En 2024, Colombia se confirmó como el segundo país más atacado de Latinoamérica, según IBM X-Force, y en 2025 el MinTIC reportó 36.000 millones de intentos de afectación en 2024, con presión especial sobre finanzas, salud y energía. No es un susto pasajero: obliga a pasar del antivirus a un gobierno de seguridad con continuidad operativa y cumplimiento probado. Los atacantes abusan credenciales válidas y phishing, mientras la explotación de aplicaciones públicas sigue abriendo puertas. En paralelo, la UE exige medidas con NIS2 y el mundo empresarial adopta marcos NIST; tus clientes ya piden evidencias. Desde 1988 acompaño organizaciones a reducir riesgos con método, métricas y cultura. Este artículo entrega un diagnóstico 2024-2025, ejemplos reales y un plan en diez movimientos para proteger ingresos, reputación y datos personales, alineado con la Ley 1581 y el RNBD. Actúa hoy mismo: prevenir cuesta menos que recuperar.
👉 LEE NUESTRO BLOG, actúa ahora.
El patrón técnico también se movió. X-Force documentó el auge del abuso de cuentas válidas y el uso de credenciales robadas como vectores de entrada preferidos, empatados con el phishing. En 2025, la presión sobre servicios profesionales, de consumo y tecnología no cede, y los atacantes siguen privilegiando el “camino de menor resistencia”: explotar configuraciones débiles en la nube, aplicaciones públicas desactualizadas y credenciales expuestas. Para una gerencia que decide presupuestos y prioridades, el mensaje es claro: gobernar identidades, segmentar redes y parchar a tiempo produce más retorno que comprar herramientas desconectadas entre sí.
A nivel internacional, la vara subió. La Directiva NIS2 obligó a los Estados Miembro de la UE a transponer medidas desde el 17 de octubre de 2024 y, en 2025, ENISA publicó guías técnicas para aterrizar controles y evidencias por tipo de entidad crítica. En Estados Unidos, NIST consolidó la revisión final del SP 800-171 Rev. 3, que permea contratos y cadenas de suministro al exigir salvaguardas para información controlada. ¿Qué significa para una empresa colombiana que exporta o vende a grupos multinacionales? Que deberá demostrar prácticas verificables: MFA robusto, gestión de vulnerabilidades, copias inmutables probadas y respuesta a incidentes con métricas.
La superficie de ataque se alimenta de hábitos humanos. El Anti-Phishing Working Group registró 1.003.924 ataques de phishing en el primer trimestre de 2025, el mayor volumen trimestral desde finales de 2023. Las campañas incluyen códigos QR en correos y señalización física, lo que exige a las áreas comerciales y operativas una alfabetización de riesgo continua. La moraleja: si tu gente no sabe reconocer y reportar rápido, el atacante entra por tu puerta más usada: el correo y la colaboración en la nube.
Ahora, llevemos esto al terreno de la gerencia. Imagina a “Laura”, directora de una pyme de servicios B2B en Bogotá con 65 empleados, canales en la nube y ventas regionales. Su dolor no es abstracto: dos días de caída por un ransomware que cifró el servidor de archivos; tres clientes reportando correos falsos desde cuentas comprometidas; una advertencia por no actualizar el Registro Nacional de Bases de Datos (RNBD) y no contar con bitácoras ni protocolos de reporte. Al mapear procesos hallamos MFA inconsistente, parches sin política, accesos compartidos y copias de seguridad sin pruebas. A Laura no le faltaban licencias; le faltaba gobierno.
Colombia dispone de un marco claro de protección de datos: Ley 1581 de 2012 y su desarrollo reglamentario. La SIC recuerda cada año la actualización del RNBD entre enero y marzo y ofrece capacitaciones oficiales. En 2025, varias firmas y medios especializados reforzaron públicamente los plazos y recordatorios: actualizar el RNBD, reportar reclamos de titulares y mantener evidencias operativas es parte de la disciplina que un auditor o un cliente internacional exigirá. La conclusión práctica: cumplimiento y seguridad son dos caras del mismo negocio; aflojar en una, fractura la otra.
