EL TIPO DE CAMBIO DE HOY ES DE: El Data Breach Investigations Report (DBIR) 2025 de Verizon reporta un aumento del 163 % en ciberespionaje corporativo a nivel mundial. De acuerdo con el vocero de SISAP, José Amado, la mayor cantidad de datos disponibles revela un fenómeno impulsado por tensiones geopolíticas, explotación de vulnerabilidades y cadenas de suministro frágiles, dejando a Centroamérica especialmente expuesta por su rezago tecnológico y regulatorio.
El DBIR 2025 de Verizon indica un aumento del 163 % en el espionaje corporativo a nivel global. ¿Qué factores están impulsando este crecimiento acelerado?
Es importante mencionar que este año en particular aumentaron los contribuyentes al reporte DBIR y también agregaron más detalles, por lo tanto,
estamos teniendo más visibilidad y se aprecia un incremento, es decir ahora tenemos más datos. De igual manera, hay situaciones globales a nivel geopolítico que impulsan esta actividad principalmente por los actores patrocinados por los gobiernos, se aprecia un incremento a la explotación de vulnerabilidades que creció considerablemente el último año y el segundo importante es la exposición de terceros, la cadena de suministro se ha convertido en un vector de entrada muy difícil de controlar. Adicional, han habido algunos eventos de gran magnitud dirigidos a empresas de telecomunicaciones, donde podemos citar el caso del actor Salt Typhoon que tiene en su haber centenares de casos de espionaje contra varios países.
¿Hasta qué punto los ataques de ciberespionaje en la región podrían estar vinculados a intereses geopolíticos y no solo económicos?
En la región se registraron 657 incidentes, de esos 413 tuvieron exposición de los datos robados. De ese 27 % donde el motivante fue el espionaje, es importante tomar en cuenta en los atacantes son oportunistas y van a aprovechar cualquier oportunidad que se presente, para espionaje, para exfiltrar datos o para secuestrar los datos y pedir dinero a cambio, la relación que se tiene con diferentes países, acuerdos de intercambio de información de inteligencia son factores por los que los intereses estén vinculados a intereses más geopolíticos que económicos.
¿Por qué considera que Centroamérica está particularmente expuesta a estas amenazas, y qué diferencias hay con otras regiones?
Tenemos muchas desventajas, principalmente una deuda tecnológica. Es decir, tenemos una cultura de renovación tecnológica y de percepción de la
ciberseguridad muy atrasada en comparación de otras regiones, por lo tanto es mucho más fácil que un atacante logre penetrar los sistemas de seguridad de gobiernos locales, de pequeñas y medianas empresas, estas pequeñas y medianas empresas que no invierten en ciberseguridad pueden ser los que proveen a grandes empresas, formando la cadena de suministro frágil y es allí donde se abren múltiples puertas a los atacantes.
En su experiencia, ¿qué tan preparados están los marcos regulatorios locales para enfrentar este tipo de incidentes? ¿Existe un rezago frente a otras jurisdicciones?
Sí existe un rezago frente a la Unión Europea y EE. UU., Guatemala y Honduras tienen más atrasos comparado con Panamá y Costa Rica que llevan la
delantera. Aun así y frente a la constante actualización tecnológica de IA y la transformación digital, hay avances importantes, tomando en cuenta
que es una ventaja competitiva a nivel país donde se están viendo cambios positivos.
¿Qué tipos de empresas o sectores están más en riesgo frente al ciberespionaje y las brechas de datos?
Partiendo desde la premisa que los atacantes van a aprovechar lo que sea más fácil de vulnerar, están las pequeñas y medianas empresas que no tienen las medidas básicas de ciberseguridad. Por sector de la industria podemos mencionar, manufactura, salud, sector público y las telecomunicaciones. En estos sectores el espionaje puede ser importante por el tipo de información sensible que se maneja.
¿Podría compartir algún caso reciente en el que una empresa centroamericana haya enfrentado un ataque de espionaje digital y qué lecciones deja?
