Cuando un gerente de empresa en Medellín enciende su ordenador por la mañana y descubre que una campaña de phishing ha engañado a varios empleados o que un malware adaptativo ha vulnerado un sistema clave, siente que ha perdido el control. Esa incomodidad, ese temor silencioso de que lo inesperado ya no es cuestión de “si”, sino de “cuándo”, define la nueva realidad de la lucha contra el cibercrimen. En los últimos meses, Kaspersky reportó que en Latinoamérica han sido bloqueados más de 1.106.977 ataques sofisticados, que incluyen desde phishing hasta deepfakes generados por IA — Brasil, México, Colombia entre los más afectados. Por eso no basta con reaccionar: las empresas necesitan anticiparse ahora, armar defensas proactivas, porque cada ataque evita pérdidas enormes, tanto económicas como de reputación. Este panorama exige acción estratégica, legal y humana.
👉 LEE NUESTRO BLOG, descubre cómo enfrentar este reto decisivo.
Este texto parte de la convicción de que la inteligencia artificial (IA), usada irresponsablemente, multiplica riesgos reales — pero también ofrece herramientas poderosas si se aplica con criterio. Voy a mostrar cómo, desde mi experiencia de más de 30 años en TODO EN UNO.NET, las empresas pueden diagnosticar sus vulnerabilidades, alinearse con la normativa vigente en Colombia y adoptar soluciones tecnológicas prácticas que permitan transformar este riesgo en ventaja competitiva.
La amenaza de la IA mal utilizada ya no es ficción. Según informes de Kaspersky recogidos en 2025, en América Latina los ataques que utilizan herramientas generativas de IA para crear deepfakes y mensajes altamente convincentes han crecido. Las campañas de phishing ahora pueden automatizarse para personalizar mensajería engañosa en segundos, manipulando emociones como miedo o urgencia, e incluso explotando vulnerabilidades en sistemas móviles. En Colombia, los troyanos bancarios siguen siendo una de las amenazas más persistentes, tanto en PC como en móviles, y las apps fraudulentas que prometen préstamos siguen extendiéndose, a veces bloqueando el dispositivo para extorsionar al usuario.
Desde el punto de vista normativo, Colombia ya cuenta con varios instrumentos que exigen responsabilidad en el uso de datos personales y tecnologías emergentes: la Ley 1581 de 2012 (protección de datos personales), la Ley 1266 de 2008 (datos financieros), y recientemente la Circular Externa No. 002 de 2024 emitida por la Superintendencia de Industria y Comercio (SIC), que establece lineamientos para el tratamiento de datos personales cuando interviene la IA. A esto se suma que el gobierno nacional ha aprobado políticas públicas y estrategias de seguridad digital, que buscan fortalecer la gobernanza, infraestructura, derechos digitales, y capacidad técnica para enfrentar los riesgos emergentes.
En Colombia hay también participación legislativa activa: se analizan proyectos de ley para regular la IA en diversos ámbitos, incluyendo ética, responsabilidad, transparencia, igualdad y derechos laborales, así como para establecer estándares de supervisión. Este contexto obliga a las empresas a moverse rápido, no solo para cumplir la ley, sino para proteger activos tangibles e intangibles: reputación, confianza interna y cumplimiento normativo.
Pero el desafío técnico existe: muchas organizaciones pequeñas y medianas en Colombia no cuentan con capacidad interna para identificar vulnerabilidades, ni recursos para monitorear amenazas emergentes, ni personal capacitado en protección de datos, gestión de riesgos ni en aplicar IA de forma segura. La falta de políticas claras, de auditorías periódicas, de buenas prácticas en seguridad digital puede terminar convirtiendo la herramienta en riesgo. Yo lo he visto decenas de veces: empresas que adoptan soluciones tecnológicas sin prever la protección de los datos personales o sin establecer controles ante ataques internos. Esa ignorancia cuesta mucho.
Aquí es cuando la IA también se vuelve oportunidad para reforzar, anticipar y fortalecer defensas, si se usa con estrategia. Basado en lo aprendido en TODO EN UNO.NET, propongo tres fases prácticas que una empresa puede llevar a cabo para aprovechar la IA como aliada en la lucha contra el cibercrimen:
Primera fase: análisis inicial. Se trata de hacer un diagnóstico profundo: identificar qué datos maneja la empresa (cliente, empleados, operaciones), dónde están almacenados, qué vulnerabilidades técnicas existentes (servidores, redes, dispositivos móviles, endpoints), qué capacidades de monitoreo tiene, qué cultura de seguridad existe entre el personal. Hacer escaneos de riesgo, simulacros, pruebas de phishing internas, auditorías de cumplimiento con la Ley 1581, la Circular de la SIC, la legislación financiera y laboral. A partir de ahí descubrir brechas: datos sin cifrar, permisos excesivos, falta de capacidad de respuesta ante incidentes.
