Hay un dato que debería incomodar más de lo que incomoda.
América Latina es la región del mundo que menos confía en su capacidad para responder a ciberataques sobre infraestructuras críticas. No es una percepción aislada: apenas un 13% cree que sus instituciones están preparadas para enfrentar un incidente de gran escala (Foro Económico Mundial).
Es un número técnico. Pero dice algo profundamente político. Cada vez que un sistema estatal se cae, que un hospital deja de operar o que datos sensibles quedan expuestos, la reacción suele ser la misma: buscar responsables.
Un error. Una falla. Un descuido.
Sin embargo, lo que ese 13% sugiere es otra cosa: no estamos frente a una suma de errores, sino frente a un problema estructural. Un problema de confianza (que es un síntoma).
Porque la ciberseguridad, esa palabra que suele quedar encerrada en áreas técnicas, es, en realidad, un espejo bastante preciso del Estado.
Muestra cómo se toman decisiones, cómo se coordinan las instituciones, cómo se asignan recursos. Y, sobre todo, qué tan en serio se asume la responsabilidad de proteger a los ciudadanos en el ciberespacio, que es ya el espacio más importante que habitamos.
En teoría, el sistema está organizado, por un lado la ciberseguridad protege sistemas y dato; mientras que el ciberdelito investiga cuando el daño ocurre. Por su parte la ciberdefensa se ocupa de amenazas externas. Y finalmente la ciberinteligencia que intenta anticiparlas.
Todo parece razonable, pero el problema es que esa arquitectura funciona mejor en el papel que en la práctica.
En la práctica, lo que aparece es algo bastante distinto a ese esquema ordenado.
No hay un liderazgo político claro que marque dirección. Tampoco marcos consistentes que den previsibilidad, ni una formación sostenida que permita construir capacidades a largo plazo. La coordinación entre el sector público y el privado es, en el mejor de los casos, parcial. Y a nivel regional, la cooperación sigue siendo más una aspiración que una realidad.
Sin embargo, esto no significa que no existan capacidades. Las hay. Existen equipos técnicos, hay CSIRT funcionando, y también experiencias valiosas de resiliencia y recuperación ante incidentes.
El problema es otro: esas capacidades no responden a una política de Estado. Funcionan, muchas veces, gracias al compromiso de personas o equipos específicos, más que a una estrategia sostenida.
Pero esas capacidades dependen, muchas veces, más de personas que de políticas. De “champions” que sostienen sistemas, más que de Estados que los garantizan.
Ahí aparece el punto central. La ciberseguridad no está fallando por falta de tecnología, ni por ausencia de herramientas. Está fallando por algo más profundo: un déficit de gobernanza.
Y cuando falla la gobernanza, el impacto no se limita a lo técnico. No es solo un sistema que no responde o un dato que se filtra. Lo que empieza a erosionarse es algo más delicado: la confianza institucional sobre la que se sostiene el vínculo entre el Estado y la sociedad. Esa erosión de la confianza es el síntoma, y a la vez el principio de algo más grave.
La ciberseguridad no es una excepción a esa crisis. Es, en muchos sentidos, una de sus expresiones más concretas. En un mundo donde cada vez más servicios son digitales, la relación entre el ciudadano y el Estado pasa cada vez más por sistemas. Y cuando esos sistemas fallan, lo que se rompe no es solo una plataforma: se rompe el vínculo.
Por eso, seguir pensando la ciberseguridad como un tema técnico es, en el mejor de los casos, ingenuo. La discusión real es otra: cómo se construye confianza digital en sociedades donde la confianza institucional ya es baja.
Esto obliga a un cambio de enfoque. La ciberseguridad deja de ser un problema de sistemas para convertirse en un problema de representación. Un Estado que no puede proteger los datos de sus ciudadanos, que no puede garantizar la continuidad de sus servicios o que no puede responder de manera coordinada ante una crisis digital, es un Estado que empieza a perder legitimidad en el terreno donde hoy se juega buena parte de su relación con la sociedad.
La pregunta, entonces, deja de ser técnica. Ya no se trata de qué herramienta implementar, qué sistema comprar o qué protocolo actualizar. La pregunta es más incómoda, y también más profunda: qué Estado queremos ser en la era digital.
Quienes todavía creen en el Estado, y en su capacidad de organizar la vida colectiva, tienen hoy una responsabilidad adicional. No alcanza con digitalizar, no alcanza con innovar, no alcanza con incorporar tecnología. Hay que reconstruir confianza.
Y en ese proceso, la ciberseguridad ocupa un lugar central. No como un área más ni como un requisito técnico, sino como uno de los pilares sobre los que se redefine la capacidad del Estado de representar, proteger y sostener a su sociedad.
Porque, en el fondo, el problema no es el hacker. El problema es que, cuando el sistema falla, cada vez más gente sospecha que nadie está realmente a cargo. Y esa sospecha, más que cualquier ataque, es la que termina debilitando todo lo demás. Sin confianza, no hay transformación digital posible.
* Por Ignacio Perrone, Research Director de Frost & Sullivan; y Luis Papagni, consultor en Infraestructuras Públicas Digitales