Phoenix 24
Washington D.C., julio de 2025
En un mundo donde la inteligencia artificial, el big data y la hiperconectividad definen el pulso de las decisiones estratégicas, las empresas globales continúan cayendo víctimas de brechas de seguridad por una razón sorprendentemente clásica: la conducta humana. Aunque se estima que la inversión mundial en ciberseguridad alcanzará los 215 mil millones de dólares para el cierre de 2025, según cifras del Banco Mundial, el 82% de los ciberataques exitosos tienen su origen en fallos humanos, de acuerdo con el más reciente informe del Center for Strategic and International Studies (CSIS) publicado en junio.
La paradoja se intensifica cuando se observa que incluso compañías con robustas arquitecturas de defensa digital siguen siendo vulneradas a través de tácticas tan simples como el phishing, la ingeniería social y las negligencias internas. El problema no es exclusivamente técnico. Es cultural, organizacional y estructural. Un artículo reciente publicado por Harvard Business Review detalla cómo la falta de una cultura corporativa alineada a la ciberseguridad permite que los errores humanos, la falta de preparación y la desinformación abran puertas que los firewalls no pueden cerrar.
Uno de los casos más ilustrativos se vivió en mayo de este año, cuando una reconocida empresa tecnológica con sede en Berlín sufrió la filtración de más de 10 millones de registros financieros. La investigación reveló que el ataque se produjo luego de que un empleado clicara un enlace falso que simulaba provenir del CEO. “Ningún software hubiera podido detener ese clic”, advirtió en rueda de prensa el portavoz del Instituto Federal de Ciberseguridad de Alemania (BSI), recordando que la sofisticación del crimen digital actual se alimenta de la ingenuidad del factor humano.
Desde Europol, la directora de su división de Ciberdelitos, Katrin Bohn, ha insistido en la necesidad de adoptar marcos preventivos que integren a todos los niveles organizacionales. “Las empresas siguen entendiendo la ciberseguridad como un asunto exclusivo del área de TI, cuando en realidad es un compromiso transversal que debe ser asumido desde el consejo directivo hasta el recepcionista”, declaró en el Foro Europeo de Seguridad Digital celebrado en Bruselas en abril de 2025.
El informe anual de Kaspersky Labs también señala que las vulnerabilidades provocadas por usuarios finales representan el mayor riesgo en ambientes corporativos. En Asia, el 64% de los ciberincidentes registrados en Japón durante el primer semestre de 2025 fueron producto de malas prácticas de gestión de contraseñas y el uso compartido de dispositivos, particularmente en empresas familiares de manufactura y logística.
Frente a este escenario, expertos como el exdirector de ciberseguridad del Departamento de Defensa de Estados Unidos, Michael Whelan, coinciden en que las soluciones deben ir más allá del software. “Estamos en una etapa donde el sistema falla no por falta de herramientas, sino por falta de conciencia. El entrenamiento en ciberseguridad debe ser tan obligatorio como el simulacro de evacuación en una empresa industrial”, afirmó en entrevista con Phoenix24.
Por su parte, el think tank británico Chatham House sostiene que la falta de protocolos institucionalizados de respuesta rápida ante incidentes cibernéticos aumenta los tiempos de recuperación hasta en un 70%, generando pérdidas económicas que pueden alcanzar los 7 millones de dólares por incidente para las empresas medianas, sin contar el daño reputacional.
Y sin embargo, muchas organizaciones siguen privilegiando una gestión reactiva en lugar de invertir en cultura organizacional sólida. En una encuesta realizada por PwC Global a más de 1,200 líderes corporativos en América Latina, apenas el 36% aseguró haber implementado una estrategia de concientización y entrenamiento continuo en temas de ciberseguridad. En países como México, donde la digitalización empresarial se ha acelerado postpandemia, la adopción de estas medidas es aún más dispareja, en especial en las pequeñas y medianas empresas que representan más del 90% del tejido productivo.
Otro fenómeno emergente que complica el panorama es el uso de inteligencia artificial generativa por parte de los grupos criminales. Según Bellingcat, se han identificado al menos 41 campañas de desinformación y manipulación emocional a través de IA que replican discursos falsos corporativos para inducir a empleados a entregar accesos o información sensible. Lo alarmante es que muchas de estas campañas están diseñadas con conocimiento profundo del perfil psicológico de los empleados objetivo, un fenómeno conocido como tailored targeting, que fusiona cibercrimen con técnicas de manipulación conductual.
Así, la pregunta ya no es si las empresas tienen protección digital, sino si han entendido que el verdadero cortafuegos está en la mente de sus empleados. La ciberseguridad del siglo XXI no puede limitarse a parches de software ni a auditorías aisladas. Requiere una nueva ética organizacional, basada en el principio de resiliencia colectiva, entrenamiento sostenido y liderazgo comprometido.
Tal como advierte el MIT Technology Review en su último dossier de julio, “la protección digital será la gran prueba de madurez de las organizaciones del futuro. La tecnología podrá escalar exponencialmente, pero solo una cultura consciente podrá sostenerla sin quebrarse”.
Elaborado por Phoenix24 con información internacional verificada y análisis independiente, este reportaje refleja nuestro compromiso con el periodismo de calidad y la responsabilidad geopolítica.
Produced by Phoenix24 with verified international information and independent analysis, this report reflects our commitment to quality journalism and geopolitical responsibility.