Un caso que fue muy transmitido en los medios fue el espionaje que se hizo a varios periodistas y personas del medio político en la región, donde se implantó un software espía llamado Pegasus en sus dispositivos móviles Android y iPhone y que permite activar la cámara y micrófono, leer mensajes y ver la ubicación de la persona.
Una lección importante que nos deja es que el espionaje y el alcance de estas herramientas no son ciencia ficción, que existen y son utilizados en la actualidad. Es un gran reto para los especialistas en ciberseguridad llevar el mensaje de la seriedad de la ciberseguridad y el impacto que va a tener en las empresas privadas o entidades de gobierno cuando les toque responder a un incidente.
Muchas empresas permiten acceso a ChatGPT desde cuentas personales sin supervisión. ¿Qué riesgos concretos implica esto para la información confidencial?
El acceso desde cuentas personales es un indicativo de que no se ha regulado el uso de la IA, esto quiero decir que el colaborador ha buscado por sus propios medios buscar el recurso. El problema radica en la falta de visibilidad de los especialistas de ciberseguridad que no saben qué herramientas el colaborador está empleando y que tipo de información está proveyendo a la herramienta de IA que está usando. Si no se ha regulado el uso, significa que no se ha indicado que tipo de información se puede proveer y cuál no, poniendo de esta manera en riesgo a la empresa por fuga de información o alguna otra amenaza.
Desde su perspectiva, ¿qué papel debe jugar la auditoría interna para controlar el uso de IA generativa en las organizaciones?
El primer paso es establecer una política del uso de la IA en cualquiera de sus formas, incluyendo la generativa. La auditoría debe velar por el cumplimiento de esa política y de acuerdo con la evolución de la tecnología y a los hallazgos de la auditoría sugerir cambios para que esta política esté actualizada y alineada a los intereses de la organización.
¿Existen protocolos o buenas prácticas recomendadas para el uso seguro de herramientas de IA generativa en entornos corporativos?
-
Regular el uso indicando en herramientas se pueden usar
-
Hay que indicar qué tipo de información se puede usar para consultas en la IA
-
Utilizar las cuentas corporativas, no las personales
-
Aplicar controles de seguridad a los servicios relacionados
-
Monitoreo del uso responsable de la IA
-
Si en la práctica se utilizan datos sensibles, optar por servicios de IA que
funcionen localmente (on premise)
Varias compañías ya han optado por prohibir ChatGPT en sus redes. ¿Cree que la prohibición es una medida efectiva o una reacción exagerada?
La IA no va a desaparecer, por el contrario, está presente y en crecimiento en la mayoría de servicios y dispositivos que utilizamos y muchos de sus usos serán de manera transparente, el usuario no sabe que está siendo asistido por un agente de IA, de tal manera que lo recomendable es informarse de como la IA puede beneficiar a su operación y regular su uso, la prohibición solo incentiva la creatividad a buscar alternativas que reducen la visibilidad de los especialistas en ciberseguridad y por lo tanto pone a la empresa en riesgo.
¿Cree que el problema está más en la tecnología o en la falta de cultura y conciencia sobre ciberseguridad dentro de las empresas?
El factor humano ha sido por muchos años el eslabón más débil desde la perspectiva de ciberseguridad y que permite que sucedan los incidentes, la IA es
otro recurso tecnológico que debemos enseñar a los usuarios el uso responsable y los beneficios que puede tener si aprende como aplicarla en el ambiente laboral.
¿Cómo ve la relación entre ciberseguridad y reputación corporativa, considerando que una filtración de datos puede afectar tanto la confianza
como el valor de marca?
La relación es directa. La reputación, el valor de marca y la confianza son tres activos que se ponen en riesgo cada vez que hablamos de ciberseguridad. Son también el lenguaje con el que debemos hablarle a la alta gerencia: no se trata solo de tecnología, sino de proteger la confianza en el negocio. Pensemos por un momento en dos ejemplos: en una entidad financiera, la confianza lo es todo; una brecha puede hacer que los clientes retiren su dinero al día siguiente. En el caso de la manufactura, imagine que la producción se detiene 24 o 48 horas: se pierden órdenes, se incumplen entregas y el golpe económico es inmediato.
