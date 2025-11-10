Martín Hoz, de Fortinet, advierte que invertir USD $20,000 en seguridad no garantiza protección si no actualizas procesos anualmente. La pregunta ya no es si te atacarán, sino si estarás preparado cuando ocurra.

“Las batallas de boxeo no se ganan en el ring, sino en el gimnasio”, repite Martín Hoz, vicepresidente senior regional de ingeniería de preventa de Fortinet, para explicar por qué la ciberresiliencia es preparación, no reacción. Y los datos respaldan su analogía: las empresas tardan entre 30 y 180 días en detectar que tienen un intruso operando dentro de sus sistemas.

El problema no es tecnológico. La mayoría de organizaciones latinoamericanas ya tienen firewalls, antivirus y herramientas de detección. El vacío está en los procesos y en la actualización continua de esos procesos conforme evoluciona el negocio.

La falacia de la inversión única

Hoz relata una anécdota reveladora: mientras cerraba la compra de su casa en Estados Unidos, recibió un correo falsificado del notario solicitando cambio de cuenta bancaria. El ataque era sofisticado: dominios casi idénticos, contexto preciso, confirmación aparente de su agente inmobiliario.

Cuando alertó al despacho legal, la respuesta fue: “No fuimos nosotros. Ya invertimos USD $20,000 en seguridad el año pasado”. Esa mentalidad de inversión única es letal. “La protección tecnológica requiere ciclos presupuestarios recurrentes, como el mantenimiento de sistemas operativos”, enfatiza.

Business Impact Analysis: el punto de partida olvidado

El primer paso no es comprar más tecnología, sino ejecutar un Business Impact Analysis (BIA) actualizado. “No puedes controlar lo que no mides”, recuerda Hoz. El BIA identifica qué activos críticos evolucionaron: la nube ya no es opcional, el IoT ya está operando en producción física, los canales digitales generan más ingresos que las oficinas físicas.

¿El caso McDonald’s? No está en el negocio de hamburguesas sino de bienes raíces. Si el CISO de McDonald’s no entiende esa diferencia, invertirá en proteger los activos equivocados.

CISOs de checklist vs. CISOs de negocio

“En América Latina abundan los CISOs de checklist”, advierte Hoz tras conversar con un CISO de banco digital brasileño. “Tienen firewall, tienen EDR, tienen detección de intrusos. Palomean la lista pero no entienden el negocio. Están matando hormigas con lanzallamas”.

Lo que no puede permitirse un CISO en octubre 2025: no entender el negocio, mantener silos tecnológicos aislados, creer que una inversión pasada garantiza protección futura.

La integración como imperativo operativo

Fortinet gestiona más de 50 tecnologías diferentes de seguridad a través de Security Fabric, su arquitectura de integración. La premisa: si las herramientas no conversan entre sí, la detección temprana es imposible.

El enfoque incluye protección para los tres casos de uso de IA: shadow AI (empleados usando ChatGPT con datos corporativos), aplicaciones que integran IA, y desarrollo de modelos propios. “Necesitas saber qué es comportamiento normal antes de detectar anomalías”, explica Hoz.

Crisis Rooms: ensayos obligatorios

Fortinet implementa ejercicios de Crisis Room donde simula ataques ante consejos directivos. Las preguntas obligan a decisiones incómodas: ¿Pagamos el rescate? ¿Avisamos públicamente? ¿Cuándo y cómo?

“Estas decisiones no se pueden tomar bajo la presión de un ataque real”, sentencia Hoz. Como los simulacros sísmicos en Ciudad de México desde 1985, la práctica salva organizaciones.

Las métricas (MTTR, RTO) importan, pero el consenso entre tecnología, finanzas y negocio importa más. Más disponibilidad significa más costo. La pregunta correcta no es “¿cuántos nueves de disponibilidad quiero?” sino “¿cuánto riesgo estoy dispuesto a tolerar?”