Blog

Hay decisiones que las empresas postergan porque 'nunca nos ha pasado nada'

Escrito por Baker Tilly | miércoles, 6 de agosto de 2025

Una de las más peligrosas es considerar la ciberseguridad como un gasto innecesario, como si los ataques cibernéticos fueran problemas de "otras empresas". Pero la realidad es esta: en 2025, no tener una estrategia de ciberseguridad sólida es como dejar abierta la caja fuerte de su empresa, con un letrero que dice "efectivo disponible" y esperar que nadie entre.

Y cuando algo sale mal, no se ve venir.

¿Por qué la ciberseguridad se volvió indispensable (aunque nadie lo reconozca)?

Muchos empresarios no identifican que tienen un problema de seguridad digital porque "no hemos sido hackeados". Pero estar libre de ataques exitosos no significa que esté protegido. Las señales del riesgo son sutiles, pero constantes:

  • → Empleados que usan la misma contraseña para todo.
  • → Sistemas desactualizados "porque funcionan bien así".
  • → Copias de seguridad que no se prueban nunca.
  • → Acceso administrativo compartido entre varios colaboradores.
  • → Cero visibilidad sobre quién accede a qué información.

Y lo más peligroso: se normaliza la vulnerabilidad. En muchos casos, el equipo de TI (si existe) simplemente resuelve en silencio los problemas menores, sin escalar la conversación sobre el verdadero costo de esa exposición constante.

Los números que no mienten

Las estadísticas globales de ciberseguridad revelan una realidad preocupante para las empresas:

  • → 43% de los ciberataques se dirigen específicamente a pequeñas y medianas empresas (Accenture Cybercrime Study).
  • → 60% de las empresas atacadas exitosamente cierran dentro de los seis meses posteriores (Business Dasher, 2024).
  • → $4.88 millones es el costo promedio global de una violación de datos en 2024, un incremento del 10% respecto al año anterior (IBM Cost of a Data Breach Report 2024).
  • → 258 días es el tiempo promedio que toma identificar y contener una violación de datos. Específicamente: 194 días para identificarla y 64 días adicionales para contenerla. Para ponerlo en perspectiva: esto significa que los atacantes operan dentro de sus sistemas por más de 8 meses sin ser detectados (IBM, 2024).

La realidad más impactante: Para los ataques basados en credenciales comprometidas (el método más común), el tiempo se extiende a 292 días - casi 10 meses completos donde los criminales tienen acceso total a sus sistemas (Enzoic, basado en IBM 2024).

Para una empresa que factura $1 millón anuales, un solo ataque exitoso puede costar entre $150,000 y $300,000, sin contar la pérdida de reputación y clientes.

Aún cuando los datos sean globales, la realidad de Panamá no difiere mucho.

Los 7 dolores invisibles de la vulnerabilidad digital

1. El tiempo que no se recupera

Cada vez que un sistema se ralentiza por malware, cada vez que se pierde información por un disco dañado, cada vez que hay que resetear contraseñas porque "algo raro está pasando"... son horas que no generan ingresos. Y cada incidente implica duplicar el esfuerzo.

2. La tensión silenciosa con clientes y proveedores

Cuando sus sistemas fallan durante una presentación importante, cuando no puede acceder a la información de un cliente clave, cuando pierde correos por un problema técnico... no siempre lo dicen, pero lo notan. Y esa percepción de desorganización afecta la confianza.

3. El riesgo reputacional latente

Una filtración de datos de clientes, una caída del sistema en horario comercial, o simplemente la noticia de que "algo pasó con los sistemas" puede resultar en pérdida de credibilidad que toma años reconstruir.

4. La falta de visibilidad para decidir

Muchos líderes no saben qué información manejan realmente, dónde está almacenada, quién tiene acceso o qué tan vulnerable están ante una amenaza externa.

El problema es más grave de lo que parece: 40% de las violaciones de datos involucran información almacenada en múltiples ambientes (nube pública, privada, servidores locales), y más de un tercio involucra "datos sombra" - información almacenada en lugares que la empresa no monitorea o controla (IBM, 2024).

Las violaciones que involucran datos sombra no solo cuestan 16% más ($5.1 millones vs. $4.4 millones), sino que toman 26.2% más tiempo en identificarse y 20.2% más tiempo en contenerse - extendiéndose hasta 291 días en promedio (Zscaler, basado en IBM 2024).

Sin esa visibilidad, se toman decisiones a ciegas sobre inversiones tecnológicas, se ignoran riesgos críticos y se pierden oportunidades de optimización.

