La próxima crisis digital ya comenzó: lecciones desde Londres para América Latina

Hace unas semanas, participé como panelista en una serie de conferencias internacionales en Londres organizadas por Zywave y otras plataformas líderes del sector asegurador y tecnológico. El objetivo era explorar el futuro de los seguros cibernéticos, entender las tendencias que están transformando el mercado y compartir ideas sobre cómo prepararnos para lo que viene.

Lo que descubrimos en Londres no fue solo una lista de riesgos emergentes, sino una advertencia: la próxima gran crisis digital ya comenzó, y América Latina está particularmente expuesta.

Ransomware: menos ruido, más daño

Aunque algunos informes sugieren que los pagos por ransomware (secuestro de datos) están disminuyendo, la realidad es más compleja. Los ataques no solo persisten, sino que se han vuelto más precisos, silenciosos y devastadores. Los delincuentes ya no actúan como amateurs: usan inteligencia artificial para personalizar los ataques, analizar las defensas de las víctimas y elegir el momento perfecto para causar el mayor daño posible.

Según un artículo del diario El País, En 2024 las pérdidas por ransomware superaron los 10.000 millones de euros a nivel global, el doble que en 2023. Y aunque Europa y Estados Unidos lideran son los principales afectados, América Latina no se queda atrás: Según el portal El Financiero, México fue el país más atacado de la región en 2024, con un incremento del 14% en la frecuencia de hackeos.

Los MSPs: ¿aliados o puntos ciegos?

Uno de los hallazgos más inquietantes en los paneles de Londres fue el rol de los terceros de confianza —proveedores de IT, servicios de seguridad, desarrolladores externos— en los incidentes críticos. La dependencia de Managed Service Providers (MSPs) ha crecido, pero su supervisión no ha madurado al mismo ritmo.

En América Latina, la tercerización sin controles ha abierto una nueva superficie de ataque. ¿Cuántas empresas auditan a sus proveedores digitales? ¿Y cuántas tienen un plan de contingencia si uno de ellos falla?

Regulaciones desiguales, exposición real

Europa avanza con leyes como NIS2, que obliga a sectores críticos a gestionar y notificar incidentes cibernéticos. En Australia, ya es obligatorio reportar los pagos de ransomware. Sin embargo, los requisitos de divulgación en el Reino Unido dibujan un mapa jurídico fragmentado que complica la operación de empresas multinacionales. Para las aseguradoras, esto implica rediseñar coberturas, tiempos de respuesta y expectativas de indemnización. En cambio, América Latina aún carece de marcos regulatorios homogéneos, lo que crea una brecha no solo legal, sino también competitiva.

La ausencia de regulación coordinada en la región debilita nuestra capacidad de defensa colectiva y nos expone a litigios cruzados, arbitrariedad legal y vulnerabilidades sin sanción.

La amenaza fantasma del software open source

Uno de los episodios más escalofriantes que se discutió fue el intento de sabotaje en la herramienta open source xz-utils, presente en sistemas críticos usados por gobiernos, bancos y hospitales. Un atacante pasó cuatro años infiltrándose en la comunidad antes de insertar una puerta trasera. El incidente fue descubierto por casualidad, justo antes de provocar un daño catastrófico.

La lección es clara: el software libre no es gratis, y tampoco es seguro por defecto. Necesitamos saber en qué se construyen nuestros sistemas, y no dar por sentada su integridad.

La IA: ¿ángel o demonio?

Mientras algunos celebran las ventajas de herramientas como ChatGPT, otros ya las utilizan para perfeccionar campañas de phishing, fraudes automatizados y ataques dirigidos. En Londres vimos ejemplos reales de cómo la inteligencia artificial está siendo aprovechada tanto para defender como para atacar.

América Latina, con su alta adopción de tecnología pero baja inversión en ciberseguridad corre el riesgo de quedar atrapada en el lado débil del juego. ¿Estamos capacitando a nuestros equipos para enfrentar este nuevo panorama?

No es solo cantidad. Es complejidad

En 2024, la pérdida de datos aumentó del 17,2% al 30,2%, y los ataques se hicieron más sofisticados, afectando la integridad de sistemas financieros, provocando litigios transfronterizos y dejando a muchas víctimas sin pruebas digitales para defenderse.

