El estudio Impacto de los delitos financieros en México 2024. Enfoque holístico ante una problemática cambiante y evolutiva, expone información reveladora sobre la incidencia de los cibercrímenes y la manera en que las organizaciones los enfrentan.
Aunque las medidas de prevención, detección y respuesta de las organizaciones en México parecieran ser adecuadas, los datos sugieren que nunca es mal momento para replantear el enfoque.
De acuerdo con las organizaciones encuestadas, 39% experimentó ciberataques en el último año, representando un incremento de 16 puntos porcentuales desde 2020. Este aumento por sí solo debería ser una llamada de atención, pero es en el análisis más detallado donde encontramos las verdaderas paradojas que podrían dejar expuestas a las organizaciones.
1. La capacitación
Aunque 47% de las organizaciones ofrecen entrenamiento en seguridad y 52% responden a incidentes aumentando la capacitación, el phishing no solo persiste, sino que sigue creciendo dramáticamente (de 32% en 2020 a 59% en 2024). La paradoja se hace más evidente cuando las principales respuestas a los ataques son técnicas: 52% actualiza sus parches de seguridad, 38% implementa medidas más robustas de control de acceso y 34% adquiere herramientas avanzadas de detección. Esto sugiere que las organizaciones están abordando un problema fundamentalmente humano con soluciones puramente técnicas.
2. El monitoreo
A pesar de que 51% afirma realizar un monitoreo proactivo de amenazas, 55% no logra identificar el origen de los ataques que sufre. Más revelador aún: solo 24% realiza auditorías después de los incidentes y apenas 21% incrementa la frecuencia de sus evaluaciones de seguridad. Pareciera que estamos invirtiendo en observar, pero no en comprender; acumulamos datos, pero no necesariamente los transformamos en inteligencia.
3. Las buenas prácticas
Cuenta 47% con planes de continuidad de negocio y 38% asegura estar alineado con estándares internacionales de ciberseguridad; sin embargo, 45% de las organizaciones afectadas no pueden cuantificar el impacto económico de los ataques y solo 29% tiene un plan formal de respuesta a incidentes. ¿Estar en línea con las buenas prácticas realmente nos ayuda, si no se pueden medir las pérdidas ni saber cómo responder a los incidentes adecuadamente?
4. Las amenazas internas
El estudio revela que 27% de los ataques identificados provienen de colaboradores actuales o que estuvieron en la organización; no obstante, solo 34% de las empresas realizan evaluaciones de ciberseguridad y apenas 26% cuenta con políticas bring your own device (BYOD). Es decir, conocen el origen de este tipo de amenazas, pero no necesariamente se implementan los controles adecuados para mitigarlas.
5. La inversión
Las organizaciones suelen responder a los ciberataques con inversiones: 34% adquiere herramientas avanzadas de detección y 38% implementa controles de acceso más robustos; sin embargo, solo 19% cuenta con pólizas de seguro contra incidentes de ciberseguridad. Se invierte en tecnología, pero no necesariamente en proteger a la organización del impacto financiero que representan los ataques exitosos.
6. La madurez
Mientras algunas organizaciones implementan controles avanzados, 17% afirma operar sin controles de ciberseguridad. En un mundo interconectado, esta brecha de madurez crea un ecosistema en el cual las organizaciones más preparadas siguen siendo vulnerables por sus conexiones con terceros menos protegidos.
Hay distintos caminos para resolver estas paradojas, pero la clave está en realizar un cambio fundamental que vaya más allá de lo tecnológico. A continuación, compartimos algunos puntos clave:
• Entrenamiento personalizado: la capacitación tradicional parece no estar funcionando, por lo que es necesario pasar de entrenamientos genéricos a experiencias de aprendizaje personalizadas. Imaginemos programas que se adapten al comportamiento de cada colaborador mediante la creación de escenarios realistas basados en incidentes específicos que pudieran ocurrir en su área de trabajo. Sin duda, nos permitirían construir una verdadera cultura de seguridad, más allá del cumplimiento.
• Tecnología como habilitador: la inteligencia artificial (IA) puede transformar nuestro enfoque de monitoreo. En lugar de simplemente acumular datos, es posible utilizar sistemas inteligentes para detectar patrones sutiles, predecir amenazas emergentes y automatizar respuestas iniciales. Esto, siempre considerando que la tecnología debe ser un habilitador, no un fin en sí mismo.
