{"id":362,"date":"2026-06-10T02:03:37","date_gmt":"2026-06-10T02:03:37","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/06\/10\/los-auditores-que-nunca-contrataste\/"},"modified":"2026-06-10T02:03:37","modified_gmt":"2026-06-10T02:03:37","slug":"los-auditores-que-nunca-contrataste","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/06\/10\/los-auditores-que-nunca-contrataste\/","title":{"rendered":"Los ‘auditores’ que nunca contrataste"},"content":{"rendered":"
\n

Hay un sesgo cognitivo al que los humanos somos propensos y que se encuentra en el centro de algunos de los desaf\u00edos que enfrentan los profesionales de la ciberseguridad todos los d\u00edas. Se conoce como sesgo de normalidad: \u00bfqu\u00e9 La Dra. Lauren Braithwaite define<\/a> como \u201cNuestra tendencia a subestimar la posibilidad de un desastre y creer que la vida continuar\u00e1 con normalidad, incluso frente a amenazas o crisis importantes\u201d. <\/em>Es por eso que la gente duda despu\u00e9s de que suenan las alarmas de incendio o retrasa la reacci\u00f3n en otras situaciones que se desarrollan porque las cosas todav\u00eda parecen manejables.<\/p>\n

Como este sesgo puede llevarnos a confundir familiaridad con seguridad y suposiciones con evidencia, interfiere cada vez m\u00e1s con la realidad de la ciberseguridad. Hace que las personas subestimen la probabilidad de un ciberataque o interpreten la ausencia de problemas o consecuencias obvios como evidencia de que los riesgos est\u00e1n bajo control. En la pr\u00e1ctica, muchas organizaciones tratan la falta de alertas claras de las plataformas de protecci\u00f3n elegidas como prueba de que todo va sobre ruedas. Otros no act\u00faan con suficiente rapidez ante las se\u00f1ales de advertencia porque suponen que los negocios simplemente continuar\u00e1n como de costumbre.<\/p>\n

Mientras tanto, a pesar de los constantes titulares de noticias sobre violaciones en organizaciones como M&S, JLR y Co-op (y la mayor\u00eda de las violaciones nunca llegan a las portadas), y de los consejos de la industria de la ciberseguridad y de organizaciones gubernamentales sobre c\u00f3mo evitar convertirse en la pr\u00f3xima v\u00edctima, el n\u00famero de incidentes importantes contin\u00faa aumentando a un ritmo vertiginoso.<\/p>\n

El Revisi\u00f3n anual del NCSC 2025<\/a> inform\u00f3 204 ataques cibern\u00e9ticos \u00abde importancia nacional\u00bb en los 12 meses hasta agosto de 2025, un aumento del 130% con respecto a los 89 reportados el a\u00f1o anterior. De un total de 429 incidentes, 18 se clasificaron como \u00abaltamente significativos\u00bb, lo que supone un aumento del 50 % en incidentes graves. Las tasas de incumplimiento siguen siendo obstinadamente altas, lo que puede reflejar una progresiva normalizaci\u00f3n del riesgo de incumplimiento y considerarse un sesgo de normalidad. a escala<\/em>: cuanto m\u00e1s comunes se vuelven las revelaciones de incumplimiento, menos urgencia puede conllevar cada una de ellas.<\/p>\n

\u00bfLecciones aprendidas?<\/h2>\n

Hay una frase que tanto los gobiernos como las empresas difunden cuando ocurre una cat\u00e1strofe de cualquier tipo (incluida una violaci\u00f3n de la seguridad cibern\u00e9tica): \u201cSe han aprendido lecciones\u201d.<\/p>\n

\u00bfPero lo han hecho? El aumento del 130% en incidentes significativos entre 2024 y 2025 desaf\u00eda gravemente esta afirmaci\u00f3n y se\u00f1ala que no se est\u00e1n aprendiendo lecciones a nivel macro. \u00a1Parece un gran no!<\/p>\n

El a\u00f1o pasado escrib\u00ed una publicaci\u00f3n en un blog que puede, en parte, explicar el estado psicol\u00f3gico despu\u00e9s de una infracci\u00f3n. Argument\u00e9 que, en cierto sentido, muchas empresas sufren simult\u00e1neamente violaciones y no violaciones, y compar\u00e9 esta situaci\u00f3n con el gato de Schr\u00f6dinger. hasta que tu abre la caja<\/em> Al interrogar los registros o buscar activamente un compromiso, la comodidad de \u00abno hemos sido violados\u00bb simplemente refleja el hecho de que nadie lo ha verificado. De hecho, esta renuencia a mirar tambi\u00e9n podr\u00eda ser un sesgo de normalidad que silenciosamente hace su trabajo.<\/p>\n

\u00abSe han aprendido lecciones\u00bb es el resultado de abrir la caja, descubrir que el gato (desafortunadamente) ha fallecido y luego declarar: \u00absabemos lo que pas\u00f3, <\/em>Tenemos esto bajo control, no te preocupes\u201d. <\/em>Esto es narrativo, no evidencia de un cambio significativo de enfoque.<\/p>\n

