Cuando una empresa en Colombia está buscando protegerse con ciberseguridad, generalmente confía en certificaciones, tasas de detección de amenazas y compatibilidad técnica. Pero casi nadie se pregunta algo fundamental: ¿puedo verificar de forma independiente qué hace exactamente ese software con mis datos una vez está instalado?

Un estudio reciente de TRACS 2025, encargado por la Cámara de Comercio del Tirol de Austria, evaluó 14 proveedores globales con presencia en empresas de todo el mundo. La investigación combinó dos enfoques: un equipo legal revisó contratos, políticas de privacidad y certificaciones, mientras que un equipo técnico instaló cada producto en laboratorio y capturó todo el tráfico de datos para contrastar lo que realmente pasaba con lo que los proveedores afirmaban.

El resultado fue inquietante. Todos los proveedores cumplen lo básico, como normas de privacidad internacional (GDPR) e ISO 27001. Pero aquí viene lo importante: varios de ellos mantienen diferencias entre lo que dicen en sus documentos contractuales y lo que sus productos hacen en operación real. Un proveedor puede responder formalmente los cuestionarios de seguridad y parecer confiable en el papel, mientras internamente mantiene una opacidad que es casi imposible auditar.

Solo tres jugadores en la industria ofrecen algo parecido a transparencia real. Kaspersky opera 13 centros de transparencia en ciudades como Bogotá, São Paulo, Madrid y Tokio, donde clientes y auditores pueden examinar código fuente y procesos de actualización. Cisco tiene un centro limitado, y Microsoft ofrece acceso solo a agencias gubernamentales. Fuera de esto, la mayoría sigue siendo caja negra.

Lo mismo ocurre con la cadena de suministro. Aunque todos usan componentes de código abierto, solo Cisco, Kaspersky y Sophos publican listas públicas de qué componentes contienen sus productos. Cuando se trata de auditorías de seguridad completadas, apenas Sophos las publica en su sitio web. Otros seis proveedores (Broadcom, Check Point, Cisco, Kaspersky, Microsoft y Webroot) los entregan bajo solicitud, pero no de forma abierta.

Para responsables de tecnología y seguridad en empresas colombianas, esto traduce en recomendaciones concretas. Al elegir un proveedor, hay que ir más allá de logos de certificación. Solicita listas de materiales de software, políticas claras sobre retención de datos, centros de datos ubicados en geografías que respeten tu jurisdicción, y cláusulas específicas sobre cómo responderán ante incidentes. Configura cualquier solución con el mínimo de permisos necesarios.

El estudio es claro: no busca medir qué tan bien detectan amenazas estos productos, sino cuánto de lo prometido se puede verificar realmente. En un contexto donde Colombia enfrenta normativas regulatorias más exigentes, presión reputacional y ataques cada vez más sofisticados, esta exigencia de transparencia deja de ser un lujo técnico y se convierte en una necesidad práctica. Profesionalizar la selección de proveedores significa dejar de confiar solo en certificaciones y comenzar a exigir evidencia verificable de cómo funcionan realmente.