La noche de Halloween dejó de ser un juego cuando las empresas entendieron que los “fantasmas” de la ciberseguridad no asustan: roban. Hoy, detrás de muchas caídas de ventas, retrasos operativos, pérdidas de reputación y sanciones regulatorias, hay un truco técnico que parecía inofensivo y un “dulce” que nunca debió abrirse. He acompañado organizaciones por más de tres décadas y, en 2025, veo una mezcla peligrosa: ransomware más rápido, phishing con voces y rostros generados por IA, fraudes de transferencia que imitan a tus directivos, y una deuda técnica que se acumula en silencio. Colombia no está aislada; somos parte de un mapa global donde las bandas operan como empresas, industrializando el delito con modelos “ransomware-as-a-service” y herramientas de IA listas para usar. Este blog no es un susto: es una ruta funcional para entender el riesgo y actuar con cabeza fría, criterio ético y tecnología con propósito.
👉 LEE NUESTRO BLOG para tomar decisiones que protejan lo esencial.
La conversación honesta empieza admitiendo que el problema ya está dentro. No me refiero solo a un intruso en tus sistemas, sino a procesos fragmentados, usuarios fatigados, parches sin calendario y accesos privilegiados que nadie revisa. Ese es el caldo de cultivo donde florecen campañas de ransomware operadas como negocios: organizaciones criminales que compran acceso inicial, subcontratan cifrado y cobran soporte a sus “afiliados”; la economía del delito se profesionalizó y distribuyó funciones como cualquier startup escalable. En 2025, los incidentes siguen creciendo en complejidad y tiempo de permanencia, impulsados por kits disponibles en foros y por modelos generativos que redactan correos convincentes, rompen la gramática de la sospecha y suplantan voces en tiempo real durante llamadas de “aprobación de pagos”. Esa combinación explica por qué el viejo “capacita al usuario y listo” ya no alcanza: hoy hay que rediseñar el flujo completo de decisión, detección y respuesta, llevando la seguridad a la capa donde ocurre el trabajo.
Me gusta describirlo con un símil muy cotidiano: tu negocio es una casa grande con entradas laterales, ventanas antiguas, cámaras nuevas y familiares que entran y salen. Si solo cambias la cerradura principal, los demás puntos siguen abiertos. Traduce eso al mundo digital: aplicaciones legacy con permisos de sobra, sharepoints públicos por descuido, macros que nadie auditó, integraciones de terceros sin mínimo de hardening. Allá afuera no atacan “computadores”: atacan momentos. El viernes a las 4:53 p. m. cuando tesorería acelera; el cierre de mes; la madrugada del festivo; el llamado de un “proveedor” que te pide aprobar un cambio bancario urgente. En 2025 se consolidó el compromiso de correo empresarial (BEC) reforzado con deepfakes de voz y video: el audio de “tu gerente” pidiendo liberar una transferencia ya no es ciencia ficción, es una capacidad que disminuye el escepticismo del área financiera y rompe la doble verificación informal. El antídoto no es la paranoia; es la orquestación: procesos que no dependan de la presión del instante.
Miremos números recientes que ayudan a enfriar la cabeza y priorizar. A escala global, los operadores de ransomware han incrementado volumen y sofisticación con modelos de afiliación y doble extorsión; informes de 2025 detallan mayores tácticas de exfiltración antes del cifrado, negociación en múltiples canales y uso de living-off-the-land para evadir detecciones tradicionales. En paralelo, el fraude por BEC se profesionaliza con contenido generado por IA; la calidad del phishing sube, los errores ortográficos bajan y la consistencia visual con marcas reales se vuelve indistinguible para un ojo no entrenado. En Latinoamérica, y particularmente en Colombia, los equipos de respuesta han alertado sobre campañas contra sectores financiero, salud, educación y gobierno, con ventanas de ataque alineadas a hitos de calendario y picos de transacción. Esta foto obliga a pasar de “herramientas sueltas” a “capacidades integradas”: identidad fuerte, segmentación de accesos, detección por comportamiento, backup verificado y respuesta ensayada como un simulacro de incendio.
Si has invertido en controles y aún sientes fragilidad, hay una razón: la deuda de ciberseguridad. No es solo parche pendiente; es la suma de atajos de ayer que hoy se vuelven riesgo. Esa deuda se paga siempre: con presupuesto planificado o con pérdidas, sanciones y noches sin dormir. En 2025 muchas empresas aprendieron que la “multinube por moda” sin gobierno de identidades multiplica el vector de ataque, y que la automatización sin reglas claras puede propagar un error a la velocidad de un mensaje. Aquí conviene recordar algo incómodo: la mayoría de incidentes relevantes no vienen por una falla críptica de criptografía, sino por procesos humanos previsibles. Un contrato sin cláusulas de seguridad para proveedores; un onboarding sin revocación oportuna; una cuenta de servicio con privilegios inmortales; una VPN que nunca rotó credenciales; un dashboard público “solo para pruebas” que terminó indexado. Lo que llamamos “fantasmas” son, en realidad, decisiones postergadas.
