En 2024, Colombia registró cerca de 36.000 millones de intentos de afectación cibernética. Eso la posicionó como el segundo país más atacado de América Latina, concentrando el 17% del total regional. Los sectores más golpeados fueron el financiero, el de salud y el energético, exactamente la infraestructura que un país no puede permitirse perder. Con ese diagnóstico sobre la mesa, el Gobierno Nacional presentó la Estrategia Nacional de Seguridad Digital 2025-2027, la hoja de ruta más ambiciosa que el MinTIC ha publicado en materia de ciberseguridad.

El documento publicado como (Estrategia Nacional de Seguridad Digital) no es una declaración de intenciones genérica. Fue desarrollado en el marco del Comité Nacional de Seguridad Digital con apoyo de la sección de Ciberseguridad del Comité Interamericano contra el Terrorismo de la OEA (CICTE) y estructura su visión en cuatro ejes que atacan los problemas más documentados del ecosistema digital colombiano: gobernanza fragmentada, baja resiliencia ante incidentes, escasez de talento especializado y un marco normativo que lleva años desactualizado frente a la velocidad de las amenazas.

Cuatro ejes para un país que no puede seguir siendo reactivo

Primer eje: Gobernanza Digital

El primer eje es quizás el más urgente. Colombia carece de una entidad nacional especializada que coordine la seguridad digital de forma transversal.

El ColCERT cumple funciones de respuesta a emergencias, pero no tiene el mandato ni la estructura para ejercer rectoría sobre el ecosistema completo. La estrategia contempla la creación de esa instancia coordinadora, un mecanismo que países como Chile, Brasil y México ya tienen operativo y que explica, en parte, su mejor posicionamiento relativo en los índices de madurez regional.

El modelo propuesto sigue un enfoque Whole of Society: no solo gobierno, sino sector privado, academia y sociedad civil con roles definidos y responsabilidades compartidas.

Segundo Eje: Ciber Resiliencia Nacional

Aquí el documento es técnicamente concreto, arquitectura Zero Trust como estándar para protección de infraestructuras críticas, implementación de sistemas nacionales de gestión de riesgos que incorporen IA y simulacros regulares de respuesta a incidentes a escala sectorial.

La mención explícita de Zero Trust es significativa, representa un salto desde el modelo perimetral que todavía domina la mayoría de entidades públicas del país hacia un paradigma de verificación continua que asume que la red ya está comprometida. También se contempla un marco integral de acción contra el ransomware, una necesidad crítica dado que Colombia figura en el top 5 regional de intentos de cifrado extorsivo, con LockBit 3.0 y BlackCat como variantes más activas según Kaspersky.

Tercer Eje: Desarrollo de Talento

Es el más estructuralmente complejo de los cuatro. La brecha de profesionales en ciberseguridad en Colombia no se cierra con un decreto. La estrategia propone programas de formación y certificación, becas con énfasis en perfiles subrepresentados, articulación entre academia y sector privado e incentivos fiscales específicos para pymes que inviertan en seguridad digital.

El SENA, las universidades y el ecosistema de startups de ciberseguridad tienen roles explícitos en este eje. El Hub de Ciberseguridad en Caldas, con inversión de 10.000 millones de pesos alrededor del Centro de Innovación Bios es la apuesta de infraestructura de formación más concreta del plan.

Cuarto Eje: Actualización del Marco Normativo

Colombia opera todavía con fragmentos del CONPES 3995 de 2020 como referencia base, un marco diseñado antes de que la IA generativa existiera como amenaza operacional y antes de que los ataques a infraestructura crítica alcanzaran la sofisticación actual. La estrategia propone actualizar este marco alineándolo con estándares internacionales como NIST y ISO/IEC 27001:2022, e incluye la retomada del proyecto de ley para crear la Agencia Nacional de Seguridad Digital y Asuntos Espaciales, una iniciativa que lleva varios años circulando en el Congreso sin lograr aprobación definitiva.

Lo que la estrategia no puede resolver sola

Seamos claros: una estrategia es una declaración de dirección, no un resultado. La brecha entre lo que dice el documento y lo que ocurre en los servidores de una alcaldía municipal o en los sistemas de un hospital departamental puede ser enorme y Colombia tiene experiencia suficiente con planes de transformación digital que se diluyen entre la formulación y la implementación.

Los desafíos de ejecución son conocidos. La descentralización del Estado colombiano implica que las entidades territoriales operan con autonomía presupuestal y niveles de madurez tecnológica muy heterogéneos. Un municipio de quinta categoría en el Pacífico no tiene los mismos recursos para implementar Zero Trust que una entidad del orden nacional en Bogotá.

La estrategia reconoce esto y plantea un enfoque diferenciado, pero los mecanismos de seguimiento y los indicadores de éxito concretos serán el verdadero test de su viabilidad.

La coordinación con el sector privado también es un terreno sin cartografiar del todo. Las alianzas público-privadas en ciberseguridad requieren marcos de incentivos, esquemas de intercambio de inteligencia de amenazas y protocolos de reporte de incidentes que en Colombia todavía son incipientes. Países como Israel o Estonia referencias habituales en este tipo de documentos construyeron ese modelo durante décadas y con continuidad institucional. Colombia tiene el diagnóstico correcto.

Lo que falta es la continuidad política para ejecutar en tres gobiernos seguidos sin que cada cambio de administración reinicie el contador.

Acciones recomendadas

Para organizaciones colombianas que operan infraestructura crítica o datos sensibles, la estrategia genera obligaciones prácticas que conviene anticipar antes de que lleguen como mandato regulatorio:

• Iniciar diagnóstico de madurez usando el instrumento de evaluación MSPI del MinTIC — actualizado en 2025 con alineación a ISO/IEC 27001:2022 — para identificar brechas frente al nuevo estándar.
• Planificar la transición hacia Zero Trust en sistemas con acceso remoto y en integraciones con terceros, priorizando identidad y acceso como primer control.
• Documentar el plan de respuesta a incidentes e incluir el protocolo de reporte al ColCERT, que bajo el nuevo marco normativo propuesto pasará a ser obligatorio para sectores críticos.
• Mapear dependencias en la cadena de suministro digital, identificando proveedores tecnológicos con presencia de hardware o software de origen adversarial — un criterio que la estrategia hereda del contexto geopolítico global.

La confianza digital no es un producto que se compra ni una certificación que se obtiene una vez. Es el resultado acumulado de decisiones consistentes, inversión sostenida y voluntad institucional de largo plazo. Colombia tiene ahora el mapa. El territorio sigue siendo el mismo.