En América Latina, cada minuto se registran más de 2.200 ciberataques, y Bolivia no es la excepción. El sector financiero se encuentra en el epicentro de esta tormenta digital, exigiendo estrategias integrales de gestión de ciberriesgos que protejan la confianza, los datos y la continuidad del negocio.
En el contexto actual de transformación digital que se vive actualmente en todo tipo de empresas, la ciberseguridad se ha convertido en un componente esencial de la resiliencia organizacional, especialmente para el sector financiero, donde la confianza y la protección de los datos son pilares fundamentales. La gestión de riesgos de ciberseguridad se refiere al proceso sistemático de identificar, evaluar, tratar y monitorear los riesgos que pueden surgir debido al uso de tecnologías de la información y comunicaciones (TIC).
Según Gartner, para 2025, el 60% de las organizaciones utilizarán el riesgo cibernético como un determinante principal en la toma de decisiones de negocio, lo que subraya la necesidad de integrar esta gestión al más alto nivel estratégico.
Panorama de Ciber Riesgos en el Sector Financiero en Bolivia y Latinoamérica
Las entidades financieras bolivianas y latinoamericanas enfrentan un entorno de amenazas cibernéticas cada vez más complejo, entre las que podemos mencionar:
Ransomware y ataques dirigidos, Phishing y robo de credenciales, Riesgos de terceros y el uso de proveedores tecnológicos para servicios críticos y la Falta de madurez en capacidades de detección y respuesta. Estos riesgos vienen acompañados de datos a ser tomados en cuenta como ser:
- América Latina registra más de 2.200 ciberataques por minuto, al menos 6 se realizan en Bolivia
Ataques de ransomware, phishing, y denegación de servicio. Bolivia, aunque con menor infraestructura digital, registra al menos 6 ataques cibernéticos por minuto, afectando servicios públicos y privados.
Uso creciente de inteligencia artificial en ataques
Usan técnicas avanzadas como deepfakes, suplantación de identidad mediante IA, y geofiltering.
Ciberataques dirigidos a figuras públicas
En marzo de 2025, la presidenta de México, Claudia Sheinbaum, reportó el hackeo de su teléfono móvil y correo electrónico, lo que evidencia la exposición de líderes políticos a ataques dirigidos. En Bolivia se presentaron ataques a CEOs de varias entidades financieras.
- Baja preparación ante ciberamenazas en empresas de LATAM
Solo un 34% de las organizaciones se sienten preparadas ante ataques como ransomware, malware o DDoS. Muchas aún carecen de planes de respuesta ante incidentes o capacitación adecuada.
- Expansión de cibercriminales organizados en la región
Se detecta el establecimiento de grupos criminales con infraestructura local para lanzar ataques más personalizados y rápidos.
La falta de cooperación internacional y leyes actualizadas facilita su operación. En Bolivia, si bien se han dado pasos hacia el fortalecimiento normativo, aún persiste la necesidad de integración con marcos internacionales como NIST CSF, ISO/IEC 27001 y COBIT para poder enfrentar de mejor manera estos riesgos.
Estrategias Efectivas para Mitigar Ciber Riesgos
La mitigación efectiva del ciber riesgo requiere un enfoque integral, alineado tanto con los marcos internacionales como con las dinámicas específicas del negocio. Las mejores prácticas observadas en organizaciones líderes incluyen:
Implementación de marcos de gestión de riesgos como ISO 31000, ISO/IEC 27005 y NIST Risk Management Framework (RMF), los cuales proporcionan estructuras sistemáticas para identificar, analizar, evaluar y tratar los riesgos de ciberseguridad en todos los niveles de la organización. Según un estudio de Deloitte (2023), las empresas que adoptan marcos estructurados de gestión de riesgos reducen en un 40% la probabilidad de sufrir incidentes críticos de ciberseguridad.
Evaluaciones periódicas de vulnerabilidades y pruebas de penetración (pentesting) que permiten detectar debilidades antes de que sean explotadas. El informe de IBM X-Force Threat Intelligence Index 2024 muestra que el 29% de las brechas detectadas en entornos empresariales fueron evitadas gracias a pruebas de seguridad proactivas.
Gestión continua de riesgos de terceros y proveedores, utilizando herramientas como Pinakes o plataformas TPRM (Third Party Risk Management), dado que más del 53% de las brechas reportadas en 2023 involucraron a terceros, según Ponemon Institute.
Capacitación continua y concienciación del personal, dado que el error humano sigue siendo la principal causa de incidentes de seguridad. Un informe de Proofpoint (2024) destaca que las organizaciones con programas maduros de concienciación reducen en un 70% los clics en enlaces de phishing y otras amenazas sociales.
Adopción de tecnologías avanzadas como XDR (Extended Detection and Response), SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation and Response), así como soluciones de automatización y orquestación de respuesta. Estas tecnologías no solo reducen el tiempo medio de detección y respuesta, sino que también mejoran la capacidad de contención de incidentes. De hecho, el Cost of a Data Breach Report 2023 de IBM señala que el uso de automatización y herramientas de IA en seguridad reduce el costo promedio de una brecha en más de USD 1.76 millones.
Asimismo, un informe del World Economic Forum (2024) subraya que las organizaciones que integran su estrategia de ciberseguridad con los objetivos estratégicos de la empresa son hasta tres veces más resilientes frente a ciberataques, en comparación con aquellas que tratan la ciberseguridad como una función aislada de TI.
Es importante mencionar que la gestión de riesgos de ciberseguridad ya no es responsabilidad exclusiva de las áreas técnicas, las juntas directivas deben asumir un papel activo. Esto implica:
- Establecer una cultura de ciberseguridad.
