivos de una empresa que se las ha arreglado con un presupuesto de seguridad ajustado tienen experiencia que les dice que su gasto hasta ahora ha sido adecuado. Sin embargo, un par de años en los que su negocio se mantuvo fuera de peligro le dicen poco sobre el año siguiente. Además, la seguridad a menudo implica lo que los estadísticos llaman “riesgo de cola gruesa”: el tipo de riesgo en el que las cosas van bien hasta que de repente ya no lo están, hasta el punto de que el daño puede ser existencial. Con muchas amenazas evolucionando y requisitos regulatorios cada vez más estrictos, las probabilidades no mejoran con el tiempo; en todo caso, empeoran.
Como dice el refrán, “no hay respuestas correctas para preguntas incorrectas”, así que tal vez empiece de nuevo decidiendo cómo se debe entender el valor. Medir lo que no sucedió también significa que sólo se puede hablar de ahorros finitos, no del crecimiento y las oportunidades que permiten las operaciones seguras. La capacidad de continuar operando de manera segura en un entorno inseguro donde los competidores no pueden es una ventaja competitiva que rara vez se mide o analiza.
Una pregunta que vale la pena es: «¿qué nos permite hacer la seguridad que de otro modo no podríamos hacer?» Esto no debe entenderse en un sentido abstracto y ondulado, sino de una manera muy literal y operativa. De esa manera, en lugar de demostrar una eventualidad negativa, podrás demostrar una realidad positiva. De hecho, lo que la seguridad finalmente permite o cambia es la realidad cotidiana y las perspectivas futuras de la organización.
La teoría se encuentra con la realidad.
La realidad de la seguridad vivida suele ser dura, especialmente en organizaciones más pequeñas, perpetuamente limitadas en recursos y que reciben ataques desproporcionadamente. Como no es fácil conseguir experiencia en seguridad, mantener una cobertura interna las 24 horas del día, los 7 días de la semana a menudo está fuera de su alcance. El monitoreo de seguridad, por ejemplo, puede significar efectivamente que se recopilen registros y existan alertas, pero la atención y los recursos finitos resultan en seguimientos retrasados, o ninguno en absoluto.
Estas limitaciones pueden tener consecuencias muy prácticas. Cuanto más tiempo opere un atacante desapercibido en la red de una empresa, más profundo podrá excavar, extrayendo las joyas de la corona, localizando copias de seguridad o descubriendo qué causará el mayor daño.
IBM Costo de una filtración de datos en 2025 El informe no sólo describe el precio promedio de una infracción ($4,44 millones), sino que también muestra cuánto pueden reducirse esta cantidad medidas de seguridad específicas. Existen marcos dedicados de cuantificación del riesgo cibernético y del retorno de la inversión en seguridad, pero descomprimirlos es una conversación separada. La atención se centra aquí en algo que es más difícil de medir.
Este es también el contexto en el que un servicio como Detección y respuesta gestionadas (MDR) empieza a tener sentido. Sus variantes pueden variar un poco, pero el servicio es fundamentalmente activo: combina detección, respuesta, investigación e inteligencia de amenazas y remediación en operaciones continuas que brindan incluso a las organizaciones más pequeñas el tipo de cobertura que solía ser dominio exclusivo de las grandes empresas. Entre otras cosas, significa que alguien siempre está mirando y puede decidir si una señal anómala es inofensiva o apunta a una actividad maliciosa.
Este cambio puede manifestarse en pequeñas formas, pero puede tener impactos importantes. Incluso los incidentes sutiles, como el intento de robo de credenciales, se cortan de raíz antes de que puedan evolucionar hasta convertirse, por ejemplo, en un ataque de ransomware. Tampoco está de más que contar con este tipo de cobertura sea cada vez más lo que las ciberaseguradoras esperan de las organizaciones.
El resultado final
Los argumentos estrechos de evitación de costos pasan por alto lo que hace el servicio, o incluso la seguridad en general. Es posible que el gasto en seguridad no dé lugar a un momento de recompensa muy visible y satisfactorio. Mientras tanto, los intangibles son poderosos y se agravan. La seguridad se corresponde con los objetivos y requisitos estratégicos centrales de cada organización, aunque sólo sea porque contribuye a las operaciones ininterrumpidas, la confianza del cliente y el cumplimiento normativo. Desde esta perspectiva, la seguridad es el resultado más necesario, no (sólo) el producto o servicio.
Para aquellos que no juegan a corto plazo, las inversiones en seguridad se amortizan muchas veces. La seguridad hace posible que las organizaciones crezcan, porque lo que están comprando es capacidad: operar a escala, ingresar a nuevos mercados y mejorar los resultados. Están comprando espacio para moverse. Para las organizaciones con visión de futuro, esto debería ser lo más atractivo posible.
Entonces, cuando todos en su empresa pueden seguir con sus rutinas diarias, vale la pena preguntarse por qué. Podría ser que la seguridad esté funcionando y ganándose el sustento.



