Lo que ves no es todo lo que hay

Una infracción reclama los sistemas y la confianza que, en retrospectiva, era una vulnerabilidad importante.

24 de abril de 2026
•
,
5 min. leer

Hay un patrón en la historia de los fracasos organizacionales que se repite con demasiada frecuencia como para ser una coincidencia: un sistema funciona sin problemas durante un largo período, lo que hace que todos tengan confianza en él. Casi invariablemente, esto también erosiona silenciosamente la vigilancia que mantuvo el sistema funcionando sin problemas en primer lugar. Y entonces el sistema falla, en el preciso momento en que todos los involucrados le habrían dicho que estaba en excelentes condiciones.

Por contradictorio que parezca, la estabilidad en sí misma puede ser desestabilizadora. Genera complacencia, que luego reduce las inversiones en preparación y amplía la brecha entre el riesgo real y el percibido. El autor Morgan Housel comprimió este patrón en seis palabras: “la calma planta las semillas de la locura”. Esto se manifiesta de manera bastante visible y con regularidad casi clínica en mercados financierospero dado que está entretejido en la trama y la trama de la psicología humana, la ciberseguridad de ninguna manera está a salvo de ello.

Y por eso una empresa que no ha sido vulnerada es propensa a considerar que su postura de seguridad es adecuada. La calma se siente como evidencia de que el peligro ha pasado, lo que cambia el comportamiento de manera que reintroduce el peligro. La suposición se endurece silenciosamente, incluso si nadie puede afirmarlo explícitamente: si nada sale mal, entonces nuestros controles deben ser excelentes. Pero en algunos casos, esto puede ser confundir la ausencia de evidencia con la evidencia de ausencia.

O, visto a través de otra lente, la ausencia de un incidente visible es simplemente silencio, y el silencio puede significar varias cosas. La empresa con un historial inmaculado puede tener defensas de primer nivel. Pero también puede haber evitado la atención de cualquiera que tenga malas intenciones y sea lo suficientemente dedicado: después de todo, hay muchos peces en el mar.

Lo que plantea al menos dos preguntas que vale la pena plantearse: ¿Sabe que su entorno es lo más seguro posible frente a las amenazas que circulan ahora? ¿O sólo sabe que sus controles (de referencia) están implementados? Muchas organizaciones responden a la segunda pregunta creyendo haber respondido a la primera. Es posible que recurran a marcos de cumplimiento, aunque estos no necesariamente verifican si las medidas son adecuadas contra las amenazas que circulan en este momento. Por lo tanto, una empresa podría cumplir y estar expuesta al mismo tiempo. (¿Puede usted también oler la paradoja del gato de Schrödinger?)

Aún más trampas

El estado formal de seguridad de una organización es fácil de medir y, suponiendo que todo salga bien, también es fácil sentirse bien con él. Si las credenciales de inicio de sesión de un empleado están cambiando de manos en los mercados de la web oscura o si la herramienta EDR de su organización puede, en algunas circunstancias, verse desactivada por una ‘anti-herramienta’ fácilmente disponible, eso es más difícil de evaluar sin buscar en lugares que muchas organizaciones no piensan buscar.

De hecho, la tendencia humana, a falta de una corrección deliberada, es apoyarse en información fácilmente disponible para construir lo que cree que es una historia coherente. Esto sucede a expensas de información difícil de obtener y sin tener en cuenta cuál de las dos categorías es más instructiva. Lo más importante es que la mente no advierte lo que falta: la imagen se siente completa y la confianza se siente ganada de todos modos. El fallecido psicólogo Daniel Kahneman acuñó un acrónimo para este hábito: WYSIATI (Lo que ves es todo lo que hay).

