Este mes marca el vigésimo año consecutivo de la celebración del Mes de la Concientización sobre Ciberseguridad, lo que lo convierte en un momento oportuno para recordar la importancia de adoptar una arquitectura de confianza cero (Zero Trust).
Desde la pandemia, cada vez más empresas en América Latina han adoptado el trabajo remoto, los servicios en la nube y una mayor digitalización.
Aunque esto representa un avance positivo en productividad, también ha ampliado la superficie de ataque de las compañías.
Esta expansión, combinada con una infraestructura de ciberseguridad aún en desarrollo y una escasez de profesionales calificados, ha dado lugar a una avalancha de ataques a la infraestructura tecnológica regional.
Según el Informe Anual del LatAm Cyber Summit, actualmente se reportan más de 1.600 ciberataques por segundo en América Latina. Brasil, México y Colombia son los más afectados, aunque todos los países de la región sufren las consecuencias.
En síntesis, las nuevas presiones regulatorias, los sistemas de seguridad obsoletos y la falta de talento especializado han creado una tormenta perfecta en América Latina. Es momento de adoptar, sin demora, la arquitectura de confianza cero.
Nuevas presiones regulatorias
Desde que el Reglamento General de Protección de Datos (GDPR) de la Unión Europea entró en vigor en mayo de 2018, una serie de leyes de protección de datos similares han sido promulgadas en América Latina.
La Lei Geral de Proteção de Dados (LGPD) de Brasil comenzó a aplicarse en septiembre de 2020; la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México entró en vigor en marzo pasado; y la nueva Ley de Protección de Datos Personales N.º 21.719 de Chile estará plenamente vigente en diciembre de 2026.
Además, Perú, Uruguay, Argentina y Costa Rica también cuentan con legislaciones en materia de protección de datos (ya en vigor o próximas a aplicarse).
Estas normativas están transformando la forma en que las empresas perciben la ciberseguridad.
Más allá del daño reputacional, la pérdida de datos sensibles o los costos operativos, las compañías con debilidades en su postura de seguridad enfrentan hoy sanciones significativas si sufren brechas y gestionan incorrectamente la información de sus clientes.
Por ello, es esencial que cuenten con una gobernanza de datos adecuada, una gestión de riesgos efectiva y planes sólidos de respuesta ante incidentes.
Sistemas obsoletos
Aunque varios países latinoamericanos (como Brasil, México, Colombia y Chile) están mejorando rápidamente su infraestructura tecnológica para hacer frente a las amenazas emergentes, otros aún dependen de sistemas de TI obsoletos.
Muchos de estos sistemas heredados utilizan software anticuado que no soporta autenticación multifactor, cifrado ni monitoreo de amenazas en tiempo real.
Además, numerosas organizaciones carecen de planes adecuados de recuperación ante desastres y respuesta a incidentes, lo que incrementa su exposición a ransomware, ataques a la cadena de suministro y filtraciones de datos.
En países como Argentina y Brasil, los sistemas tecnológicos del sector público dependen excesivamente de plataformas antiguas.
Para agravar la situación, muchas entidades gubernamentales y hospitales públicos manejan información altamente sensible, lo que aumenta su vulnerabilidad.
Escasez de talento en ciberseguridad
Actualmente, muchos países latinoamericanos enfrentan una falta crítica de profesionales en ciberseguridad. Según el Cybersecurity Workforce Study del año pasado de ISC2, México y Brasil juntos presentan una escasez de más de 328.000 especialistas.
El LatAm Cyber Summit Annual Report eleva esta cifra a 516.000 personas. En cualquier caso, el déficit es significativo y afecta la capacidad regional de detectar amenazas, cumplir regulaciones y proteger los datos corporativos.
La solución: adoptar la arquitectura Zero Trust
Ante la creciente superficie de ataque en América Latina, es fundamental que las organizaciones mantengan sus operaciones libres de violaciones de datos y ciberataques.
La forma más efectiva de hacerlo es mediante la adopción de una infraestructura Zero Trust, en la que todos los usuarios, dispositivos y entidades que intenten acceder a la red corporativa se consideren no confiables por defecto.
El acceso debe otorgarse solo una vez que la identidad del usuario, dispositivo o entidad haya sido verificada y autenticada.
Además del principio “nunca confíes, siempre verifica”, Zero Trust implica un monitoreo continuo del tráfico de red, así como del comportamiento de usuarios y entidades. Todos los usuarios deben regirse bajo el principio del menor privilegio, es decir, solo tener acceso al mínimo necesario para cumplir sus tareas y por el tiempo indispensable.
Aunque no es un componente central del modelo, también se recomienda aplicar la minimización de datos: recolectar, procesar y almacenar únicamente la información estrictamente necesaria.
Esto ayuda a reducir la superficie de ataque, fortalecer el cumplimiento normativo y alinear la estrategia Zero Trust con las nuevas leyes de protección de datos.
Conclusiones
Según el Informe del Banco Mundial sobre Economía de la Ciberseguridad en Mercados Emergentes, América Latina es la región del mundo con mayor crecimiento en ciberataques reportados: ha experimentado un aumento anual del 25% en la última década.
Además, es la región menos protegida, con una puntuación promedio de 10,2 sobre 20 en ciberseguridad.
Esta situación, agravada por la falta de talento especializado, las nuevas presiones regulatorias y una infraestructura aún en desarrollo, hace que sea más urgente que nunca para las organizaciones en América Latina adoptar el modelo Zero Trust.