Al final, la ciberseguridad y reputación corporativa están tan ligadas que una falla grave puede significar pérdidas millonarias o, en el peor de los escenarios, llevar a una empresa a la quiebra.
¿Qué tendencias tecnológicas anticipa que marcarán la próxima ola de desafíos en ciberseguridad para las empresas de la región?
La inteligencia artificial es, sin duda, la tendencia que más va a marcar los próximos años. Muchas empresas están en diferentes etapas: unas todavía
intentando entender qué significa, otras adoptándola de manera acelerada, y unas pocas que ya logran sacarle provecho. El riesgo es que esa adopción rápida muchas veces ocurre sin considerar medidas básicas de ciberseguridad, y eso traerá consecuencias en el mediano y largo plazo.
El gran reto es doble: cómo aprovechar el valor de la IA para el negocio y, al mismo tiempo, cómo hacerlo de forma segura. Además de la IA, veremos un incremento en ataques cada vez más sofisticados: desde intentos de vulnerar sistemas de autenticación biométrica hasta campañas
de phishing con voz o identidades sintéticas que son cada vez más difíciles de detectar. En este tren de innovación, lo más importante es mantener una postura sobria y proactiva de ciberseguridad desde el inicio, no después de un incidente.
¿Qué mensaje principal le gustaría transmitir a los líderes empresariales y al público en general sobre la importancia de la ciberseguridad y el manejo responsable de la tecnología en el trabajo?
La ciberseguridad no es un obstáculo, es un diferenciador competitivo. Es lo que permite que un negocio lance servicios digitales más rápido, que reduzca el riesgo de interrupciones y que crezca con confianza. En un mundo donde casi todo lo hacemos desde el móvil, la confianza digital se ha vuelto esencial, ya no es opcional.
El Data Breach Investigations Report (DBIR) 2025 de Verizon reporta un aumento del 163 % en ciberespionaje corporativo a nivel mundial. De acuerdo con el vocero de SISAP, José Amado, la mayor cantidad de datos disponibles revela un fenómeno impulsado por tensiones geopolíticas, explotación de vulnerabilidades y cadenas de suministro frágiles, dejando a Centroamérica especialmente expuesta por su rezago tecnológico y regulatorio.
El DBIR 2025 de Verizon indica un aumento del 163 % en el espionaje corporativo a nivel global. ¿Qué factores están impulsando este crecimiento acelerado?
Es importante mencionar que este año en particular aumentaron los contribuyentes al reporte DBIR y también agregaron más detalles, por lo tanto,
estamos teniendo más visibilidad y se aprecia un incremento, es decir ahora tenemos más datos. De igual manera, hay situaciones globales a nivel geopolítico que impulsan esta actividad principalmente por los actores patrocinados por los gobiernos, se aprecia un incremento a la explotación de vulnerabilidades que creció considerablemente el último año y el segundo importante es la exposición de terceros, la cadena de suministro se ha convertido en un vector de entrada muy difícil de controlar. Adicional, han habido algunos eventos de gran magnitud dirigidos a empresas de telecomunicaciones, donde podemos citar el caso del actor Salt Typhoon que tiene en su haber centenares de casos de espionaje contra varios países.
¿Hasta qué punto los ataques de ciberespionaje en la región podrían estar vinculados a intereses geopolíticos y no solo económicos?
En la región se registraron 657 incidentes, de esos 413 tuvieron exposición de los datos robados. De ese 27 % donde el motivante fue el espionaje, es importante tomar en cuenta en los atacantes son oportunistas y van a aprovechar cualquier oportunidad que se presente, para espionaje, para exfiltrar datos o para secuestrar los datos y pedir dinero a cambio, la relación que se tiene con diferentes países, acuerdos de intercambio de información de inteligencia son factores por los que los intereses estén vinculados a intereses más geopolíticos que económicos.
