La ola que no vemos Cateryn Farfán  |  Nuvol Cybersecurity · WoSec México  |  21 de Mayo 2026

ByNelly Vazquez

IA, responsabilidad legal y el CISO que nadie preparó para este momento

El rol del CISO en 2026 enfrenta una convergencia sin precedentes: mayor exposición legal personal, agotamiento profesional crónico y una transformación tecnológica impulsada por inteligencia artificial que redefine las reglas del juego más rápido de lo que los marcos institucionales pueden procesar. Este artículo examina la crisis de sostenibilidad del rol CISO en México y LATAM, analiza sus causas estructurales y presenta estrategias concretas y casos emergentes que están marcando un camino diferente.

Cuando la ola ya llegó

Hay un momento en el surf —lo dicen quienes saben— en el que ya no puedes decidir si entras a la ola. La ola ya te tomó. Solo puedes decidir si la navegas o te arrastra.

Eso es lo que vive la ciberseguridad en este momento. No hablamos solo de amenazas técnicas. Hablamos de una transformación simultánea en múltiples dimensiones: la inteligencia artificial como arma ofensiva y defensiva, marcos regulatorios que por primera vez señalan al CISO con nombre propio, un mercado de talento en fractura, y organizaciones que todavía debaten presupuesto mientras el adversario opera con modelos de lenguaje entrenados en sus comunicaciones internas filtradas

Mustafa Suleyman, cofundador de DeepMind, describe en The Coming Wave cómo las tecnologías de IA y biotecnología representan una ola que ningún Estado, ninguna regulación y ninguna organización podrá contener del todo. La única pregunta relevante es si nos preparamos para navegarla.

En ciberseguridad ya estamos dentro.

Y muchos de los profesionales que deberían liderarnos —los CISO— están al límite de su capacidad de aguante, con responsabilidad legal que nunca firmaron conscientemente, y sin la estructura institucional que necesitan para sostenerse.

Este artículo no es un diagnóstico pesimista.
Es una lectura honesta de dónde estamos,
para poder hablar de hacia dónde ir.

1. La nueva exposición legal del CISO, cuando el cargo se volvió personal

Durante décadas, el CISO operó bajo un entendido implícito: si ocurría un incidente, era un problema de la organización. Las consecuencias eran corporativas. El CISO podía perder el trabajo, pero no ir a juicio.

Ese entendido terminó en octubre de 2023.

La Comisión de Bolsa y Valores de Estados Unidos (SEC) presentó cargos contra Timothy Brown, CISO de SolarWinds, por presuntamente engañar a inversores sobre la postura de seguridad de la empresa antes del ataque masivo de 2020. El caso llegó a un acuerdo de liquidación en julio de 2025. El mensaje fue inequívoco: el CISO puede ser personalmente responsable de lo que reporta —o no reporta— al mercado y a los reguladores.

Esto no es un fenómeno solo estadounidense. Es la dirección global:

  • Directiva NIS2 (Europa, 2024): establece responsabilidad personal para los órganos de dirección que no cumplan con requisitos de seguridad, incluyendo sanciones y prohibición temporal de ejercer.
  • CNBV en México: declaró la ciberseguridad como riesgo sistémico en FinSeg Day 2026. El nuevo marco exige reporte de incidentes en menos de 72 horas. ¿Quién firma ese reporte?
  • Plan Nacional de Ciberseguridad 2025-2030: define estándares de diligencia mínima. Cuando existe un estándar, existe una brecha que puede atribuirse a negligencia.

Lo que un CISO en México debería revisar hoy

Tres acciones concretas que no requieren presupuesto —solo voluntad institucional:

  1. Revisar la carta de responsabilidades: ¿define explícitamente qué decisiones de riesgo corresponden al CISO y cuáles deben ser aprobadas por el board? Sin claridad, el CISO asume todo por default.
  2. Documentar cada reporte de riesgo al liderazgo. Si el CISO alertó y fue ignorado, esa comunicación debe constar por escrito —como práctica de gobernanza.
  3. Verificar cobertura de seguro D&O (Directors and Officers). Muchas organizaciones medianas en México tienen seguros que no cubren explícitamente decisiones de ciberseguridad.
  4.  

