En los últimos dos años, las empresas brasileñas han intensificado su proceso de transformación digital, adoptando soluciones como computación en la nube, inteligencia artificial (IA) y automatización para ganar eficiencia y agilidad. La cuestión es que, al incorporar estas nuevas tecnologías, las empresas también comienzan a lidiar con nuevas vulnerabilidades. En los últimos trimestres, Brasil ha presenciado un aumento significativo en los incidentes cibernéticos. Un informe publicado por Check Point Research mostró que, en el tercer trimestre de 2024, las empresas brasileñas sufrieron en promedio 2.766 ataques semanales cada una, un aumento del 95% en comparación con el mismo período de 2023.
Este aumento de ataques revela la disparidad entre innovación y seguridad. Muchas empresas aceleraron proyectos digitales en la nube durante la pandemia y post-pandemia, pero no todas reforzaron sus defensas al mismo ritmo. Como resultado, el 83% de las grandes empresas sufrieron al menos un ataque cibernético grave en 2023, ocasionando paradas no planificadas, pérdidas financieras y filtraciones de datos.
Además del fortalecimiento de las defensas corporativas, todavía estamos lejos de tener procesos de gobernanza maduros. Los datos indican que el número de organizaciones en Brasil sin gobernanza de datos puede llegar al 80%.
Innovación versus seguridad: ¿estamos ampliando nuestra vulnerabilidad?
Aunque las inversiones en ciberseguridad y estructuración de la gobernanza siguen siendo tímidas, la carrera por la innovación registró un aumento en los presupuestos de TI en el último año: de 2023 a 2024, el mercado brasileño de TI creció un 13,9%, superando la media global y alcanzando los US$ 58,6 mil millones. Las prioridades de inversión incluyeron modernización de infraestructura en la nube, digitalización de procesos de negocio y adopción de IA generativa.
Sectores tradicionales, como el bancario, lideran las inversiones en innovación: bancos y fintechs invierten mucho en la nube y en IA para ofrecer banca móvil y pagos digitales. En general, las empresas brasileñas destinaron aproximadamente el 9,4% de sus ingresos en 2023 y 2024 a Tecnología de la Información y Comunicación (TIC). La Fundación Getúlio Vargas (FGV) estima que ese porcentaje aumente al 11% en los próximos dos o tres años, siempre que las organizaciones continúen invirtiendo en innovación y modernización.
Por otro lado, el país se convirtió en el segundo país más atacado del mundo en delitos cibernéticos, con más de 700 millones de intentos en 12 meses (1.379 ataques por minuto!). Solo en 2024, hubo 356 mil millones de intentos de ataques cibernéticos en el territorio brasileño, un escenario alarmante que se repite en todo el mundo.
A nivel mundial, hubo un récord de ataques: más del 75% de aumento en 2024, fenómeno atribuido en parte al uso de IA por parte de cibercriminales para automatizar y hacer las ofensivas más sofisticadas. Phishing personalizado en masa, malware adaptativo y DDoS más potentes son ejemplos de amenazas potenciadas por inteligencia artificial maliciosa.
Las vulnerabilidades también crecen bajo nuevas formas: un estudio señala que el 57% de las empresas brasileñas ya utilizan IA para generar código de software, la tercera tasa más alta del mundo. Paradójicamente, el 44% de esas organizaciones tienen el código generado por IA como su principal preocupación de seguridad, temiendo fallos inesperados o brechas introducidas por la generación autónoma de software. Las APIs – esenciales para integrar sistemas y aplicaciones – son otro punto ciego: más de la mitad (52%) de las empresas en Brasil perciben riesgos elevados en APIs expuestas. En resumen, al mismo tiempo que amplifican la innovación, iniciativas como DevOps ágil, migración masiva a la nube, uso extensivo de dispositivos conectados y desarrollo orientado por IA amplían los vectores de ataque y la complejidad de proteger los entornos.
