El peor cibercrimen es del que no nos enteramos
El cibercrimen se ha profesionalizado como industria con modelos de negocio estructurados; 75% de incidentes no se reportan porque las organizaciones evitan reconocer compromisos de seguridad. Banca, energía y manufactura son sectores críticos vulnerables; nuevas amenazas apuntan a educación, salud y bufetes. Las mujeres en redes sociales enfrentan riesgos desproporcionados con 33% de estafas en Instagram.
- 83.3% de organizaciones mexicanas sufrió incidentes de ciberseguridad en 2025; México es segundo país más atacado globalmente
- 75% de incidentes no se reportan porque las organizaciones evitan reconocer compromisos
- Un tercio de estafas en redes sociales afecta a mujeres en Instagram; 30% de menores en Argentina apuestan mediante wallets digitales
- Atacantes pueden permanecer dentro de sistemas durante semanas sin dejar rastro
BTR Consulting advierte sobre la consolidación del cibercrimen como industria organizada, con ataques sofisticados que permanecen semanas sin detectarse. México es el segundo país más atacado globalmente, con 83.3% de organizaciones afectadas en 2025.
El cibercrimen ha dejado de ser un problema disperso de delincuentes solitarios. Hoy funciona como una industria estructurada, con modelos de negocio, bolsas de trabajo, y atacantes que pueden permanecer dentro de los sistemas de una organización durante semanas sin ser detectados. Esto es lo que Gabriel Zurdo, fundador y CEO de BTR Consulting, una firma especializada en ciberseguridad, ha estado observando mientras su equipo audita organizaciones en todo el mundo.
Los números son inquietantes. A nivel global, hay cinco veces más incidentes exitosos ahora que los que había en 2010. En México específicamente, 83.3% de las organizaciones sufrió al menos un incidente de ciberseguridad en 2025, lo que coloca al país como el segundo más atacado del mundo, solo detrás de Suiza. Pero hay un problema aún más grave: según Rodrigo García Estebarena, socio gerente de BTR en México, 75% de los incidentes que ocurren nunca se reportan. Las organizaciones simplemente no quieren reconocer que fueron comprometidas.
Los sectores más vulnerables son aquellos que sostienen la economía moderna. Los bancos enfrentan riesgos enormes porque sus operaciones dependen de 250 plataformas que convergen en un solo ecosistema. El sector energético es igualmente crítico: un ataque exitoso podría paralizar infraestructuras como gasoductos. La manufactura también está en la mira, donde un ataque puede detener líneas de producción enteras. Pero BTR ha identificado nuevos blancos emergentes: educación, salud, y bufetes de abogados están siendo atacados con creciente frecuencia.
La naturaleza de estos ataques es diversa. No se trata solo de robo de dinero. Zurdo explicó que su equipo ha identificado 1,200 estafas virtuales domésticas, y de las que ocurren a través de redes sociales, un tercio afecta a mujeres en Instagram. Pero el robo económico representa solo el 68% de los incidentes. El tercio restante tiene otros objetivos: extracción de datos sensibles, robo de credenciales de acceso, daño reputacional, incumplimiento normativo, o simplemente hacktivismo y geopolítica tecnológica. Como enfatizó Zurdo, la información es ahora materia prima.
Lo que hace estos ataques particularmente peligrosos es que permanecen invisibles. Cuando BTR ejecuta pruebas de penetración en 98% de los casos, no encuentran la fuente del compromiso. El peor cibercrimen, advirtió Zurdo, es aquel del que nunca nos enteramos. Los atacantes han perfeccionado el arte de entrar, permanecer sin dejar rastro, y salir con lo que vinieron a buscar.
Los grupos más vulnerables a estas tácticas están en los extremos de la pirámide poblacional. Los niños están siendo objetivo de ingeniería social sofisticada. En Argentina, BTR estima que 30% de los menores apuestan en el recreo a través de wallets digitales, lo que representa un nuevo vector de ludopatía infantil. Los adultos mayores enfrentan riesgos similares. Cuando las víctimas son estafadas, la mitad no denuncia: tienen miedo al escarnio público o temen represalias.
Zurdo es claro sobre lo que viene. La inteligencia artificial amplificará estas capacidades delictivas. Los atacantes usarán IA para cometer fraudes financieros más sofisticados y operaciones contra infraestructuras críticas. BTR ha respondido construyendo un Centro de Operaciones en Ciberseguridad y un equipo de respuesta a incidentes, además de un programa de SOS Digital que simula ocho escenarios de riesgo diferentes.
La firma, que se describe a sí misma como una boutique de nicho con alcance global, ha ejecutado 3,000 proyectos en alrededor de 40 países. Esta semana realizó su lanzamiento oficial en México, después de operar desde Miami, Madrid y Medio Oriente. Zurdo insiste en que el factor humano es el activo más importante, y que la verdadera defensa no está en la tecnología sino en la concientización, la auditoría rigurosa, y políticas de ciberseguridad que operen en tres niveles simultáneamente: el Estado, las corporaciones multinacionales, y la infraestructura tecnológica misma.
Citas Notables
Hoy la información es materia prima— Gabriel Zurdo, fundador y CEO de BTR Consulting
Estamos en presencia de la instalación de una nueva industria. El cibercrimen es una industria no reconocida, es invisible— Gabriel Zurdo
La Conversación del Hearth Otra perspectiva de la historia
¿Por qué 75% de los incidentes no se reportan? ¿Qué ganan las organizaciones ocultándolos?
El mercado no reconoce lo que le pasa porque no quiere reconocer que fue hackeado. Hay una vergüenza corporativa, un miedo a que los accionistas se enteres, a que los clientes pierdan confianza. Es más fácil limpiar en silencio que admitir la vulnerabilidad.
Entonces el cibercrimen es invisible no solo porque los atacantes son buenos, sino porque las víctimas lo ocultan.
Exactamente. Es una industria que existe en las sombras porque ambos lados tienen incentivos para no hablar. Los criminales no quieren ser atrapados, y las empresas no quieren admitir que fueron comprometidas.
¿Qué hace que las mujeres en Instagram sean un blanco tan específico?
Son vectores de ingeniería social. Los atacantes entienden que las redes sociales crean confianza falsa, que la gente baja la guardia. Y las mujeres, estadísticamente, reportan más estos delitos que otros grupos, lo que significa que hay muchos más que nunca se denuncian.
Mencionaste que 30% de los niños en Argentina apuestan a través de wallets. ¿Eso es un ataque o es que la tecnología simplemente llegó a donde no debería?
Es ambos. Los criminales están explotando activamente a menores con ingeniería social sofisticada. Pero también es que la tecnología financiera se desplegó sin las barreras de edad que existían en el mundo físico. Un niño nunca podría entrar a una casa de apuestas, pero en línea, nadie lo detiene.
¿Cuál es el rol de la inteligencia artificial en todo esto?
La IA es un amplificador. Hace que los ataques sean más rápidos, más personalizados, más creíbles. Un atacante que antes necesitaba semanas para investigar a una víctima ahora puede hacerlo en horas. Es una herramienta que democratiza la sofisticación.
¿Hay algo que las organizaciones puedan hacer ahora que realmente funcione?
Sí, pero requiere que reconozcan primero que fueron atacadas. Luego, auditoría rigurosa, políticas de ciberseguridad en tres niveles —Estado, corporaciones, tecnología—, y concientización del factor humano. No es sexy, pero es lo que funciona.