- Definir apetito de riesgo.
- Monitorear KPI y KRIs de ciberseguridad.
- Aprobar planes de inversión en capacidades críticas.
Según Deloitte, el 86% de los consejos directivos en empresas financieras líderes incluyen revisiones periódicas de ciber riesgos como parte de su agenda.
La Gestión de Riesgos de Proveedores...Pinakes una interesante alternativa
En el entorno financiero actual, donde la tercerización de servicios tecnológicos es cada vez más frecuente, la gestión de riesgos de terceros se ha convertido en una prioridad crítica. Una brecha de seguridad en un proveedor puede tener impactos directos en la confidencialidad, integridad y disponibilidad de los servicios bancarios. Frente a esta necesidad, herramientas colaborativas como Pinakes, desarrollada por el Centro de Cooperación Interbancaria (CCI) en España, están transformando la forma en que las entidades financieras evalúan, monitorean y gestionan a sus proveedores tecnológicos. Pinakes proporciona un enfoque estandarizado y eficiente para la evaluación de terceros, permitiendo:
Identificar y clasificar proveedores críticos según su nivel de impacto en la operación y la seguridad.
Acceder a evaluaciones compartidas y validadas por otras entidades, reduciendo la carga de auditorías duplicadas.
- Obtener una visualización clara del riesgo residual, con indicadores alineados a marcos internacionales como ISO/IEC 27001, NIST y el Esquema Nacional de Seguridad (ENS).
Fomentar una cultura de mejora continua entre los proveedores, al establecer expectativas claras en materia de ciberseguridad.
Caso de Éxito en Latinoamérica: En 2024, una entidad con operaciones en Bolivia y Perú adoptó Pinakes como parte de su estrategia de TPRM (Third Party Risk Management). En el proceso de evaluación de un proveedor de servicios en la nube —que prestaba soporte crítico a su core — la plataforma reveló deficiencias en los controles de cifrado de datos en tránsito y en la gestión de accesos privilegiados. Gracias a esta información temprana y validada, la entidad logró renegociar cláusulas contractuales, exigir planes de remediación y condicionar la continuidad del contrato a mejoras verificables. Como resultado, redujo un 27% su nivel de riesgo residual asociado a ese proveedor en menos de tres meses y optimizó los tiempos de auditoría en un 40% al utilizar evaluaciones previamente disponibles en Pinakes. Este enfoque no solo fortaleció su postura de seguridad, sino que también mejoró la relación con los proveedores, al promover un lenguaje común de gestión de riesgos.
Para concluir, la gestión de riesgos de ciberseguridad exige una visión integral que combine herramientas tecnológicas, marcos de gobernanza y liderazgo desde los niveles más altos. La ciberseguridad no debe ser vista como un costo, sino como un habilitador clave de la continuidad del negocio, la confianza del cliente y la reputación institucional.
Xperto:
Luis Alejandro Macuaga Estrada. Especialista en ciberseguridad y gestión de riesgos tecnológicos con más de 17 años de experiencia liderando proyectos en Bolivia, Perú y Paraguay. Ha trabajado en sectores clave como banca, telecomunicaciones, industria y servicios, asumiendo roles estratégicos en seguridad de la información, auditoría de TI y gobierno tecnológico. Su enfoque combina conocimiento técnico con visión táctica para diseñar esquemas de seguridad basados en riesgos y alineados a marcos internacionales.
LinkedIn: https://www.linkedin.com/in/luis-alejandro-macuaga-estrada-40717826/
Síguenos en LinkedIn: https://www.linkedin.com/build-relation/newsletter-follow?entityUrn=7323061820913532931
Referencias
Gartner (2023). Cybersecurity Trends and Priorities for 2025.
https://hemeroteca.larazon.bo/sociedad/2024/08/11/cada-minuto-hay-mas-de-2-200-ciberataques-en-america-latina
https://elpais.com/mexico/2024-09-08/la-sofisticacion-de-los-ciberataques-aumenta-el-secuestro-de-datos-y-redes-sociales-en-mexico.html
https://elpais.com/mexico/2025-03-17/sheinbaum-revela-que-su-telefono-y-correo-electronico-fueron-hackeados.html
https://www.manageengine.com/latam/encuesta/estado-de-la-ciberseguridad-2024/
https://www.ey.com/es_cl/insights/cybersecurity/panorama-ciberseguridad-latinoamerica-riesgos-enfrentan-empresas
World Economic Forum (2022). Global Cybersecurity Outlook.
Deloitte (2023). The Board's Role in Cybersecurity.
Deloitte. (2023). Future of Cyber Risk Management: Building Resilient Enterprises. Deloitte Insights.
Centro de Cooperación Interbancaria – CCI. Pinakes, Plataforma de Evaluación de Proveedores.
IBM Security. (2023). Cost of a Data Breach Report 2023. IBM & Ponemon Institute. https://www.ibm.com/reports/data-breach
IBM Security. (2024). X-Force Threat Intelligence Index 2024. https://www.ibm.com/reports/threat-intelligence
Ponemon Institute. (2023). The State of Cybersecurity and Third-Party Risk.
Proofpoint. (2024). 2024 State of the Phish Report. https://www.proofpoint.com/us/resources/threat-reports/state-of-phish
World Economic Forum. (2024). Global Cybersecurity Outlook 2024.
https://www.weforum.org/reports/global-cybersecurity-outlook-2024
Gestión de Riesgos de Ciberseguridad en el Sector Financiero de Bolivia y Latinoamérica