La ciberseguridad en el Reino Unido a menudo se plantea como una cuestión nacional, y con razón, pero ese riesgo nunca se ha distribuido de manera uniforme.
La exposición al cibercrimen varía significativamente entre organizaciones, menos según la geografía y más según cómo se estructuran, operan y preparan las empresas.
Según la Encuesta sobre violaciones de seguridad cibernética de 2025, el 43% de las empresas del Reino Unido y el 30% de las organizaciones benéficas han experimentado una infracción o ataque cibernético, lo que afectó a aproximadamente 8,58 millones de delitos contra empresas y otras 453.000 organizaciones benéficas.
Además, el informe Cephas Fraudscape 2025 muestra que en 2024 se registraron más de 421.000 incidentes de fraude, con miles de millones en pérdidas.
Una pregunta interesante es por qué algunas empresas son consistentemente más abiertas que otras.
La exposición no es aleatoria
Comienzan a surgir patrones más claros cuando se observan los factores subyacentes de la exposición.
Las regiones con altas concentraciones de PYME conllevan más riesgos. Las organizaciones pequeñas a menudo no pueden darse el lujo de contar con un equipo de seguridad dedicado o una estructura de gobierno madura, por lo que se mueven rápidamente, adoptan nuevos sistemas y crean complejidad sin siempre crear controles a su lado.
En el frente sectorial, las regiones con una fuerte presencia en servicios financieros, comercio minorista, atención médica o educación son naturalmente objetivos más atractivos debido a los datos que tienen. Sin embargo, algunos de los incidentes más dañinos del año pasado se produjeron en sectores menos examinados, en particular organizaciones benéficas, guarderías y organizaciones asistenciales, donde los datos son profundamente personales y las consecuencias mucho más humanas.
Luego está la madurez. Algunas regiones se benefician de ecosistemas digitales más sólidos, reservas de talentos más profundas y una comprensión más integrada del riesgo cibernético, mientras que otras aún se están poniendo al día, particularmente donde la transformación digital ha superado a la gobernanza.
Combine estos factores y la exposición comenzará a parecer un subproducto de cómo se construyen y administran las organizaciones.
Incumplimiento de ciberincidentes
Durante los últimos 12 meses, hemos visto que cuando algo sale mal, la atención rápidamente se centra en si la organización tenía controles adecuados sobre cómo ocurrió el ataque, si se entendieron adecuadamente los riesgos y si se estaban siguiendo los estándares aceptados. Este cambio trae implicaciones para la regulación, la confianza de los clientes y el desempeño empresarial a largo plazo.
De las empresas y organizaciones benéficas que sufrieron al menos un delito cibernético el año pasado, una proporción pequeña pero significativa convirtió esos incidentes en fraude total. Ese vínculo entre infracciones y pérdidas financieras se está estrechando y, con él, las expectativas en torno a la rendición de cuentas.
Por qué los marcos se están convirtiendo en la línea divisoria
Las organizaciones que superan incidentes son las más fuertes al implementar el marco mucho antes de que algo salga mal; marcos como ISO 27001 obligan a las organizaciones a pensar en el riesgo de manera sistemática. Requieren una propiedad clara, controles definidos y una revisión continua, creando una línea de base que pueda ser probada, no sólo un esfuerzo único. Esa distinción se está volviendo crítica.
Las empresas ahora deben demostrar que se toman en serio la seguridad, ya sea ante los reguladores, los clientes o los inversores. Sin esa evidencia, las empresas se encuentran a la defensiva antes de que ocurra un incidente.
Estamos viendo que esto se ve reforzado por marcos como CAF y estándares emergentes en torno a la gobernanza de la IA, donde la expectativa es una resiliencia demostrable y auditable.
La realidad comercial del mal cumplimiento
Algunas organizaciones todavía tienden a tratar el cumplimiento como algo que se debe abordar más adelante o una vez que se establezca el crecimiento, pero los inversionistas no aceptarán controles financieros débiles en una empresa y están aplicando cada vez más la misma lógica a la ciberseguridad y el cumplimiento.
A las organizaciones con marcos de cumplimiento sólidos les resulta más fácil conseguir nuevos negocios, especialmente en sectores donde la protección de datos es fundamental, lo que abre puertas a nuevos mercados y cadenas de suministro. Por otro lado, quienes se demoran comienzan a sentir los efectos, más preguntas, más fricciones y, en algunos casos, oportunidades perdidas.
Una visión más realista del riesgo organizacional
La idea de que algunas regiones tienen “mayor riesgo” puede ser engañosa si se toma al pie de la letra, ya que la geografía no es el factor principal. Lo que realmente estamos viendo es una diferencia en la forma en que las organizaciones abordan la gobernanza, el riesgo y el cumplimiento.
Las regiones con mayor exposición suelen albergar empresas que se encuentran en una etapa temprana de su camino hacia la madurez o que operan en sectores donde el ritmo del cambio ha superado los controles a su alrededor. Esto es importante porque significa que la brecha se puede solucionar.
¿Qué deberían sacar de esto los equipos de liderazgo?
El punto de partida es la visibilidad, saber dónde se encuentran los riesgos y cómo podrían materializarse. Lo que sigue es la disciplina para crear estructuras a su alrededor, ya sea a través de estructuras reconocidas, propiedad transparente o una supervisión más consistente.
Las organizaciones que manejan bien los incidentes tienen un nivel de preparación que surge de pensar en estas situaciones con anticipación. Esta preparación muestra la rapidez con la que se toman decisiones, la claridad con la que se definen las responsabilidades y la confianza con la que la empresa puede responder bajo presión.
El cumplimiento es fundamental como medio para aportar coherencia, responsabilidad y evidencia al funcionamiento de la organización. La capacidad de demostrar buenas prácticas se está volviendo tan importante como la regulación.
El riesgo cibernético puede ser una conversación nacional, pero su impacto siempre es local para la organización que lo enfrenta. Los equipos de liderazgo que reconocen esto y actúan rápidamente son los que mantienen el control mientras otros intentan recuperarlo.
Hemos revisado el mejor software antivirus..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
