Hay una idea que durante mucho tiempo dominó la conversación en ciberseguridad: invertir en tecnología avanzada era sinónimo de estar protegido. Era una lógica cómoda, fácil de sostener y difícil de cuestionar, especialmente cuando los sistemas parecían funcionar sin incidentes visibles.
Pero esa narrativa empezó a romperse. No por grandes ataques mediáticos, sino por hallazgos internos que dejaron al descubierto una realidad incómoda: muchas vulnerabilidades ya estaban dentro de las organizaciones, esperando el momento adecuado para manifestarse.
El equipo de SISAP lo vio de cerca al evaluar un entorno corporativo que, en teoría, cumplía con todos los estándares. Tenía soluciones robustas, controles definidos y una arquitectura pensada para resistir amenazas externas. Sin embargo, algo no encajaba.
“la empresa sí tenía un sistema de seguridad implementado, pero estaba mal configurado. Eso fue lo que permitió vulnerarlo, no fue una falla del producto en sí, sino de su implementación” detalla Darlin Danilo Duarte pentester senior de SISAP.
Ese hallazgo conecta con una tendencia más amplia. El Data Breach Investigations Report 2025 confirma que aproximadamente el 60% de las brechas involucran el factor humano. No se trata solo de ataques sofisticados, sino de decisiones operativas, errores cotidianos y configuraciones que pasan desapercibidas.
El problema de fondo es el falso sentido de seguridad. Muchas organizaciones siguen confiando en que tener tecnología de última generación es suficiente, sin cuestionar cómo está siendo utilizada o gestionada en la práctica.
Mientras tanto, las amenazas evolucionaron. Ya no irrumpen de forma evidente. Se comportan como usuarios legítimos, se mueven con paciencia dentro del sistema y esperan el momento preciso para actuar, sin levantar sospechas.
“Cuando el ´cerebro´ digital de una empresa es comprometido, no solo se pone en riesgo la tecnología. Se pone en juego la continuidad del negocio, la reputación y la capacidad de seguir adelante” concluye Ramón Gaztelupe pentester senior de sisap.
Ese es el punto de inflexión. Entender que la ciberseguridad no es un estado estático, sino un proceso vivo. Lo que antes se veía como un gasto tecnológico hoy se convierte en una decisión estratégica que impacta directamente la sostenibilidad del negocio.
El después de este tipo de ejercicios es claro: organizaciones más conscientes, menos confiadas en la inercia y más enfocadas en cuestionar lo que “funciona”. Porque en un entorno donde las amenazas no descansan, anticiparse deja de ser opcional y se convierte en una condición para seguir operando.
