Crece la brecha de talento en ciberseguridad, y el riesgo que conlleva

El costo financiero de la falta de profesionales

Las consecuencias económicas del déficit de talento son claras. El 35 % de las organizaciones latinoamericanas estima pérdidas superiores al millón de dólares por incidentes cibernéticos en 2024, según el mismo estudio de Fortinet.

La escasez de especialistas se ha vuelto estructural, pues se estima que hoy existe un déficit de más de 4,7 millones de expertos en ciberseguridad a nivel mundial, incluyendo los 329.000 que faltan en Latinoamérica. Este vacío deja posiciones críticas sin cubrir cuando las organizaciones más las necesitan.

Pero el problema no se limita a la contratación de expertos. En México, el 45 % de las empresas no capacita a sus empleados para detectar estafas en línea, señala un informe de Kaspersky. Este descuido es particularmente grave considerando que uno de cada tres ataques inicia con credenciales robadas de empleados.

A eso se suma que los atacantes ahora aprovechan la inteligencia artificial para crear campañas de phishing personalizadas que suplantan a ejecutivos o áreas de recursos humanos, comprometiendo redes corporativas completas con un solo clic.

"Cada colaborador es un frente de defensa crítico ante las amenazas digitales”, subrayó Claudio Martinelli, director general para Américas en Kaspersky. “Invertir en su capacitación no solo protege a las empresas, sino que fortalece la resiliencia de todo el ecosistema corporativo frente a fraudes y riesgos emergentes. Un talento capacitado es indispensable para que las medidas y herramientas de protección que implemente cualquier organización realmente funcionen", destacó.

La paradoja de la inteligencia artificial

Aunque la IA promete revolucionar la ciberdefensa, también multiplica los vectores de riesgo. El 98 % de las organizaciones latinoamericanas ya usa o planea implementar herramientas de ciberseguridad basadas en IA, señalan los datos de Fortinet, y el 78 % afirma que la IA está ayudando a sus equipos a ser más eficaces. Sin embargo, más de la mitad (54 %) reconoce carecer de personal con la experiencia necesaria para operarla correctamente.

El contraste es preocupante. A nivel mundial, el 76 % de las organizaciones que sufrieron nueve o más ciberataques en 2024 ya contaban con herramientas de IA, lo que demuestra que la tecnología, sin la experiencia humana adecuada para operarla, no es suficiente.

Adicionalmente, solo 45 % de las juntas directivas en la región comprenden plenamente los riesgos que plantea la IA, a pesar de que el 83 % de esas juntas ya priorizan la ciberseguridad como tema estratégico.

Cerrar la brecha requiere liderazgo

Para los expertos de Fortinet, la solución requiere un enfoque basado en tres pilares fundamentales:

• Sensibilización y educación;
• ampliación del acceso a formación y certificación específicas; y
• adopción de tecnologías de seguridad avanzadas.

“Sin medidas contundentes para desarrollar y retener expertos en ciberseguridad, los riesgos y los costos seguirán aumentando para nuestra sociedad”, enfatizó Carl Windsor, de Fortinet.

En la misma línea, los especialistas de Kaspersky recomendaron:

• Capacitación universal y continua. Desde la alta dirección hasta el personal operativo, todos deben recibir formación en protección de cuentas, seguridad del correo electrónico y cumplimiento normativo. Las plataformas modernas permiten personalizar el aprendizaje según el perfil de cada empleado.
• Realizar simulacros y ejercicios prácticos. Los simulacros de phishing y escenarios realistas permiten evaluar el nivel de concientización y detectar necesidades específicas de capacitación adicional.
• Establecer políticas de seguridad orientadas al personal. Establecer normas claras, protocolos de acción y controles de acceso por roles reduce la superficie de ataque y asegura que cada colaborador tenga solo los permisos necesarios.
• Liderar desde la dirección. Fomentar una cultura donde los colaboradores reporten correos, enlaces o mensajes sospechosos requiere que los líderes den el ejemplo en la adopción de buenas prácticas.
• Integración tecnológica. Combinar políticas claras con soluciones avanzadas de seguridad reduce la dependencia del factor humano y refuerza la defensa ante incidentes.

La responsabilidad es del negocio, no de TI

Tanto Fortinet como Kaspersky declaran que la ciberseguridad ya no puede tratarse como un tema técnico o de cumplimiento, sino que debe ser una prioridad a nivel directivo, impulsada por el auge de la IA y los riesgos que amenazan la continuidad operativa y la reputación. Sin embargo, el reconocimiento sin acción resulta insuficiente.

Las organizaciones deben replantearse sus prácticas de contratación, aprovechar reservas de talento infrautilizadas e invertir sostenidamente en formación y mejora de competencias. Fortinet, por ejemplo, se ha comprometido a capacitar a un millón de personas en ciberseguridad para 2026, una iniciativa que busca fortalecer el ecosistema global de talento digital.

El mensaje de ambas empresas de seguridad es contundente: cerrar la brecha de talento en ciberseguridad es tan estratégico como invertir en infraestructura o innovación digital. Requiere inversión sostenida, compromiso ejecutivo y un cambio cultural profundo que reconozca que cada empleado es parte esencial de la estrategia de defensa corporativa. “Sin profesionales capacitados, incluso las arquitecturas más avanzadas están en riesgo”, concluyeron.