¿Por Qué Nos Hackean? El Problema No Es La Tecnología, Es La Dirección (Mi Experiencia)

Hola a todos. Ya saben que este blog es mi espacio para hablar de todo lo que me apasiona: desde ese boss final que no logras vencer hasta lo que de verdad mueve el mundo digital: la seguridad.

Estuve varias semanas hablando de Wi-Fi y control parental, pero hoy quiero ponerme un poco más serio y, francamente, un poco más caliente con un tema que conozco muy bien: ¿Por qué hackean a las empresas?

Como Ingeniero de IT, lo he visto desde dentro. He estado en salas de reuniones y en el data center. Y se los digo sin rodeos: la principal vulnerabilidad de casi cualquier empresa no es técnica, es cultural y gerencial.

---

1. “La Tecnología No Me Importa, Pero ¡Exijo!” (El Drama de la IT)

He visto a Jefes y directivos que, con toda honestidad, no tienen la menor idea de cómo funciona ni siquiera el correo electrónico, pero te exigen que el sistema de backups sea “perfecto”, que la red sea “impenetrable” y que el nuevo software esté listo para ayer.

¿Dónde está el problema?

• Exigencia sin Recursos: Te piden una fortaleza Militar con un presupuesto de casa de campaña de juguete. Quieren el hardware más nuevo, el software más seguro, pero al mismo tiempo la inversión en IT es siempre lo primero que recortan.
  
• La Mentalidad del Ahorro Barato: Cuando les presentas una solución robusta de seguridad que cuesta $10,000, te preguntan: “¿Y no hay una versión gratuita o una licencia de $100?”. Están priorizando el ahorro inmediato sobre la mitigación de una catástrofe que les podría costar millones. Y nosotros, el equipo de IT, estamos en medio, sabiendo que estamos montando el sistema con un pie cojo.

---

2. La Seguridad Como “Lujo”, No Como Cinturón de Seguridad

Desde la perspectiva de un CEO o CFO (Director Financiero), la inversión en seguridad es un agujero negro de dinero. No genera ventas, no mejora el producto, y no se ve.

• La Ceguera del “No Pasa Nada”: Mientras no haya un ataque, ellos piensan: “Hemos ahorrado dinero este año en seguridad”. No se dan cuenta de que la seguridad es como el cinturón de seguridad de un coche. No lo notas hasta que lo necesitas, y si no lo tienes puesto, el costo de la negligencia es la pérdida total.
  
• Actualizaciones y Parches: El Eterno Olvido: Intentas desesperadamente explicar que ese router o ese servidor tiene 5 años y ya no recibe parches de seguridad (¡es una invitación abierta para hackers!), y te responden: “Pero funciona. Déjalo así por ahora”. Y ahí, mis amigos, se crean las vulnerabilidades críticas que luego terminan en el noticiero.

---

3. El Eslabón Más Débil: El Factor Humano (Cortesía de la Dirección… y del Empleado)

Todos hemos oído que “el eslabón más débil es el usuario”. Es cierto, pero esta debilidad se manifiesta de dos formas que, vistas desde IT, son frustrantes.

A. El Terror de las Cuentas Dummy y la Contraseña Compartida 👻

En lugar de crear un usuario personal para cada empleado que toca un sistema (el estándar de oro), la empresa opta por el camino fácil y “barato”:

• Cuentas Ficticias y Compromiso: Se crean usuarios genéricos (“Ventas01”, “Almacén-PC”). ¿Qué pasa cuando un compañero falta? Se pasan la contraseña. Esto es desastroso. Si algo malo sucede (robo de datos), es imposible saber quién fue. El jefe se ahorró una licencia, pero perdió toda la capacidad de auditoría y rastreo forense. La seguridad del negocio depende de una contraseña escrita en un post-it.

B. El Empleado que se Convierte en Amenaza Activa ⚠️

Y luego está el usuario que, por “comodidad”, se niega activamente a proteger a la empresa.

• La Resistencia al Phishing Training: Como jefe de IT (o cualquier persona con dos dedos de frente), yo obligaría a que estos trainings de campañas de phishing y de identificación de webs falsas sean parte de la rutina. Que sea una política de cumplimiento obligatorio con un entrenamiento de repaso cada seis meses. Si un empleado se niega a aprender a proteger a la empresa, no está cumpliendo con su trabajo.
  
