Hay algo que no termina de cerrar en la forma en que la región se está digitalizando. Gobiernos y empresas mueven cada vez más servicios críticos hacia entornos digitales, pero la capacidad de defenderlos no avanza al mismo ritmo. El dato lo confirma: 2,640 ataques semanales por organización en América Latina y el Caribe, de acuerdo con el reporte que IBM X-Force y Check Point publicaron en noviembre de 2025. No es un riesgo lejano ni hipotético. Es la condición actual sobre la que opera buena parte de la infraestructura digital de la región.
Lo preocupante no es solo el volumen de ataques, sino quién está realmente preparado para responder. Un informe conjunto del BID, la OEA y la Universidad de Oxford, también de 2025, encontró que apenas 9 de 33 países protegen activamente su infraestructura crítica. Los otros 24 manejan sistemas de energía, agua, salud y transporte sin marcos mínimos de ciberresiliencia. Y en una región tan interconectada, esa brecha en un país termina siendo la puerta de entrada para atacar a otro a través de cadenas de suministro digital compartidas.
El impacto económico ya es medible, no es una proyección abstracta. IBM calculó en su Cost of Data Breach Report 2025 que una brecha de datos en la región cuesta en promedio 3.81 millones de dólares. Suena menor comparado con los 9.36 millones de Norteamérica o los 8.75 millones de Medio Oriente, pero hay que pensarlo en proporción: las economías de ALC tienen muchísima menos capacidad para absorber ese golpe, fiscal o empresarialmente. Y casi la mitad de los incidentes —47%, según el Threat Intelligence Index 2026 de IBM— golpea directamente al sector financiero, justo el que más impulsó la inclusión financiera en la última década a través de las fintech. El fraude bancario digital, mientras tanto, subió 32% en tres años.
Lo que más llama la atención al comparar con otras regiones es la falta de coordinación. Europa tiene la Directiva NIS2 desde 2023, que obliga a todos sus países a cumplir estándares mínimos de protección en infraestructura crítica. ASEAN viene coordinando a sus equipos de respuesta a incidentes (CERT) desde 2021. En América Latina, cada país enfrenta solo amenazas que por definición son transnacionales. La mayoría ni siquiera cuenta con un CERT nacional que opere de forma continua. Eso significa que no hay forma rápida de compartir inteligencia sobre amenazas entre países, y que cada gobierno negocia por su cuenta con proveedores extranjeros de infraestructura digital, sin el peso que sí tienen los bloques europeo o asiático cuando negocian en conjunto.
Frente a este panorama, parece razonable pensar en algunas líneas de acción concretas. La región necesita algo parecido a un marco regional de protección de infraestructura crítica, inspirado en NIS2, que fije obligaciones mínimas para energía, finanzas, salud y transporte. También haría falta una red de CERTs que realmente se hablen entre sí, empezando por los 24 países que hoy no tienen protección activa. La inversión en ciberseguridad debería tratarse como una decisión de Estado y no como un gasto de TI que se posterga cada año, sobre todo cuando una sola brecha puede costar varias veces el presupuesto preventivo anual de una institución pública. El sector financiero, dado que concentra casi la mitad de los ataques, debería estar obligado a reportar incidentes dentro de un plazo corto, algo como 72 horas. Y la ciberresiliencia tendría que empezar a pensarse como parte de la política exterior, no solo como un tema técnico interno.
Al final, esto no es un problema de innovación. La región ha demostrado que puede adoptar tecnología a un ritmo comparable con economías mucho más avanzadas. El problema es que ha postergado, una y otra vez, construir las bases institucionales que esa adopción necesita. Si las cosas sigan como van, no sería raro que el costo promedio de una brecha supere los 6 millones de dólares para 2030, con el riesgo real de que los sistemas financieros de más de un país colapsen al mismo tiempo. Pero si la región avanza hacia un marco vinculante compartido y una red de CERTs que funcione de verdad, ese mismo costo podría bajar hasta un 40% gracias a la inversión preventiva coordinada. La diferencia entre esos dos futuros no depende de la tecnología disponible. Depende de si se decide, por fin, tratar la ciberseguridad como lo que es: infraestructura de Estado.