¿Por qué considera que Centroamérica está particularmente expuesta a estas amenazas, y qué diferencias hay con otras regiones?
Tenemos muchas desventajas, principalmente una deuda tecnológica. Es decir, tenemos una cultura de renovación tecnológica y de percepción de la
ciberseguridad muy atrasada en comparación de otras regiones, por lo tanto es mucho más fácil que un atacante logre penetrar los sistemas de seguridad de gobiernos locales, de pequeñas y medianas empresas, estas pequeñas y medianas empresas que no invierten en ciberseguridad pueden ser los que proveen a grandes empresas, formando la cadena de suministro frágil y es allí donde se abren múltiples puertas a los atacantes.
En su experiencia, ¿qué tan preparados están los marcos regulatorios locales para enfrentar este tipo de incidentes? ¿Existe un rezago frente a otras jurisdicciones?
Sí existe un rezago frente a la Unión Europea y EE. UU., Guatemala y Honduras tienen más atrasos comparado con Panamá y Costa Rica que llevan la
delantera. Aun así y frente a la constante actualización tecnológica de IA y la transformación digital, hay avances importantes, tomando en cuenta
que es una ventaja competitiva a nivel país donde se están viendo cambios positivos.
¿Qué tipos de empresas o sectores están más en riesgo frente al ciberespionaje y las brechas de datos?
Partiendo desde la premisa que los atacantes van a aprovechar lo que sea más fácil de vulnerar, están las pequeñas y medianas empresas que no tienen las medidas básicas de ciberseguridad. Por sector de la industria podemos mencionar, manufactura, salud, sector público y las telecomunicaciones. En estos sectores el espionaje puede ser importante por el tipo de información sensible que se maneja.
¿Podría compartir algún caso reciente en el que una empresa centroamericana haya enfrentado un ataque de espionaje digital y qué lecciones deja?
Un caso que fue muy transmitido en los medios fue el espionaje que se hizo a varios periodistas y personas del medio político en la región, donde se implantó un software espía llamado Pegasus en sus dispositivos móviles Android y iPhone y que permite activar la cámara y micrófono, leer mensajes y ver la ubicación de la persona.
Una lección importante que nos deja es que el espionaje y el alcance de estas herramientas no son ciencia ficción, que existen y son utilizados en la actualidad. Es un gran reto para los especialistas en ciberseguridad llevar el mensaje de la seriedad de la ciberseguridad y el impacto que va a tener en las empresas privadas o entidades de gobierno cuando les toque responder a un incidente.
Muchas empresas permiten acceso a ChatGPT desde cuentas personales sin supervisión. ¿Qué riesgos concretos implica esto para la información confidencial?
El acceso desde cuentas personales es un indicativo de que no se ha regulado el uso de la IA, esto quiero decir que el colaborador ha buscado por sus propios medios buscar el recurso. El problema radica en la falta de visibilidad de los especialistas de ciberseguridad que no saben qué herramientas el colaborador está empleando y que tipo de información está proveyendo a la herramienta de IA que está usando. Si no se ha regulado el uso, significa que no se ha indicado que tipo de información se puede proveer y cuál no, poniendo de esta manera en riesgo a la empresa por fuga de información o alguna otra amenaza.
Desde su perspectiva, ¿qué papel debe jugar la auditoría interna para controlar el uso de IA generativa en las organizaciones?
El primer paso es establecer una política del uso de la IA en cualquiera de sus formas, incluyendo la generativa. La auditoría debe velar por el cumplimiento de esa política y de acuerdo con la evolución de la tecnología y a los hallazgos de la auditoría sugerir cambios para que esta política esté actualizada y alineada a los intereses de la organización.
¿Existen protocolos o buenas prácticas recomendadas para el uso seguro de herramientas de IA generativa en entornos corporativos?
