La irrupción de tecnologías como la inteligencia artificial y el machine learning transformaron la forma en que las empresas producen y operan en su nicho de negocio.
Sin embargo, estos mismos avances beneficiaron también a los ciberdelincuentes, quienes perfeccionaron sus ataques para explotar debilidades críticas. El resultado: un escenario donde la prevención no es opcional, sino una prioridad estratégica.
Según el Informe de estadísticas de vulnerabilidades, publicado por Edgescan en 2024, más de 33% de las vulnerabilidades del full stack (web, API y red) son críticas o de alta severidad; mientras un 19% tiene una probabilidad de explotación superior al 80%.
¿Qué tan preparado está su negocio para enfrentar vulnerabilidades críticas antes de que sean explotadas?
Índice de temas
¿Cómo identificar los activos críticos que sustentan su operación IT?
De acuerdo con los riesgos cibernéticos en México y Centroamérica publicados por KPMG en 2024, los principales riesgos percibidos por las empresas son:
La norma ISO/IEC 27005:2022 subraya que un análisis de riesgo informático eficaz comienza siempre por entender el contexto de la organización. Eso significa vincular los activos tecnológicos con los objetivos estratégicos y de negocio, pero ¿a qué llamamos activos críticos?
Un activo crítico es cualquier recurso —tangible o intangible— que, si se ve comprometido, afecta directamente la continuidad del negocio. Esto incluye: desde servidores y aplicaciones clave hasta datos sensibles, procesos críticos o incluso personas con funciones esenciales.
Clasificación de activos críticos
| Categoría | Ejemplos | Riesgo asociado |
| Datos | Información financiera, bases de clientes, PII, propiedad intelectual | Pérdida de confianza, sanciones legales, fuga de valor |
| Infraestructura | Servidores, redes, sistemas de respaldo | Paro total de operaciones, interrupción de servicios |
| Aplicaciones | ERP, CRM, aplicaciones de banca/retail online | Fraude, indisponibilidad de servicios |
| Procesos | Cadena de suministro, pagos electrónicos | Interrupción logística, pérdidas económicas |
| Personas | Administradores de sistemas, responsables de IT | Riesgo interno, errores humanos, falta de continuidad |
¿Cómo analizar amenazas y vulnerabilidades con métricas de impacto?
Un análisis de riesgo informático no puede ser exclusivamente un inventariado de activos digitales y físicos; debe también evaluar otras amenazas y vulnerabilidades que los rodean. Este paso es fundamental porque definirá cuán expuesta está una organización frente a un ciberdelito y qué tan urgente y rápida deberá ser su respuesta.
Para comenzar, una investigación de la UNAM ofrece el siguiente marco conceptual como base para coordinar una gestión de riesgos:
- Vulnerabilidad: cualquier debilidad que pueda ser explotada para causar daño
- Amenaza: circunstancia con el potencial de materializar ese daño
- Riesgo: la probabilidad de que un evento desfavorable ocurra y tenga un impacto negativo
En otras palabras, una vulnerabilidad es la puerta abierta. La amenaza es quién podría entrar y el riesgo es la probabilidad de que ese acceso ocurra con consecuencias reales.
Métricas de impacto más utilizadas
La gestión de vulnerabilidades hoy se apoya en un modelo de dos pasos, combinando distintas métricas:
- KEV (Known Exploited Vulnerabilities): Catálogo de vulnerabilidades con evidencia confirmada de explotación activa, publicado por CISA
- EPSS (Exploit Prediction Scoring System): Métrica predictiva basada en machine learning que estima la probabilidad de explotación en los próximos 30 días, con un puntaje de 0 a 1
- CVSS (Common Vulnerability Scoring System): Sistema estandarizado para calcular la severidad teórica de una vulnerabilidad, de 0.0 a 10.0
En ese sentido, casi 20% de las vulnerabilidades críticas/altas en aplicaciones web corresponden a inyecciones SQL (CWE-89), afirma el documento de Edgescan.
¿Cómo priorizar riesgos según su gravedad financiera y reputacional?
Una vez identificadas y medidas las vulnerabilidades, el desafío es asignar prioridades. No todas representan la misma amenaza: algunas pueden causar pérdidas millonarias o daños irreversibles a la reputación, mientras que otras son tolerables a corto plazo.
Esta integración, conocida como encadenamiento de vulnerabilidades (VMC, por sus siglas en inglés), ha demostrado ser 18 veces más eficiente que usar solo CVSS, logrando cubrir el 85.6% de las vulnerabilidades realmente explotadas y reduciendo en casi 95% la carga de remediación urgente; explica “Gestión de vulnerabilidades en cadena: un marco integrado para la priorización eficiente de los riesgos de ciberseguridad”, publicado por la Facultad de Ingeniería de Kagawa en Japón.
Categorías de priorización en VMC
El VMC establece cuatro categorías de prioridad:
- Crítica: Vulnerabilidades en el catálogo KEV con un puntaje CVSS ≥ 7.0 que requieren remediación inmediata
- Alta: Vulnerabilidades con un puntaje EPSS ≥ 0.088 y CVSS ≥ 7.0, que deben ser remediadas en 2-4 semanas
- Monitor: Vulnerabilidades con evidencia de explotación, pero con un puntaje CVSS < 7.0, que deben ser rastreadas
- Diferir: Vulnerabilidades sin evidencia de explotación, que pueden ser tratadas en ciclos de parcheo estándar
¿Qué metodologías estándar (ISO 27005, Magerit, NIST) aportan rigor a su análisis?
