“Nos hackearon”: el llamado de alerta que nadie quiere recibir

Hace unas semanas, un gerente general de una empresa chilena me llamó angustiado. El sistema de su compañía –una firma mediana del rubro logístico– había sido secuestrado por un ransomware. Todos los archivos estaban cifrados. El equipo técnico no daba abasto y la operación estaba detenida por completo. ¿La razón? Nunca pensaron que algo así podía pasarles. No tenían un plan de respuesta ni un respaldo reciente. El ataque fue silencioso, sofisticado y devastador.

Este caso no es aislado. Durante los primeros cuatro meses de este año, los ciberataques en Chile aumentaron 53% en relación con 2024. Un salto relevante, al punto que nuestro país fue el segundo más atacado de Sudamérica, solo superado por Brasil. Y no hablamos solo de grandes corporaciones: los blancos hoy son empresas medianas, universidades, municipalidades, clínicas y pymes.

Los atacantes ya no necesitan herramientas complejas. Utilizan comandos legítimos del sistema –como PowerShell o CMD– para infiltrarse sin ser detectados, y la mayoría de los ataques vienen dirigidos desde verdaderas “empresas” delictuales. El grupo chino APT40, por ejemplo, lidera las operaciones maliciosas en la región, junto con otros actores como Volt Typhoon y RansomHUB. No se trata solo de ciberdelincuentes. Estamos ante amenazas que mezclan espionaje, extorsión, robo de datos y daño reputacional.

Mientras las ciberamenazas siguen aumentando su nivel de sofisticación, gracias a la irrupción de la inteligencia artificial (IA), muchas empresas en Chile aún siguen viendo la ciberseguridad como un “costo” y no como lo que realmente es: una inversión en continuidad operativa. Así como nadie concibe una empresa sin seguro, ninguna debería operar sin una estrategia de ciberseguridad.

El problema es estructural. Según datos de International Data Corporation (IDC), en 2024 el 60% de las empresas medianas en Chile no contaba con un plan formal de ciberseguridad. Un estudio de Accenture concluyó que solo 1 de cada 3 compañías tiene protocolos de respuesta ante incidentes. Y todo esto ocurre en un contexto en el que nuestro país invierte apenas un 0,12% del PIB en ciberseguridad, muy por debajo del promedio de la OCDE, que supera el 0,35%. La brecha es clara.

A nivel global, las consecuencias son reales: el Banco Central de Corea del Sur estimó que los ciberataques le costaron al país más del 0,6% de su PIB en 2023, entre paralización operativa, pérdida de datos y costos de recuperación. Chile no está lejos de enfrentar escenarios similares si no mejora su nivel de preparación para enfrentar este tema.

Nuestro país está implementando, además, un escenario normativo más exigente. La Ley Marco de Ciberseguridad, publicada en diciembre de 2023, exige planes de prevención y gestión de incidentes para infraestructura crítica. A esto se suma la Reforma a la Ley de Protección de Datos Personales (LPDP), que al estar alineada con el estándar europeo GDPR, impone mayores niveles de cumplimiento y sanciones más duras para quienes no protejan la información personal de sus usuarios.

Por eso, no es inteligente esperar a que un incidente como el descrito al inicio de esta columna ocurra: en un mundo cada vez más moldeado por la IA –el mayor reto al que se ha enfrentado la ciberseguridad–, prepararse desde ya, invirtiendo y adaptándose a los desafíos normativos y el tipo de amenazas que ya estamos enfrentando en Chile, es imperativo.

La seguridad ya no es opcional. Es la base de toda la operación.