Muchos equipos de ciberseguridad hoy funcionan como un cuerpo de bomberos tratando de proteger una ciudad entera con muy pocos rescatistas. Mientras las alertas aumentan, los ataques evolucionan y las empresas dependen cada vez más de proveedores externos, los especialistas capaces de contener esos riesgos simplemente no alcanzan. El problema es que, en ciberseguridad, trabajar con personal insuficiente no solo genera agotamiento, sino que deja las puertas abiertas.
La falta de talento especializado ya dejó de ser una preocupación a futuro para convertirse en uno de los principales riesgos operativos de las empresas. Según un estudio global de Kaspersky, el 42% de las organizaciones reconoce que la escasez de profesionales en ciberseguridad está limitando directamente sus capacidades de protección, especialmente frente a amenazas asociadas a la cadena de suministro y las relaciones de confianza.
Y el contexto no es menor ya que, actualmente, una de cada tres organizaciones ha sufrido incidentes relacionados con terceros durante el último año. Esto refleja que las empresas ya no dependen únicamente de su propia seguridad, sino también de la seguridad de sus proveedores, contratistas, plataformas y socios tecnológicos.
El problema es que gestionar ese ecosistema requiere tiempo, monitoreo constante y equipos especializados. Cuando las áreas de seguridad están saturadas atendiendo múltiples prioridades al mismo tiempo, como también lo reconoce el 42% de los encuestados en el estudio, la capacidad preventiva desaparece y las organizaciones terminan operando de manera reactiva.
Eso explica por qué muchas empresas siguen teniendo brechas críticas en la gestión de terceros. El estudio revela que solo el 35% revisa periódicamente la seguridad de sus proveedores, mientras que el 39% asegura que sus contratos ni siquiera incluyen obligaciones claras de ciberseguridad para los contratistas. En otras palabras, muchas compañías están construyendo relaciones digitales críticas sin exigir estándares mínimos de protección.
La situación se vuelve aún más delicada en América Latina, donde los ecosistemas empresariales son cada vez más interconectados y donde muchas organizaciones medianas o pequeñas dentro de la cadena de suministro no cuentan con equipos robustos de seguridad. Para los ciberdelincuentes, esto representa una oportunidad evidente pues en lugar de atacar directamente a una gran compañía, pueden ingresar a través del proveedor más vulnerable.
Aquí es donde la discusión deja de ser exclusivamente tecnológica. La falta de talento en ciberseguridad no es solo un problema del área TI ni un reto de contratación, es un asunto de continuidad del negocio, gestión del riesgo y gobernanza corporativa. Una organización con equipos insuficientes pierde capacidad de monitoreo, de respuesta y de prevención. Y en un entorno hiperconectado, eso puede traducirse rápidamente en impactos financieros, operativos y reputacionales.
Por eso, las empresas necesitan cambiar la manera en la que protegen su ecosistema digital. La ciberseguridad no puede seguir siendo una responsabilidad aislada del equipo técnico. Compras, legal, compliance y dirección también deben participar en la evaluación de proveedores críticos, incluir obligaciones claras de seguridad en los contratos y exigir estándares mínimos antes y después de cualquier acuerdo. No se trata solo de revisar a un tercero antes de contratarlo, sino de mantener visibilidad sobre su comportamiento, sus accesos, sus capacidades de respuesta y su cumplimiento a lo largo de toda la relación comercial.
Al mismo tiempo, las compañías deben aceptar que la escasez de talento especializado no se resolverá de inmediato. Por eso, necesitan apoyarse en modelos híbridos, servicios gestionados de detección y respuesta, automatización de procesos y formación interna, no solo para los equipos técnicos, sino también para las áreas que toman decisiones sobre proveedores y operación. La prioridad debe ser reducir los puntos ciegos, distribuir mejor las responsabilidades y asegurar que la falta de especialistas no se convierta en una excusa para operar sin control.
Porque, al final, ningún cuerpo de bomberos puede proteger una ciudad entera con pocos rescatistas, edificios sin planos y puertas que nadie revisa. En ciberseguridad ocurre lo mismo. Cuando no hay talento suficiente, visibilidad continua ni responsabilidades claras, las empresas no solo quedan expuestas al incendio; pierden la capacidad de anticiparlo, contenerlo y evitar que se propague.
