$240.000 millones en tecnología. Cero en entender el problema
El mundo gastará USD $240 mil millones en ciberseguridad en 2026 y nos van a seguir vulnerando. El problema nunca fue tecnológico: es de procesos, personas y cultura.
Comprando la respuesta equivocada
En 2026 el mundo gastará USD $240 mil millones en ciberseguridad (Gartner, 2025).
Y nos van a seguir vulnerando.
Porque llevamos décadas comprando la respuesta equivocada.
Lo dijo Schneier en el 2000: “Security is a process, not a product.”
26 años después, seguimos sin entenderlo.
La industria vende cajas, no procesos
La industria no vende procesos. Vende cajas:
- NGFW
- EDR con IA
- SIEM
- XDR
- SOAR
- MDR
- Zero Trust empaquetado (que no es Zero Trust)
Mientras tanto, los números hablan por sí solos:
| Métrica | Dato | Fuente |
|---|---|---|
| Brechas con factor humano | 60% | Verizon DBIR, 2025 |
| Costo promedio por brecha | USD $4.88M (+10% vs 2024) | IBM, 2025 |
| Incidentes por errores humanos | 95% | World Economic Forum |
| Vulnerabilidades en borde remediadas al año | Solo 54% | Industria |
Más gasto que nunca. Mismas brechas de siempre.
¿Dónde entra el atacante?
No entra por donde crees:
- Con un phishing a finanzas porque nadie los capacitó
- Con credenciales por defecto en un PLC que llevan 8 años sin cambiar
- Con un parche crítico que no se aplicó porque no existe el proceso
El patrón se repite incansablemente. No es una vulnerabilidad sofisticada. No es un zero-day exclusivo. Es lo básico que no se hizo.
El problema nunca fue tecnológico
Es de procesos, personas y cultura.
Procesos
- ¿Existe un proceso formal de gestión de vulnerabilidades? ¿O se parchea cuando alguien se acuerda?
- ¿Hay un proceso de gestión de cambios para OT? ¿O cada modificación en el SCADA es improvisada?
- ¿Se revisan los accesos periódicamente? ¿O las cuentas huérfanas se acumulan durante años?
Personas
- ¿El equipo de finanzas sabe identificar un phishing dirigido?
- ¿Los operadores de planta entienden por qué no deben usar USB personales en las estaciones HMI?
- ¿El directorio comprende que la ciberseguridad no es solo “un tema de TI”?
Cultura
- ¿Se puede reportar un incidente sin miedo a represalias?
- ¿El equipo de seguridad tiene voz en las decisiones de negocio?
- ¿Se aprende de los errores o se buscan culpables?
La pregunta que deberías hacer siempre
Como le digo a mis estudiantes:
La próxima vez que alguien te diga que la solución es comprar otra herramienta, pregúntale:
- ¿Cuál es el proceso?
- ¿Quién lo opera?
- ¿Quién lo mide?
- ¿Quién lo mejora?
Si no hay respuesta, no tienes un problema de tecnología. Tienes un problema de gestión.
Y ningún appliance del mundo te va a salvar de eso.
La inversión que nadie quiere hacer
Las organizaciones gastan millones en tecnología de seguridad pero recortan presupuesto en:
- Capacitación continua del equipo técnico y los usuarios
- Ejercicios de simulación (tabletop exercises, red team)
- Documentación y maduración de procesos
- Contratación adecuada para operar la tecnología comprada
- Cultura de seguridad transversal a toda la organización
El resultado es predecible: herramientas de millones de dólares operadas a fracción de su capacidad, alertas que nadie revisa, dashboards que nadie entiende y procesos que existen solo en papel.
Security is a process
Schneier tenía razón hace 26 años. Sigue teniendo razón hoy.
La ciberseguridad no es un producto que compras. Es un proceso que construyes, operas y mejoras continuamente.
Los USD $240 mil millones serían suficientes si se distribuyeran entre tecnología, personas y procesos con la misma urgencia.
Pero mientras sigamos creyendo que la próxima caja mágica nos va a salvar, seguiremos pagando el costo de las brechas que nunca debieron ocurrir.