Existen diversas metodologías estandarizadas que otorgan rigor al análisis de riesgos. La elección de una u otra dependerá de la organización y sus objetivos.
Comparativa de metodologías de análisis de riesgo informático
ISO/IEC 27005:2022
Guía de gestión de riesgos para sistemas de gestión de seguridad de la información (SGSI).
SGSI, alineado con ISO/IEC 27001.
Ciclo de 4 fases: contexto, apreciación, tratamiento y comunicación.
No es certificable, pero apoya a ISO/IEC 27001.
De pago.
NIST CSF
Marco flexible para la gestión de riesgos de ciberseguridad.
Gestión de riesgos universal, comprensible y adaptable.
5 funciones: Identificar, Proteger, Detectar, Responder y Recuperar.
No.
Gratuita.
MAGERIT
Metodología de gestión de riesgos de seguridad de la información.
Gestión holística de riesgos de seguridad.
3 libros: método, catálogo de elementos y guías técnicas.
No.
Gratuita, especialmente útil para el sector público en España y Latinoamérica.
El enfoque de ISO/IEC 27005 es ideal para organizaciones que buscan la certificación en ISO/IEC 27001. El NIST es más flexible y se adapta a diversos sectores. Respecto a MAGERIT, es de acceso público y se utiliza en el ámbito gubernamental y en empresas que dependen de tecnologías de la información.
A modo complementario, la investigación de la UNAM agrega metodologías como OCTAVE y FRAAP, las cuales se centran en el análisis cualitativo y son más ágiles que las que se centran en el análisis cuantitativo como NIST y MAGERIT.
¿Qué roles y gobernanza debe tener para que el análisis sea sostenible?
La sostenibilidad del análisis de riesgos requiere gobernanza clara y un enfoque nacional e internacional que vaya más allá del ámbito corporativo. A nivel mundial, México ha alcanzado un 86% en el Índice Nacional de Ciberseguridad de la National Cyber Security Index (NCSI).
Al mismo tiempo, México está sexto en el listado de los 10 países latinoamericanos con los mejores estándares de seguridad del NCSI.
Ubicado en el puesto 48, su nivel de protección contra ataques de ciberdelitos está evaluado en un 38.33% de protección, con un desarrollo digital del 64.41%. Por delante se ubican Argentina, Uruguay y Chile, entre otros.
Esto evidencia que la gobernanza no depende solo de la empresa, sino también de un ecosistema nacional que fortalezca políticas, inversión en IT y capacitación continua de sus empleados. Una empresa aislada puede tener buenas prácticas, pero si el contexto país es débil, la sostenibilidad del análisis de riesgos se vuelve inviable.
¿Qué indicadores (KPIs) le permiten medir la efectividad y evolución del riesgo?
Para medir la efectividad del análisis de riesgo informático, no basta con evaluar únicamente los indicadores técnicos. Éstos también deben estar acompañados por los KPIs financieros, por ejemplo, dado que un ataque cibernético puede dañar a una empresa no solo a nivel estructural sino también a nivel económico.
Indicadores financieros
Según las “Perspectivas sobre las ciberamenazas dirigidas a usuarios y empresas en México”, publicadas por Google Cloud en 2024, el costo promedio de recuperación por ransomware es de US$1,4 millones por incidente, uno de los más altos de la región. A su vez, el tiempo medio de recuperación (MTTR, por sus siglas en inglés) es de 63 días en promedio, 97 días para las finanzas y 44 días para las empresas del segmento legal.
Indicadores tecnológicos
Otros KPI que las empresas deben evaluar para medir la efectividad de su análisis son la exposición en APIs y su middleware.
Según una publicación de la revista científica Science Direct, titulada Evaluación de riesgos de seguridad en entornos de IoT, en entornos IoT, las vulnerabilidades afectan capas distintas, como elprocesamiento de datos, las debilidades de autenticación en las aplicaciones IoT; entre otras.
Indicadores estratégicos
Finalmente, el Reporte de riesgos globales del Foro Económico Mundial, publicado en 2025, advierte que el ciberespionaje y la guerra cibernética son dos de los cuatro riesgos más críticos de aquí a los próximos dos años.
Esto obliga a las empresas a medir su preparación frente a escenarios de alto impacto geopolítico, donde los ataques que buscan hacerse de datos privados de empresas multinacionales se aceleran más.
FAQ sobre el análisis de riesgo informático
¿Cómo se puede integrar el análisis de riesgo informático en la estrategia de continuidad de negocio?
El análisis de riesgo debe alinearse con los planes de continuidad mediante la identificación de activos críticos y la evaluación de impactos financieros y operativos. Esto permite anticipar escenarios disruptivos y establecer planes de recuperación basados en prioridades reales.
¿Cuáles son los errores más comunes al implementar un marco de análisis de riesgos TIC?
Subestimar vulnerabilidades en terceros, usar métricas sin contexto de negocio y no actualizar los riesgos dinámicamente son errores frecuentes. Estos fallos debilitan la eficacia del marco y aumentan la exposición al cibercrimen.
¿Qué herramientas automatizadas existen para gestionar el ciclo completo de análisis de riesgos?
Plataformas como RiskLens, RSA Archer y LogicGate permiten automatizar la identificación, evaluación, priorización y tratamiento de riesgos TIC, integrando indicadores técnicos y financieros en tiempo real.
¿Cómo justificar la inversión en análisis de riesgos ante la alta dirección?
Demostrar el retorno de la inversión (ROI) con base en la mitigación de impactos financieros y reputacionales permite posicionar el análisis como ventaja competitiva. El uso de KPIs como MTTR y cobertura de KEV facilita la toma de decisiones.
