Son las 11:45 AM de un martes cualquiera. El comité de riesgos se reúne para aprobar el mapa de riesgos corporativo. Todos asienten con satisfacción: la matriz de 5×5 está perfectamente coloreada, los riesgos ordenados por probabilidad e impacto, las acciones mitigadoras asignadas. El presidente del comité firma el documento. Mientras tanto, a 8.000 kilómetros, un atacante ya lleva tres días dentro de los sistemas de la empresa.
¿Cómo es posible que con tanta sofisticación en gestión de riesgos, los directorios sigan siendo sorprendidos por crisis cibernéticas?
La paradoja del control
La respuesta incómoda es que nuestras herramientas tradicionales de gobierno corporativo fueron diseñadas para un mundo que ya no existe. Los mapas de riesgo, las matrices de probabilidad-impacto y los comités trimestrales nacieron en una era donde los riesgos eran estáticos, razonablemente predecibles y localizables. El riesgo cibernético no respeta ninguna de estas premisas.
Pensemos en lo que asumimos cuando construimos un mapa de riesgos tradicional: que podemos identificar las amenazas con anticipación, que la probabilidad de ocurrencia es relativamente estable, que el impacto puede estimarse dentro de rangos razonables, y que tenemos tiempo para implementar controles antes de que el riesgo se materialice. En ciberseguridad, cada una de estas asunciones es, en el mejor de los casos, ingenua.
El investigador colombiano Jeimy Cano lo describe con precisión: la gestión de riesgos tradicional se encuentra en una crisis intrínseca frente a la dinámica, incertidumbre y ambigüedad del entorno digital. Lo que antes era medianamente viable anticipar, ahora resulta prácticamente imposible.
El comité que aprueba mientras el atacante opera
Según el reporte M-Trends 2025 de Mandiant, basado en más de 450.000 horas de investigaciones de incidentes, el tiempo mediano que un atacante permanece en los sistemas antes de ser detectado es de 11 días. Parece poco, pero aquí viene el dato que debería incomodar a cualquier directorio: el 57% de las organizaciones se enteran del ataque por fuentes externas, no por sus propios sistemas de detección. Y de esas notificaciones externas, el 14% proviene del propio atacante mediante una nota de rescate.
Dicho de otra manera: más de la mitad de las empresas necesitan que alguien de afuera les diga que fueron comprometidas. En muchos casos, ese “alguien” es el propio criminal que ya extrajo la información.
La SEC estadounidense ahora exige divulgación de incidentes materiales en cuatro días hábiles. Pero si tu organización pertenece a ese 57% que no detecta internamente, el reloj de cumplimiento comienza a correr solo cuando ya perdiste el control de la narrativa.
En América Latina, donde los marcos regulatorios de ciberseguridad aún están madurando y muchos directorios recién comienzan a incorporar el tema en su agenda, esta brecha entre la velocidad del riesgo y el ritmo de la gobernanza es particularmente pronunciada. La alta concentración de propiedad familiar en la región añade otra complejidad: cuando el dueño también preside el directorio, la tentación de tratar la ciberseguridad como un “tema de TI” que no merece discusión estratégica es difícil de resistir.
La ilusión del checklist
Existe una tendencia creciente a convertir la supervisión del ciberriesgo en un ejercicio de cumplimiento. Los comités revisan meticulosamente listas de verificación, completan matrices de control y siguen procedimientos detallados. Pero en este proceso mecánico se pierde algo fundamental: el juicio crítico, la intuición experimentada, la capacidad de detectar señales débiles.
Los mejores detectores de problemas no son necesariamente quienes dominan la jerga técnica, sino quienes entienden profundamente el negocio y pueden identificar cuando algo simplemente no huele bien, aunque los indicadores formales aparezcan en verde. Un director que pregunta por qué ciertos sistemas nunca reportan incidentes puede estar más cerca de la verdad que uno que celebra el dashboard impecable.
¿Hacia un nuevo modelo de supervisión?
¿Qué hacer entonces? La respuesta no es abandonar la gestión de riesgos, sino transformarla radicalmente para el contexto digital.
La primera transformación necesaria es pasar de la evaluación periódica al monitoreo continuo. El directorio no puede depender de reportes trimestrales para un riesgo que evoluciona en horas. Esto no significa que los directores deban convertirse en técnicos, pero sí que necesitan acceso a información actualizada y canales de escalamiento que no esperen a la próxima reunión programada.
La segunda transformación implica abandonar la ilusión de predicción perfecta y adoptar una mentalidad de resiliencia. En lugar de preguntarse únicamente qué tan probable es un ataque, el directorio debería preguntarse qué tan rápido podemos detectarlo internamente (no esperar que nos avisen de afuera), qué tan preparados estamos para responder y cuánto tiempo tomaría recuperar operaciones críticas.
La tercera transformación, quizás la más difícil culturalmente, requiere crear espacios donde las malas noticias puedan emerger temprano. En muchas organizaciones latinoamericanas, donde la cultura valora la armonía y cuestionar al jefe es mal visto, los problemas de ciberseguridad permanecen ocultos hasta que explotan. El directorio que verdaderamente quiere supervisar este riesgo debe cultivar activamente voces disidentes y proteger a quienes levantan alertas incómodas.
Para reflexionar en su directorio
Vale la pena preguntarse si su organización forma parte del 43% que detecta internamente o del 57% que necesita que le avisen desde afuera. ¿Cuándo fue la última vez que su comité de riesgos cuestionó seriamente algo que parecía perfecto en el dashboard de ciberseguridad? Y la pregunta más incómoda para nuestro contexto regional: si un gerente de sistemas detectara una vulnerabilidad crítica la noche anterior a una reunión de directorio donde se celebrará la transformación digital de la empresa, ¿se sentiría seguro de reportarla?
La verdadera fortaleza de un directorio frente al ciberriesgo no está en la sofisticación de sus matrices ni en la frecuencia de sus comités. Está en su capacidad para ver lo que los dashboards no muestran y para crear una cultura donde la realidad, por incómoda que sea, siempre encuentre camino hasta la sala de sesiones.
P.D. El mapa de riesgos que firmó el comité aquella mañana de martes tenía 47 riesgos identificados. El ataque que ya estaba en curso no correspondía a ninguno de ellos.
Referencias :
– Mandiant M-Trends 2025 Report (Google Cloud, abril 2025): Dwell time global 11 días, 57% detección externa, 14% notificación por adversario
– Mandiant M-Trends 2024 Report: Dwell time 10 días, tendencia histórica
– SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Rules (2023): 4 días hábiles para divulgación
– Jeimy Cano, Ph.D., Universidad de los Andes: Investigación sobre ciberriesgo y juntas directivas
– CISA/NACD: Director’s Handbook on Cyber-Risk Oversight