2. El costo humano: la crisis que no aparece en los reportes de incidentes

80%63%2–3 años
de CISOs se autocalifican como muy estresadosrecibe poco o ningún respaldo formales el tenure promedio del rol. Y los sueldos a especialistas están por debajo de las responsabilidades

Esto no es debilidad. Es una falla estructural del sistema.

El CISO de 2026 opera bajo una contradicción institucional severa: se le pide que sea estratega de negocio, guardián técnico, comunicador ejecutivo, gestor de talento, intérprete regulatorio y primer responsable en caso de crisis —todo simultáneamente, frecuentemente sin acceso directo al CEO, con equipos insuficientes y presupuesto que se justifica cada año como si el riesgo fuera opcional.

El ciclo que nadie está interrumpiendo

Presión sin estructura  →  burnout  →  salida  →  pérdida de contexto  →  organización vulnerable  →  nuevo CISO bajo presión  →  se repite

El Global Cybersecurity Outlook 2026 del Foro Económico Mundial lo documenta: mientras en Medio Oriente y Norte de África el 84% de organizaciones confía en su capacidad de responder a incidentes graves, en Latinoamérica esa cifra cae al 13%. La rotación del liderazgo de seguridad es parte de la explicación.

  1. La ola que aún no vemos – IA, regulación y la transformación que apenas empieza

Hay una trampa cognitiva en la que caen incluso los profesionales más experimentados: calibrar el riesgo futuro basado en el riesgo que ya conocemos. El adversario no está operando con el manual del pasado.

Los ataques de ingeniería social de 2026 ya no usan plantillas genéricas. Usan modelos de lenguaje entrenados con comunicaciones internas filtradas para imitar el tono y vocabulario de ejecutivos reales. El fraude de 125 millones de dólares documentado en el sistema bancario panameño en el Congreso ABP 2026 no fue un ataque de fuerza bruta —fue ingeniería social de precisión quirúrgica.

La regulación de IA crea nuevas obligaciones que la mayoría aún no hemos procesado:

  • ¿Quién es responsable cuando un modelo de IA desplegado genera una decisión que resulta en un incidente de seguridad?
  • ¿Cómo se audita la superficie de ataque de un sistema de IA generativa integrado en operaciones críticas?
  • ¿Qué significa ‘visibilidad de activos’ cuando parte de la infraestructura son modelos que aprenden y evolucionan en producción?

La transformación no está llegando. Ya llegó. Y en ciberseguridad seguimos diseñando defensas para la ola anterior.

Los datos no mienten, pero sí incomodan. La región iberoamericana no tiene un problema de conciencia —el 77% de las organizaciones ya sabe que la ciberseguridad importa. Tiene un problema de ejecución: solo el 32% está realmente preparado para responder cuando el adversario llega. Y el adversario ya no espera.

En 2025, el tiempo de comprometimiento más rápido registrado fue de 27 segundos. El 82% de los ataques no usó malware —entró con credenciales válidas, por la puerta principal, invisible para los controles que la mayoría de la región tiene desplegados. Mientras tanto, la brecha de talento creció otro 8% y el 60% de las brechas siguió teniendo al factor humano como punto de entrada.

Frente a eso, el argumento para adoptar inteligencia artificial dejó de ser estratégico y se volvió económico: las organizaciones que ya la usan ahorran en promedio 1.9 millones de dólares por brecha. No es una ventaja de futuro. Es una diferencia que existe hoy, entre el 44% que ya opera con IA y el 44% que todavía no ha empezado. El diagnóstico está hecho. Lo que sigue es decidir en qué lado de esa brecha queremos estar.

4. Lo que sí está funcionando. Casos y estrategias emergentes

Esta sección es la razón por la que este artículo existe. No para describir el problema —sino para mostrar que hay un camino. Y ese camino no está en recetas del pasado.

Semilleros de talento, la única salida estructural

La respuesta al déficit de talento no es competir por los mismos especialistas escasos en un mercado que ya no puede satisfacer la demanda. Es crear talento desde adentro.

