El enfoque ofensivo o Positive Hacking para fortalecer la postura de las organizaciones antes de los ataques se vuelve una prioridad. La autora explica tres metodologías para aterrizarlo en el día a día de una compañía.

Vivimos en una era en la que prácticamente cualquier persona puede aprender a usar plataformas digitales, aplicaciones financieras o herramientas de inteligencia artificial en cuestión de horas. La tecnología se ha vuelto accesible, intuitiva y masiva. Sin embargo, mientras millones de usuarios y empresas aprenden rápidamente a operar en entornos digitales, muy pocos aprenden con la misma velocidad a protegerse, o incluso a dimensionar la importancia real de estar protegidos.

En el Perú y en gran parte de Latinoamérica, la conversación sobre ciberseguridad ha evolucionado. Ya no se trata únicamente de instalar herramientas defensivas, sino de entender que la exposición digital hoy es parte estructural y esencial del negocio. Las pérdidas asociadas a incidentes digitales ya se miden en cientos de millones de dólares anuales en distintos mercados, y América Latina no es la excepción. Además, a ello, se suman factores críticos como la pérdida de confianza de clientes y usuarios, así como la afectación en la continuidad operativa del negocio, que suelen verse comprometidos cuando ocurre un incidente de seguridad.

Frente a este escenario, antes nos preguntábamos si una organización podría ser atacada o no; hoy la pregunta es distinta: ¿Cuándo podría suceder un ataque y cuán preparados estamos para responder?

Estas preguntas nos llevan a un punto más profundo: ¿Cómo una organización puede garantizar mayores niveles de seguridad en un entorno donde todos estamos cada vez más expuestos? En mi experiencia, uno de los principales retos que he observado en los mercados latinoamericanos no está necesariamente en la falta de herramientas, certificaciones o cursos en ciberseguridad, sino en algo menos tangible pero mucho más importante: la mentalidad con la que se aborda la seguridad.

Te puede interesar: El software está entrando en su era más poderosa

La seguridad ofensiva requiere pensar como un atacante, cuestionar procesos, buscar errores, asumir que siempre existe una forma de entrar. Esa mentalidad, más cercana a la curiosidad técnica y al pensamiento crítico que la capacitación formal, es la que todavía vemos poco desarrollada en muchas organizaciones. En este campo, acumular certificaciones no necesariamente equivale a entender cómo piensa un atacante.

Un solo comportamiento descuidado, como conectarse a redes públicas desde una laptop empresarial, descargar archivos no verificados o reutilizar contraseñas, puede convertirse en el punto de entrada para un incidente que comprometa a toda la organización. La seguridad no falla únicamente en los sistemas o en decisiones de las altas gerencias: muchas veces falla en los hábitos cotidianos y en el poco seguimiento que se da a las operaciones más simples.

No obstante, las vulnerabilidades no surgen únicamente por errores individuales, En la mayoría de los casos, responden a fallas estructurales en el diseño de los sistemas, configuraciones incorrectas o procesos incompletos dentro de la propia arquitectura tecnológica.

La evidencia confirma esta tendencia. Durante 2025, el mayor volumen de vulnerabilidades identificadas en nuestros proyectos estuvo asociado a fallas básicas en configuración de plataformas y servicios, que representaron el 22.4% de los hallazgos registrados. A ello se suman debilidades en la lógica de negocio y controles de acceso (17.2%), problemas de autenticación y gestión de sesiones (14.8%) y exposición de información sensible (14.3%). Estos datos revelan una realidad incómoda para muchas organizaciones: las brechas más críticas no suelen surgir de ataques extremadamente sofisticados, sino de configuraciones incorrectas, procesos incompletos o controles mal implementados desde el inicio.

Otro hallazgo importante es que más del 70% de las vulnerabilidades identificadas durante el año correspondieron a organizaciones de los sectores financiero y salud. Sin embargo, esto no significa necesariamente que sean los sectores que reciben más ataques, sino que son los sectores más regulados y, por lo tanto, los que están obligados a realizar evaluaciones de seguridad y pruebas de vulnerabilidad con mayor frecuencia. En consecuencia, son también los sectores donde se registran más hallazgos, no porque sean los más vulnerables, sino porque son los que más se evalúan. Tener una vulnerabilidad es estar en una posición de riesgo; no significa necesariamente que un ataque haya ocurrido, pero sí que podría ocurrir si no se corrige a tiempo.

Ante esta realidad, el impacto potencial de estas vulnerabilidades se concentra principalmente en la confidencialidad de la información, siendo en más del 55% de los casos la exposición de datos sensibles el riesgo más crítico. En un entorno donde la información es uno de los activos más valiosos de cualquier organización, este tipo de brechas puede traducirse rápidamente en consecuencias legales, regulatorias y en pérdida de confianza de clientes y usuarios.

Durante años, el enfoque predominante en ciberseguridad fue defensivo y reactivo. Se invertía en herramientas, se establecían controles básicos y se intervenía cuando el incidente ya se había materializado. Este modelo funcionó en una etapa temprana de la digitalización, cuando los ataques eran menos frecuentes y automatizados. Hoy, ese paradigma está agotado.

En un entorno donde las amenazas evolucionan constantemente, esperar a que ocurra un ataque para recién actuar equivale a aceptar el riesgo como parte del negocio. Frente a esta realidad, la seguridad ofensiva ha ido ganando protagonismo como una respuesta estructural y no coyuntural. El verdadero cambio ocurre cuando las organizaciones adoptan el concepto de Positive Hacking: un enfoque ofensivo orientado no a demostrar debilidades, sino a fortalecer la postura de seguridad antes de que un atacante real lo haga.

Hoy, la seguridad ofensiva se articula a través de tres metodologías que permiten evaluar distintos niveles de madurez digital dentro de una organización:

  • El pentesting, que consiste en pruebas controladas que simulan ataques específicos sobre sistemas o aplicaciones con el objetivo de identificar vulnerabilidades técnicas concretas y corregirlas antes de que puedan ser explotadas.
  • El Red Team, que en cambio reproduce escenarios de ataque mucho más realistas y prolongados, evaluando la tecnología y la capacidad de detección, respuesta y coordinación interna de la organización.
  • Inteligencia de amenazas (Cyber Threat Intelligence), que permite analizar información pública y privada disponible en internet, como credenciales filtradas, divulgación accidental de datos o actividad en foros especializados, para identificar posibles vectores de ataque antes de que estos se materialicen.

Más allá de las metodologías, el objetivo central de la seguridad ofensiva es uno solo: mejorar la postura de seguridad de las organizaciones. Por ello, dejará de ser una especialidad técnica para convertirse en una obligación estratégica. No porque sea una tendencia, sino porque la digitalización ha elevado el riesgo a un nivel estructural.

En un entorno donde la confianza es un activo competitivo, la verdadera ventaja no está en reaccionar rápido, sino en anticiparse mejor para mitigar los riesgos antes de que se conviertan en incidentes.

Sobre la autora:

Alicia Cuestas es CEO de Open-Sec.

Las opiniones expresadas son solo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Perú.