Compartir
En un escenario proyectado al 2026, los riesgos emergentes —como los ataques potenciados por inteligencia artificial y las vulnerabilidades en la cadena de suministro digital— obligan a las empresas a transitar de modelos reactivos a preventivos. La implementación de Centros de Operaciones de Seguridad (SOC) y el monitoreo continuo se han vuelto capacidades críticas para la detección temprana de amenazas.
Héctor Aguirre, socio fundador y CEO de LNXnetwork S.R.L., analiza por qué la madurez digital trasciende la implementación tecnológica para convertirse en una cuestión de gobernanza, resiliencia y gestión estratégica del riesgo empresarial.
Aguirre sostiene que el liderazgo en esta materia debe comenzar en la alta dirección, ya que los incidentes actuales comprometen no solo la infraestructura técnica, sino la reputación y la continuidad financiera de la firma.
¿Cuáles son las interrogantes fundamentales que todo líder debe plantearse para medir su madurez digital?
En los últimos años he tenido la oportunidad de conversar con muchos directores y líderes empresariales, y algo que suele repetirse es una percepción común: creen que la madurez digital depende de cuántas tecnologías han implementado.
Pero la verdadera madurez digital no se mide por la cantidad de herramientas, sino por la capacidad de la organización de operar con seguridad, resiliencia y control del riesgo. Cuando un CEO reflexiona sobre este tema, las preguntas que realmente importan son mucho más profundas.
Por ejemplo: ¿sabemos cuáles son los sistemas que sostienen nuestro negocio día a día? ¿Qué pasaría si mañana esos sistemas dejan de funcionar? ¿Cuánto tiempo podríamos operar sin ellos? También aparece una pregunta clave que muchas empresas todavía no han respondido con claridad: ¿quién es responsable del riesgo digital en la organización?
Cuando estas preguntas llegan al nivel del directorio, es cuando una empresa empieza a entender que la transformación digital no es solamente innovación tecnológica. Es también gestión estratégica del riesgo.
¿Por qué el CEO, y no solo el área de TI, debe ser hoy el responsable final del riesgo digital de una organización?
Durante muchos años se asumió que la ciberseguridad era un tema que debía resolver el departamento de tecnología. Hoy esa visión quedó completamente superada. Los incidentes de seguridad actuales no afectan únicamente servidores o redes; afectan la continuidad del negocio, la reputación de la marca, la confianza de los clientes y, en algunos casos, la estabilidad financiera de la organización.
Por eso la responsabilidad final ya no puede quedarse únicamente en el área técnica. El CEO y el directorio deben comprender que el riesgo digital es, en esencia, un riesgo empresarial.
De la misma forma en que un directorio supervisa los riesgos financieros, regulatorios o reputacionales, también debe gobernar los riesgos tecnológicos.
La diferencia es que hoy esos riesgos evolucionan a una velocidad mucho mayor. El liderazgo en ciberseguridad, por lo tanto, comienza en la alta dirección.
¿De qué manera un ciberataque puede impactar irreversiblemente en la reputación y el valor de mercado de una compañía?
Cuando una organización sufre un ciberataque importante, el problema rara vez se limita al aspecto técnico. En realidad, se trata de un evento que pone en juego algo mucho más delicado: la confianza.
Las empresas construyen su reputación durante años o incluso décadas. Pero esa reputación puede verse seriamente afectada cuando los clientes descubren que su información fue comprometida, que los servicios dejaron de funcionar o que datos sensibles fueron expuestos.
En muchos casos el impacto inmediato puede ser operativo o financiero, pero el impacto más profundo es reputacional. La percepción de que una empresa no protege adecuadamente la información que le fue confiada puede generar pérdida de clientes, dificultades regulatorias e incluso afectar el valor de mercado.
Por eso, cada vez más organizaciones comprenden que invertir en ciberseguridad no es simplemente un costo tecnológico. Es una inversión en confianza corporativa.
¿Cuáles son los pilares para que un Directorio gobierne la ciberseguridad con una visión de continuidad operativa y no solo de cumplimiento?
