El panorama de la seguridad digital en 2026 ha dejado de ser un asunto estrictamente técnico para convertirse en una de las mayores crisis de confianza organizacional de la década. El reciente informe global de Sophos, basado en una encuesta a 5.000 líderes de TI y seguridad en 17 países, revela una realidad inquietante: solo el 5% de los responsables de tecnología confía plenamente en sus proveedores de ciberseguridad. Esta desconexión, que Sophos denomina «la realidad de la confianza en ciberseguridad», adquiere matices críticos en Sudamérica y, de manera muy particular, en Chile, donde la aceleración digital y la nueva institucionalidad legal han puesto a las empresas en una carrera contra el tiempo para fortalecer sus defensas internas.
La problemática central no reside únicamente en la sofisticación de los ataques, sino en la incapacidad de las organizaciones para validar las promesas de sus proveedores externos. Según el estudio, el 79% de las empresas enfrentan dificultades significativas al evaluar la fiabilidad de nuevos socios de seguridad, mientras que un 62% admite no tener herramientas claras para medir la efectividad de los proveedores con los que ya tiene contratos vigentes. En este contexto, el análisis estratégico se desplaza desde la adquisición de software hacia la capacitación interna o upskilling. Como ha señalado Sebastián Espinosa, CEO de Skillnest, la dependencia ciega de la tecnología sin un capital humano preparado es una vulnerabilidad en sí misma: «Si no nos preparamos, la Inteligencia Artificial profundizará desigualdades», una máxima que aplica con igual fuerza a la brecha de seguridad que separa a las empresas resilientes de las vulnerables.
La crisis de confianza en proveedores y el costo de la incertidumbre
La desconfianza en el ecosistema de ciberseguridad no es un fenómeno abstracto; tiene consecuencias operativas y emocionales directas sobre los equipos de liderazgo. El reporte de Sophos indica que el 51% de los líderes experimenta ansiedad constante ante la posibilidad de un incidente mayor, derivada precisamente de la falta de certeza sobre sus proveedores. Para una empresa en Chile o Colombia, esta ansiedad se ve potenciada por el hecho de que la información entregada por los proveedores suele ser poco detallada (47%) o difícil de interpretar para perfiles no técnicos (45%).
Esta asimetría de información crea una brecha peligrosa. Cuando un proveedor de ciberseguridad no es transparente, la organización pierde su capacidad de resiliencia. En la región sudamericana, donde muchas empresas medianas carecen de equipos de TI dedicados, la dependencia de servicios administrados es total. Sin embargo, el 43% de los encuestados reconoce que carece de las habilidades o conocimientos internos necesarios para evaluar si esos proveedores están realmente cumpliendo su función. Este vacío de competencias es lo que Sebastián Espinosa identifica como el mayor riesgo estratégico para la región: la falta de una cultura de «aprender a aprender» que permita a los líderes empresariales tomar el control de su seguridad digital.
La implicación de estos datos es profunda. No se trata solo de un problema de «ventas» o «marketing» de los proveedores, sino de una falla estructural en la entrega de evidencia. El reporte subraya que los equipos de TI y el directorio coinciden en que los «artefactos verificables de madurez» —como certificaciones, auditorías de terceros y centros de confianza públicos— son los principales motores de credibilidad. En Chile, bajo el nuevo marco regulatorio, esta verificación ya no es opcional; es un requisito de gobernanza.
Solo el 5% de los responsables de tecnología confía plenamente en sus proveedores de ciberseguridad.
El escenario chileno: liderazgo institucional frente a la brecha de talento
Chile se encuentra en una posición paradójica. Por un lado, el país ha demostrado un avance extraordinario en el National Cyber Security Index (NCSI), escalando desde el puesto 56 en 2020 hasta el puesto 21 en 2025, situándose por encima de naciones como Corea del Sur. Este liderazgo regional se sustenta en una base institucional sólida, con una puntuación del 100% en estrategia y política nacional de ciberseguridad. Sin embargo, esta robustez gubernamental contrasta con la fragilidad del sector privado ante ataques de ransomware profesionalizados.
