IQSEC lanza CROC-RM7 para convertir alertas de ciberseguridad en decisiones de negocio
La empresa IQSEC presentó en la Ciudad de México su Cyber Risk Operations Center (CROC-RM7), una plataforma y metodología diseñada para transformar operaciones de seguridad tradicionales en una operación basada en riesgo real, inteligencia continua y anticipación, con el objetivo de que las decisiones que antes se tomaban en horas o días sucedan en segundos y protejan la continuidad del negocio.
El anuncio se sustenta en un estudio de IQSEC que advierte crecientes ataques habilitados por Inteligencia Artificial (IA), brechas de madurez organizacional y una correlación directa entre decisiones tardías y pérdidas económicas significativas.
Durante la presentación participaron los directivos de IQSEC Aarón Porraz (Director General), Israel Quiroz (Fundador), Sergio Navarro (Chief Architecture and Presales Officer) y Noé Espinosa (Chief Cyber Defense and Response Officer).
La compañía, con 18 años de experiencia en ciberseguridad e identidad digital en México y la región, define el CROC-RM7 como una evolución del SOC tradicional hacia una operación que prioriza el impacto en el negocio y la velocidad en la toma de decisiones.
IQSEC posiciona el CROC-RM7 como una solución estratégica para organizaciones que buscan gobernar su riesgo digital con rigor financiero y operativo. Como lo resumió Aarón Porraz en la presentación, “la ciberseguridad es una necesidad de continuidad para las empresas, instituciones y países. En un minuto hace pedazos el hacker.”
El estudio que respalda el lanzamiento arroja cifras y tendencias preocupantes, como que México registró más de 40 mil millones de intentos de ataque en la primera mitad de 2025; la IA generativa está elevando tanto la sofisticación como la velocidad de las intrusiones; y sectores como manufactura, telecomunicaciones, financiero, salud y retail son los más afectados.
Además, IQSEC detecta una madurez desigual entre empresas. Mientras algunas operan con monitoreo 24/7, otras dependen de defensas básicas y procesos manuales, además de un déficit crítico de talento que agrava la vulnerabilidad. Mencionaron que crece más el negocio que los graduados en ciberseguridad. Por cada persona ocupada en ciberseguridad, existen tres vacantes.
La propuesta de CROC-RM7 es integrar identificación de activos, apetito de riesgo, modelado de amenazas, cuantificación de riesgo, fusión de inteligencia, riesgo extendido en la cadena de proveedores, automatización y evidencia auditable para priorizar y actuar.
El CROC-RM7 “transforma la operación tradicional de seguridad en una plataforma estratégica capaz de convertir cada amenaza en una decisión de negocio”.
Las cifras de impacto económico que presentaron los ponentes son demoledoras y orientan a las organizaciones. Noé Espinosa resumió la urgencia diciendo que “los atacantes necesitan minutos; las empresas tardan horas o días en reaccionar. No fallamos por falta de tecnología, sino porque las decisiones llegan tarde”. Espinosa subrayó que el CROC permite “tomar decisiones en segundos, contención en minutos con evidencia verificable”. Sin ese contexto las automatizaciones y priorizaciones fallan con frecuencia.
El contraste entre detección y reacción fue ejemplificado con casos que ilustran pérdidas evitables. IQSEC mostró escenarios en los cuales, sin un contexto de negocio, una empresa habría perdido montos millonarios mientras que, con CROC-RM7 (y la priorización correcta), el impacto se reduce drásticamente. En palabras de Israel Quiroz: “del SOC tradicional hacia CROC, un modelo basado en riesgo, inteligencia y anticipación que convierte cada alerta en una acción estratégica con certeza de resiliencia y continuidad”.
“Se pierden negocios y se pierden millones. Falta el contexto para automatizar (96% de las automatizaciones fallan por falta de contexto). El 78% de incidentes severos no se priorizan correctamente. El costo promedio por incidente en América Latina son 3.81 millones de dólares. Las auditorías no garantizan protección. Sin el contexto del CROC, se pierden 9.2 mdd y con el contexto sólo pierdes 0.2 millones”
Por su parte, Sergio Navarro enfatizó la necesidad de métricas traducidas al lenguaje del negocio. “El reto ya no está sólo en identificar riesgos, sino en transformarlos en decisiones que eviten incidentes antes de que ocurran. Persisten vacíos metodológicos, falta de criterios unificados y una madurez fragmentada que no refleja el riesgo real del negocio”.
Riesgos para organizaciones y recomendaciones estratégicas
La presentación mostró un mapa de riesgos y recomendaciones para autoridades y empresas. Primero, reforzar modelos de riesgo operativo alineados a la cadena de valor; segundo, medir impacto económico para que CISOs hablen el mismo idioma que los directores generales; tercero, priorizar procesos críticos para automatizar respuestas (no intentar protegerlo todo al mismo tiempo); y cuarto, impulsar formación y semilleros para cerrar la brecha de talento en ciberseguridad.
Estas recomendaciones son la base del argumento de negocio de IQSEC: seguridad como habilitador de continuidad, confianza y competitividad.
Implicaciones regulatorias y sector público
Los ponentes también apuntaron la necesidad de un marco regulatorio. La ausencia de una ley integral de ciberseguridad en México complica la persecución del delito digital y reduce incentivos para que las organizaciones adopten medidas preventivas.
IQSEC plantea que, además de perseguir a los delincuentes, la regulación debe otorgar responsabilidades claras a las organizaciones para proteger datos y sistemas, lo que favorecería mejores acuerdos internacionales y estándares de cooperación.
El entorno de amenazas ha entrado en una nueva fase donde la velocidad y el contexto operativo definen pérdidas o supervivencia. Las operaciones de seguridad deben estar alineadas a métricas de negocio y procesos de decisión auditable. IQSEC ofrece con CROC-RM7 tecnología y una metodología que promete traducir el riesgo técnico en decisiones financieras y operativas medibles.