El consejo no necesita convertirse en experto en logs ni vivir enamorado de un dashboard de amenazas. Necesita entender qué riesgos pueden detener ingresos, romper continuidad, elevar sanciones o erosionar confianza. En 2026, ese mapa ya no se puede resumir con “hay que invertir más en seguridad”. Hay que nombrar riesgos concretos y traducirlos al idioma del negocio.
Verizon reportó en su DBIR 2025 que el elemento humano siguió involucrado en alrededor del 60% de las brechas confirmadas y que los terceros participaron en 30% de los casos, el doble que el año anterior. Además, el ransomware estuvo presente en 44% de las brechas revisadas; el pago mediano cayó a USD 115,000 y 64% de las víctimas no pagó. ENISA, por su parte, ubicó las amenazas contra la disponibilidad como el principal grupo de amenazas en su panorama 2024.
Los 10 riesgos
| Riesgo | Qué compromete | Qué debería preguntar el consejo | Prioridad |
| Ransomware y extorsión | Operación, ingresos, reputación | ¿Qué proceso crítico se detiene primero? | Muy alta |
| Riesgo de terceros | Datos, continuidad, cumplimiento | ¿Qué proveedor concentra más acceso o dependencia? | Muy alta |
| Identidades y privilegios | Control del entorno | ¿Qué accesos sobran hoy? | Muy alta |
| Brecha de datos | Sanción y confianza | ¿Podemos demostrar control y notificación? | Muy alta |
| Disponibilidad | Servicio y operación | ¿Cuánto resistimos sin sistemas críticos? | Muy alta |
| Complejidad tecnológica | Costos y visibilidad | ¿Cuántas excepciones operamos sin gobierno? | Alta |
| Respuesta débil a incidentes | Tiempo y dinero | ¿Cuánto tardamos en detectar y contener? | Alta |
| Cumplimiento internacional | Riesgo regulatorio y comercial | ¿Qué normas nos exigen clientes y socios? | Alta |
| Falta de talento | Ejecución y continuidad | ¿Dónde dependemos de pocas personas clave? | Alta |
| Falta de gobierno | Decisiones sin evidencia | ¿Qué riesgos aceptamos formalmente? | Crítica |
Riesgo técnico vs. impacto de negocio
| Riesgo técnico | Traducción al lenguaje del board |
| Acceso indebido | Pérdida de control sobre activos críticos |
| Caída de servicios | Interrupción de ingresos y atención |
| Incidente con proveedor | Dependencia externa que rompe continuidad |
| Brecha de datos | Exposición legal y comercial |
| Herramientas aisladas | Gasto sin capacidad coordinada |
| Monitoreo débil | Decisiones tardías y costo creciente |
Los 10 riesgos que no pueden faltar en agenda
1. Ransomware y extorsión digital.
Sigue siendo uno de los riesgos más costosos por su impacto operativo inmediato. Aunque más organizaciones se niegan a pagar, la prevalencia del ransomware sigue creciendo.
2. Riesgo de terceros y cadena de suministro.
El proveedor inseguro ya no es “problema del proveedor”. Es una extensión del riesgo propio. El WEF 2026 mantiene a la complejidad de las cadenas de suministro como uno de los motores centrales del riesgo cibernético.
3. Identidades y accesos privilegiados.
Si el acceso es el nuevo perímetro, la identidad es el nuevo punto de quiebre. Con tanto factor humano en las brechas, hablar de accesos no es paranoia: es control básico.
4. Brechas de datos personales.
En México, una vulneración significativa no sólo implica daño reputacional; también puede activar obligaciones de notificación y sanciones severas.
5. Riesgo de disponibilidad.
ENISA colocó las amenazas contra la disponibilidad por encima de otras categorías. Esa prioridad importa porque una empresa puede no perder datos y aun así perder operación.
6. Complejidad tecnológica descontrolada.
Más herramientas no garantizan más resiliencia. A veces sólo compran más puntos ciegos y más deuda operativa. El WEF 2026 insiste en que la complejidad tecnológica y geopolítica está acelerando el riesgo.
7. Falta de preparación de respuesta.
No basta con detectar. Hay que contener, escalar, decidir y volver a operar. IBM muestra que una brecha ya tiene un costo promedio multimillonario.
8. Cumplimiento regulatorio internacional.
Aunque una empresa opere desde México, sus clientes o socios pueden exigirle alineación con marcos como NIS2 o DORA. DORA está en aplicación desde el 17 de enero de 2025.
9. Brecha de talento.
La falta de perfiles especializados se traduce en controles lentos, hallazgos abiertos y menor capacidad de respuesta. El WEF 2026 reportó escasez relevante de habilidades en múltiples regiones y 50% en América Latina y el Caribe.
10. Falta de gobierno real.
Sin responsables, umbrales, KRIs y evidencias, el riesgo tecnológico termina administrándose por intuición. Y la intuición, aunque simpática, no pasa auditorías ni detiene incidentes.
FAQ
¿Qué riesgo debería estar primero en la agenda del consejo? Ransomware, terceros, identidades, brechas de datos y disponibilidad suelen formar el núcleo de mayor impacto por su efecto financiero, operativo y regulatorio.
¿Cómo debe presentar TI estos riesgos al board? En escenarios de negocio: impacto potencial, nivel de exposición, dueño del riesgo, capacidad de respuesta y plan de tratamiento.
¿Por qué disponibilidad ya pesa tanto como confidencialidad? Porque una empresa puede no sufrir fuga de información y aun así quedar detenida, sin servicio y sin ingresos si no protege la continuidad operativa.
