En crímenes digitales, el eslabón débil es humano

 17
LA JORNADA
Domingo 8 de marzo de 2026 ECONOMÍA
JULIO GUTIÉRREZ
En el mapa global de la cibersegu-
ridad, México ocupa una posición
estratégica que también lo expone
a las amenazas. Nuestro país no es
un actor secundario en la disputa
digital: se ha convertido en un pun-
to de interés constante para gru-
pos delictivos que operan a escala
internacional.
Para entender el momento actual
y el papel que tendrá la inteligencia
artificial (IA) en el corto plazo, Ryan
Kalember, director de estrategia de
Proofpoint, y Luis Isselin, director
regional en México de la misma em-
presa, describen un escenario claro:
la tecnología avanza con rapidez,
pero la principal debilidad sigue
siendo humana.
En el plano nacional, el panora-
ma no es uniforme. Existen gran-
des corporativos con sistemas de
protección sólidos, pero muchas
empresas aún presentan carencias.
“La cultura de ciberseguridad es-
tá, digamos, en desarrollo”, afirma
Isselin. Esa diferencia ha llevado a
que los ataques cambien de forma.
En vez de dirigirse de manera direc-
ta contra grandes compañías, los
delincuentes optan por caminos
indirectos, como las cadenas de
suministro.
La lógica es sencilla. En vez de
enfrentar los sistemas de seguri-
dad de una gran empresa, buscan
vulnerar a un proveedor pequeño
que cuenta con menos recursos
para protegerse.
“Al tercerizar ese acceso, por
decirlo, vulnero a una empresa pe-
queña y puede ser que tenga una
relación comercial con la tuya, que
es más grande”, explica Isselin. Por
medio de relaciones comerciales le-
gítimas, logran entrar a redes cor-
porativas de mayor tamaño.
La posición de México como so-
cio comercial clave de Estados Uni-
dos aumenta esa exposición. Su pa-
pel como exportador e importador
relevante lo coloca “de manera muy
visible para ser un objetivo”, señala
el directivo.
Kalember añade otro elemento
que complica el entorno: la exis-
tencia de estructuras financieras
ilícitas que permiten convertir re-
cursos obtenidos mediante fraudes
digitales en dinero utilizable, con
vínculos internacionales que facili-
tan ese proceso.
La información: objetivo
En este contexto, el principal botín
no es el equipo físico, sino la infor-
mación. El robo de credenciales a
través de correos falsos, conoci-
do como phishing, sigue entre los
métodos más efectivos. “Lo que el
ciberdelincuente quiere es tener
acceso a la información que tienes
a tu disposición”, resume Kalember.
La protección de datos enfrenta
obstáculos dentro de las propias
organizaciones. Isselin explica que
algunos empleados intentan evadir
controles cuando buscan extraer
información antes de cambiar de
empleo.
En ocasiones modifican el nom-
bre de documentos confidenciales
para intentar superar filtros de
seguridad. A esto se suma un pro-
blema adicional: muchas empresas
aseguran contar con herramientas
para evitar la pérdida de datos, pe-
ro no siempre existe certeza de que
funcionen como se requiere.
“Hay una disparidad entre la
percepción de ‘yo ya tengo algo y
ese algo está a la altura de lo que se
necesita’”, advierte.
Kalember aporta un punto prác-
tico que ayuda a entender el fenó-
meno: “la mayoría de los ataques
van a pasar por el correo o el na-
vegador”. Si las empresas concen-
tran su vigilancia en herramientas
de uso diario, como el correo elec-
trónico y los navegadores, pueden
reducir una parte importante del
riesgo.
Nuevas herramientas,
riesgos conocidos
Aunque la conversación pública
gira en torno a la IA, la mayor par-
te de los delitos digitales conserva
métodos tradicionales. “Estamos
en un momento un poco raro, por-
que la mayoría de la actividad en el
panorama de las amenazas no ha
cambiado”, comenta Kalember.
Sin embargo, la incorporación de
sistemas de IA agéntica, es decir,
asistentes integrados en tareas cor-
porativas, abre nuevos escenarios.
El mecanismo de manipulación
es similar al que se aplica con per-
sonas. Así como un individuo puede
ser influenciado mediante ingenie-
ría social, un sistema de IA puede
recibir instrucciones diseñadas pa-
ra inducirlo a entregar información
o ejecutar acciones indebidas.
La diferencia radica en el crite-
rio. Las personas cuentan con ex-
periencia y límites que influyen en
sus decisiones. Un sistema de IA no
posee conciencia propia. Isselin lo
explica con una comparación senci-
lla: “en términos de concientización
es como un niño de 4 años”, pues
puede cumplir una tarea con preci-
sión, pero no evalúa consecuencias.
Un ejemplo ya visible en corpo-
rativos surge con asistentes como
Copilot, la herramienta de IA de
Microsoft.
“La pregunta que bloqueamos
más frecuentemente es: ¿Cuál es el
sueldo de mi jefe”, relata Kalember.
Si datos sensibles, como la nómina,
se encuentran en plataformas co-
nectadas a la red interna, el siste-
ma puede entregarlos sin distinguir
contexto o jerarquía. “El impacto
potencial es enorme”, advierte.
Una disputa desigual
El combate al cibercrimen presen-
ta una desventaja estructural para
las empresas. Los grupos delictivos
comparten información, difunden
manuales y replican vulnerabili-
dades con rapidez. En contraste,
la coordinación del lado defensivo
suele ser limitada. “Nos hace falta
más comunidad. Industria, acade-
mia, gobierno, para poder hacer
frente”, plantea Isselin.
La diferencia es clara: una em-
presa debe bloquear todos los
intentos de intrusión; el atacante
necesita sólo uno que tenga éxito.
Para reducir esa brecha, los espe-
cialistas recomiendan medidas
concretas. Entre ellas, sustituir
contraseñas tradicionales por llaves
de acceso biométricas, conocidas
como passkeys, en dispositivos de
uso cotidiano. Es una acción “muy
sencilla, pero es muy útil”, apunta
Kalember.
Además, ante la integración de
herramientas de IA de código abier-
to en empresas, sugieren utilizar
entornos de prueba aislados, cono-
cidos como sandbox, que permiten
experimentar sin exponer informa-
ción sensible.
La conclusión es directa: la segu-
ridad no puede añadirse después de
que un proyecto inicia, debe formar
parte del diseño y de la toma de de-
cisiones desde el principio. La resi-
liencia digital depende menos de la
sofisticación tecnológica y más de
la capacidad para reconocer que,
detrás de cada sistema, el factor
humano continúa siendo el punto
más vulnerable