Pecado mortal: la débil cultura de ciberseguridad en muchas empresas latinoaméricanas

Actualmente, en muchos comercios y empresas de Latinoamérica (especialmente las pymes) reina una cultura pobre sobre el tema de la ciberseguridad, fomentando, con ello, hábitos digitales inseguros entre los usuarios finales. Las razones de esta preocupante situación se derivan sobre todo de una combinación que involucra la falta de concienciación, creencias técnicas erróneas y prácticas inadecuadas como el uso de software desactualizado o pirateado.

Todo ello incide en la poca motivación que hay para realizar las inversiones necesarias en el área de tecnología, contratación de personal adecuado y una formación tecnológica continua en el personal. Indaguemos más a fondo sobre este delicado tema.

¿Por qué en Latinoamérica aún reina el escepticismo en cuanto a las inversiones que se requieren realmente para tener una robusta infraestructura tecnológica?

La falta de una cultura sólida de ciberseguridad en las empresas latinoamericanas responde a múltiples factores estructurales, culturales y económicos. En primer lugar, existe una percepción errónea de que los ciberataques son un problema exclusivo de grandes corporaciones, lo que lleva a muchas pymes a subestimar la ciberseguridad.

Esta creencia conlleva que muchas pymes limiten la inversión en tecnologías de seguridad y en la contratación de personal especializado. En efecto, para el cierre del 2024 aproximadamente el 31 % de las pymes y comercios en la región sufrieron algún tipo de ciberataque. Sin embargo, aún persiste esa falsa creencia de que porque son pequeños o medianos, la ciberdelincuencia los verá poco atractivos, lo que en cierta parte genera complacencia y una falta de preparación para enfrentar este tipo de desafíos.

Otro factor crítico es la carencia de formación y concienciación en ciberseguridad. En muchas empresas, los empleados no reciben capacitación alguna sobre cómo identificar amenazas como el phishing o el ransomware, lo que las convierte en el eslabón más débil de la cadena de seguridad. Esta falta de educación se agrava por la ausencia de políticas internas claras que promuevan buenas prácticas digitales.

Además, también está el hecho de que los gerentes y dueños a menudo no priorizan la ciberseguridad como parte de la estrategia organizacional, considerándola un gasto secundario en lugar de una inversión estratégica. Esto se ve reflejado en la baja adopción de marcos de gestión de riesgos y en la falta de liderazgo proactivo para alinear la seguridad digital con los objetivos empresariales.

También destaca la ausencia de regulaciones en cuanto a la protección de datos en varios países de la región. De hecho, las empresas y comercios que buscan mantener una eficiente cultura de ciberseguridad se suelen basar en el Reglamento General de Protección de Datos en Europa. Esta situación reduce la presión para adoptar medidas de ciberseguridad robustas y perpetúa una cultura de desinterés hacia la protección de datos.

Impacto del uso de software pirateado en la ciberseguridad

El uso de software pirateado es una práctica muy común en muchas pymes latinoamericanas, la cual viene impulsada por la percepción de que representa un ahorro económico significativo, además de la creencia de que “el antivirus nos va a proteger si lanza un malware”.

Sin embargo, esta práctica tiene consecuencias devastadoras tanto para las empresas como para sus empleados. El software pirateado, al no contar con ningún tipo de soporte oficial y por ende, no gozar de ninguna garantía de seguridad, es inherentemente vulnerable a exploits y malware. Los ciberdelincuentes aprovechan estas vulnerabilidades para instalar ransomware, spyware o troyanos que comprometen no solo los sistemas empresariales, sino también los datos personales de los empleados y clientes.

También está el hecho de que los programas pirateados o crackeados, generalmente contienen código malicioso preinstalado, lo que facilita el acceso no autorizado a información confidencial. Por ejemplo, un programa pirateado puede incluir un keylogger que registra las credenciales de los empleados, exponiéndolos a robos de identidad o fraudes financieros. Además, al conectarse con redes corporativas, un dispositivo comprometido puede propagar malware a otros sistemas, amplificando el impacto de un ataque. Vale reseñar que prácticamente todas las empresas de soluciones de seguridad, incluyendo también quienes desarrollan software y sistemas operativos, han asegurado que más del 70 % de las vulnerabilidades son provocadas precisamente por el uso de software pirateado.

Para las pymes, el uso de software pirateado también tiene implicaciones legales y reputacionales. Las violaciones de datos resultantes de estas prácticas pueden generar multas significativas en países con regulaciones estrictas y dañar la confianza de los clientes, lo que resulta especialmente crítico para empresas con recursos limitados.

Los empleados, por su parte, enfrentan riesgos personales, ya que sus datos pueden ser utilizados para extorsión o vendidos en mercados negros digitales. Esta práctica no solo pone en peligro la seguridad de la organización, sino que también fomenta hábitos digitales inseguros entre los usuarios finales, quienes pueden replicar estas conductas en sus entornos personales.

Estrategias para fortalecer la ciberseguridad en empresas y usuarios finales

Promover una cultura de concienciación y capacitación

La educación es la base para construir una cultura de ciberseguridad sólida. Las empresas deben implementar programas de capacitación regulares que enseñen a los empleados a identificar amenazas como correos de phishing, que representan uno de los métodos más comunes de ciberataques. Estas sesiones deben ser prácticas, adaptadas al contexto de la organización y dirigidas a todos los niveles, desde la alta dirección hasta el personal operativo. Fomentar una mentalidad de “seguridad primero” ayuda a reducir el riesgo de errores humanos, que son responsables de la mayoría de las brechas de seguridad.

Fomentar el uso de software legítimo

Las empresas deben abandonar el uso de software pirateado y adoptar licencias legítimas, que ofrecen actualizaciones de seguridad y soporte técnico. Aunque esto implica un costo inicial, el retorno de inversión se refleja en la reducción de riesgos y costos asociados a ciberataques. Los gobiernos y las asociaciones empresariales pueden apoyar esta transición ofreciendo incentivos fiscales o programas de financiamiento para pymes que adopten soluciones de seguridad certificadas.

Establecer políticas claras de ciberseguridad

Las organizaciones deben desarrollar políticas que regulen el acceso a datos confidenciales, el empleo de dispositivos personales en redes corporativas y la gestión de contraseñas. Estas políticas deben ser comunicadas claramente y respaldadas por procesos de monitoreo continuo para detectar comportamientos anómalos. La adopción de un modelo de confianza cero, que limita el acceso a los recursos según las necesidades específicas de cada usuario, puede minimizar el impacto de posibles brechas.