En marzo de 2019, Norsk Hydro, uno de los productores de aluminio más grandes del mundo, amaneció con sus sistemas cifrados por ransomware. La variante LockerGoga paralizó 22.000 computadoras en 40 países. La empresa tomó una decisión que pocos se atreven a tomar: no pagar el rescate. En su lugar, activó operaciones manuales, publicó en tiempo real lo que estaba ocurriendo con una transparencia que dejó atónita a la industria, y comenzó la recuperación desde cero. El proceso costó 71 millones de dólares y tardó meses. Pero Norsk Hydro nunca dejó de operar, nunca pagó a los atacantes, y se convirtió en el caso de estudio de ciberresiliencia más citado del mundo empresarial.

Nadie quiere escuchar una historia de "volver a empezar" en la sala de juntas después de un ciberataque. Pero Norsk Hydro demuestra algo que la industria de la ciberseguridad ha tardado demasiado en aceptar: la pregunta ya no es si serás atacado, sino cómo vas a operar cuando lo seas.

De esa realidad surge la ciberresiliencia: un enfoque que no persigue la perfección de los sistemas, sino la capacidad de anticiparse, resistir, recuperarse y mejorar en un entorno donde los ataques no son escenarios hipotéticos, sino hechos recurrentes.

Por qué los enfoques tradicionales ya no alcanzan

Durante décadas, la ciberseguridad se enfocó en construir murallas digitales: firewalls, antivirus, segmentación de redes. El objetivo era claro: evitar cualquier intrusión. La metáfora del castillo inexpugnable. Y la realidad demostró, con demasiada frecuencia, que ningún castillo es inexpugnable cuando el atacante tiene tiempo, recursos y la ventaja de solo necesitar encontrar una grieta.

El modelo de "fortaleza digital" tiene tres problemas estructurales que la ciberresiliencia viene a resolver. Primero, el informe IBM Cost of a Data Breach 2023 cifró en 4,3 millones de dólares el costo promedio global de un incidente, sin contar el daño reputacional. Segundo, los ataques modernos no buscan solo robar datos, buscan paralizar operaciones, y la interconexión de sistemas significa que un único punto de entrada puede cascadear en un colapso total. Tercero, y el más difícil de aceptar: los atacantes evolucionan más rápido de lo que los equipos de seguridad pueden reaccionar, y comprar más herramientas no cierra esa brecha por sí solo.

La ciberresiliencia no reemplaza la ciberseguridad preventiva. La complementa con una premisa que cambia el diseño de todo el sistema: asumir que la intrusión ocurrirá, y diseñar para que no destruya lo que no debe ser destruido.

Qué significa ser ciberresiliente en la práctica

La ciberresiliencia no es un estado que se alcanza. Es un ciclo continuo sustentado en cuatro capacidades que deben funcionar juntas:

Anticipar es mapear con realismo los riesgos internos y externos, entender qué activos son críticos para la operación y qué pasaría si cada uno de ellos fallara. No es un ejercicio teórico: es el trabajo de inteligencia de amenazas que permite construir defensas donde más importa.

Resistir es la capacidad de contener amenazas antes de que afecten los procesos más críticos. Incluye la segmentación que impide el movimiento lateral, los controles de acceso que limitan el radio de daño cuando una credencial es comprometida, y los sistemas que pueden operar en modo degradado sin colapsar.

Recuperar es la dimensión más ignorada y la más decisiva. La velocidad de recuperación es la verdadera métrica de resiliencia. Norsk Hydro tardó meses; el objetivo de una organización bien preparada es medir la recuperación en horas o días, no en semanas. Eso requiere planes de backup y recuperación ante desastres que estén documentados, probados y verificados con regularidad. Un backup que nunca se ha probado no es un backup: es una esperanza.

Mejorar es el ciclo que cierra el proceso: cada incidente, real o simulado, debe traducirse en ajustes concretos en defensas, protocolos y formación. Las organizaciones que no aprenden de sus incidentes repiten los mismos errores en el siguiente.

Sectores donde la ciberresiliencia no es opcional

Hay industrias donde la falta de resiliencia tiene consecuencias que van más allá de las pérdidas económicas.

En infraestructura crítica, como redes eléctricas, sistemas de agua y transporte, los ataques patrocinados por estados han demostrado que la resiliencia no es solo un problema corporativo: es una cuestión de soberanía y seguridad nacional. En salud, los hospitales necesitan planes de recuperación tan practicados como los simulacros de incendio, porque cuando los sistemas caen, las consecuencias se miden en diagnósticos perdidos y cirugías aplazadas. En finanzas, un banco que detiene transacciones durante horas no solo pierde dinero: pierde confianza en todo el sistema, y esa pérdida puede ser más costosa que el ataque mismo.

En todos estos sectores, el éxito no se mide por haber evitado el ataque al 100%. Se mide por cuánto tardó la organización en restaurar sus operaciones críticas sin ceder al rescate.

Ciberresiliencia en LATAM: el doble reto

En la región, el desafío tiene una capa adicional. La ausencia de marcos regulatorios sólidos, la baja inversión histórica en ciberseguridad y la dependencia de proveedores externos con contratos que no incluyen cláusulas de resiliencia dejan a muchas organizaciones en una posición precaria.

Gobiernos locales en Brasil han sido paralizados por ransomware durante semanas porque no tenían backups operativos ni planes de continuidad documentados. Clínicas privadas en México han perdido años de registros de pacientes porque nadie había verificado que los backups automáticos estuvieran funcionando. Bancos medianos en Colombia sostienen operaciones críticas sobre infraestructura heredada que nunca fue diseñada para las amenazas del presente.

La ciberresiliencia en LATAM exige superar no solo barreras técnicas, sino culturales: la percepción de que "aquí no pasa nada" que persiste hasta el día en que pasa, y la tendencia a medir la madurez de seguridad por las herramientas instaladas en lugar de por la capacidad de recuperación probada.

Cómo medir si tu organización es realmente resiliente

Tres preguntas concretas que revelan más que cualquier auditoría de checklist:

¿Cuánto tardaste en detectar el último incidente significativo, y cuánto tardaste en contenerte? Esa diferencia, el tiempo entre intrusión y detección, es la brecha real de exposición.

¿Cuándo fue la última vez que probaste la restauración completa desde backup en un entorno de producción? No programar el backup: restaurar desde él, con un cronómetro y un criterio de éxito predefinido.

¿Tiene tu organización un plan de comunicación de crisis que incluya qué decir a clientes, reguladores y medios en las primeras 48 horas de un incidente? Norsk Hydro ganó confianza pública precisamente por comunicar con transparencia desde el primer día. La mayoría de las organizaciones en LATAM no tiene esa conversación hasta que el periodista ya está llamando.

La ciberresiliencia no se construye con una única herramienta ni con un solo equipo. Se construye con estrategia, con disciplina y con la honestidad de asumir que la pregunta no es "¿nos atacarán?" sino "¿cuánto tardaremos en saberlo, y cuánto en recuperarnos?"

¿Sabe tu organización la respuesta a esas dos preguntas con datos reales, o solo con esperanzas?