Durante años, la ciberseguridad fue tratada como un asunto técnico, circunscrito a las áreas de TI y asociado a más infraestructura y más licencias. Esa mirada resulta hoy insuficiente. La sofisticación de los ataques ha demostrado que el punto crítico no está en los servidores, sino en la interacción cotidiana de las personas con correos, enlaces y solicitudes aparentemente legítimas.
Los reportes internacionales en la materia coinciden en que una amplia mayoría de las brechas exitosas se originan en técnicas de ingeniería social, particularmente phishing. La experiencia en organizaciones chilenas confirma la tendencia: aún con inversiones relevantes en tecnología, basta un mensaje convincente para comprometer credenciales, autorizar transferencias o exponer información estratégica. La vulnerabilidad no es tecnológica, es conductual y organizacional.
La irrupción de la inteligencia artificial intensificó esa amenaza. Hoy es posible diseñar campañas automatizadas que replican el tono, los hábitos y el contexto de cada destinatario, utilizando datos disponibles en fuentes abiertas y redes profesionales. Se configura así una asimetría evidente, la defensa exige análisis y validación humana, mientras el ataque se escala en segundos con un nivel de personalización antes impensado. El resultado son fraudes más creíbles y más difíciles de detectar.
A ello se suma la suplantación de identidad mediante clonación de voz e imagen, técnica que ya no requiere conocimientos avanzados ni grandes recursos. La posibilidad de simular llamadas o mensajes de ejecutivos y familiares tensiona los protocolos tradicionales de verificación y obliga a revisar los estándares internos de autorización. La línea entre lo auténtico y lo manipulado se vuelve cada vez más tenue.
En este escenario, la entrada en vigencia de la Ley Marco de Ciberseguridad redefine el marco de responsabilidad. La normativa impone deberes de prevención, gestión y reporte de incidentes a organismos públicos y entidades privadas que presten servicios esenciales, bajo supervisión de la Agencia Nacional de Ciberseguridad, y contempla sanciones proporcionales a la gravedad de las infracciones. La ciberseguridad deja de ser una recomendación técnica para transformarse en una obligación jurídica exigible.
La ley no impide los ataques, pero modifica los incentivos. No invertir en capacitación, cultura y planes de continuidad operacional ya no constituye solo una mala práctica, sino un riesgo financiero y reputacional concreto. La gestión del riesgo digital pasa a integrar el deber de diligencia de directorios y altos ejecutivos.
La discusión, por tanto, no puede reducirse a herramientas. Exige liderazgo, gobernanza y una comprensión estratégica del entorno digital. La pregunta relevante no es si ocurrirá un incidente, sino cuán preparada está la organización para detectarlo, contenerlo y recuperarse sin comprometer su credibilidad.
La transformación tecnológica continuará acelerándose y los atacantes seguirán perfeccionando sus métodos. Ignorar esa realidad no es una opción. La ciberseguridad se ha convertido en un asunto de competitividad, confianza y responsabilidad país, cuyo abordaje determinará la solidez institucional en la próxima década. (Red NP)
Daniel Vargas
CTO de AdmiralOne