Ciberseguridad en la era de la IA, el talón de Aquiles de las pymes

Con los avances de la inteligencia artificial, los ciberdelitos se han vuelto más letales, provocando el cierre de unos 25.000 negocios en el país.

Ciberseguridad: ¿reto u oportunidad para las pymes en la era de la IA? Foto: Cortesía Más allá de los desafíos financieros, la escasez de talento calificado y la necesidad permanente de adaptarse a los cambios del mercado, las pymes enfrentan hoy un reto estratégico: digitalizar sus procesos mientras se preparan para enfrentar a un 'Goliat' silencioso, pero determinante para su crecimiento sostenible: la ciberseguridad, un aspecto que, bien gestionado, puede ser una palanca de escalabilidad; mal abordada, un riesgo capaz de poner en jaque la continuidad de cualquier negocio. Y es que, como su nombre lo indica, la ciberseguridad, también conocida como seguridad digital, no se limita únicamente a proteger la información empresarial. Va mucho más allá: implica resguardar datos personales, cuentas, archivos, fotografías e incluso el dinero, tanto de compañías como de individuos.

Aunque para muchos los ciberataques todavía suenan a ciencia ficción, lo cierto es que hoy no discrimina por tamaño, sector ni ubicación geográfica. Ya sea una pyme en Colombia, El Salvador o Chile, si los ciberdelincuentes detectan una brecha, la aprovecharán sin contemplaciones.

Según cifras de la firma Kaspersky, el 72 % de las pequeñas y medianas empresas en América Latina ha sufrido al menos un incidente de ciberseguridad. En muchos casos, la respuesta llega tarde, cuando los datos, la reputación y el capital ya han sido comprometidos.

En Colombia, la amenaza es cada vez más tangible. De acuerdo con el último informe del Centro Cibernético de la Policía Nacional, en 2024 las denuncias por delitos informáticos aumentaron un 23 % respecto al año anterior: pasaron de 63.249 en 2023 a 77.666 en 2024. Los delitos más frecuentes fueron el hurto por medios informáticos (37.409 casos), el acceso abusivo a sistemas (16.955) y la violación de datos personales (11.954).

En los últimos meses, las alertas se han intensificado ante el auge de la inteligencia artificial (IA), que ha potenciado las tácticas de los ciberdelincuentes, haciéndolas más eficaces, sofisticadas y letales. Frente a este escenario, Germán López Ardila, vicepresidente jurídico de la Cámara Colombiana de Informática y Telecomunicaciones (CCIT), advierte que la ciberseguridad no puede seguir siendo un asunto secundario para las empresas, especialmente para las pymes. “Hoy más que nunca, representa una ventaja competitiva fundamental”, asegura.

Aunque todavía persiste la creencia de que invertir en ciberseguridad es un lujo o un costo elevado, el experto recalca que una pyme con protocolos sólidos en esta materia puede fortalecer la confianza digital con sus clientes y aliados, acceder a mercados que exigen altos estándares de protección, reducir el valor de sus seguros cibernéticos y, lo más importante, evitar interrupciones operativas que pueden llevar al cierre definitivo del negocio.

Para López Ardila, el verdadero reto está en transformar la mentalidad empresarial: dejar de ver la ciberseguridad como un gasto y empezar a entenderla como una inversión estratégica que habilita un crecimiento digital seguro. “El costo de prevenir es, sin duda, mucho menor que el de recuperarse tras un ciberataque”, enmarca.

Ahora bien, expertos como Juan Carlos Puentes, country manager de Fortinet Colombia, coinciden en que uno de los recursos más valiosos, y escasos, en materia de ciberseguridad es el talento humano capacitado. Y no se trata únicamente de contar con un líder de IT o un equipo especializado, sino de lograr que todos los colaboradores, sin excepción, estén en capacidad de identificar riesgos, proteger la información y reportar posibles amenazas.