El modelo que está funcionando en organizaciones líderes en LATAM no busca masters en ciberseguridad —busca personas que entienden el negocio, tienen curiosidad tecnológica y están dispuestas a crecer dentro de la ola. Mentores senior que transfieren conocimiento contextual. Aprendices que absorben la realidad operativa de su industria específica desde el primer día.

No certificaciones genéricas —sino formación anclada en los riesgos reales del sector donde operan. La brecha de habilidades en ciberseguridad creció un 8% entre 2024 y 2025 (WEF Global Cybersecurity Outlook 2026). No se cierra contratando los mismos perfiles de siempre. Se cierra construyendo los que la región necesita y todavía no tiene.

La conversación con el board que cambia todo

En organizaciones con madurez real, el factor diferenciador no es la tecnología —es la relación del CISO con la alta dirección. Las empresas que han formalizado comités de riesgo cibernético a nivel board con participación directa del CISO cambian la dinámica fundamental: el CISO reporta riesgo, el board toma decisiones de riesgo.

La responsabilidad se distribuye donde corresponde —y el CISO deja de ser el único que carga con todo. Sin esa conversación, cualquier estructura técnica es frágil. Con ella, la ciberseguridad pasa de ser un costo a ser una decisión estratégica compartida.

El CISO que construye con IA —no solo la compra

Este es el punto más urgente y el menos cómodo de sostener en público.

Hay dos tipos de CISO ante la inteligencia artificial.

El que la consume —compra plataformas con IA nativa, aprueba presupuesto, lee los reportes. Y el que la opera —crea agentes para triaje de alertas, automatiza inteligencia de amenazas, experimenta con modelos de lenguaje para análisis de patrones, construye flujos de trabajo propios.

La diferencia no es técnica. Es de comprensión profunda.

El tiempo promedio de comprometimiento del cibercrimen en 2025 fue de 29 minutos. El caso más rápido registrado: 27 segundos (CrowdStrike Global Threat Report 2026). Ningún equipo humano puede responder en esos tiempos sin automatización inteligente.

El 82% de los ataques de 2025 fueron libres de malware —usaron credenciales válidas para moverse sin que los controles tradicionales los detectaran (CrowdStrike GTR 2026). Los antivirus y firewalls son ciegos ante esa clase de movimiento.

¿El argumento económico? Las organizaciones que usan IA en sus operaciones de seguridad ahorran en promedio 1.9 millones de dólares por brecha (IBM Cost of a Data Breach 2025).

Sí, la IA tiene sesgos. Sí, existen riesgos de filtración de datos. Sí, la regulación llegará. Pero el CISO que solo regula sin operar está legislando algo que no entiende desde adentro —y eso tiene sus propios riesgos. La gobernanza efectiva de una tecnología la escribe quien la ha operado, no quien solo la ha observado.

Usarla con criterio, en entornos controlados, con casos de uso acotados y reversibles —eso es lo que un buen profesional de seguridad hace con cualquier tecnología nueva: no la ignora, la evalúa.

La salud mental como indicador de madurez organizacional

Organizaciones líderes en sectores financieros regulados están incorporando la evaluación del bienestar del CISO como parte de la gobernanza de seguridad. El principio es directo: un CISO en agotamiento crónico toma peores decisiones —y eso es un riesgo organizacional medible. La Mental Health in Cyber Security Foundation ha desarrollado marcos de evaluación que algunas organizaciones ya están adoptando.

Un CISO que puede levantar la mano cuando la presión lo sobrepasa, que tiene estructura de soporte real, que no carga solo con la responsabilidad institucional y la exposición legal —ese CISO dura más y decide mejor. No es un beneficio humano opcional. Es una decisión de gestión de riesgo.

Las comunidades de pares como infraestructura real

ALAPSI lleva 30 años construyendo algo que ninguna plataforma puede reemplazar: confianza entre pares. En un momento en el que el CISO enfrenta presiones que no puede llevar al board ni a su equipo, la comunidad de especialistas que comparten contexto similar es una red de soporte operativo real. Las organizaciones que más rápido aprenden de incidentes son aquellas cuyos líderes tienen acceso a conversaciones francas con pares de otras industrias. Eso no se compra. Se construye durante 30 años.