Por el contrario, el aprendizaje real es un proceso proactivo que cambia la forma en que las organizaciones deben comportarse. Esto deber\u00eda reflejarse en cambios en los presupuestos, pol\u00edticas, reglas, planificaci\u00f3n de recuperaci\u00f3n, escrutinio de proveedores, registro, monitoreo, capacitaci\u00f3n y tolerancia al error, por nombrar solo algunas cosas. Y todo ello antes de que se produzca la inevitable ruptura. Despu\u00e9s de todo, es mucho m\u00e1s dif\u00edcil acertar en un objetivo en movimiento.<\/p>\n

Entonces, si podemos aceptar que el sesgo de normalidad es una condici\u00f3n cognitiva com\u00fan y humana, podemos avanzar para evitar la complacencia ante una violaci\u00f3n y minimizar su impacto. \u00abErrar es humano\u00bb, pero ahora que sabemos cu\u00e1l es el error, tenemos el imperativo de actuar sobre la base de ese conocimiento y hacer las cosas de manera diferente.<\/p>\n

Fin del juego: \u00bfqu\u00e9 pasa si todav\u00eda no reconocemos este sesgo?<\/h2>\n

Los \u00abauditores\u00bb criminales conf\u00edan en el error humano. Despu\u00e9s de todo, es por eso que el phishing sigue siendo una de las formas m\u00e1s frecuentes en que se producen las infracciones.<\/p>\n

Hay dos formas principales en las que se desarrolla el final del juego en materia de ciberseguridad.<\/p>\n

O nos auditamos peri\u00f3dicamente: realizamos pruebas de penetraci\u00f3n, equipos rojo\/azul\/p\u00farpura y otros ejercicios de simulaci\u00f3n de ataques, reevaluamos peri\u00f3dicamente el panorama de amenazas e invertimos en nuestra provisi\u00f3n de seguridad como parte de nuestra estrategia de resiliencia cibern\u00e9tica.<\/p>\n

O permitimos que los ciberdelincuentes hagan la \u00abauditor\u00eda\u00bb por nosotros. Se basan en una falsa sensaci\u00f3n de seguridad (literalmente), y \u00e9sta es la grieta en la armadura que explotan.<\/p>\n

Que los delincuentes lo ‘auditen’ puede ser brutal, costoso, devastador y, en muchos casos, terminal para las organizaciones. Por eso es importante esta met\u00e1fora: los ciberdelincuentes descubren la brecha entre lo que una organizaci\u00f3n cree<\/strong> sobre su seguridad y cu\u00e1l es el realidad<\/strong> es.<\/p>\n

Para poner las cosas en perspectiva, La inteligencia de amenazas de ESET<\/a> procesa 750.000 muestras sospechosas, analiza 2.500 millones de URL y bloquea 500.000 de ellas cada d\u00eda. Los actores de amenazas son implacables y, a medida que sus ataques se vuelven cada vez m\u00e1s sofisticados, tenemos que deshacernos de cualquier pensamiento de que somos impermeables. Debemos aceptar que existe un sesgo de normalidad y actuar en consecuencia.<\/p>\n

\n

Ante una serie de violaciones de seguridad minoristas de alto perfil en el Reino Unido, ESET llev\u00f3 a cabo una investigaci\u00f3n con 2.000 consumidores. El resultado informe<\/a> revel\u00f3, entre otras cosas, que el 46% de los compradores dijeron que les llevar\u00eda m\u00e1s de 5 meses recuperar la confianza despu\u00e9s de una filtraci\u00f3n de datos. \u00a1Esa es una auditor\u00eda costosa! Es necesario hacer c\u00e1lculos simples para estimar el da\u00f1o financiero directo, si eso es lo \u00fanico que interesa a la alta direcci\u00f3n. Por s\u00ed solo, esto deber\u00eda ser suficiente a pesar de que suele ser la punta de un iceberg muy doloroso.<\/p>\n<\/div>\n

El resultado final<\/h2>\n

Un aspecto del sesgo de normalidad que encuentro m\u00e1s intrigante es que, a pesar de la mayor sofisticaci\u00f3n, velocidad, volumen y variedad de vectores de ataque que todos conocemos, nuestro enfoque de las estrategias de ciberresiliencia a menudo permanece arraigado en el pasado, incluso si es un pasado relativamente reciente. Pero el tiempo pasa r\u00e1pido en ciberseguridad, y en los 4 o 5 minutos que le llevar\u00e1 leer este art\u00edculo, ESET habr\u00e1 procesado m\u00e1s de 2000 muestras sospechosas y escaneado aproximadamente. 7 millones de URL bloquean aproximadamente 1500 de ellas.<\/p>\n

Cuando preguntamos por qu\u00e9 deber\u00edamos revisar la prestaci\u00f3n de servicios de ciberseguridad, \u00bfestamos teniendo en cuenta todos los par\u00e1metros que han cambiado (tanto a nivel mundial como local) en los \u00faltimos a\u00f1os y c\u00f3mo podr\u00edan afectar nuestra postura de seguridad actual?<\/p>\n

Desde el primer momento, probablemente podr\u00edas nombrar al menos algunos de estos:<\/p>\n