El problema es que la innovación no necesariamente va de la mano con el aumento de la seguridad digital. Aunque muchas empresas sean más innovadoras en ciberseguridad y estén aumentando su arsenal de soluciones para la defensa, la etapa aún es inicial. El año pasado, el Markets, Innovation & Technology Institute (MiTi) y el Security Design Lab (SDL) publicaron una encuesta sectorial de ciberseguridad, que evaluó la madurez de 181 empresas brasileñas. El estudio indicó que, a pesar de las mejoras, el nivel medio de madurez en ciberseguridad quedó en un 53%, todavía mediano, aunque es un avance respecto al 49% del año anterior.
Este número indica que buena parte de las empresas aún está por debajo de las mejores prácticas recomendadas. Por ejemplo, el 53% de las empresas autentican sistemas críticos solo con usuario y contraseña, un método obsoleto, mientras que el 24% no tienen presupuesto dedicado a la seguridad cibernética y el 27% no realizan pruebas de penetración de forma regular. Estos números muestran que, aunque las inversiones están creciendo, todavía hay brechas importantes por llenar en términos de política, cultura y gobernanza.
Gobernanza: junto con la innovación, puede aumentar la resiliencia cibernética
Existe una correlación clara entre la madurez de gobernanza y cumplimiento y la capacidad de la empresa para resistir incidentes cibernéticos o conducir innovaciones con éxito. Los datos sugieren que las organizaciones con buenas prácticas de GRC (Gobierno, Riesgos y Cumplimiento) sufren menos impactos y obtienen mejores resultados en sus proyectos de transformación digital.
Por ejemplo, la misma investigación realizada por MiTi y SDL también reveló que el 38% de las empresas no tienen un plan de respuesta a incidentes y el 46% no tienen un plan de recuperación ante desastres. Estos números son preocupantes, ya que la ausencia de planes de contingencia efectivos tiende a prolongar y agravar los daños cuando ocurre un ataque.
En cambio, las empresas que anticipan riesgos e invierten en seguridad cosechan beneficios tangibles. Un estudio global de PwC destaca que solo el 5% de las empresas realmente colocan la seguridad en el centro de su innovación, integrando el trabajo del CISO desde el inicio de los proyectos. Y justamente esas empresas registraron menos violaciones de datos y, incluso cuando son atacadas, sufren incidentes de menor costo.
Es decir, incorporar gobernanza y seguridad desde la concepción de nuevas iniciativas de TI aumenta la probabilidad de que los nuevos proyectos se pongan en marcha sin aumentar la superficie de ataque digital y sin dejar a las empresas aún más vulnerables. Sin gobernanza, las iniciativas de big data, inteligencia artificial o transformación digital corren el riesgo de fracasar o de generar consecuencias no deseadas (como uso indebido de información o sistemas frágiles).
Las empresas con una gobernanza más madura tienen mayor facilidad para cumplir con los requisitos de clientes y reguladores, lo que habilita la participación en nuevos mercados y asociaciones de innovación. Por otro lado, la falta de cumplimiento puede bloquear proyectos; imagina desarrollar una solución innovadora que maneja datos personales sin cumplir con la LGPD: el proyecto enfrentará obstáculos jurídicos y de reputación. Por lo tanto, estructuras sólidas de cumplimiento y seguridad aumentan la confianza de las partes interesadas y permiten que la innovación florezca de manera responsable y resiliente.
En resumen, la gobernanza y la seguridad no son antagónicas a la innovación; por el contrario, funcionan como cimiento para la innovación sostenible. Las empresas que estructuran comités, políticas y planes de respuesta sufren menos con imprevistos cibernéticos y logran concentrarse en hacer crecer el negocio. Aquellas que descuidan estos elementos estratégicos terminan más expuestas a interrupciones, pérdidas financieras y necesidad de remediaciones de emergencia, lo que inevitablemente retrasa o redirige inversiones que podrían destinarse a la innovación. Los números confirman: madurez en gobernanza, cumplimiento y seguridad van de la mano con mayor resiliencia y éxito en los emprendimientos tecnológicos. Las empresas que logren alinear estos frentes no solo deberán protegerse mejor contra incidentes, sino también conquistar una ventaja competitiva al innovar con confianza y sostenibilidad en el mercado brasileño cada vez más digital.
