Durante años, la gestión del riesgo se representó como un ejercicio relativamente ordenado: mapas, matrices, probabilidades e impactos. Un lenguaje técnico, predecible y, sobre todo, delegable. El 2025 confirmó de forma contundente que ese modelo ya no alcanza.
Hoy, el riesgo cibernético no se gestiona únicamente desde controles tecnológicos o marcos de referencia. Se gestiona desde decisiones ejecutivas tomadas bajo presión, con información incompleta y con efectos inmediatos sobre el negocio, la reputación y la estabilidad institucional. La gerencia de riesgos dejó de ser una función de soporte para convertirse en una función central de liderazgo.
El principal aprendizaje del último año es que el riesgo cibernético ya no puede analizarse de manera aislada. Es, al mismo tiempo, riesgo operativo, de terceros, regulatorio, reputacional y financiero. En contextos sensibles, también es institucional y político. Un incidente técnico activa en cuestión de minutos múltiples frentes: continuidad del negocio, cumplimiento normativo, comunicación de crisis, responsabilidades contractuales, decisiones aseguradoras y presión mediática. El desafío ya no es identificar vulnerabilidades, sino comprender y gobernar las interdependencias.
La complejidad se amplificó con la convergencia entre inteligencia artificial avanzada y operaciones patrocinadas por Estados. En 2025 se documentaron ataques ejecutados en gran parte por agentes autónomos de IA, capaces de realizar reconocimiento, explotar vulnerabilidades y exfiltrar información con mínima intervención humana. Estas capacidades reducen drásticamente la barrera de entrada para ataques sofisticados. Lo que comienza como espionaje geopolítico termina convertido en ransomware, extorsión o sabotaje digital. La velocidad del ataque supera la velocidad tradicional de decisión y expone una brecha que no es tecnológica, sino de gobernanza.
Colombia entra en un ciclo electoral en un entorno regional marcado por polarización, desinformación digital y un aumento sostenido de ataques cibernéticos. La experiencia internacional demuestra que, en periodos electorales, el riesgo incluye ataques a entidades públicas, partidos y campañas; filtraciones selectivas de información; ransomware dirigido a medios y proveedores críticos, y campañas de desinformación amplificadas por inteligencia artificial. El objetivo no siempre es interrumpir procesos, sino erosionar la confianza y tensionar la capacidad de respuesta institucional. Para el sector privado, especialmente proveedores del Estado, infraestructura crítica, telecomunicaciones, energía, banca y medios, la exposición se multiplica.
El ransomware actual ya no busca únicamente cifrar sistemas. Su estrategia es ejercer presión máxima combinando interrupción operativa, exfiltración de datos sensibles, amenaza de publicación y presión sobre terceros. En 2025, el 74 % de los ataques incluyó robo de información, y solo el 23 % de las víctimas pagó rescate. No por convicción ética, sino por evidencia: pagar no garantiza ni recuperación ni confidencialidad. En contextos electorales o de alta exposición pública, la filtración de datos puede generar un impacto mayor que la interrupción operativa.
El análisis de incidentes relevantes muestra un patrón constante: no falla primero la tecnología, falla la gerencia del riesgo. Los errores se repiten: roles poco claros en crisis, escalamiento tardío al nivel ejecutivo, ausencia de criterios para decidir cuándo detener operaciones, dependencia excesiva de terceros críticos sin planes de contingencia y escenarios que nunca se trabajaron antes de que ocurriera el incidente. Muchas organizaciones conocen sus riesgos, pero no han definido quién decide, cuándo decide y con qué consecuencias. Eso no es un problema técnico; es un problema de liderazgo.
En un incidente real no existe información completa. Esperar certeza técnica absoluta suele incrementar el daño. Las organizaciones más resilientes comparten una capacidad clave: decidir con base en escenarios, no en certezas. Esto implica aceptar riesgo residual de forma consciente, priorizar impacto de negocio e institucional sobre perfección técnica, entrenar a la alta dirección en crisis cibernéticas e integrar tecnología, legal, cumplimiento, comunicación y seguros desde el primer minuto. En ciberseguridad, no decidir también es una decisión, y suele ser la más costosa.
El ciberseguro no sustituye la gestión del riesgo; es una herramienta de transferencia. Funciona solo cuando el riesgo está entendido, los escenarios están trabajados y la organización sabe qué parte del riesgo retiene y cuál transfiere. Cuando eso no ocurre, el seguro se convierte en una falsa sensación de control.
La pregunta que se abre hacia 2026 no es si habrá incidentes, sino cómo serán liderados. En un entorno de ransomware avanzado, inteligencia artificial y procesos electorales sensibles, la ciberseguridad se consolidó como una responsabilidad central del liderazgo ejecutivo. No es un tema técnico.
El riesgo no se elimina, no se paga y no se delega. Se gobierna. Y hoy, gobernar el riesgo es una de las formas más exigentes —y necesarias— de liderazgo en América Latina.
Andrea García Beltrán, Partner & Head of Cyber, Media & Tech Europa en Nirvana, fundadora de CyberSpecs® | Host del pódcast Cibervoces