Segunda fase: definición estratégica. Con base en ese diagnóstico construir un plan que integre tecnología, normativa y cultura organizacional. Decidir qué herramientas de IA segura implementar para detección temprana de amenazas, automatización de respuestas a ataques, sistemas de autenticación fuertes, encriptación, sistemas de respaldo fuera de línea, conformidad con estándares internacionales (por ejemplo, adoptar modelos de buenas prácticas como ISO/IEC 42001 para IA y normativa global de ciberseguridad). Capacitar al personal desde todos los niveles, crear políticas internas de uso de IA, definir protocolos para manejo seguro de datos, transparencia con los derechos de los titulares. Y projetar un PMV (Producto Mínimo Viable) que provea valor tangible y rápido: por ejemplo, un módulo de monitoreo y respuesta temprana de incidentes, o un sistema de alertas automatizadas para phishing.
Tercera fase: implementación y acompañamiento. No basta con comprar software o cerrar contratos; hace falta acompañamiento continuo: configurar correctamente, entrenar al equipo, realizar pruebas reales (simulaciones, pentesting), revisar y ajustar políticas si cambian regulaciones o amenazas, mantener seguimiento y auditoría. Además, disponer de soporte externo si es necesario, alianzas con expertos en ciberseguridad, consultoría especializada para cumplimiento legal, protección de datos y capacitación organizada. En TODO EN UNO.NET nosotros acompañamos justamente en esos pasos: desde auditoría inicial hasta entrenamiento del personal, implementación de tecnologías seguras y cumplimiento normativo.
📅 Agenda: https://outlook.office365.com/book/TodoEnUnoNET1@todoenuno.net.co/
Viéndolo desde afuera se trata de un cambio de paradigma: ya no solo defender los perímetros digitales, sino anticipar, adaptarse y aprender. Si una empresa ignora estas nuevas dinámicas, el riesgo no es solo perder dinero, sino perder credibilidad, perder clientes, quedar fuera del mercado.
Nada de esto es teoría abstracta: las cifras respaldan lo que veo en las empresas con las que trabajo. En Colombia, con la Circular Externa No. 002 de 2024, la SIC ha dado claridad sobre los principios de idoneidad, necesidad, razonabilidad y proporcionalidad en el uso de datos personales con IA. También en América Latina, Kaspersky reporta que en 2025 detectó aumentos de amenazas que imitan plataformas de IA como ChatGPT y DeepSeek hasta en un 115% respecto al año anterior. Un ejemplo claro: empresas que sin querer exponen datos sensibles cuando empleados usan plataformas externas de IA generativa para agilizar tareas administrativas; o aplicaciones de préstamos fraudulentas que instalan malware móvil, se disfrazán de servicios legítimos, secuestran información personal. Cada vez más vemos esa mezcla de ingeniería social, automatización y vulnerabilidad interna siendo explotadas.
Para el empresario multitarea, el gerente de PyME o el director tecnológico esto significa que no hay margen para la improvisación. Para construir defensas reales, es urgente adoptar un PMV de ciberseguridad: una versión mínima viable de medidas concretas que permitan ganar tiempo, reducir riesgos y demostrar valor temprano. En TODO EN UNO.NET hemos ayudado empresas a consolidar esos PMVs que incluyen detección de amenazas, capacitación al personal e implementaciones normativas que reducen brechas y generan confianza.
El miedo, la desinformación, el síndrome del impostor al pensar “yo no tengo recursos suficientes para esto” son bloqueos reales. Yo los he vivido cuando inicié mis primeros consultorías tecnológicas en los años noventa, cuando la digitalización apenas comenzaba, y he visto cómo la resistencia al cambio termina costando mucho más que la inversión inicial. Pero también he visto transformaciones profundas: empresas que creían que no podían permitirse auditorías, terminan fortaleciéndose tan bien que cada cliente nuevo veía en ellas un sello de seguridad y profesionalismo.
La consultoría administrativa, tecnológica, de mercadeo digital, cumplimiento en Habeas Data, facturación electrónica: todos esos servicios se vuelven palancas cuando se aplican con visión estratégica. El PMV no es lujo, es urgencia. Aumentamos la eficiencia de tu empresa con soluciones digitales y normativas. Con más de 30 años de trayectoria en TODO EN UNO.NET, acompañamos desde el diagnóstico hasta implementaciones adaptadas, prácticas y de impacto inmediato. Con nosotros no solo transformas: te consolidas como líder en tu sector.