No es un asunto menor: según datos de Kaspersky, el 20 % de las pymes en América Latina delega la seguridad de sus activos digitales en empleados sin formación especializada, lo que incrementa notablemente su exposición a ataques cibernéticos. “Una pyme que tiene alguna superficie digital, así sea mínima, ya entra en el radar de los ciberdelincuentes”, advierte Puentes. “La concientización del personal sigue siendo una de las mejores líneas de defensa”. Y mientras las empresas se preparan para subirse a la ola de la inteligencia artificial generativa, los ciberdelincuentes ya la están aprovechando como una aliada. Esta tecnología les permite desarrollar softwares maliciosos, o malware, capaces de evolucionar automáticamente, diseñar campañas de phishing (donde se suplanta a una entidad) cada vez más precisas y personalizadas, e incluso ejecutar fraudes complejos de ingeniería social mediante el uso de deepfakes: videos, imágenes y voces manipuladas digitalmente que resultan cada vez más difíciles de detectar.

“Desde Fortinet hemos identificado que la inteligencia artificial se ha convertido en un verdadero acelerador de campañas maliciosas. Los atacantes ahora pueden usar modelos generativos para elaborar correos de phishing casi perfectos, simular voces con fines de fraude empresarial, o automatizar la creación de malware polimórfico”, advierte Juan Carlos Puentes, country manager de Fortinet Colombia.

El problema se agrava con la facilidad de acceso a herramientas automatizadas para escaneo y explotación de vulnerabilidades. Según Puentes, las pymes están especialmente expuestas, ya que muchas tienen servicios conectados a internet mal configurados, lo que las convierte en blancos fáciles para los ciberdelincuentes.

Es así como el panorama actual exige a las empresas, especialmente a las pequeñas y medianas, adoptar un enfoque urgente, estructurado y preventivo frente a la ciberseguridad. Así lo advierte Miguel Cendales, gerente de Producto de Ciberseguridad en Claro Colombia, quien no duda en calificar la situación como una “verdadera endemia de ciberataques”.

Las cifras hablan por sí solas: alrededor de 25.000 pymes en Colombia desaparecieron el año pasado como consecuencia directa de incidentes cibernéticos, según fuentes del sector. A esto se suman los constantes intentos de ataque que, cada hora, afectan a empresas en toda la región.

Los ciberataques han dejado de ser una rareza: cada vez ocupan más titulares en América Latina, afectando por igual a bancos, entidades gubernamentales y grandes corporaciones. En muchos casos, los ciberdelincuentes secuestran información crítica, dejando a las organizaciones expuestas, vulnerables y con la reputación seriamente comprometida. Algunas logran recuperarse, pero otras no corren con la misma suerte.

Para una pyme, el impacto puede ser aún más devastador: el cierre total de su operación.

“Una empresa puede quebrar si no protege adecuadamente su información”, advierte Miguel Cendales. “Si una pyme pierde su base de datos de clientes o proveedores, si no puede facturar o hacer seguimiento a pagos, simplemente deja de operar. El activo más valioso de un negocio no son las máquinas ni siquiera el personal: es la información la que sostiene todo”.

Desde Claro Colombia, apunta Cendales, han acompañado casos de pequeñas y medianas empresas cuya operación se ha visto comprometida por ataques informáticos. Por eso, insiste en que la ciberseguridad debe asumirse desde un enfoque proactivo y no reactivo.

“La proactividad comienza por identificar el activo digital más valioso de una pyme, generalmente sus bases de datos, y construir en torno a él una muralla de protección. Esa defensa básica debe incluir tres elementos esenciales: un buen antivirus para computadores y celulares, protección del correo electrónico y un firewall que impida accesos no autorizados a los sistemas internos de la empresa”, señala.

A medida que una pyme crece, sus medidas de ciberseguridad deben evolucionar en la misma proporción. “Si ya se trata de una empresa medianamente consolidada, lo recomendable es realizar al menos un análisis anual de vulnerabilidades sobre toda su infraestructura”, explica. Lo mismo aplica cuando se almacenan activos en la nube: esa información debe contar con los mismos niveles de protección que la que reside en servidores propios.

De acuerdo con Giovanni Stella, experto en tecnología y negocios, los efectos de un ciberataque pueden ser especialmente críticos y devastadores para una pyme. “Sí, una pyme puede llegar a quebrar si no cuenta con una buena estrategia de ciberseguridad. Todo depende del tipo de negocio, claro, pero si tiene presencia digital y sufre una brecha, las consecuencias pueden ser enormes”, advierte.

Además del daño reputacional, Stella sostiene que muchas veces la empresa debe asumir compensaciones a los clientes cuyos datos fueron comprometidos, enfrentar sanciones legales por incumplimientos normativos y destinar recursos considerables a la recuperación. “Ese conjunto de efectos puede representar un gasto tan alto que, en algunos casos, termina siendo insostenible para una pyme”.