En escenarios reales, la diferencia entre un susto y una catástrofe está en la preparación operativa. He visto equipos que, ante una alerta, abren cinco chats, dos llamadas y tres correos; la coordinación se pierde, el atacante gana minutos, el daño crece. ¿La alternativa? Un playbook vivo, practicado y medido, donde cada rol sabe qué evidencia congelar, qué servicio aislar, qué comunicación activar hacia clientes y autoridades, y qué variables monitorear para declarar “incidente contenido”. Este playbook no se descarga de internet; se construye sobre tu negocio. Si vendes e-commerce, tu prioridad es continuidad transaccional con lista blanca de IPs y bypass seguro para pagos; si administras datos de salud, tu prioridad es confidencialidad reforzada y notificación regulatoria con ventanas de tiempo estrictas. Esa personalización, con métricas que hablen el idioma del gerente (tiempo de detección, tiempo de contención, tiempo de recuperación), es el puente entre seguridad y estrategia.
Ahora bien, la IA generativa es un doble filo que no conviene dramatizar ni subestimar. Por un lado, potencia la defensa: detección de anomalías en tráfico, priorización de alertas, correlación entre endpoints, red y correo. Por otro, abarata el ataque: guiones de voz sintética, correos perfectos en 20 idiomas, edición de video que supera el ojo humano. La respuesta sensata no es bloquear la IA, sino gobernarla: definir casos permitidos, revisar prompts sensibles, proteger datos de entrenamiento, blindar salidas que toquen decisiones críticas (pagos, cambios bancarios, acceso a repositorios) con “human in the loop” y, cuando sea viable, con verificación fuera de banda. En paralelo, conviene elevar la higiene básica a estándares 2025: MFA resistente al phishing, llaves físicas en puestos críticos, segmentación de privilegios por tiempo y tarea, rotación automática de secretos, SSO bien gobernado, y políticas de retención de datos que reduzcan la “superficie de exfiltración”. Que el arsenal sea moderno no significa complejo; significa funcional a tu operación.
Otro frente que ya no admite espera es la preparación cuántica. Los estándares de criptografía poscuántica del NIST ya tienen algoritmos seleccionados y muchas organizaciones comenzarán la migración de claves y protocolos en los próximos ciclos de actualización. ¿Importa esto a tu pyme hoy? Importa si guardas información con vida útil larga: historiales de clientes, propiedad intelectual, expedientes de salud, contratos que deben mantenerse confidenciales más de 5–10 años. El riesgo “harvest-now-decrypt-later” es real: un atacante exfiltra hoy y descifra después, cuando tenga capacidad cuántica. La ruta práctica no es instalar “magia cuántica”; es inventariar dónde usas criptografía, clasificar por sensibilidad y horizonte temporal, y planear una migración gradual con proveedores que ya estén alineados a PQC. Ir temprano reduce costos y evita presiones de última hora.
En Colombia, la conversación no es solo técnica, también es de cumplimiento y continuidad. El marco de protección de datos, la supervisión sectorial y las guías del CSIRT nacional apuntan a mejorar reporte, coordinación público-privada y prácticas mínimas que eleven el piso de seguridad. Las organizaciones que sistematizan su gestión de incidentes y alinean contratos con proveedores críticos —incluyendo cláusulas de notificación, auditoría y ciberseguro— enfrentan mejor los picos de ataque estacionales. He visto compañías locales pasar de un esquema reactivo a uno preventivo al convertir “políticas de cajón” en tableros operativos con responsables, fechas y evidencias. Ese cambio cultural, que parece administrativo, es el que reduce la ventana de exposición y da tranquilidad al directorio.
Hasta aquí, quizá te preguntes: “¿por dónde empiezo si todo suena urgente?”. Empieza por lo que puedes controlar esta semana, no por la herramienta que te vendan el viernes. Cierra accesos huérfanos, apaga servicios que no usas, obliga MFA resistente al phishing en cuentas con dinero y datos, implementa aprobaciones fuera de banda para cambios bancarios, y ensaya un corte controlado de red para un sistema crítico. Con eso, el ruido baja y aparecen las prioridades reales. Luego, sí, piensa en plataforma: identidad centralizada, EDR con capacidad de aislamiento, protección de correo con análisis de comportamiento, gestión de postura en nube, copia inmutable probada. Y siempre, métricas que hablen negocio, no jeroglíficos: “reducimos en 43 % el tiempo de detección”, “pasamos de tres horas a 18 minutos para contener”. Esa traducción sostiene el presupuesto y alinea a todos.
