Si mañana hackean tu empresa, ¿quién se sienta en la mesa?

Durante años, muchas organizaciones trataron la ciberseguridad como un tema técnico: algo que debía resolver el área de IT, el proveedor de sistemas o el equipo de seguridad informática. Pero cuando un ataque ocurre de verdad, la realidad se impone rápido: no solo se caen servidores. Se detiene la operación, se compromete información sensible, aparecen implicaciones legales, se activan riesgos financieros, los clientes preguntan, los medios pueden llamar y la dirección tiene que decidir con información incompleta.

Ahí es donde un hackeo deja de ser un problema de tecnología y se convierte en una crisis de negocio.

Y en una crisis de negocio, no basta con tener a “alguien de sistemas” revisando qué pasó. Hay que tener a las personas correctas en la mesa.

La preparación no es paranoia. Es responsabilidad.

Amanda Ripley, periodista y autora de The Unthinkable: Who Survives When Disaster Strikes — and Why, ha estudiado cómo reaccionan las personas ante situaciones extremas: incendios, accidentes, desastres naturales, ataques terroristas. Una de sus conclusiones más poderosas es que las personas y organizaciones que han ensayado antes responden mejor cuando ocurre lo impensable. El cerebro no improvisa bien bajo presión; necesita haber pasado antes, aunque sea en simulación, por una versión controlada del caos.

Esto aplica igual para una evacuación que para una cibercrisis.

Cuando una empresa nunca ha simulado un hackeo, la primera reacción suele ser confusa: ¿quién decide?, ¿quién informa al director general?, ¿quién habla con legal?, ¿qué se puede decir públicamente?, ¿qué no?, ¿apagamos sistemas?, ¿pagamos?, ¿llamamos al seguro?, ¿notificamos a la autoridad?, ¿qué pasa si la información robada aparece en internet?

La crisis no espera a que la organización se ponga de acuerdo.

Por eso, prepararse no significa vivir con miedo. Significa reducir la improvisación cuando más caro sale improvisar.

Esto ya está pasando. También en México.

Los ataques no son una amenaza abstracta ni un problema reservado para bancos, tecnológicas o grandes corporativos internacionales. La información que circuló recientemente sobre el presunto ataque de ransomware a Grupo MINSA —atribuido al grupo BASHE y con más de 41 mil archivos supuestamente comprometidos— muestra el tipo de exposición que una organización puede enfrentar cuando un incidente técnico escala hacia una dimensión pública, reputacional, política, contractual y financiera.

Al tratarse de información difundida en canales públicos y no de una confirmación oficial completa, conviene leerla como un ejemplo de riesgo reputacional y no como una conclusión cerrada sobre responsabilidades.

Ese es justamente el punto: cuando ocurre un incidente de este tipo, ya no se discute únicamente si hubo una vulnerabilidad técnica. Se discute qué información pudo quedar expuesta, qué obligaciones legales existen, qué impacto financiero puede tener, qué narrativa se instala públicamente y qué tan preparada estaba la empresa para responder.

La pregunta deja de ser: “¿quién arregla el sistema?”
La pregunta real es: “¿quién lidera la respuesta?”

¿Por qué el hackeo no es solo un tema de IT?

Porque IT puede contener, investigar y recuperar sistemas, pero no puede decidir solo sobre el negocio completo.

El equipo técnico puede decir qué se sabe, qué se sospecha, qué sistemas están comprometidos, qué datos pudieron salir, qué riesgos siguen activos y qué opciones existen para contener el daño. Pero las decisiones que vienen después cruzan toda la organización.

Si se detiene la operación, alguien debe medir el impacto en clientes, ventas, entregas o producción.

Si hay datos personales, alguien debe evaluar obligaciones legales y regulatorias.

Si hay extorsión, alguien debe analizar implicaciones financieras, legales y reputacionales.

Si el caso se vuelve público, alguien debe cuidar la comunicación con clientes, empleados, medios, autoridades y socios.

Si el Board pregunta qué pasó, alguien debe explicar no solo la causa técnica, sino las decisiones tomadas, los riesgos asumidos y el plan de recuperación.

Por eso, la ciberseguridad ya no puede gestionarse desde una sola silla. Un ciberataque puede comenzar como un incidente técnico, pero se convierte rápidamente en una crisis de negocio si la empresa no sabe decidir, coordinarse, documentar, comunicar y recuperar la operación.

¿Quién debe estar en la mesa durante una cibercrisis?

Dirección General: porque alguien tiene que liderar la decisión

El CEO o Director General no necesita saber configurar un firewall. Pero sí necesita saber qué preguntar, cuándo escalar, cuándo activar al Board, qué riesgos aceptar y qué decisiones no puede delegar.

En una crisis cibernética, la dirección general marca el ritmo. Si minimiza el problema, la organización se paraliza. Si sobrerreacciona, puede aumentar el daño. Si no entiende la dimensión del incidente, puede tomar decisiones tardías o mal informadas.

Su rol no es técnico. Es de liderazgo, priorización y responsabilidad.

