Sophos encuestó a 5.000 líderes de IT y seguridad en 17 países con una pregunta directa: ¿confían plenamente en sus vendors de ciberseguridad? Solo el 5% respondió que sí, tanto ellos como su organización, según el The Cybersecurity Trust Reality in 2026.

El número es incómodo precisamente porque la relación con un vendor de seguridad no es ordinaria. No se trata de software que automatiza una tarea o de un servicio que mejora la productividad. Se trata de delegar la defensa de la infraestructura, los datos y la continuidad operativa a un tercero que opera con acceso privilegiado al entorno más crítico de la organización, muchas veces las 24 horas, incluyendo noches, fines de semana y períodos donde el equipo interno no está disponible. Que el 95% de las organizaciones haga eso sin confianza plena no es una estadística abstracta. Es una descripción de cómo funciona realmente la industria.

Por qué la evaluación de vendors es estructuralmente difícil

El primer problema que el reporte identifica es anterior a la confianza: el 79% de las organizaciones encuentra difícil evaluar la confiabilidad de nuevos vendors. Pero lo que agrava el diagnóstico es que el 62% también encuentra difícil evaluar a los vendors con los que ya trabaja. La dificultad no desaparece con el tiempo ni con la experiencia acumulada de la relación comercial.

Las barreras que los encuestados identificaron son reveladoras del problema de fondo. El 47% dice que la información que los vendors proporcionan no es suficientemente factual ni detallada. El 45% la encuentra difícil de interpretar. El 43% admite carecer de las habilidades para evaluar vendors efectivamente. El 41% encuentra información contradictoria entre fuentes. Y el 38% simplemente no encuentra la información que necesita.

Seamos claros sobre lo que esos números describen: los vendors de seguridad comunican su propuesta de valor de forma que sus propios clientes no pueden verificar ni interpretar con confianza. Eso no es un problema del comprador, es un problema estructural del mercado que favorece las afirmaciones de marketing sobre la evidencia verificable.

La industria de ciberseguridad tiene un patrón conocido

vendors que afirman detectar el 100% de las amenazas que citan estudios propios como evidencia independiente, que presentan dashboards de protección sin documentar sus metodologías de prueba y que manejan vulnerabilidades en sus propios productos con comunicados tardíos y poco detallados.

El comprador que intenta comparar dos plataformas XDR, dos servicios MDR o dos soluciones de email security se enfrenta a un ecosistema donde los términos técnicos son inconsistentes entre vendors, las métricas de eficacia no son comparables, y las certificaciones de terceros varían enormemente en rigor.

El costo operacional de la desconfianza

El reporte cuantifica las consecuencias de operar con confianza limitada en los vendors de seguridad y los números van más allá de la incomodidad abstracta.

El 51% reporta ansiedad real sobre la probabilidad de sufrir un incidente grave. El 45% dice que la desconfianza los hace más propensos a cambiar de vendor, un proceso costoso y disruptivo que en entornos empresariales puede tomar meses e implica períodos de transición con cobertura reducida.

El 42% reporta mayores requerimientos de supervisión interna sobre el vendor. El 41% dice tener menos tranquilidad respecto a su postura de seguridad. Y el 38% tiene dudas sobre si tomó la decisión de vendor correcta.

Lo que esas cifras describen colectivamente es un equipo de seguridad que no puede descansar en los sistemas y servicios que contrató para proteger la organización. Esa carga cognitiva adicional no es trivial en un contexto donde el burnout en equipos de seguridad ya es uno de los problemas más documentados de la industria.

Si el 99% de los CISOs trabaja horas extra semanalmente, como documenta el 2026 CISO Report de Cybersecurity Ventures operar con desconfianza crónica en los sistemas que supuestamente deberían reducir esa carga solo amplifica el problema.

La fractura entre IT y la dirección

Un hallazgo que el reporte identifica como crítico es la desalineación interna: el 78% de las organizaciones reporta que su equipo de IT y su alta dirección difieren en la evaluación de confiabilidad de sus vendors de seguridad. Casi un tercio dice que esas discrepancias ocurren con frecuencia.

La dirección tiende a basar su evaluación en indicadores de alto nivel, certificaciones, posición en cuadrantes de analistas, tamaño del vendor, referencias de pares en la industria. El equipo técnico, que opera con las herramientas diariamente, tiene visibilidad directa de las brechas entre lo que el vendor prometió y lo que entrega operativamente, tiempos de respuesta del soporte, calidad de la telemetría, tasa de falsos positivos, documentación técnica, manejo de incidentes en los propios productos del vendor.

