Las grandes crisis de seguridad no siempre comienzan con un hacker en la oscuridad, sino con un clic dentro de la oficina. Un empleado cansado que reenvía un archivo por comodidad, un técnico que conserva accesos tras renunciar, un líder que cree que "aquí confiamos en todos". En la era digital, los ataques externos son espectaculares, pero las fugas internas son devastadoras. Y lo más inquietante: casi siempre son invisibles hasta que ya es tarde.
Según el Ponemon Institute, los incidentes internos le cuestan al mundo corporativo un promedio de 17,4 millones de dólares anuales por organización, un aumento del 34% respecto a hace cinco años. El 67% de las empresas admite haber sufrido más de 20 incidentes internos en un solo año, y el tiempo promedio de detección supera los 85 días. En paralelo, el Data Breach Investigations Report de Verizon confirma que el 74% de todas las brechas involucra al factor humano, y que una de cada cuatro se origina directamente dentro de la organización.
No es el hacker quien abre la puerta: es la cultura.
He visto organizaciones multimillonarias derrumbar su reputación por un error tan banal como compartir una contraseña en un grupo de mensajería. En auditorías internacionales, desde América Latina hasta Europa, se repite el mismo patrón: empresas con sistemas certificados que funcionan bien en papel, pero que fallan en la conducta diaria. Políticas que nadie lee, privilegios que nadie revisa, y accesos que sobreviven al contrato laboral. La seguridad no se pierde por falta de herramientas, sino por exceso de confianza.
Un caso paradigmático fue el de Cisco en 2018: un ingeniero despedido, con un token no revocado, borró 456 máquinas virtuales y dejó fuera de servicio a más de 16.000 clientes. La causa no fue una vulnerabilidad técnica, sino un proceso incompleto de baja de usuario. En Mercedes-Benz, en 2024, un desarrollador publicó por error un token de autenticación en GitHub, exponiendo repositorios internos con contraseñas y datos sensibles. Y en Coinbase, entre 2023 y 2025, empleados sobornados filtraron información confidencial a cambio de criptomonedas, provocando un escándalo global. Tres historias distintas, una misma enseñanza: la falla humana sigue siendo el eslabón más caro de la cadena tecnológica.
Las estadísticas revelan una ironía cruel: mientras las empresas invierten millones en inteligencia artificial (IA) y detección avanzada, los cimientos siguen siendo vulnerables por prácticas elementales.
Cuentas sin control, privilegios permanentes, falta de segregación de funciones y procesos de offboarding improvisados. Los hackers externos lo saben: no necesitan atacar un firewall si pueden convencer a un empleado cansado o aprovechar un permiso que nunca expiró.
Por eso digo que la nueva frontera de la ciberseguridad no es técnica, sino cultural.
La ISO/IEC 27001, el estándar internacional más adoptado en seguridad de la información, se convirtió en el lenguaje estructural que permite transformar la confianza en evidencia.
Pero su valor no reside en el diploma: reside en el hábito. Cada control —desde la segregación de funciones hasta la gestión de privilegios— enseña algo más profundo que la seguridad: enseña disciplina, responsabilidad y orden. Un sistema ISO no solo protege datos; profesionaliza conductas.
He visto a equipos directivos entender por primera vez el verdadero sentido de la auditoría: no como un examen, sino como un espejo. En ese momento dejan de preguntar "¿cuánto cuesta certificar?" para preguntar "¿cuánto cuesta no hacerlo?".
La diferencia entre una organización reactiva y una resiliente no está en su presupuesto, sino en su conciencia. La certificación es una consecuencia; la mejora continua, una cultura.
Gartner prevé que para 2025 la mitad de las empresas medianas y grandes del mundo tendrá programas formales de gestión de riesgos internos.
No se trata de paranoia, sino de evolución: la confianza sin control ya no es sostenible.
Los líderes que aún basan su estrategia en la buena fe de sus equipos olvidan una regla esencial: la confianza no se opone al control; se construye con él.
He aprendido que el liderazgo moderno no se mide por la cantidad de decisiones que se toman, sino por la calidad de las que se auditan.
Cuando la rendición de cuentas se convierte en hábito, la ética deja de ser un discurso y se vuelve sistema operativo.
En América Latina, esta conversación es urgente. No por atraso, sino por oportunidad. La región está en un punto donde la profesionalización puede marcar el salto de la supervivencia a la excelencia.
Los gobiernos que hoy adoptan normas ISO no lo hacen por formalidad, sino por necesidad de legitimidad. Y las empresas que internalizan la gestión basada en evidencia no solo reducen riesgos, sino que recuperan algo que el mercado ha perdido: la confianza pública.
Al final, la seguridad —como la calidad o la transparencia— no es un departamento. Es una forma de gobernar.
Las normas internacionales son herramientas; lo que las vuelve poderosas es la decisión de aplicarlas con propósito. Porque una organización que no se audita se condena a repetir sus errores, y un líder que no mide no lidera: solo espera el impacto.
La verdadera amenaza interna no es un empleado desleal. Es la indiferencia estructural que permite que los errores se normalicen. Cuando un directivo entiende eso, cambia la conversación: deja de preguntar "¿quién falló?" y empieza a preguntar "¿qué sistema lo permitió?".
Ese es el punto donde la gestión se convierte en inteligencia, la dirección en liderazgo y la auditoría en una forma de protección.
No hay nada más humano que equivocarse, pero no hay nada más profesional que prevenirlo. En un mundo donde los datos valen más que el oro, la confianza se mide con evidencias. Y controlar no es desconfiar: es proteger aquello que da sentido a toda organización seria —su reputación, su legitimidad y su propósito.
Porque, al final, el enemigo más peligroso no es el hacker externo que acecha en la sombra, sino el hábito interno de mirar para otro lado. Y ese, créanme, es el error más caro del liderazgo moderno.
*Por Fernando Arrieta, director regional de G–CERTI Global Certification