Durante años, la seguridad empresarial se basó en una premisa simple: lo que está dentro del perímetro es seguro. El firewall era la muralla, y todo lo que estuviera detrás de ella era de confianza. Ese modelo está desfasado. El problema es que la mayoría de los líderes empresariales en América Latina aún no ha recibido la noticia.
La pandemia aceleró algo que ya era inevitable: el trabajo ya no ocurre en una sola ubicación, los datos no viven en un solo servidor y los colaboradores no acceden a los sistemas desde una única red controlada. Cuando la fuerza laboral se dispersó, el perímetro desapareció con ella. Lo que quedó fue una arquitectura de seguridad diseñada para un mundo que ya no existe.
En ese vacío prospera el cibercrimen moderno. Los atacantes de hoy no rompen puertas; entran con credenciales válidas. Según datos del Foro Económico Mundial, en 2026 más del 80 % de los accesos no autorizados en entornos corporativos se producen mediante identidades legítimas comprometidas. No hay alarma que suene. No hay intrusión que detectar. Simplemente alguien que ya estaba adentro.
Zero Trust no es un producto que se compra ni un software que se instala. Es un principio de diseño que parte de una premisa radical: no confíes en nadie por defecto, ni dentro ni fuera de tu red. Esto implica verificación continua de identidad, acceso mínimo necesario para cada usuario o sistema, y monitoreo constante del comportamiento dentro de los entornos digitales. En términos operativos, significa que un empleado de contabilidad no tiene acceso a los servidores de desarrollo, que un proveedor externo no puede moverse libremente por la red interna y que incluso el director de tecnología debe autenticarse cada vez que accede a información crítica.
Marcos de referencia como el NIST Cybersecurity Framework 2.0 y los estándares de ASIS International ya incorporan estos principios como base de cualquier programa de seguridad organizacional robusto. No son aspiracionales; son el piso mínimo que las organizaciones serias deben cumplir.
Cuando hablo con ejecutivos en República Dominicana, Colombia o Perú, el obstáculo rara vez es presupuestal o tecnológico. Es conceptual. Zero Trust se percibe como un problema del departamento de IT, no como una decisión estratégica del liderazgo. Esa desconexión es costosa. Una implementación seria requiere que el CEO entienda por qué su asistente ejecutiva no debería tener acceso irrestricto al sistema financiero. Requiere que el CFO apruebe una inversión cuyo retorno no se mide en ingresos sino en incidentes que no ocurrieron. Y requiere que el directorio acepte que la seguridad ya no es una función de soporte, sino una condición de operación.
Aunque en otros mercados esta conversación ya se tuvo, en América Latina aún no estamos listos para escucharla.
Y aquí está la opinión que pocos quieren escuchar: en América Latina tenemos una cultura de poner el candado después del robo. No es falta de recursos ni de tecnología. Es que el dolor ajeno no nos mueve. Nos mueve el propio. El problema es que, en ciberseguridad, cuando finalmente sientes ese dolor, ya es demasiado tarde y muy costoso.
La teoría cobra peso cuando se convierte en historia real. Estas son tres que ilustran exactamente de qué estamos hablando.
Una empresa mediana en República Dominicana operaba con una sola contraseña para todos sus equipos: el sistema de inventario, el correo corporativo, el servidor de archivos. Cuando desvincularon a un colaborador, nadie la cambió. Semanas después, ese exempleado accedió de forma remota a toda la información de la empresa y comenzó a divulgar datos confidenciales a competidores: listas de clientes, precios negociados y contratos vigentes. El daño no fue solo financiero. Fue reputacional. La empresa tardó meses en recuperar la confianza de sus clientes, si es que la recuperó del todo.
En julio de 2020, Twitter sufrió uno de los ataques más visibles de la historia reciente. Las cuentas de Barack Obama, Elon Musk, Jeff Bezos y decenas de otras figuras públicas fueron comprometidas simultáneamente. Los atacantes, un grupo de jóvenes sin recursos técnicos extraordinarios, accedieron a herramientas internas de Twitter mediante ingeniería social dirigida a empleados con credenciales privilegiadas. No hackearon un servidor. Convencieron a personas. La investigación posterior reveló que el acceso interno carecía de controles que limitaran quién podía hacer qué. Un empleado con credenciales válidas podía acceder a casi cualquier cuenta. Si Twitter, con todos sus recursos, era vulnerable por no aplicar estos principios, la pregunta es: ¿en qué posición se encuentran las empresas medianas de América Latina?
El tercer caso es quizás el más instructivo porque ocurre todos los días. Una empresa de servicios recibió un correo que aparentemente fue enviado por uno de sus proveedores habituales. El mensaje, dirigido a la encargada de contabilidad, ofrecía un descuento del 50 % en la factura del mes si el pago se realizaba ese mismo día a una cuenta bancaria distinta de la habitual. La urgencia, el descuento y el tono familiar del correo fueron suficientes. Lo que nadie notó a tiempo fue que el dominio del remitente tenía una letra diferente del original. Era un estafador que había estudiado la relación comercial, replicado el estilo de comunicación y construido una trampa casi perfecta. El pago se realizó. La pérdida fue de 500,000 dólares. Este tipo de ataque se conoce como Business Email Compromise y el FBI reportó pérdidas globales superiores a 2,900 millones de dólares por esta modalidad solo en 2023.
Los tres casos tienen algo en común: ninguno requería una solución tecnológica compleja para poder evitarse. Requería criterio, política y cultura. Exactamente lo que representa Zero Trust.
El informe Global Cybersecurity Outlook 2026 del Foro Económico Mundial reveló un dato que debería incomodar a cualquier directivo de la región: mientras en Estados Unidos y Europa el 84 % de las organizaciones confía en su capacidad de respuesta ante un ciberataque, en América Latina ese porcentaje cae al 13 %. Esa no es una brecha tecnológica. Es una brecha de liderazgo.
El contexto regulatorio está cambiando más rápido de lo que la mayoría de las empresas ha internalizado. La Ley de Ciberresiliencia de la Unión Europea ya exige seguridad por diseño a cualquier empresa que opere en ese mercado. Brasil y México han endurecido sus marcos normativos. Las aseguradoras están elevando primas y añadiendo cláusulas de exclusión para empresas que no demuestren controles básicos. En 2024, el costo promedio de una filtración de datos en América Latina superó los 2.76 millones de dólares, un aumento del 12 % respecto al año anterior.
Las organizaciones que implementan Zero Trust no solo reducen su exposición, sino que también acortan los tiempos de detección, simplifican el cumplimiento normativo y generan un tipo de confianza que hoy en día es un diferenciador real. Los clientes preguntan cada vez más cómo se protegen sus datos, los socios comerciales lo exigen como condición y los reguladores lo verifican.
La pregunta que cada líder empresarial en América Latina debería hacerse no es si puede permitirse invertir en esto, sino si puede permitirse no hacerlo, en un entorno donde un correo mal leído puede costar medio millón de dólares y donde las credenciales de un colaborador desvinculado pueden convertirse en la puerta trasera de toda una operación.
Los tres casos que aparecen en este artículo no son historia. Están ocurriendo ahora mismo, en empresas de todos los tamaños, en toda la región. La diferencia entre las que sobreviven y las que no, rara vez, es tecnológica. Es si alguien tomó la decisión correcta antes de que fuera necesario. Y en América Latina, ese momento de decisión, para la mayoría, todavía no ha llegado. Ojalá llegue antes del próximo robo.
Compartir esta nota