• Gobernanza y gestión de riesgos: además de implementar marcos tradicionales de cumplimiento es necesario contar con enfoques adaptativos que evalúen continuamente la madurez de la organización en ciberseguridad, y generen métricas significativas. Por tanto, la ciberseguridad debe ser una parte integral de la gestión de riesgos.
• Nuevos indicadores para medir el éxito: es esencial desarrollar métricas que reflejen el valor real y la efectividad de nuestras inversiones en ciberseguridad. Es válido preguntarse: ¿realmente la organización está más segura? ¿Está aprendiendo de los incidentes? ¿Está construyendo resiliencia?
El futuro de la ciberseguridad no está en hacer más de lo mismo con herramientas más sofisticadas, sino en enfrentar y resolver paradojas como las que planteamos en este artículo. La tecnología es solo el habilitador; la verdadera transformación radicará en la capacidad de una organización para utilizarla y resolver los desafíos estructurales.
En la actualidad, no cabe duda de que las grandes empresas de Estados Unidos (EU) que mantienen operaciones a nivel global consideran la proximidad geográfica como una de las ventajas más importantes para sumar valor a sus cadenas de suministro. Esto probablemente se deba a que COVID-19 evidenció su vulnerabilidad, así como la necesidad de hacer los ajustes necesarios de manera oportuna.
Al respecto, el estudio El beneficio de la proximidad, señala que en 2023 EU concentraba parte de sus rutas comerciales en México (27%), esperando incrementar esta presencia en los tres años subsecuentes (hasta 36%).
De acuerdo con el informe, los tres factores principales para llevar a cabo la reubicación de cadenas de suministro en el continente americano son: mayor agilidad/resiliencia, tiempos de comercialización más rápidos y mejor acceso a habilidades o talentos necesarios. Asimismo, toman en cuenta aspectos como los costos y la eficiencia fiscal o incentivos que esta tendencia representa.
Los elementos anteriores, a su vez, responden a tres áreas clave identificadas en cuanto a la necesidad de mejora: capacidad analítica de datos, disposiciones fiscales de reguladores y autoridades, y relaciones con proveedores.
En cuanto a los retos que implica la relocalización estratégica de inversiones, las ejecutivas y ejecutivos encuestados señalan seis principales:
1. Costos de servicio, tanto en margen como en lo que atañe al proceso de estructuración de las cadenas.
2. Integración de la variable fiscal en el panorama general desde el inicio de la reestructuración, a fin de identificar ahorros potenciales y sanciones contingentes.
3. Consideración oportuna del factor talento en cuanto a disponibilidad y capacidades.
4. Diversificación de la oferta de países para su abastecimiento.
5. Inclusión de los proveedores en las discusiones estratégicas.
6. Adopción de estrategias que se ajusten al negocio y sus clientes.
Si bien el factor costo representa el elemento de mayor relevancia para las compañías susceptibles de reestructurar sus cadenas de suministro, es menester destacar que priorizar el costo sobre la agilidad a largo plazo podría generar vulnerabilidades adicionales en un contexto geopolítico complejo o ante contingencias mundiales. Por ello, estos dos aspectos deben abordarse de forma estratégica y equilibrada.
Considerando lo anterior, el aprovechamiento de la relocalización hacia regiones geográficas que se encuentren en proximidad al mercado destino, en este caso EU, dependerá de las medidas que se adopten para cuestionar y evaluar de forma continua las decisiones en materia de cadena de suministro, así como del balance constante entre costos, flexibilidad y sostenibilidad en función de visiones y objetivos a futuro, así como del uso adecuado del análisis de datos para acceder a la visibilidad en tiempo real de las capacidades de oferta y las necesidades de demanda.
Asimismo, la planeación fiscal debe incorporarse como un elemento crucial, principalmente en lo que respecta a la identificación y manejo de riesgos, y la aplicación de incentivos. Adicionalmente, las alianzas con socios y proveedores deben abordarse con solidez y apertura, a fin de identificar y reducir vulnerabilidades en las cadenas, tanto en la perspectiva global como local.
En resumen, las compañías en México que busquen aprovechar la sinergia con inversionistas que se integran al mercado nacional deben privilegiar el desarrollo de alianzas estratégicas, asegurar el acceso a talento calificado y capitalizar la experiencia regulatoria y fiscal en cada sector.
* Socio Líder de Asesoría en Tecnología Forense de KPMG México
**Las ideas y opiniones expresadas en este escrito son de los autores y no necesariamente representan las ideas y opiniones de KPMG en México
email: asesoria@kpmg.com.mx