En la Argentina de hoy, la pregunta ya no es si una empresa va a sufrir un incidente de seguridad. La pregunta real es cuándo, con qué impacto y qué tan preparada va a estar para responder sin improvisar.

Cuatro de cada diez organizaciones reportaron al menos un ciberataque en el último año. El crecimiento fue muy superior a la media regional y, en la mayoría de los casos, afectó a PyMEs. No hablamos de ataques cinematográficos ni de amenazas exclusivas de grandes corporaciones. Hablamos de ransomware que frena la operación, accesos comprometidos por credenciales reutilizadas y backups que fallan justo cuando más se los necesita.

En ese contexto aparece una duda que casi nunca se formula en público, pero atraviesa todas las mesas de decisión: ¿estamos realmente protegidos o solo estamos invirtiendo lo suficiente como para sentir que hicimos algo?

Cuando gastar más parece sinónimo de estar mejor

El enfoque dominante sigue siendo acumulativo. Cada nuevo riesgo detectado dispara una nueva compra. Una herramienta más, un servicio adicional, una licencia que se renueva “por las dudas”. El presupuesto crece, el stack se vuelve más complejo y la sensación de cobertura aumenta.

Este modelo parte de una idea muy instalada en el mundo IT: la ciberseguridad es un problema técnico que se resuelve con más tecnología. Más firewalls, más agentes, más sensores, más alertas.

El problema es que esa relación directa entre inversión y protección rara vez se sostiene en la práctica.

Lo que aparece cuando el incidente es real y no un simulacro

Cuando uno atraviesa incidentes reales —no ejercicios de escritorio ni auditorías prolijas— el mapa cambia. Aparecen herramientas de primer nivel mal configuradas, alertas críticas ignoradas porque llegan cientos por día, procedimientos que existen en documentos pero no en la cabeza de nadie cuando hay presión.

En muchas PyMEs argentinas, la ciberseguridad convive con equipos chicos, alta rotación, presupuestos ajustados y una presión constante por no frenar la operación. En ese contexto, la sofisticación tecnológica suele superar la capacidad real de operación.

Ahí es donde se da la paradoja: se invierte mucho, pero el riesgo estructural sigue intacto.

La mayoría de las brechas no ocurren donde se puso más plata

Los incidentes más costosos no suelen originarse en la falta de una herramienta, sino en decisiones humanas y organizacionales. Parches que se postergan porque “no es buen momento”. Accesos que no se revisan porque “siempre funcionó así”. Backups conectados al dominio por comodidad operativa.

El costo promedio de recuperación de un ransomware —USD 500mil— no refleja solo el rescate o la tecnología necesaria para volver a operar. Refleja horas de producción perdida, desgaste interno, decisiones tomadas tarde y una exposición que se fue construyendo durante años.

En ese sentido, la ciberseguridad se parece menos a un seguro y más a una disciplina de gestión del riesgo.

La pregunta está mal formulada

“¿Cuánto es suficiente invertir?” parte de una premisa equivocada: que existe un umbral a partir del cual el riesgo desaparece. Ese umbral no existe.

Una pregunta más honesta sería otra: ¿qué riesgos estoy aceptando de manera consciente y cuáles estoy ignorando por comodidad, desconocimiento o presión interna?

Invertir en ciberseguridad no debería buscar eliminar el riesgo, sino hacerlo visible, entendible y gobernable. Cuando eso no ocurre, la inversión se transforma en un calmante emocional para la organización.

Lo que cambia cuando el foco es operativo y no aspiracional

  • Menos herramientas, más dominio. Un stack reducido y bien entendido suele ser más efectivo que una arquitectura sobrecargada que nadie controla del todo.
  • Capacidad de respuesta antes que prevención perfecta. Asumir que algo va a fallar cambia el foco hacia backups probados, roles claros y tiempos de decisión definidos.
  • Gobernanza que funcione bajo presión. Las políticas que no se aplican en una crisis no son políticas, son buenas intenciones.
  • Priorizar lo aburrido. Patching, revisión de accesos, segmentación básica y pruebas de restauración evitan más incidentes que muchas soluciones “inteligentes”.
  • Seguridad alineada con operación. Cuando la seguridad vive aislada del negocio, termina siendo ignorada o forzada.

Dormir tranquilo no es una métrica de seguridad

Invertir en ciberseguridad para dormir tranquilo no es necesariamente un error. El problema aparece cuando esa tranquilidad no está respaldada por criterio, práctica y capacidad real de respuesta.

La seguridad no es un estado al que se llega. Es una tensión que se gestiona todos los días. Y en esa gestión, gastar más no siempre significa estar mejor. A veces solo significa que el riesgo quedó mejor disimulado.