• El Veto a la Autenticación de Doble Factor (2FA/MFA): Este es mi límite. Cuando un usuario dice: “No usaré mi teléfono personal para el Doble Factor de Autenticación”, se está imponiendo y, para mí, automáticamente se convierte en un riesgo inaceptable para el negocio.
  
• Mi postura profesional sería simple y firme, y la empresa debería respaldarla: “La Autenticación de Doble Factor es una política de seguridad obligatoria para acceder a los activos de la compañía.
  
• Si el usuario se impone y no puede (o no quiere) implementar 2FA, entonces no tendrá acceso a su correo corporativo ni podrá tocar una computadora de la empresa. ¿Por qué? Porque un solo acceso robado sin 2FA es la puerta de entrada que necesita un hacker para comprometer toda la red. La seguridad de la empresa no es negociable por la “comodidad” personal.

---

4. El Síndrome de “Mi Equipo Es Especial” (Y el Shadow IT) 👻

Este es un problema recurrente que rompe la estandarización y crea vulnerabilidades:

• A menudo, veo que ciertos departamentos (Ventas, Marketing, Desarrollo) se creen “especiales” y piensan que las reglas de IT no se aplican a ellos. Piden privilegios de administrador, o peor aún, implementan sus propias soluciones sin la supervisión de nuestro departamento.
  
• Problema Real (Shadow IT): A esto se le llama Shadow IT (IT en la Sombra). Usan servicios en la nube (Dropbox, Trello, Google Drive) sin la aprobación de la empresa, a menudo con la versión gratuita y con configuraciones de seguridad pésimas. Están manejando datos sensibles fuera de nuestro control y de nuestra protección (firewalls, copias de seguridad, logs).
  
• El Argumento de IT: Cuando les adviertes que están creando un riesgo masivo, te responden que tu solución corporativa “es muy lenta” o “no tiene la funcionalidad que ellos necesitan”. Como Ingeniero de IT, mi respuesta es: la funcionalidad jamás debe comprometer la seguridad y el cumplimiento normativo. El riesgo de un simple malware en un dispositivo personal que accede a un servicio de Shadow IT es una de las brechas más comunes hoy en día.

---

5. La Falla en el Plan de Recuperación de Desastres (El “Post-Hackeo”) 🚨

La seguridad no termina en prevenir el ataque; termina en cómo te levantas después de él.

• La Mentalidad Mágica: La mayoría de los directivos asume que los backups (copias de seguridad) funcionan y que el plan de Recuperación de Desastres (Disaster Recovery) está al día.
  
• La Cruda Realidad: Desde IT sabemos que un plan de DR que no se ha probado en los últimos 6 meses es un plan que no existe. ¿Por qué? Porque el ransomware moderno no solo cifra los datos de producción; también busca y cifra las copias de seguridad accesibles.
  
• La Exigencia de IT: El tiempo que la dirección te niega para hacer simulacros de recuperación (apagar un servidor clave y restaurarlo) es el tiempo que perderán multiplicado por 100 cuando un hacker paralice la operación. Un jefe enfocado en el negocio entendería que el Tiempo Objetivo de Recuperación (RTO) es dinero, y que solo se garantiza con simulacros periódicos.

---

6. El Factor “Paranoia” de IT es Saludable (y Necesario) 🛡️

La mentalidad de IT es fundamental.

• La gente de IT a menudo es vista como el departamento que dice “no” a todo, que pone trabas y que es paranoico. Y saben qué, ¡es cierto!
  
• La Verdad Detrás de la Paranoia: Nuestra “paranoia” no es un capricho; es la comprensión del riesgo y la responsabilidad legal y financiera que recae sobre nosotros. La dirección puede ignorar una alerta de seguridad, pero si pasa algo, somos nosotros los que trabajaremos 100 horas seguidas para intentar recuperar el negocio, mientras ellos lidian con abogados y la prensa.
  
• El Cierre: La tecnología avanza, pero los principios de seguridad (privilegio mínimo, segmentación, 2FA, formación) son universales. La clave para no ser hackeado es que la ciberseguridad pase de ser un departamento (IT) a ser una responsabilidad de toda la cultura corporativa, empezando por el despacho del CEO.

