Lima, julio 09 del 2025.- Con el objetivo de que las empresas y el usuario en general adquieran mayor conocimiento sobre las amenazas y ataques diarios de los ciberdelincuentes, la compañía de ciberseguridad ESET celebró una nueva edición de su evento anual, el ESET Security Day Perú 2025.

Para este propósito, la empresa contó con la participación de Tony Anscombe, Chief Security Evangelist de ESET, quien redefinió la percepción del ciberriesgo, enfatizando su naturaleza como un problema intrínsecamente empresarial y no meramente tecnológico.

Con más de 30 años de experiencia en la industria de TI, Anscombe instó a las organizaciones a replantear su enfoque de la ciberseguridad.

El ejecutivo inició su exposición marcando una distinción crucial, "El ciberriesgo es algo diferente a la ciberseguridad, pero ambos están muy relacionados." Explicó que cada individuo y, por extensión, cada empresa, tiene una "línea en la arena" diferente cuando se trata de riesgo.

"El ciberriesgo es un problema de negocio. La palabra ciber nos hace creer que es un problema de TI. No lo es. Es un problema de negocio", sentenció el directivo. Subrayó que las empresas deben decidir cuánto están dispuestas a arriesgar, y que esta decisión debe tomarse a nivel de junta directiva o por el propietario en el caso de negocios más pequeños, no solo por el departamento de TI.

Ejemplificó con el cierre del aeropuerto de Heathrow debido a un corte de energía, un incidente que, aunque no fue un ataque directo, fue un claro caso de ciberriesgo al impedir la operación por la inoperatividad de sus sistemas informáticos.

La dimensión financiera del cibercrimen y la ciberseguridad

El evangelista de ESET presentó datos alarmantes sobre el impacto económico del cibercrimen, mencionó que, si bien los pagos de ransomware alcanzaron cifras elevadas en 2022 (hasta 1.25 mil millones de dólares), han mostrado una disminución en 2024, lo cual atribuyó a una mayor comprensión del ciberriesgo por parte de las empresas.

Desmintió la creencia popular de que el ransomware es la principal forma de monetización del cibercrimen. Sorprendentemente, afirmó que el compromiso del correo electrónico empresarial (BEC) es mucho más lucrativo, citando un caso de $40 millones de dólares.

"El ransomware es una cantidad muy pequeña de cómo lo monetizan. Hay mucho otro fraude que tiene lugar", señaló, destacando que el BEC es un ataque de ingeniería social.

Una lucha incesante

Anscombe abordó la complejidad de protegerse en un entorno donde el cibercrimen es un "negocio muy lucrativo y en constante evolución".

Propuso la adopción de marcos de ciberseguridad (como el NIST) como "largas listas de verificación" que ayudan a las empresas a mantenerse seguras.

Sin embargo, advirtió sobre la "fatiga del cumplimiento", donde la mera obediencia a regulaciones puede no ser suficiente, ya que estas a menudo se centran en aspectos muy específicos (como la privacidad de datos) y dejan otras puertas abiertas, como la gestión de vulnerabilidades. "El cumplimiento no es suficiente", recalcó.

En Perú, con normativas como la Ley de Protección de Datos Personales y discusiones sobre estándares para datos financieros, Anscombe instó a las empresas a buscar una armonización entre el cumplimiento y las mejores prácticas de los marcos de seguridad.

"¿Por qué hay fugas de datos? Claramente no estamos haciendo lo suficiente", preguntó retóricamente, enfatizando la necesidad de ver la ciberseguridad desde una perspectiva financiera y de negocio, más allá de ser solo un problema de TI.

Finalmente, el especialista concluyó afirmando que no existe una única forma correcta de abordar la ciberseguridad, en su lugar, abogó por un "enfoque híbrido" y la monitorización constante de múltiples factores para asegurar la protección adecuada.