Colombia está en la mira de los ciberdelincuentes. El país se ha posicionado como el tercer destino más atacado en América Latina, solo detrás de Brasil y México. La situación es tan grave que durante la Cyber Security Week 2025 se presentaron cifras alarmantes: el país enfrenta 1.900.000 intentos de malware diarios en la región, lo que significa 23 ataques por segundo. Lo más preocupante es que el 41,8% de estos ataques van dirigidos contra entidades gubernamentales, dejando vulnerable a ministerios, alcaldías y hospitales.

Pero aquí está el problema del que nadie habla: mientras los ciberataques llueven, las empresas colombianas siguen sin las herramientas básicas para defenderse. La Encuesta CISO América Latina 2025, realizada por Kaspersky y Arlington Research con entrevistas a 300 líderes de seguridad en seis países de la región, encontró un panorama desolador. En Colombia, el 24% de las organizaciones ni siquiera cuenta con protección para endpoints (antivirus), el 40% carece de firewall, y apenas el 42% utiliza Sistemas de Gestión de Eventos e Información de Seguridad. La adopción de tecnologías más avanzadas de detección y respuesta es aún más baja: solo el 31% usa EDR y apenas el 25% ha migrado a arquitecturas XDR.

Lo paradójico es que el 98% de los profesionales de ciberseguridad en Colombia afirma que los datos y sistemas de su empresa están bien protegidos. Esta desconexión entre la percepción y la realidad es peligrosa. Según Claudio Martinelli, director general para Américas en Kaspersky, "una ciberdefensa eficaz se apoya en un tripié formado por personas, procesos y tecnología. Cuando uno de estos pilares se descuida, la protección corporativa se vuelve frágil y reactiva". Y eso es exactamente lo que está pasando en el país.

El estudio también encontró que el 56% de las organizaciones en la región no realiza evaluaciones de riesgo periódicas y espera a sufrir un incidente para activar sus protocolos de respuesta. Es como esperar a que la casa se incendie para comprar un extintor. Para los próximos 18 meses, las empresas dicen que planean gastar más en software de detección y capacitación técnica, pero estos son pasos que deberían haberse dado hace años.

Los expertos son claros: Colombia necesita adoptar marcos internacionales como NIST o ISO/IEC 27001 y establecer evaluaciones de riesgo trimestral. La ciberseguridad no puede seguir siendo un gasto adicional que se atiende cuando hay presupuesto. Tiene que estar integrada desde el inicio en cualquier transformación digital que las empresas colombianas emprendan. De lo contrario, seguiremos siendo un blanco fácil para los ciberdelincuentes.