Durante los primeros meses de 2026, Chile experimentó un aumento del 9% en los ciberataques interanuales, con incidentes que afectaron a gigantes de sectores críticos como salud (Clínica Dávila), energía (Copec) y logística (Valbifrut). Los atacantes, representados por grupos como Qilin y Anubis, han demostrado una capacidad de ejecución que supera las defensas tradicionales de muchas organizaciones locales. La crisis de confianza detectada por Sophos se manifiesta aquí de forma brutal: las empresas invierten en tecnología, pero siguen siendo vulneradas por la falta de una capa defensiva humana capacitada.
El principal obstáculo para que Chile mantenga este liderazgo es el déficit crítico de especialistas. Según Sebastián Espinosa, el país enfrenta una brecha de más de 28.000 profesionales, cifra que podría escalar a 63.500 para finales de 2026. Esta escasez no solo eleva los costos de contratación, sino que deja a las empresas sin el personal necesario para cumplir con la nueva Ley Marco de Ciberseguridad (Ley 21.663). Espinosa advierte que «la infraestructura se inaugura una vez; la reconversión se sostiene por años». Sin una inversión masiva en la reconversión de trabajadores actuales (reskilling) y el perfeccionamiento de habilidades (upskilling), la tecnología será una «promesa cara» con beneficios para pocos y frustración para muchos.
La Ley 21.663: de la recomendación a la obligación operativa
La promulgación de la Ley Marco de Ciberseguridad en Chile ha cambiado las reglas del juego para el mundo empresarial. Esta legislación crea la Agencia Nacional de Ciberseguridad (ANCI) y establece obligaciones estrictas para los Operadores de Importancia Vital (OIV) y Prestadores de Servicios Esenciales (PSE). No se trata solo de instalar un antivirus; la ley exige la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI), el reporte obligatorio de incidentes en plazos de hasta tres horas y la realización de auditorías periódicas.
Para las empresas medianas y grandes, el incumplimiento de estas normas conlleva multas significativas que pueden alcanzar hasta el 4% de las ventas anuales en casos de protección de datos, o montos millonarios bajo la Ley Marco. Sin embargo, la mayor sanción no es la económica, sino la pérdida de continuidad operativa. El reporte de Sophos destaca que el costo promedio de recuperación de un ataque de ransomware es de 1,5 millones de dólares, una cifra que puede destruir la viabilidad de cualquier pyme chilena.
Esta presión regulatoria intensifica la necesidad de capacitación. Como señala el equipo de Skillnest, la formación técnica no puede ser un evento aislado; debe ser un proceso continuo que involucre tanto a los equipos técnicos como a los directivos que firman los cheques. La desconexión entre el equipo de TI y el directorio, reportada por el 78% de las empresas en el estudio de Sophos, es un riesgo de gobernanza que la nueva ley chilena busca mitigar obligando a una mayor transparencia y rendición de cuentas.
El factor humano: la ingeniería social como puerta de entrada
A pesar de los avances en Inteligencia Artificial y encriptación, el eslabón más débil sigue siendo el ser humano. El 90% de los ciberataques exitosos comienza con una interacción humana, generalmente a través de técnicas de ingeniería social. Los atacantes han descubierto que es mucho más eficiente engañar a una persona para que entregue sus credenciales que intentar romper un sistema de seguridad complejo: el objetivo nunca va a ser burlar la máquina, sino burlar a la persona.
En el contexto sudamericano, esta vulnerabilidad se ve exacerbada por la falta de conciencia digital en perfiles no técnicos. El uso de la IA generativa en las oficinas chilenas, por ejemplo, ha creado un «riesgo invisible»: se estima que 1 de cada 30 consultas enviadas a plataformas como ChatGPT contiene información estratégica de la empresa, lo que expone al 93% de las organizaciones a fugas de datos accidentales. Sin una capacitación que enseñe a los empleados cómo interactuar con estas tecnologías de forma segura, las herramientas de productividad se convierten en caballos de Troya.
La ingeniería social manipula emociones básicas como el miedo, la urgencia o la curiosidad. Un empleado que recibe un correo falso de su CEO pidiendo una transferencia urgente, o un mensaje sobre una supuesta multa regulatoria, tiene altas probabilidades de cometer un error si no ha pasado por simulaciones de phishing y programas de concientización medibles. En este sentido, el upskilling no es solo aprender a usar un nuevo software, sino desarrollar una «atención al detalle» que sirva como primera línea de defensa.
