Hay empresas que no se protegen: simplemente rellenan celdas.
Checklists en vez de firewalls
La gestión de la ciberseguridad en muchas compañías se reduce a un documento de Excel con casillas marcadas por el departamento de compliance. “¿Tenemos política de contraseñas? ✅ ¿Se hace backup? ✅ ¿Antivirus? ✅”. ¿Y los sistemas vulnerables, el software sin actualizar, los empleados abriendo adjuntos con ransomware? Eso no aparece en el archivo.
Cumplir normativas no evita hackeos
El problema es estructural: se confunde “estar en regla” con “estar protegido”. ISO 27001, ENS, GDPR… siglas que lucen muy bien en las memorias anuales, pero que no detienen un ataque. Porque ningún ciberdelincuente se ha echado atrás al ver un sello de cumplimiento. La seguridad real no se certifica, se construye cada día.
Todo el mundo habla de ransomware… después de sufrirlo
Cada semana hay una empresa que anuncia haber sido víctima de un ciberataque. La historia es casi siempre la misma: no vieron venir nada, no sabían que estaban expuestos y su “sistema de seguridad” era una combinación de fe y formularios. Solo después del desastre contratan a expertos, hacen auditorías y dan charlas. Ya para entonces, la copia de seguridad también estaba cifrada.
El postureo de la ciberseguridad empresarial
Hablar de ciberseguridad queda bien en eventos, informes ESG y ruedas de prensa. Decir que tienes un CISO, un SOC, inteligencia de amenazas… todo eso suma puntos. Pero cuando rascas un poco, lo que hay es outsourcing a empresas con SLA vagos, soluciones genéricas y mucho teatro. ¿Simulacros de phishing? Claro. Pero solo si no molestan demasiado.
Lo que nadie te cuenta sobre esto
Hay una verdad incómoda: para muchas organizaciones, la ciberseguridad no es una prioridad hasta que alguien roba todo. Porque invertir antes del ataque no se valora. Porque prevenir no tiene KPI. Porque el Excel da la falsa sensación de que todo está controlado. Y mientras tanto, los atacantes no necesitan permiso ni presupuesto para hacer su trabajo.