Uno de los errores más comunes que observamos en muchas organizaciones es abordar la ciberseguridad únicamente desde la perspectiva del cumplimiento normativo. Cumplir con estándares o regulaciones es importante, pero por sí solo no garantiza resiliencia.
Cuando el directorio adopta una visión más estratégica, comienza a enfocarse en cuatro pilares fundamentales: la gobernanza del riesgo digital, la visibilidad ejecutiva, la resiliencia operativa y el monitoreo continuo.
Esto significa que los líderes empresariales deben tener claridad sobre el estado de seguridad de su organización, comprender cuáles son sus activos críticos y, sobre todo, saber qué tan preparada está la empresa para enfrentar una crisis digital.
La verdadera madurez se alcanza cuando la ciberseguridad deja de ser un requisito de auditoría y se convierte en un componente natural de la estrategia empresarial.
¿Qué rol juegan soluciones como el SOC y el monitoreo continuo en la detección temprana de amenazas antes de que escalen a crisis?
Existe un dato que suele sorprender a muchos directivos: en numerosos incidentes de seguridad, los atacantes permanecen dentro de las redes corporativas durante meses antes de ser detectados.
Durante ese tiempo pueden explorar sistemas, robar información o preparar ataques más complejos. Por esta razón, el monitoreo continuo se ha convertido en una capacidad crítica para las organizaciones modernas.
Un Centro de Operaciones de Seguridad, o SOC, funciona las 24 horas como una especie de centro de vigilancia digital. Permite observar de manera permanente lo que ocurre dentro de la infraestructura tecnológica, identificar comportamientos anómalos y responder rápidamente ante señales de alerta.
En otras palabras, el SOC permite pasar de un modelo reactivo a uno preventivo. Las organizaciones que cuentan con este tipo de capacidades no solo detectan los incidentes antes, sino que también reducen significativamente el impacto cuando estos ocurren.
¿Cómo se construye una cultura de ciber-resiliencia que permee desde la alta gerencia hasta el último colaborador de la firma?
Si algo nos ha enseñado la experiencia en ciberseguridad es que la tecnología por sí sola no es suficiente. La verdadera resiliencia digital se construye cuando toda la organización comprende que la seguridad es una responsabilidad compartida.
Esto comienza con el liderazgo. Cuando la alta dirección incorpora la ciberseguridad dentro de la conversación estratégica, envía un mensaje claro a toda la empresa. Luego aparece el factor humano.
Los colaboradores deben estar preparados para reconocer amenazas como correos fraudulentos, intentos de ingeniería social o situaciones sospechosas. Finalmente, las organizaciones más maduras realizan ejercicios de simulación de crisis.
Estos ejercicios permiten entrenar a los equipos directivos para tomar decisiones rápidas y coordinadas cuando ocurre un incidente real. La resiliencia no se improvisa. Se construye con preparación, cultura organizacional y liderazgo.
Ante el escenario del 2026, ¿cuáles considera que son los riesgos emergentes que los directivos paraguayos suelen subestimar?
Estamos entrando en una etapa en la que el riesgo digital evoluciona con enorme velocidad. Uno de los fenómenos más relevantes es la utilización de inteligencia artificial por parte de los atacantes.
Hoy es posible generar campañas de fraude extremadamente convincentes, incluyendo correos personalizados, suplantación de identidad e incluso deepfakes. Otro riesgo creciente es el ataque a la cadena de suministro digital.
En lugar de atacar directamente a una empresa grande, los atacantes buscan vulnerar a proveedores tecnológicos o socios estratégicos para acceder indirectamente a sus objetivos.
También estamos viendo una evolución del ransomware hacia modelos de extorsión mucho más sofisticados, donde no solo se cifran sistemas, sino que se roban datos y se amenaza con hacerlos públicos.
En este contexto, el mayor riesgo para muchas organizaciones no es la tecnología en sí misma. Es subestimar la magnitud del desafío.