-
Regular el uso indicando en herramientas se pueden usar
-
Hay que indicar qué tipo de información se puede usar para consultas en la IA
-
Utilizar las cuentas corporativas, no las personales
-
Aplicar controles de seguridad a los servicios relacionados
-
Monitoreo del uso responsable de la IA
-
Si en la práctica se utilizan datos sensibles, optar por servicios de IA que
funcionen localmente (on premise)
Varias compañías ya han optado por prohibir ChatGPT en sus redes. ¿Cree que la prohibición es una medida efectiva o una reacción exagerada?
La IA no va a desaparecer, por el contrario, está presente y en crecimiento en la mayoría de servicios y dispositivos que utilizamos y muchos de sus usos serán de manera transparente, el usuario no sabe que está siendo asistido por un agente de IA, de tal manera que lo recomendable es informarse de como la IA puede beneficiar a su operación y regular su uso, la prohibición solo incentiva la creatividad a buscar alternativas que reducen la visibilidad de los especialistas en ciberseguridad y por lo tanto pone a la empresa en riesgo.
¿Cree que el problema está más en la tecnología o en la falta de cultura y conciencia sobre ciberseguridad dentro de las empresas?
El factor humano ha sido por muchos años el eslabón más débil desde la perspectiva de ciberseguridad y que permite que sucedan los incidentes, la IA es
otro recurso tecnológico que debemos enseñar a los usuarios el uso responsable y los beneficios que puede tener si aprende como aplicarla en el ambiente laboral.
¿Cómo ve la relación entre ciberseguridad y reputación corporativa, considerando que una filtración de datos puede afectar tanto la confianza
como el valor de marca?
La relación es directa. La reputación, el valor de marca y la confianza son tres activos que se ponen en riesgo cada vez que hablamos de ciberseguridad. Son también el lenguaje con el que debemos hablarle a la alta gerencia: no se trata solo de tecnología, sino de proteger la confianza en el negocio. Pensemos por un momento en dos ejemplos: en una entidad financiera, la confianza lo es todo; una brecha puede hacer que los clientes retiren su dinero al día siguiente. En el caso de la manufactura, imagine que la producción se detiene 24 o 48 horas: se pierden órdenes, se incumplen entregas y el golpe económico es inmediato.
Al final, la ciberseguridad y reputación corporativa están tan ligadas que una falla grave puede significar pérdidas millonarias o, en el peor de los escenarios, llevar a una empresa a la quiebra.
¿Qué tendencias tecnológicas anticipa que marcarán la próxima ola de desafíos en ciberseguridad para las empresas de la región?
La inteligencia artificial es, sin duda, la tendencia que más va a marcar los próximos años. Muchas empresas están en diferentes etapas: unas todavía
intentando entender qué significa, otras adoptándola de manera acelerada, y unas pocas que ya logran sacarle provecho. El riesgo es que esa adopción rápida muchas veces ocurre sin considerar medidas básicas de ciberseguridad, y eso traerá consecuencias en el mediano y largo plazo.
El gran reto es doble: cómo aprovechar el valor de la IA para el negocio y, al mismo tiempo, cómo hacerlo de forma segura. Además de la IA, veremos un incremento en ataques cada vez más sofisticados: desde intentos de vulnerar sistemas de autenticación biométrica hasta campañas
de phishing con voz o identidades sintéticas que son cada vez más difíciles de detectar. En este tren de innovación, lo más importante es mantener una postura sobria y proactiva de ciberseguridad desde el inicio, no después de un incidente.
¿Qué mensaje principal le gustaría transmitir a los líderes empresariales y al público en general sobre la importancia de la ciberseguridad y el manejo responsable de la tecnología en el trabajo?
La ciberseguridad no es un obstáculo, es un diferenciador competitivo. Es lo que permite que un negocio lance servicios digitales más rápido, que reduzca el riesgo de interrupciones y que crezca con confianza. En un mundo donde casi todo lo hacemos desde el móvil, la confianza digital se ha vuelto esencial, ya no es opcional.