Conclusión

La respuesta a la ola no es resistirla. Es aprender la diferencia entre lo que puedes controlar y lo que no —y construir la estructura correcta para lo primero.

Acciones concretas, día a día.

  • Equipo —interno, formado desde adentro, o apoyado externamente cuando la presión lo requiere.
  • Levantar la mano cuando la carga sobrepasa la capacidad.
  • Adoptar las herramientas que cambian la ecuación en lugar de observarlas desde la orilla. Eso no es debilidad en el CISO —es inteligencia operativa. Es exactamente lo que hace un buen profesional de seguridad cuando encuentra un sistema que no puede defender solo – no lo controla. Lo Escala.
  • Hemos etiquetado al CISO como el que aguanta, el que apaga fuegos, el que no puede fallar porque la organización entera depende de él. Esa etiqueta está destruyendo a profesionales valiosos y dejando a las organizaciones más vulnerables de lo que estarían con menos experiencia individual pero más estructura de soporte real.
  • La región iberoamericana sabe que tiene un problema. El estudio Visión Cibersegura 2026, el primero construido con datos propios de adentro de la región, lo documenta con números que no dejan lugar a interpretación cómoda: conciencia alta, capacidad operativa baja, brecha de talento que crece, y organizaciones tomando decisiones de seguridad en solitario porque no confían en que el Estado las acompañe. Esa soledad no se resuelve con más tecnología.
  • Se resuelve con comunidad, con estructura, con la honestidad de reconocer que el modelo actual tiene límites —y con la voluntad de construir el que sigue.
  • La transformación que estamos viviendo no va a detenerse para que nos preparemos. Pero podemos decidir cómo entrar: solos y al límite, o como comunidad con estrategia. ALAPSI existe para lo segundo. Ese es el valor que 30 años de construcción hacen posible en este momento exacto.

REFERENCIAS

WEF Global Cybersecurity Outlook 2026  ·  PwC Digital Trust Insights 2026 México  ·  SEC v. SolarWinds Corp. (2023), acuerdo julio 2025  ·  Vendict CISO Burnout Report 2024  ·  Mental Health in Cyber Security Foundation  ·  Congreso ABP Panamá 2026  ·  CNBV FinSeg Day 2026  ·  Plan Nacional de Ciberseguridad 2025–2030  ·  Directiva NIS2, Unión Europea  ·  Suleyman, M. (2023). The Coming Wave. Crown Publishing. Estudio ALETI-AMITI de Ana Cecilia Pérez El Comité de Ciberseguridad de ALETI Federación de Entidades TI Iberoamérica.

Autora

Cateryn Farfán

Fundadora de Nuvol Cybersecurity | Fundadora de WoSEC México

Cateryn Farfán es emprendedora y estratega especializada en ciberseguridad con más de 10 años de experiencia en el desarrollo de negocios y posicionamiento de servicios de seguridad digital para el sector bancario y corporativo en América Latina.

Con formación en administración, recursos humanos y mercadotecnia, cofundó Nuvol Cybersecurity en Panamá en 2017 — empresa boutique especializada en ciberseguridad para banca y corporativo mediano con operaciones en México, Panamá, Colombia y Honduras. Ha liderado alianzas estratégicas con KnowBe4, Proficio, Abnormal AI, Picus Security y Microsoft, acompañando a instituciones bancarias y corporativas en la construcción de posturas de seguridad sostenibles en LATAM.

Es Fundadora de WoSEC México, ha colaborado en alianza con Infosecurity México, para visibilizar mujeres en ciberseguridad en el país. Ha participado como Key Speaker en el Mexico Cybersecurity Summit 2025 y como moderadora en foros estratégicos de ALAPSI con líderes de instituciones financieras globales.

LinkedIn: linkedin.com/in/caterynfarfan

WoSEC México: wosecmexico.comNuvol Cybersecurity: cybernuvol.com

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *