Durante años, hemos hablado de ciberseguridad como si los incidentes fueran sucesos aislados, inevitables y, en cierto modo, imprevisibles. Mi experiencia analizando brechas reales me lleva a una conclusión muy distinta: los grandes ataques no ocurren de golpe; se construyen paso a paso.
Columnas al director
Si no las entendemos y no actuamos sobre cada una de ellas, seguiremos reaccionando tarde y dejando la puerta abierta a los atacantes. La pregunta clave ya no es si una organización sufrirá una brecha, sino dónde empezará la cadena y hasta dónde la dejaremos avanzar.
A continuación, me gustaría compartir las cinco capas concretas que más pueden poner en riesgo la operación de una compañía.
Columnas al director
La primera capa es la humana, la chispa inicial
Casi todos los incidentes graves comienzan con una persona. No por negligencia, sino porque el error humano es inevitable. El phishing, el vishing o la ingeniería social —hoy amplificados por la inteligencia artificial— explotan precisamente eso: nuestra condición humana. Pretender eliminar el error es una quimera. Lo más acertado es medir el riesgo real, identificar comportamientos inseguros o secretos expuestos y actuar sobre evidencias, no sobre suposiciones.
La segunda capa es el perímetro de identidad, las llaves robadas
Una vez que el atacante tiene un punto de apoyo, su objetivo es claro: credenciales válidas. Hoy, muchos ataques no “hackean” nada; simplemente inician sesión. El verdadero problema no es solo que roben credenciales, sino que no sepamos qué puertas abre cada llave dentro de nuestra organización. La respuesta pasa por entender el tejido completo de identidades y adoptar un enfoque de Zero Trust: nunca estar confiados y verificar cada acceso.
Columnas al director
La tercera capa es la red, una puerta que suele estar abierta
VPN, firewalls y accesos remotos siguen siendo entradas críticas. El reto que veo a diario es preocupante: muchas organizaciones no saben realmente qué activos tienen expuestos en internet ni cómo los ve un atacante desde fuera. Defenderse desde dentro no es suficiente. Necesitamos mirar nuestra infraestructura como lo haría un atacante, y cerrar cada abertura antes de que alguien la cruce.
La cuarta capa es la nube, el combustible para un incendio
Una vez dentro, el atacante busca escalar y moverse lateralmente. Ahí es donde la nube se convierte en el gran amplificador del daño. No hablamos de fallos complejos, sino de configuraciones simples que fueron mal aplicadas y que, combinadas, crean rutas directas hacia los datos más valiosos. El error habitual es intentar arreglarlo todo de golpe. Pero la estrategia correcta es identificar y eliminar esas “combinaciones tóxicas” que concentran la mayor parte del riesgo real.
Columnas al director
La quinta capa son los terceros, el incendio forestal
Cuando la brecha alcanza a los proveedores, socios o componentes de terceros, el incidente queda fuera de nuestro control. El impacto se multiplica y la responsabilidad se diluye. La ciberseguridad ya no es un asunto individual: es un problema que compromete a todos nuestros stakeholders. Ignorar esta capa es aceptar que el daño, tarde o temprano, se propagará.
Todo esto me lleva a una conclusión evidente: la ciberseguridad de 2026 no se ganará con más herramientas ni con más ruido, sino con una defensa proactiva y coherente. Un enfoque que trate estas cinco capas —humana, identidad, red, nube y terceros— como un ecosistema interconectado y no como silos independientes.
Columnas al director
Romper la cadena en cualquiera de sus eslabones puede marcar la diferencia entre un incidente detectado y una crisis que ponga en jaque a toda la organización. La buena noticia es que la cadena se puede romper. La mala es que hacerlo exige cambiar la forma en la que pensamos y gestionamos el riesgo digital.