En TODO EN UNO.NET trabajamos con una regla simple: la seguridad debe habilitar el trabajo, no sabotearlo. Si tu equipo siente que el control estorba, buscará rodearlo; si entiende que le ahorra errores y discusiones, lo adoptará. Por eso insistimos en diseñar experiencias seguras y amables: firmar con llave física es más rápido que recordar contraseñas imposibles; automatizar la caducidad de accesos es más fiable que perseguir tickets; registrar cambios bancarios con doble verificación humana evita pérdidas dolorosas. La ética digital está en el centro: no se trata de vigilar, se trata de cuidar. Ese matiz genera confianza y convierte la seguridad en cultura, no en checklist.
Cuando acompañamos a una pyme que “ya invirtió mucho y sigue preocupada”, solemos descubrir dos patrones: controles que no conversan entre sí y tableros que nadie mira. La integración es la mitad de la seguridad; la otra mitad es el hábito. Un ejemplo real: una empresa de servicios profesionales con 120 colaboradores, cuatro nubes y doce aplicaciones core. Tenía antivirus, tenía backups y tenía políticas. Aun así, un actor logró filtrar credenciales por un correo impecable que imitaba una renovación de software. ¿Qué cambió el partido? Un flujo de pagos blindado por verificación por fuera de banda, llaves físicas en tesorería, revisión quincenal de accesos privilegiados y un runbook de aislamiento practicado. No compraron “la suite definitiva”, orquestaron lo que ya tenían y cerraron brechas con piezas modestas pero bien ubicadas. La inversión más grande fue tiempo de dirección para alinear a tecnología, finanzas y jurídico.
Hablemos de proveedores y cadena de suministro, el gran elefante en la sala. Tu superficie de ataque es la suma de tus sistemas más los de todos los que tocan tus datos. Exige a tus aliados mínimos no negociables: MFA resistente al phishing, registro de auditoría, notificación de incidentes, pruebas de recuperación, y responsables con nombre propio. Evalúa menos con preguntas y más con evidencias: captura de pantalla de controles, reportes de ejercicios de restauración, certificados de capacitaciones, contratos con anexos de seguridad. Y negocia con propósito: mejor un proveedor que admita fallas y te muestre su plan de corrección que uno que promete perfección y entrega PDF llenos de generalidades. En ciberseguridad, la humildad operativa es un activo.
¿Y el presupuesto? La seguridad no compite con el negocio; lo habilita. Para decidir dónde poner el siguiente peso, cruza impacto y probabilidad con una matriz viva, y alimenta esa priorización con datos reales: qué atacan hoy en tu sector, qué procesos tuyos son apetecibles, qué ventanas temporales abren tus cierres contables o campañas comerciales. De ahí salen inversiones que el gerente entiende: endurecer identidad, blindar pagos y proveedores, ensayar respuesta, proteger correo y datos sensibles. Todo lo demás es elegante, pero secundario hasta que lo crítico funcione. No te dejes seducir por dashboards perfectos que nadie usa; pide evidencias de riesgos bajando y de tiempos de respuesta mejorando. Si tus números no cambian, cambias el plan.
Para cerrar el “tour” por estos fantasmas, un resumen crudo: hoy se ataca escala, se compra acceso, se terceriza el daño y se negocia como en un BPO. No ganas con miedo, ganas con método. Método funcional, humano, entrenado. Nosotros lo llamamos cultura de seguridad con propósito: la que protege a tu equipo para que pueda crear valor sin sobresaltos, la que respeta la ley y a la persona, la que conversa con finanzas y no se encierra en jerga. La tecnología es un medio; el resultado es continuidad, confianza y reputación.
Ahora, dame un párrafo de cierre que te hable como director que quiere dormir tranquilo. Si llegaste hasta aquí es porque intuías que tu empresa está expuesta de formas que no habías mapeado. Respira. No necesitas comprarlo todo ni asustar a tu equipo; necesitas un plan funcional. Desde TODO EN UNO.NET comenzamos por escuchar: entendemos tu modelo de negocio, medimos dónde duele, definimos una hoja de ruta que no interrumpe ventas y sí baja riesgo. Primero estandarizamos identidad y accesos críticos, luego elevamos la higiene en correo y endpoints, después integramos detecciones que no saturen a tu gente y preparamos un playbook de respuesta que hayas ensayado al menos dos veces al año. Cuando corresponde, llevamos el tema a gobierno corporativo y contratos con proveedores para blindar continuidad, y si tu operación lo exige, planificamos transición a criptografía poscuántica pensando en la vida útil real de tu información. En el proceso, combinamos consultoría administrativa, tecnología, mercadeo con criterio, Habeas Data, facturación electrónica, automatización y formación: piezas que, bien orquestadas, aumentan eficiencia y cumplimiento sin frenar el crecimiento. “Aumentamos la eficiencia de tu empresa con soluciones digitales y normativas.” No termina con la entrega: hacemos seguimiento, ajustamos controles a tus temporadas y mantenemos el hábito que sostiene los números. Nuestra meta no es que “no te ataquen”, es que estés preparado, resistas, te recuperes y sigas liderando con confianza.
¿Listo para transformar tu empresa con tecnología funcional?