Bienvenidos a un nuevo lunes —incómodo—.
A lo largo de nuestras últimas reflexiones hemos hablado de cómo sentarte en la silla del estratega y de cómo los datos son la verdadera sangre de tu empresa. Pero hoy toca hablar de lo que pasa cuando alguien más decide secuestrar esa sangre, y de cómo, casi siempre, nosotros mismos les dejamos la puerta abierta.
Seamos profundamente honestos. La ciberseguridad es un tema que a la mayoría de los dueños de negocio nos aburre o nos parece ajeno.
Seguramente te ha pasado: contratas a una firma de especialistas para que te hagan una auditoría. Se sientan en tu oficina, te entregan un diagnóstico impecable y te dicen exactamente lo que tienes que hacer para proteger tu empresa. Pero entonces ves el presupuesto, ves la lista de nuevos procesos y tu mente directiva entra en acción. Piensas: "¿Realmente necesitamos todo esto? Está carísimo". Te convences de que tu empresa hace zapatos, logística o servicios, no secretos de Estado. Concluyes que no eres un blanco atractivo, que no es un tema determinante para el negocio de hoy, compras el antivirus más básico y archivas el reporte de los expertos en el cajón de las cosas "para después".
Es una reacción natural; queremos invertir en lo que genera ventas, no en escudos invisibles. Hasta que llega ese lunes por la mañana en que las pantallas amanecen bloqueadas exigiendo millones en criptomonedas para liberar tu información.
Es fascinantemente irónico. Tratamos la seguridad de nuestro patrimonio como si fuera un simple ticket que se le levanta a Soporte Técnico cuando falla la impresora. Y cuando estalla la crisis, nuestra primera reacción es mandar llamar al de Sistemas para exigirle explicaciones.
El enemigo no está en Rusia, está en tu nómina
Nos encanta romantizar a los criminales e imaginar a hackers encapuchados rompiendo firewalls con algoritmos impenetrables. La realidad es mucho más aburrida.
Los datos crudos son brutales: cerca del 70% de los ciberataques exitosos en Latinoamérica involucran el factor humano interno. Los delincuentes no entraron por una falla magistral de software; entraron por esa misma puerta que los especialistas te advirtieron que cerraras y decidiste ignorar. Entraron porque tu gerente de finanzas abrió un PDF falso, porque alguien en compras usa la contraseña "Admin2026", o porque nadie supervisó qué descargaba tu equipo comercial.
Cuando un ataque triunfa gracias al error humano, no es una falla técnica. Es el reflejo exacto de ese presupuesto que no autorizaste y de esos protocolos que te parecieron "exagerados".
Reflexión Final: La triste excusa de la "comodidad operativa"
Pero hay algo todavía más incómodo en esta historia, y es lo que pasa cuando sí intentas implementar la seguridad.
De pronto, le pides a tu equipo que use autenticación de dos pasos, que cambien contraseñas o que se conecten por VPN. Inmediatamente empiezan las quejas: "Es que esto me quita tiempo", "es una traba para hacer mi trabajo", "antes era más rápido".
Y aquí viene la parte más triste y anormal de todo: como líderes, lo aceptamos. Con tal de evitar fricciones y no "entorpecer" la operación diaria, el Director termina cediendo. Permites que la comodidad del usuario dicte la estrategia de seguridad de tu empresa. Aceptas que "no hay necesidad de ser tan estrictos" con tal de que dejen de quejarse.
Dejar que tu equipo decida qué reglas de seguridad acatar porque "les da flojera" el nuevo proceso, no es ser un líder comprensivo; es entregarle las llaves de tu patrimonio al eslabón más débil de la cadena.
De Socio a Socio, te dejo esta pregunta: Ese diagnóstico de seguridad que te entregaron hace meses y decidiste archivar porque "era muy caro"... ¿qué tan caro te va a parecer el día de mañana, cuando tu propia gente bloquee la empresa por no querer usar una contraseña segura?
El costo de la falsa inmunidad: ¿Por qué ignoramos a los expertos hasta que la pantalla se bloquea?