Ciudad de México, 8 de abril de 2026.- VESTIGA CONSULTORES, firma mexicana de consultoría en manejo de riesgos, seguridad corporativa, investigaciones y ciberseguridad, advirtió que el mayor punto de vulnerabilidad para la información de las empresas o ciberataques no se encuentra en el exterior, sino dentro de sus propias operaciones.
Aunque existe la creencia generalizada de que los hackers externos son la principal amenaza cibernética, las cifras apuntan en una dirección diferente: el error humano genera 95 % de las violaciones de datos, impulsado por amenazas internas, uso indebido de credenciales y descuidos de los propios usuarios, de acuerdo con un estudio reciente de Mimecast.
Lo que hace esta estadística todavía más relevante para la toma de decisiones al interior de las empresas es su concentración: menos de 10 % del personal suele ser responsable de hasta 80 % de los incidentes de violación o pérdida de información.
Esto significa que un grupo reducido de colaboradores (no necesariamente malintencionados) puede comprometer de manera desproporcionada el activo más valioso de cualquier organización: su información.
Análisis del fenómeno
Vestiga examinó a fondo este fenómeno en La herramienta más poderosa de la ciberseguridad: cultura interna, donde desarrolló qué implica construir esa cultura y por qué es la defensa más efectiva disponible.
“El error humano no es un problema de tecnología, es un problema de cultura. Las empresas que entienden esto dejan de buscar soluciones únicamente en herramientas y empiezan a construir una primera línea de defensa real: su gente”, señaló Sergio Díaz, socio director de Vestiga Consultores.
Este panorama se agrava cuando se considera la escasez de talento especializado en ciberseguridad y prevención de ciberataques.
Según estimaciones de Gartner, 80 % de las brechas de seguridad en los sistemas empresariales resulta de configuraciones erróneas y esto ocurre en gran parte porque más del 80 % de las empresas no cuenta con el personal calificado para gestionarlas correctamente.
Frente a esa realidad, la incorporación de herramientas automatizadas con inteligencia artificial permite compensar esa carencia y liberar al personal técnico existente para tareas de mayor valor estratégico.
CNSF reporta incidente de seguridad que involucra información de agentes de seguros
Capacitación, la clave
Pero la tecnología sola tampoco es suficiente.
Deloitte señala que 82 % de las infracciones de seguridad involucra un elemento humano y el FBI estima que uno de cada dos incidentes de fuga de información tiene origen en la negligencia de los empleados.
Capacitar al personal, promover contraseñas seguras, implementar autenticación de dos factores, establecer políticas claras de control de accesos y fomentar una cultura donde reportar actividades sospechosas sea parte del día a día: estas acciones no son opcionales, son la base sobre la que se construye cualquier sistema de ciberseguridad funcional y sostenible.
Un enfoque práctico que se explica paso a paso en el newsletter Comenzando a crear un sistema de ciberseguridad, desde cómo priorizarlas hasta cómo implementarlas según la madurez digital de cada organización.
A estos riesgos internos se suma una amenaza que se ha identificado como creciente y particularmente dañina: la suplantación del nombre e identidad de las empresas.
Suplantación de identidad, un reto más
En este tipo de fraude, terceros utilizan el nombre, logotipos, cuentas bancarias enmascaradas, correos electrónicos y hasta documentos internos de una organización para engañar a sus clientes, proveedores y colaboradores.
La firma ha podido confirmar, a través de sus propios clientes y de representantes de diversas cámaras empresariales, que este patrón afecta a empresas de todos los tamaños y sectores y que puede derivarse tanto de información sustraída desde adentro como de ataques externos sin ninguna complicidad interna.
“La suplantación de identidad empresarial ya no es un riesgo marginal. Las implicaciones legales, económicas y reputacionales pueden ser de largo alcance y muchas empresas no lo detectan a tiempo porque no tienen un esquema de monitoreo activo. El primer paso es tomar conciencia de que esto puede pasarles”, enfatizó Sergio Díaz.
Estrategia combinada
Ante este escenario, Vestiga recomienda una estrategia que combine:
- Protección legal de marca (incluyendo el registro ante el IMPI y la vigilancia activa de dominios y redes sociales)
- Medidas técnicas como autenticación multifactorial y cifrado de datos
- Capacitación continua del personal para detectar phishing e ingeniería social
- La implementación de un plan de respuesta ante incidentes que contemple la notificación a autoridades e instituciones financieras
Las acciones concretas para ejecutar cada frente se detallan en el análisis Crimen al alza: la suplantación del nombre e identidad de empresas.
En un entorno empresarial donde las amenazas cibernéticas evolucionan más rápido que los protocolos para enfrentarlas, desarrollar una cultura de ciberseguridad sólida ha dejado de ser una ventaja competitiva para convertirse en una condición de supervivencia.
La seguridad digital debe ser una responsabilidad compartida en todos los niveles de la organización y un hábito diario, no una reacción ante la crisis.
Devoluciones de saldo a favor ascienden a más de 2 mil mdp: SAT