Coincidimos en que el futuro no traerá necesariamente más incidentes, sino incidentes más difíciles de entender, cuantificar y cubrir. La explosión no está en la frecuencia, sino en la profundidad del impacto —legal, técnico, reputacional y financiero—, es decir, el problema ya no es el volumen de ciberataques, sino su capacidad de desestabilizar modelos de negocio completos. Y eso incluye a aseguradoras, bancos, industrias críticas y pequeñas empresas que no imaginan ser objetivo. En otras palabras: el riesgo cibernético se está convirtiendo en un riesgo sistémico, silencioso y transversal.

El ciberseguro: más necesario, menos comprendido

En el escenario actual, el ciberseguro es más necesario que nunca. Las amenazas crecen, la digitalización avanza, y los riesgos ya no son futuros: son presentes. Sin embargo, el producto sigue sin despegar del todo, especialmente en regiones como América Latina.

¿Por qué? No es por falta de riesgo. Es por falta de relato.

Lo dijo un colega en Londres y se me quedó grabado: “el ciberseguro no es complejo; lo complejo es cómo lo contamos.” Y tenía razón. El problema no es el producto, sino su narrativa.

Las coberturas siguen siendo esencialmente las mismas: ransomware —el más severo—, compromiso de correo —el más frecuente— y servicios de respuesta —la primera línea de contención. Lo que debe evolucionar no es el contenido técnico, sino la forma en que lo explicamos. Porque si la propuesta de valor no se entiende, no se adopta.

En demasiadas ocasiones hablamos como técnicos, no como aliados. Llenamos de jerga lo que debería ser claridad. Describimos amenazas abstractas en lugar de consecuencias reales. En vez de generar confianza, sembramos confusión.

Y eso, en una región donde la mayoría de las empresas medianas y pequeñas no tiene plan básico de continuidad ni asesoría especializada, se convierte en una barrera crítica. Allí donde más se necesita el seguro, menos se comprende.

El desafío no es técnico. Es comunicacional. Necesitamos contar historias que conecten. Mostrar que el ciberseguro no es un gasto más, sino una herramienta de resiliencia. Que no se trata solo de tecnología, sino de proteger la continuidad, la reputación y la confianza.

El verdadero reto no es vender pólizas, sino construir puentes: puentes entre el riesgo y la acción. Entre los tecnicismos y el lenguaje del negocio. Entre lo intangible y lo imprescindible.

El futuro del ciberseguro no se definirá solo por modelos de suscripción más inteligentes, sino por nuestra capacidad de narrar su valor de forma clara, relevante y movilizadora. Una narrativa que no asuste, sino que active. Que no complique, sino que empodere.

Lo que América Latina debe hacer

• Ejecutar con foco: más que grandes ideas, necesitamos equipos locales que implementen alianzas, eduquen al mercado y fortalezcan capacidades internas.
• Construir confianza narrativa: explicar el riesgo digital en lenguaje de negocio, no de ingeniero. Abandonar el miedo como herramienta de venta y empezar a construir puentes.
• Diseñar coberturas realistas: que reconozcan nuestras particularidades regulatorias, culturales y operativas.
• Fomentar corresponsabilidad: entre clientes, aseguradoras, proveedores y gobiernos. Esto no se resuelve desde una sola trinchera.

La próxima crisis digital ya está aquí. No es una tormenta futura: es una erosión diaria, silenciosa, de la confianza digital que sostiene nuestras economías. En América Latina, donde convivimos con brechas estructurales, hiperconectividad y talento desaprovechado, no podemos esperar hasta que el incendio sea incontrolable. Desde el sector asegurador, tenemos una oportunidad única: convertirnos en catalizadores de resiliencia, narradores del riesgo real y diseñadores de soluciones adaptadas a nuestra región. Porque el riesgo digital no es solo técnico. Es económico. Es reputacional. Y, sobre todo, es humano.

Y si no lo abordamos hoy con visión estratégica, lo pagaremos mañana… con intereses.

Por Andrea García Beltrán, directora de Riesgo Cibernético en Europa, Nirvana Insurance| host cibervoces podcast | Founder y ChairWomen CyberSpecsTM.