El problema puede empeorar aún más si se considera cuántos tomadores de decisiones piensan en el riesgo: si algo no se puede medir, no importa. En la práctica, lo contrario suele estar más cerca de la verdad, hasta el punto de que el problema subyacente se ha ganado el estatus de problema. falacia. Sin insistir más en el tema, basta decir ahora que una vez que ves al menos algunas de las trampas, no puedes «dejar de verlas».

en su Informe de investigaciones de vulneración de datos de 2025Verizon puso una cifra sobre cuán amplia puede llegar a ser la brecha entre la seguridad percibida y la exposición real: encontró que el 54% de las víctimas de ransomware tenían sus dominios apareciendo en al menos un registro de robo de información o una publicación en un mercado ilícito antes del ataque. Los detalles de acceso ya estaban circulando –y en algunos casos es posible que la violación ya se hubiera producido– incluso cuando todo parecía en orden.

Este tipo de punto ciego afecta más a las empresas cuyo paquete de seguridad no detecta las huellas de comportamiento de los atacantes, como los intentos de desactivar los procesos de seguridad. Remediarlo requiere cambiar lo que es visible y usando las herramientas adecuadas – el tipo de herramientas que van más allá de confirmar que existen controles y señalar que algo en el entorno se está comportando de manera sospechosa.

Cuando la confianza se hace añicos

Todo esto también es importante porque una intrusión de ransomware es un evento de continuidad del negocio cuyos efectos se extienden a lo largo y ancho. Cuando Change Healthcare fue víctima Tras el ransomware en 2024, el impacto posterior en hospitales y farmacias duró meses, sin mencionar que el incidente afectó a casi toda la población estadounidense. El costo total se estimó en 3 mil millones de dólares. Un ataque de ransomware a Jaguar Land Rover en 2025 causó daños financieros similares.

Mientras tanto, IBM sitúa el promedio costo de una violación de datos en alrededor de $5 millones, incluyendo tiempo de inactividad, recuperación y daños posteriores. Específicamente para las organizaciones de atención médica, el promedio es de casi 10 millones de dólares. Y las cifras no reflejan la cola larga, como los contratos de clientes que no se renuevan o las primas de seguros que aumentan.

El daño se agrava a lo largo de meses y años, especialmente cuando los datos robados terminan en un sitio de fuga dedicado (DLS), como suele ser el caso en estos días. La exposición pública de datos corporativos desencadena una crisis por derecho propio, ya que los contratos, correos electrónicos y datos personales vertidos se convierten en material para ataques posteriores, como el phishing y el fraude de compromiso de correo electrónico empresarial (BEC).

Las obligaciones regulatorias también entrarán en vigor bastante pronto. Al mismo tiempo, los clientes y socios empiezan a hacer preguntas que la empresa muchas veces ni siquiera tiene forma de responder. Y todavía hay otra advertencia que los defensores deben tener en cuenta: los datos sólo reflejan lo que los delincuentes eligen «publicitar»; se cree que sólo una pequeña parte de las víctimas de ransomware tienen sus datos vertidos en los sitios.

La disciplina lo es todo.

Además de las herramientas y las personas adecuadas, la seguridad que se mantiene en el tiempo depende del hábito de observar y adaptarse. Todo esto se basa en la conciencia de lo que sucede en el entorno de amenazas, sin mencionar su propio entorno de TI.

Es cierto que mantener una vigilancia constante en ausencia de una amenaza visible y aguda es costoso, es decir, psicológicamente. Los seres humanos no están preparados para mantenerse alerta ante acontecimientos que no parecen inminentes, y la tendencia hacia la complacencia es tan gradual que rara vez se registra como una decisión que alguien haya tomado.

Pero como el lado de la amenaza de la «ecuación» nunca se mantiene quieto, el lado de la defensa tampoco puede hacerlo. La inteligencia sobre amenazas, especialmente la que proporciona una gran cantidad de señales sobre campañas activas, es la columna vertebral de esa conciencia. Es lo que las herramientas de seguridad pueden «convertir» en detecciones y alertas que permiten a los equipos de seguridad actuar a tiempo. Sin él, la brecha entre lo que una organización cree sobre su seguridad y lo que realmente es cierto puede seguir ampliándose, hasta que los ciberdelincuentes la cierren, de manera bastante costosa.