Comparativo breve para tomar decisiones: en la UE, NIS2 amplía obligaciones a cadenas de suministro y fija ventanas estrictas de reporte de incidentes; en EE. UU., los contratos públicos y privados incorporan cláusulas alineadas con NIST para proveedores. En Colombia, tu cliente global te medirá con esas reglas aunque no estés en Europa o Norteamérica. Traducido a tablero: define controles mínimos no negociables, evalúa a tus terceros críticos y convierte la evidencia en rutina (registros, métricas, restauraciones de prueba).
¿Qué están explotando los atacantes en el país? IBM X-Force reportó campañas 2025 con ganchos de “notificaciones judiciales” dirigidas a usuarios colombianos para plantar cargas maliciosas. No es casualidad: la ingeniería social se disfraza de trámites familiares y de comunicaciones oficiales. Esto demanda que legal, talento humano y operaciones empujen junto a TI: simulaciones trimestrales, guiones de respuesta y comunicación interna coordinada.
Diez movimientos prácticos para 90 días:
-
Inventario vivo de activos on-prem, nube y terceros; sin lista confiable, no hay seguridad.
-
Clasificación de datos: personales, financieros y propiedad intelectual; determina controles por sensibilidad.
-
Identidad primero: MFA resistente al phishing en correo, VPN y gestores; passwordless donde aplique.
-
Segmentación: zonas y microsegmentación para contener el impacto.
-
Parches con cadencia: calendario por criticidad, ventanas de emergencia y responsables.
-
Backups inmutables con restauraciones mensuales verificadas (RTO/RPO realistas).
-
Visibilidad accionable: EDR/SIEM con alertas que alguien de negocio entienda.
-
Cultura medible: simulaciones de phishing y cápsulas de 5–7 minutos al mes.
-
Mesa de crisis: umbrales, roles, cadena de comunicaciones y contacto regulatorio.
-
Cumplimiento vivo: RNBD actualizado, políticas operativas y evidencia para auditoría. (Inferencia basada en tendencias IBM/APWG y exigencias regulatorias UE/EE. UU.).
Herramientas ≠ estrategia. La diferencia entre “tener” y “operar” está en la gobernanza: políticas con dueño, métricas trimestrales (tiempo a parchar, tasa de clic en phishing, tasas de restauración), auditorías internas ligeras y un relato de riesgo que el comité directivo entienda. Sin eso, los proyectos se apagan al primer cierre contable.
Solución TODO EN UNO.NET, en un solo párrafo: iniciamos con análisis 360° (madurez, inventario, riesgos, revisión Ley 1581/Decreto 1074, brechas RNBD y terceros); seguimos con definición estratégica (priorización por impacto, hoja de ruta trimestral, políticas vivas, plan técnico: identidades, segmentación, parches, backup inmutable, SIEM/EDR, mesa de crisis, formación y métricas), y culminamos con implementación y acompañamiento (oleadas de hardening, automatizaciones, ejercicios de respuesta, evidencias para entes de control y reportes ejecutivos). Gobernamos con el ciclo ver–pensar–hacer, medimos avances y transferimos capacidades a tu equipo para que la seguridad sea una competencia estable y rentable.
El espejo internacional ofrece pistas accionables. ENISA publicó en junio de 2025 guías técnicas para implementar NIS2, con ejemplos de evidencia por control y mapeos de requisitos. Tomar ese marco como referencia, aun sin obligación jurídica directa, acelera la madurez y te prepara para clientes globales. Complementa con el catálogo de salvaguardas de NIST SP 800-171 Rev. 3 cuando manejes información sensible para cadenas internacionales. La convergencia práctica es inequívoca: identidad robusta, segmentación, gestión de vulnerabilidades, continuidad probada, monitoreo y reporte oportuno.
Una última nota sobre contexto local. El Gobierno lanzó en 2025 su Estrategia Nacional de Seguridad Digital 2025-2027, con focos de coordinación, formación masiva y fortalecimiento de capacidades. Más allá del anuncio, la gerencia debe traducir esta ola en acciones de empresa: inventarios, entrenamiento, compras alineadas a riesgos y, especialmente, cumplimiento verificable ante la SIC y clientes. Tu reputación —y continuidad— se blindan con disciplina, no con discursos. mintic.gov.co
JulioC