El 90% de los ciberataques exitosos comienza con una interacción humana, generalmente a través de técnicas de ingeniería social.
La visión de Sebastián Espinosa: de Silicon Valley a la realidad sudamericana
La trayectoria de Sebastián Espinosa ofrece una perspectiva única sobre cómo cerrar la brecha tecnológica en la región. Formado en la Universidad de Stanford, Espinosa regresó a Chile con la misión de democratizar el acceso a las habilidades digitales. Su diagnóstico es claro: el modelo educativo tradicional de carreras de cinco años es demasiado lento para el ritmo de la tecnología actual.
Bajo su liderazgo, Skillnest se ha convertido en una fuerza catalizadora para el cambio educativo en América Latina, formando a más de 7.000 estudiantes en áreas de vanguardia como Inteligencia Artificial, Ciberseguridad y Data Science. Espinosa promueve una metodología de «aprender haciendo», enfocada en lo que un trabajador necesita desde el «día uno» en su puesto de trabajo. Esta agilidad es precisamente lo que las empresas chilenas necesitan para enfrentar la crisis de confianza en los proveedores: si no puedes encontrar el talento afuera, debes crearlo adentro.
Espinosa utiliza la «analogía de Lota» para advertir sobre las consecuencias sociales de ignorar la capacitación. El cierre de las minas de carbón en el sur de Chile en los 90 dejó a miles de trabajadores sin herramientas para el nuevo mercado laboral. Hoy, la IA y la automatización plantean un desafío similar. «La infraestructura se inaugura una vez; la reconversión se sostiene por años», afirma el CEO de Skillnest, subrayando que la ciberseguridad es una pieza fundamental de esta reconversión masiva de trabajadores que ven desaparecer sus campos laborales tradicionales.
Upskilling estratégico: superando la crisis de confianza desde adentro
¿Cómo puede una empresa sudamericana superar la falta de confianza en sus proveedores de ciberseguridad? La respuesta no es contratar a un cuarto o quinto proveedor, sino empoderar a su propio equipo. El estudio de Sophos revela que la falta de habilidades internas (43%) es lo que impide a las empresas auditar y exigir resultados claros a sus socios tecnológicos. Al invertir en capacitación interna, la organización recupera la soberanía sobre sus datos y su infraestructura.
El upskilling permite que perfiles no técnicos, desde gerentes de finanzas hasta directores de operaciones, comprendan el lenguaje del riesgo digital. Esto es vital para resolver el conflicto reportado por el 78% de las empresas, donde el equipo de TI y el directorio tienen opiniones divergentes sobre la confiabilidad de los sistemas. Cuando el directorio comprende que la ciberseguridad es un habilitador del negocio y no solo un costo, la inversión fluye hacia donde realmente importa: las personas.
Skillnest aborda esta necesidad mediante programas de formación corporativa que incluyen diagnósticos de brechas de competencias, currículos personalizados y una metodología intensiva de bootcamps. Estos programas están diseñados para ser escalables y flexibles, permitiendo que incluso las empresas con operaciones distribuidas en varios países de la región puedan estandarizar sus niveles de seguridad.
Mientras que el costo promedio de un incidente de ransomware es de 1,5 millones de dólares, los programas de capacitación preventiva cuestan una fracción de esa cifra y pueden reducir drásticamente las probabilidades de éxito de un ataque.
Consejos prácticos para empresas:
Para los líderes de empresas en Chile y Sudamérica que buscan tomar medidas inmediatas frente a los hallazgos del reporte de Sophos, se proponen los siguientes consejos prácticos:
1️⃣ Exigir evidencia verificable a los proveedores: No acepte promesas vagas. Solicite certificaciones actualizadas, informes de pruebas de penetración y acceso a centros de confianza donde se detallen las vulnerabilidades remediadas.
2️⃣Implementar la regla 3-2-1-1-0 de respaldo: Ante el auge del ransomware, mantenga tres copias de sus datos, en dos medios diferentes, con una copia fuera del sitio, una copia offline e inmutable, y verifique que no haya errores de recuperación.
3️⃣ Priorizar la gestión de identidades: El 80% de las intrusiones avanzadas explotan credenciales robadas. Implemente autenticación multifactor (MFA) en todos los niveles y controle estrictamente los accesos privilegiados.