El avance de la inteligencia artificial también ha jugado un papel en la sofisticación de los ataques. “Hoy en día, los delincuentes desarrollan páginas maliciosas que logran evadir los filtros de las grandes plataformas y mantenerse activas el tiempo suficiente para engañar a usuarios y capturar información sensible. Antes, estas páginas eran detectadas y eliminadas rápidamente; ahora, muchas logran circular sin ser bloqueadas a tiempo”, explica.

En estos casos, el daño no se limita a quien fue víctima directa del ataque. “La empresa que es suplantada también termina afectada: pierde credibilidad, debe enfrentar reclamos y, en muchos casos, asumir responsabilidades con sus clientes”.

Stella reconoce que la legislación en Colombia ha avanzado significativamente en materia de ciberseguridad, y destaca que este progreso ha sido clave para que cada vez más empresas adopten medidas proactivas para blindar la información y los datos de sus usuarios y clientes.

Para entender el contexto actual, es clave reconocer que la legislación colombiana en ciberseguridad ha evolucionado para responder a los crecientes riesgos del entorno digital. La Ley 1581 de 2012, conocida como Ley de Protección de Datos Personales, establece el derecho de los ciudadanos a conocer, actualizar y rectificar la información que se recopile sobre ellos, en especial con fines comerciales. Por su parte, la Ley 1273 de 2009 tipifica los delitos informáticos, como el acceso no autorizado a sistemas, el daño o sabotaje informático y el uso de software malicioso. Esta normativa se ha complementado con los Decretos 620 de 2019 y 620 de 2020, que definen lineamientos para proteger la infraestructura digital en los sectores público y privado, y abordan amenazas como los ataques DDoS (un ataque de denegación de servicio distribuida) y la vulnerabilidad de infraestructuras críticas. A su vez, el Decreto 1377 de 2013 refuerza las disposiciones de la Ley 1581, promoviendo la privacidad y seguridad de los datos personales en el ecosistema digital del país.

Una evangelización que no termina

Frente a la evolución constante de los ciberdelitos, cada vez más empresas tecnológicas asumen un rol activo en ayudar a las pymes a fortalecer sus sistemas de ciberseguridad, incluso a través de procesos de capacitación. Bajo esa premisa, compañías como Kiggu, especializadas en soluciones de ciberseguridad, han adoptado un enfoque pedagógico basado en ejemplos reales de ataques, con el fin de cambiar la percepción de las pequeñas y medianas empresas frente a los riesgos digitales. “El 80% de los ataques se dirige a pequeñas y medianas empresas. Es una cifra monstruosa, escandalosa. Entonces imagínate cuántos emprendimientos o pymes han desaparecido por eso. Nuestra obsesión es que los negocios comprendan que esto es una realidad, y que a ellos también les puede pasar”, afirma David Serrano, CEO de Kiggu. Para Serrano, el uso de simulaciones prácticas ha sido clave en la tarea de “evangelizar” a las pymes sobre los peligros cibernéticos. “Entramos a las empresas como si fuéramos hackers especializados, vulneramos sus sistemas y les mostramos, en la práctica, qué tan blindadas, o desprotegidas, están. Esto genera una conciencia inmediata y muchas veces es el punto de partida para tomar acciones concretas”, explica. Aunque reconoce que aún hay un camino largo por recorrer, el directivo destaca que hoy las pymes muestran un mayor interés por invertir en su protección digital. “Todavía hay resistencia, especialmente por la idea errónea de que la ciberseguridad es costosa o solo para grandes empresas. Pero lo cierto es que ninguna organización está exenta, sin importar si tiene una presencia limitada en la red o apenas usa redes sociales”, concluye. Aunque todavía muchas pymes aún son escépticas frente a la ciberseguridad y creen que protegerse les costará una fortuna, lo cierto es que no están ajenas a este flagelo. Sin importar su nivel de presencia digital, la recomendación es clara: blindar sus sistemas. Con la llegada de la inteligencia artificial, el reto ahora está en proteger aún más los datos. JOHANA LORDUY  Periodista de PORTAFOLIO  Fuente: PORTAFOLIO https://www.portafolio.co/tecnologia/ciberseguridad-en-la-era-de-la-ia-el-talon-de-aquiles-de-las-pymes-635854