---

7. La Vida Útil Olvidada: El Hardware que Nadie Quiere Reemplazar 📉

Aquí entramos en el mundo del Hardware Obsoleto, que es un riesgo de seguridad enorme.

• A veces, el problema no es solo el software desactualizado, sino el metal que lo sostiene. Intentas decirle al CFO: “Este servidor/firewall/switch tiene 8 años y ya no tiene soporte del fabricante.”
  
• El Riesgo de la Obsolecencia: La respuesta es siempre: “Pero sigue prendiendo, ¿no?” La directiva ignora que ese equipo viejo no solo es lento, sino que sus vulnerabilidades críticas ya no serán parchadas por el proveedor. Cuando explota un fallo de seguridad de día cero en ese modelo, no hay nada que tú o el equipo de IT puedan hacer más que rezar y desconectarlo. El hacker no tiene que esforzarse, solo tiene que buscar en Google fallos de un equipo de 2017.

---

8. La Carga de Trabajo Imposible: Un Solo Héroe para Todo 🦸

• El Mito del “Hombre Orquesta”: En muchas PYMEs o empresas con presupuestos ajustados, esperan que un solo profesional de IT (o un equipo minúsculo) maneje absolutamente todo: la infraestructura, el soporte a usuarios, la compra de equipos, el desarrollo y, por supuesto, la ciberseguridad.
  
• El Peligro Real: La ciberseguridad requiere especialización y tiempo. Cuando obligan a un solo empleado a ser el experto en redes, el experto en cloud, y el experto en seguridad, sabes que algo se va a caer. La sobrecarga lleva a que se tomen atajos riesgosos y a que los parches críticos se pospongan porque hay un problema más “urgente” que un jefe sí puede ver (como una impresora). La falta de personal cualificado es una vulnerabilidad empresarial.

---

9. Licenciamiento Ilegal o Insuficiente: Ahorrar en el Software Crítico 🔑

Otro clásico problema de presupuesto que expone a la empresa.

• El Ahorro Falso: La empresa decide ahorrar dinero comprando la versión base de un software de seguridad (antivirus o firewall) que no incluye las funcionalidades más avanzadas y críticas, como la detección de ransomware basada en comportamiento o la protección de endpoints avanzada. O peor: usan licencias pirata o caducadas.
  
• La Trampa del Cumplimiento: Los Jefes exigen el cumplimiento de normativas (GDPR, HIPAA, etc.), pero al mismo tiempo niegan la inversión en el software que literalmente hace posible ese cumplimiento. Es un doble estándar peligroso. Como profesional de IT, nos ponen en una posición donde tenemos que elegir entre violar la ley o violar el presupuesto.

---

10. La Seguridad Perimetral es Insuficiente: Olvidar el Acceso Remoto 🚪

• Mentalidad Anticuada: Muchas empresas siguen pensando en la seguridad como un “muro” alrededor de su oficina (el firewall). Si el empleado está dentro, está seguro.
  
• La Era Post-Pandemia: Con el trabajo remoto o híbrido, la seguridad tiene que ser “por persona y por dispositivo”. Los directivos no invierten en soluciones de VPN robustas, acceso Zero Trust, o soluciones para gestión de dispositivos móviles (MDM). El resultado es que los empleados acceden a datos corporativos sensibles desde redes Wi-Fi domésticas inseguras, sin protección antivirus adecuada, y con credenciales que robamos con un simple phishing casero. El perímetro de seguridad ya no es la oficina, es cada empleado en su casa.

---

La Verdad Cruda

El hackeo de una empresa, en mi experiencia, rara vez es el resultado de un hacker súper genio que rompe la criptografía de la NASA. Es casi siempre el resultado de la negligencia acumulada y de decisiones gerenciales miopes que nos obligan a usar soluciones parche que son agujeros de seguridad, y de una cultura de usuario que no toma la protección de la información como parte fundamental de su rol.

El día que las empresas entiendan que invertir en seguridad es proteger sus activos y su reputación (no un lujo), y que el cumplimiento de las políticas de seguridad es obligatorio, ese día, y solo ese día, empezaremos a ver menos noticias de grandes hackeos.

¡Gracias por leer este desahogo! Déjame saber en los comentarios si te has encontrado en una situación similar.