Esa fractura tiene consecuencias prácticas. Cuando IT y dirección no coinciden en la evaluación del vendor, las decisiones de renovación, expansión o cambio de plataforma se vuelven políticamente complejas. La dirección que no entiende las preocupaciones técnicas tiende a renovar por inercia. El equipo de IT que no puede articular sus preocupaciones en términos de riesgo de negocio pierde la capacidad de influir en decisiones que afectan directamente su operación diaria.

Qué genera confianza real según los datos

El reporte preguntó directamente qué indicadores generarían mayor confianza y la respuesta fue consistente entre líderes de IT y alta dirección, los artefactos verificables de madurez de seguridad son el driver más importante. Programas de bug bounty públicos, trust centers con documentación de vulnerabilidades y sus remediaciones, assessments de terceros independientes, certificaciones con metodologías auditables.

En segundo lugar para la alta dirección y el tercero para equipos de IT:
transparencia y comunicación oportuna durante incidentes y divulgaciones. No la ausencia de problemas, la forma en que el vendor los maneja cuando ocurren.

Ese orden de prioridades es informativamente útil para evaluar vendors en el mercado actual. Un vendor que no tiene un trust center público, que maneja sus vulnerabilidades con comunicados vagos y fechas de remediación indefinidas, que no participa en programas de bug bounty ni publica resultados de assessments independientes, está operando con un déficit estructural de transparencia, independientemente de cuán convincente sea su presentación de ventas.

Un marco para evaluar vendors con menor incertidumbre

La realidad documentada por el reporte es que la mayoría de las organizaciones no tiene un proceso sistemático para evaluar la confiabilidad de sus vendors más allá del proceso de compra inicial. Cuatro dimensiones concentran la evaluación que el reporte sugiere y que los datos de confianza respaldan.

1. La primera es la evidencia verificable por terceros: certificaciones con metodología pública (ISO 27001, SOC 2 Type II), resultados de evaluaciones independientes como las de MITRE ATT&CK, participación en programas de divulgación responsable con historial documentado. Un vendor que solo cita sus propios datos de eficacia no está ofreciendo evidencia verificable.

2. La segunda es el historial de manejo de vulnerabilidades propias: cómo el vendor ha respondido históricamente a vulnerabilidades en sus propios productos. La velocidad de remediación, la calidad de la comunicación a clientes, la profundidad técnica de los advisories publicados. Un vendor que tardó semanas en parchear una vulnerabilidad crítica en su propio software sin comunicación adecuada a clientes es un vendor que no va a manejar mejor un incidente en el entorno del cliente.

3. La tercera es la transparencia operacional durante incidentes reales: no solo los comunicados de marketing, sino la evidencia de cómo el vendor se comportó cuando sus propios sistemas o los de sus clientes fueron comprometidos. El Pacific Rim investigation de Sophos — donde documentaron públicamente una campaña de cinco años por actores chinos contra sus propios dispositivos de red — es un ejemplo del estándar que el reporte describe como generador de confianza.

4. La cuarta es la alineación interna antes de la decisión: estructurar el proceso de evaluación de forma que el equipo técnico y la dirección compartan criterios explícitos desde el inicio, no al final cuando la decisión ya está tomada informalmente. El 78% de desalineación interna que documenta el reporte no es un problema del vendor — es un problema de proceso de decisión interno que el vendor no puede resolver.

Conclusión: la confianza no se declara, se audita

El 5% de confianza plena que el reporte documenta no es el resultado de vendors maliciosos ni de compradores irracionales. Es el resultado predecible de una industria donde la asimetría de información entre vendors y clientes es estructural, donde los incentivos comerciales favorecen las afirmaciones sobre la evidencia, y donde la mayoría de las organizaciones carece de procesos sistemáticos para verificar lo que sus vendors afirman.

La paradoja que el reporte expone es que las organizaciones continúan dependiendo de vendors en los que no confían plenamente porque el costo de cambiar es alto, porque evaluar alternativas es igualmente difícil y porque en ausencia de un proceso mejor, es decir... la inercia gana.

Resolver esa paradoja requiere un cambio en cómo las organizaciones estructuran la evaluación y el monitoreo continuo de sus vendors — no como un ejercicio de procurement, sino como una función de gestión de riesgo con criterios explícitos, evidencia verificable y alineación entre quienes usan las herramientas y quienes firman los contratos.

¿Tu organización tiene un proceso documentado para evaluar la confiabilidad de sus vendors de seguridad más allá del momento de la compra? Si la respuesta es no, estás en el 95%.