La falta de confianza en proveedores empieza a elevar el riesgo cibernético en empresas, según estudio global

En el país, el 54% de empresas evalúa cambiar de proveedor por falta de confianza en ciberseguridad. 

La confianza, el nuevo eslabón débil de la ciberseguridad empresarial. Foto: iStock En un entorno marcado por amenazas digitales cada vez más sofisticadas, la confianza se ha convertido en uno de los factores más críticos y menos visibles dentro de la ciberseguridad corporativa. Así lo advierte Sophos en su más reciente informe Cybersecurity Trust Reality 2026, un estudio global basado en la opinión de 5.000 organizaciones en 17 países, incluyendo a Colombia, que pone sobre la mesa una problemática creciente: las empresas no solo enfrentan ciberataques, sino también una crisis de confianza en quienes deben protegerlas.  El reporte revela que la confianza en los proveedores de ciberseguridad es hoy frágil, difícil de medir y determinante en la forma en que las organizaciones gestionan su riesgo. Ahora bien, hay que destacar que, en un contexto de mayor presión regulatoria, digitalización acelerada y adopción de inteligencia artificial, la capacidad de confiar en los aliados tecnológicos se ha vuelto tan relevante como las propias herramientas de defensa. 

A nivel global, el panorama es complejo.  Según los datos  del informe, el 95% de las organizaciones consultadas afirma no tener plena confianza en sus proveedores de ciberseguridad. Además, el 79% reconoce dificultades para evaluar la confiabilidad de nuevos socios, mientras que un 62% señala que incluso valorar a sus proveedores actuales resulta complejo. 

Esta incertidumbre no es menor, ya que más de la mitad de las empresas (51%) reporta un aumento en la ansiedad frente a la posibilidad de sufrir un incidente cibernético significativo como consecuencia directa de esta falta de confianza. 

Para los responsables de seguridad de la información, los llamados Ciso, este escenario representa un desafío estructural. La desconfianza no solo ralentiza la toma de decisiones, sino que introduce fricción operativa y eleva la rotación de proveedores, lo que afecta la estabilidad de las estrategias de ciberseguridad.   El informe advierte que la eficacia en este campo ya no puede medirse únicamente en términos tecnológicos, sino también en la solidez de las relaciones entre empresas y proveedores. 

En esa línea, Ross McKerchar, Ciso de Sophos, señala que la confianza ha dejado de ser un concepto abstracto para convertirse en un factor de riesgo tangible.  

“Cuando las organizaciones no pueden verificar de forma independiente la madurez de seguridad, la transparencia y las prácticas de gestión de incidentes de un proveedor, esa incertidumbre se traslada directamente a los consejos directivos y a las estrategias de seguridad”, afirma. 

El estudio identifica que los elementos que más contribuyen a generar confianza no son necesariamente la reputación o el posicionamiento de marca, sino la evidencia verificable.  

Certificaciones, auditorías independientes, evaluaciones externas y la demostración de madurez operativa se consolidan como los principales criterios para que las empresas validen a sus proveedores. Sin embargo, también se evidencian diferencias internas: mientras los equipos técnicos priorizan la transparencia en la gestión de incidentes y el desempeño constante, los altos directivos y juntas directivas tienden a valorar más las certificaciones y el respaldo de analistas externos.  La situación en Colombia   En Colombia, los hallazgos del informe reflejan una situación aún más compleja. Más allá de la amenaza constante de los ciberataques, las empresas enfrentan una profunda incertidumbre sobre la capacidad de sus proveedores para protegerlas.  

El 85% de las organizaciones consultadas en el país asegura tener dificultades para evaluar la confiabilidad de los proveedores de ciberseguridad, y ninguna afirma tener plena confianza en ellos. 

Esta percepción responde, en gran medida, a la falta de información clara y accesible. Más de la mitad de las empresas (54%) considera que los datos disponibles sobre proveedores no son lo suficientemente detallados o verificables, mientras que el 53% reconoce carecer de las capacidades internas necesarias para realizar evaluaciones adecuadas. 

 A esto se suman otros obstáculos, como la complejidad de la información, la dificultad para encontrarla o incluso la existencia de datos contradictorios.  Las consecuencias de esta falta de confianza son directas y tangibles. El 55% de las empresas en Colombia reporta una mayor ansiedad frente a la posibilidad de sufrir un ciberataque significativo, mientras que el 54% considera cambiar de proveedor como respuesta a esta incertidumbre. Además, el 51% admite tener dudas sobre las decisiones tomadas en materia de ciberseguridad, y un 43% señala que ha incrementado los niveles de supervisión interna. 

El informe también pone en evidencia una brecha relevante dentro de las organizaciones: el 76% de las empresas reporta diferencias entre los equipos técnicos y la alta dirección en torno a la evaluación de proveedores y la gestión del riesgo. Estas discrepancias, que en un 33% de los casos son frecuentes y en un 43% ocasionales, evidencian una desalineación que puede debilitar la respuesta frente a incidentes y dificultar la toma de decisiones estratégicas. 

En este contexto, la confianza comienza a construirse a partir de elementos concretos. Para los equipos de ciberseguridad en Colombia, la evidencia verificable, como certificaciones y auditorías, es el principal factor, seguido de la transparencia en la comunicación durante incidentes y la claridad en los procesos internos. Por su parte, los líderes empresariales priorizan la visibilidad de los proveedores, su capacidad de respuesta ante vulnerabilidades y su posicionamiento en evaluaciones de mercado. 

El perfil de las empresas participantes en Colombia también aporta contexto a estos resultados. La mayoría corresponde a organizaciones de tamaño medio y grande, con un 31% de compañías entre 3.001 y 5.000 empleados y un 30% entre 251 y 500 trabajadores. 

 Aunque el porcentaje de incidentes reportados es relativamente bajo, con un 3% de empresas que sufrió encriptación de datos y un 4% que enfrentó intentos fallidos, la percepción de riesgo sigue siendo elevada. 

Es de precisar que el estudio de Sophos plantea un cambio de paradigma en la forma de entender la ciberseguridad.  

“En un entorno donde las amenazas evolucionan constantemente, la capacidad de las organizaciones para tomar decisiones informadas dependerá no solo de la tecnología, sino de la transparencia, la evidencia y la credibilidad de quienes las acompañan en la protección”, concluye el reporte.  

JOHANA LORDUY 

Periodista de PORTAFOLIO  Fuente: PORTAFOLIO https://www.portafolio.co/tecnologia/la-falta-de-confianza-en-proveedores-empieza-a-elevar-el-riesgo-cibernetico-en-empresas-segun-estudio-global-491224