4️⃣ Establecer políticas de IA generativa: Defina una gobernanza clara sobre el uso de herramientas de IA en la empresa para evitar la exfiltración accidental de propiedad intelectual o datos sensibles de clientes.
5️⃣ Invertir en capacitación de concientización mensual: La formación anual no es suficiente. Utilice módulos cortos, entretenidos y basados en situaciones reales para mantener la seguridad en la mente de todos los empleados.
6️⃣ Realizar simulacros de crisis: Ponga a prueba su plan de continuidad operativa. No espere a un ataque real para descubrir que sus respaldos tardan semanas en restaurarse.
El ROI de la capacitación: formar talento es más barato que un rescate
Desde una perspectiva financiera, la inversión en upskilling presenta un retorno de inversión (ROI) que las empresas no pueden ignorar. Mientras que el costo promedio de un incidente de ransomware es de 1,5 millones de dólares, los programas de capacitación preventiva cuestan una fracción de esa cifra y pueden reducir drásticamente las probabilidades de éxito de un ataque. En Chile, la posibilidad de utilizar la Franquicia Tributaria Sence para financiar estos estudios tecnológicos hace que la decisión sea aún más lógica desde el punto de vista contable.
Además, la capacitación mejora la retención de talento. En un mercado donde los expertos en ciberseguridad son escasos, ofrecer rutas de crecimiento profesional interno es una ventaja competitiva. Sebastián Espinosa destaca que Skillnest ayuda a las empresas a «desbloquear el potencial» de sus colaboradores, transformando a personas con habilidades básicas en especialistas capaces de gestionar nubes como AWS o Google Cloud, o de liderar equipos de respuesta ante incidentes.
La ciberseguridad ya no es una carrera de armas tecnológicas, sino una competencia de conocimientos. Las organizaciones que sigan confiando únicamente en soluciones externas, sin fortalecer su base de conocimiento interna, seguirán formando parte de ese 51% de líderes que viven con la ansiedad de ser la próxima víctima de un titular de noticias.
Conclusión: hacia una soberanía digital en Sudamérica
La conclusión estratégica es ineludible: la crisis de confianza en la ciberseguridad, documentada exhaustivamente por Sophos, solo puede superarse mediante el fortalecimiento del capital humano local. Chile tiene la oportunidad histórica de liderar este cambio en Sudamérica, no solo mediante leyes y rankings, sino mediante la creación de un ecosistema empresarial donde la capacitación sea el pilar de la confianza.
Sebastián Espinosa y Skillnest han trazado el camino, demostrando que la educación técnica ágil es la respuesta a la velocidad exponencial del cibercrimen y la Inteligencia Artificial. Al cerrar la brecha de talento, las empresas chilenas no solo protegerán sus ingresos y su reputación, sino que contribuirán a una sociedad más equitativa y resiliente ante los desafíos del siglo XXI. El mensaje para los directivos es claro: la seguridad de su empresa no está en la nube de un tercero; está en la mente y las manos de su propio equipo.
No te pierdas ninguna actualización sobre el futuro del trabajo y la tecnología. Únete a nuestra comunidad y prepárate para lo que viene.
👉 Síguenos en nuestras redes sociales:
Artículos relacionados
¿Cómo la IA nos lleva de vuelta a la Luna?
Un viaje de 10 días que cambiará la historia El 1 de abril de 2026, cuatro astronautas —Reid Wiseman, Victor Glover, Christina Koch y Jeremy Hansen— despegaron desde el Centro Espacial Kennedy en la misión Artemis II. Fue el primer vuelo tripulado alrededor de la Luna...
15 cursos gratuitos para dominar Claude, la IA de Anthropic
Si todavía no empezaste a aprender inteligencia artificial, o si lo estás haciendo pero sin una guía clara, esto es para ti. Anthropic, la empresa detrás de Claude, acaba de lanzar 15 cursos gratuitos y oficiales para que cualquier persona pueda aprender a usar su IA...
Crisis de Ormuz: cómo la IA te puede ayudar
La economía global se encuentra en un punto de inflexión. Desde finales de febrero de 2026, el Estrecho de Ormuz ha dejado de ser un simple paso geográfico para convertirse en el epicentro de una crisis energética sin precedentes. El "cierre de facto" impuesto por las...