5. El caos cuando hay crecimiento o cambios

¿Se incorpora un nuevo colaborador? ¿Cambia un proveedor de servicios? ¿Se abre una nueva sucursal? Cada una de estas situaciones expone nuevas vulnerabilidades si no hay un protocolo de seguridad establecido.

6. La dependencia de "la persona que sabe"

En muchas organizaciones, todo el conocimiento técnico está en una sola persona. Si esa persona se va, se enferma o comete un error, el problema se multiplica. Eso no es una estructura. Es una vulnerabilidad crítica.

7. El costo oculto de la improvisación

Cada problema de seguridad que se resuelve "sobre la marcha", cada parche temporal, cada solución que "funciona por mientras"... suma costos ocultos que nadie mide pero todos pagan.

¿Por qué esto se ha vuelto más crítico que nunca?

El contexto digital post-pandemia cambió las reglas del juego. Hoy hay más trabajo remoto, más dependencia de la nube, más datos sensibles digitalizados y criminales cibernéticos más sofisticados.

Según estudios recientes de la industria:

  • → 46% de las empresas han experimentado algún tipo de incidente de seguridad en los últimos dos años (StrongDM, 2025).
  • → 51% de las pequeñas empresas no tienen medidas de ciberseguridad implementadas (StrongDM, 2025).
  • → 47% de las empresas con menos de 50 empleados no tienen presupuesto para ciberseguridad (StrongDM, 2025).
  • → 82% de los ataques de ransomware en 2021 fueron contra empresas con menos de 1,000 empleados (StrongDM, 2025).

Esto no es una excepción. Es la nueva realidad.

¿Qué opciones tienen las empresas ante esta realidad?

  1. → Seguir igual, confiando en que "mientras no pase nada, todo está bien".
  2. → Sobrecargar al equipo de TI para que "resuelva como pueda".
  3. → Capacitar internamente en ciberseguridad y esperar que sea suficiente.
  4. → O empezar a cuestionar si tiene sentido seguir operando digitalmente como hace 10 años.

No se trata de crear paranoia. Se trata de reconocer que la ciberseguridad es un proceso estratégico, que toca la continuidad de su negocio, la confianza de sus clientes y su reputación en el mercado.

Señales de alerta que no se deben ignorar

  • → Su equipo evita hablar de "temas técnicos" o los resuelve "cuando hay tiempo".
  • → No hay un procedimiento documentado para manejar incidentes de seguridad.
  • → Las actualizaciones de software se postergan indefinidamente.
  • → No se realizan copias de seguridad regulares (o no se prueban).
  • → Cada nuevo empleado accede a "todo" sin restricciones.

Si alguna de estas situaciones le suena familiar, es posible que esté postergando una conversación clave sobre el futuro de su empresa.

El verdadero costo de no hablar de esto

Lo que más afecta a las empresas no es ser atacado, sino no estar preparado cuando sucede. No es tener sistemas vulnerables, sino no saber que lo están hasta que es demasiado tarde. No es carecer de protecciones, sino normalizar el riesgo hasta que se materializa.

La conversación que muchas empresas deben iniciar no es sobre qué antivirus usar. Es sobre cuánto están arriesgando en productividad, reputación y continuidad operativa.

La ciberseguridad como ventaja competitiva

Las empresas que entienden esto ya no ven la ciberseguridad como un costo, sino como una diferenciación en el mercado. Poder garantizar a clientes y socios que su información está protegida, que sus sistemas son confiables y que están preparados ante cualquier contingencia, se ha vuelto una ventaja competitiva real.

Esto incluye:

  • → Certificaciones de seguridad que abren puertas en licitaciones y contratos.
  • → Seguros cibernéticos con mejores condiciones y menores primas.
  • → Continuidad operativa que genera confianza en momentos críticos.
  • → Eficiencia operacional con sistemas optimizados y procesos automatizados.

Si llegó hasta aquí, probablemente ya lo sospechaba

En Baker Tilly, entendemos que hablar de ciberseguridad no es solo hablar de tecnología, sino de continuidad, confianza y tranquilidad. Por eso hemos desarrollado soluciones integrales de ciberseguridad que permiten a las empresas dejar atrás la vulnerabilidad y enfocarse en lo que realmente importa: crecer.

Con nuestro acompañamiento, usted no solo cumple con estándares de seguridad. Usted gana visibilidad, control, estructura y la capacidad de escalar sin fricciones.

¿Está listo para pasar de la vulnerabilidad al control?

📞 Contáctenos hoy. Porque seguir como está... también tiene un costo.
Ver post completo