Ciudad de México. En la actualidad, existen nuevas tendencias de intrusión subrepticia en las que los ciberdelincuentes pueden estar días, e incluso semanas, dentro de una organización y luego salir sin dejar rastro. De hecho, según BTR Consulting, a nivel global hay cinco veces más incidentes efectivos alrededor del Mundial que en 2010.
Así lo expuso Gabriel Zurdo, fundador y CEO de la consultora tecnológica especializada en ciberseguridad, quien compartió que los sectores más expuestos son los bancos, porque hoy en día tienen 250 plataformas que convergen; la energía, porque maneja elementos como pipas que pueden paralizar infraestructuras críticas como un gasoducto, y el manufacturero, en el que se puede detener una planta de producción.

Abanico de ataques y sectores más vulnerables
Zurdo explicó que existe un gran abanico de tipos de incidentes, que van desde el delito económico hasta la geopolítica tecnológica y hacktivismo, pasando por la afectación reputacional, el incumplimiento normativo y regulatorio, la afectación de la valuación y el fraude interno.
El especialista en ciberseguridad dijo que han identificado 1,200 estafas virtuales domésticas y, de las que se hacen a través de redes sociales, un tercio (33%) le ocurren a mujeres en Instagram. Asimismo, la mitad (50%) de las víctimas no denuncia, ya sea por temor al escarnio público o por miedo a represalias, mientras que sólo 68% de los incidentes estuvo relacionado con robar dinero, lo que indica que el tercio restante tuvo otro fin, como la extracción de datos sensibles o credenciales de acceso. “Hoy la información es materia prima”, enfatizó.
Además de la banca, BTR identifica a la educación, salud y bufetes de abogados como los sectores emergentes que están siendo objeto de ataques. También advirtió que “no hay más fronteras” y, por citar un ejemplo, en el Cono Sur identificaron tres vectores de ataque: Argentina, Brasil y Turquía, por lo que no hay músculo ni know how [conocimiento] suficiente para el mercado global.
Una de las técnicas fundamentales para auditar a las organizaciones es la prueba de penetración (Penetration tests o simplemente pentests), y en 98% de las que ejecutan no encuentran la fuente. “El peor cibercrimen es del que no nos enteramos”, advirtió Zurdo, quien llamó a distinguir entre debilidad, vulnerabilidad e impericia del factor humano.
Finalmente, señaló que en los últimos años han proliferado los ataques de ingeniería social hacia los extremos de la pirámide poblacional, es decir, los niños y los adultos mayores. Compartió que han identificado casos de ludopatía infantil, y en países como Argentina estiman que 30% de los pequeños apuestan en el recreo a través de wallets, por lo que en BTR también cuentan con una vertical para orientar a los menores y las familias.
Zurdo considera que, en todos estos ataques, existen tres niveles que se interrelacionan: las políticas de Estado, las del Supraestado —el poder de una compañía multinacional, como Meta, por ejemplo— y la pulsión tecnológica.
El advenimiento de una nueva industria
El especialista afirmó que Cibercrimen-as-a-service ya se ha consolidado como una industria, con bolsa de trabajo. “Estamos en presencia de la instalación de una nueva industria. El cibercrimen es una industria no reconocida, es invisible”, declaró, y enfatizó que “el mercado no reconoce lo que le pasa porque no quiere reconocer que fue hackeado”. Según Rodrigo García Estebarena, Managing Partner en México de BTR Consulting, 75% de los incidentes que ocurren no se reportan.
Zurdo advirtió que la Inteligencia Artificial (IA) ayudará aún más a los delincuentes a cometer ataques, fraudes financieros y operaciones contra infraestructuras críticas; a su consideración, hay tres aspectos fundamentales a tomar en cuenta respecto a ella: el gobierno, la adopción y el Cálculo del ROI (Retorno de la inversión), por lo que la empresa cuenta con un Centro de Operaciones en Ciberseguridad (SOC) y un equipo de respuesta a incidentes (IRT), que a su vez extendió a un SOS Digital que cuenta 8 jueguitos de situaciones de riesgos.
Explicó que BTR ha transitado de ser una empresa de tecnología a empresa de generación de conocimiento y destacó la importancia del factor humano. Dijo que son agnósticos a la tecnología, lo cual consideran un activo. Tiene cuatro líneas de negocio: Ciberseguridad, Auditoría y riesgo, Consultoría y Awareness (concientización).
Autoconsiderada como una ‘boutique de nicho con alcance global’, hasta ahora ha ejecutado 3,000 proyectos en alrededor de 40 países y la pandemia les permitió hacer una dispersión geográfica. Contaba con oficinas en Miami, Estados Unidos; Madrid, España y Medio Oriente y esta semana realizó su lanzamiento oficial en México
Según BTR Consulting, 83.3% de las organizaciones mexicanas sufrió al menos un incidente de ciberseguridad en 2025, lo que coloca al país como el segundo más atacado del mundo sólo por detrás de Suiza.