Tecnología / CISO / CIO: porque sin diagnóstico técnico se decide a ciegas

El área tecnológica es indispensable. Es quien entiende el incidente, identifica el alcance, coordina la contención, preserva evidencia técnica, evalúa la recuperación y traduce lo que está ocurriendo a lenguaje ejecutivo.

Pero esa traducción es clave. En una crisis, no sirve entregar solo jerga técnica. La dirección necesita saber: qué está comprometido, qué tan grave es, qué opciones existen, cuánto tiempo tomará recuperar, qué riesgos implica cada camino y qué decisiones requieren aprobación ejecutiva.

El CISO o CIO no solo “arregla”. También informa, prioriza y ayuda a que la empresa decida con criterio.

Finanzas / CFO: porque todo incidente tiene impacto económico

Un ataque puede detener ventas, producción, facturación, logística o atención a clientes. Puede activar penalizaciones contractuales, reclamaciones, costos de recuperación, consultores externos, seguros, multas o pérdida de ingresos.

El CFO debe estar en la mesa porque muchas decisiones tienen impacto financiero inmediato: cuánto cuesta detener la operación, cuánto cuesta recuperar, qué cubre el seguro, qué liquidez se necesita, qué exposición existe ante clientes o inversionistas, qué impacto tendrá en P&L y qué decisiones deben documentarse.

En un ransomware, incluso la pregunta sobre pagar o no pagar un rescate no es solo técnica. Es financiera, legal, reputacional y ética.

Legal / Compliance: porque una mala decisión puede perseguir a la empresa después

Cuando hay datos comprometidos, contratos afectados, evidencia digital, proveedores involucrados o posibles delitos, el equipo legal no puede entrar al final.

Debe estar desde el inicio.

Legal ayuda a preservar evidencia, definir obligaciones de notificación, coordinar con autoridades, evaluar responsabilidad contractual, proteger privilegio legal, preparar documentación y evitar que una decisión tomada bajo presión se convierta después en un problema regulatorio o judicial.

Muchas organizaciones tienen equipos técnicos, pero no siempre tienen claridad jurídica sobre qué hacer ante una brecha, cómo documentar, cuándo notificar o cómo coordinarse con autoridades.

Comunicación / PR: porque el silencio también comunica

En una cibercrisis, la narrativa empieza antes de que la empresa esté lista.

Puede empezar con un cliente que no puede entrar a una plataforma. Con un colaborador que filtra un rumor. Con una publicación en redes. Con un periodista que pregunta. Con un atacante que amenaza con publicar información.

Comunicación debe estar en la mesa porque la confianza también se gestiona en tiempo real. No se trata de maquillar el problema ni de decir más de lo que se sabe. Se trata de comunicar con precisión, velocidad y responsabilidad.

Qué se dice, cuándo se dice, quién lo dice y a quién se le dice puede marcar la diferencia entre una crisis contenida y una pérdida prolongada de confianza.

Operaciones: porque recuperar no es solo prender sistemas

Si la empresa produce, distribuye, vende, atiende pacientes, mueve inventario o presta servicios críticos, operaciones debe estar involucrado.

Una cosa es recuperar un sistema. Otra es recuperar la operación.

Operaciones ayuda a decidir qué procesos deben priorizarse, qué áreas pueden funcionar en modo contingencia, qué clientes son críticos, qué entregas están en riesgo y qué nivel de interrupción es tolerable.

Sin operaciones, la respuesta puede ser técnicamente correcta pero empresarialmente insuficiente.

El valor de simular antes de vivirlo

La peor forma de descubrir que tu equipo no sabe responder a una crisis es durante la crisis.

Por eso los simulacros importan. No porque reproduzcan al 100% lo que va a pasar, sino porque obligan a la organización a ensayar lo que casi nunca se conversa con suficiente seriedad:

• •quién decide,
• •quién informa,
• •quién documenta,
• •quién comunica,
• •quién autoriza,
• •quién contiene,
• •quién habla con clientes,
• •quién llama a legal,
• •quién activa el seguro,
• •quién reporta al Board,
• •y quién sostiene la operación mientras todo ocurre.

Los programas y eventos de simulación tienen valor precisamente porque convierten una conversación abstracta en una experiencia concreta. La simulación permite que los equipos vivan presión real en un entorno controlado, tomen decisiones con información incompleta y reciban retroalimentación inmediata.

No se trata de asustar. Se trata de practicar.

Como en los simulacros de incendio, como en los entrenamientos de pilotos, como en cualquier disciplina donde el error en vivo puede costar demasiado, la preparación existe para que el primer contacto con la crisis no sea el día de la crisis.

La pregunta que toda empresa debería hacerse

No es: “¿nos pueden hackear?”
Esa respuesta, para cualquier empresa conectada, es sí.

La pregunta útil es otra:

Si mañana nos hackean, ¿sabemos quién se sienta en la mesa, qué decide cada persona y qué hacemos durante las primeras horas?

Si la respuesta no es clara, todavía hay trabajo por hacer.

Y ese trabajo no empieza comprando más herramientas. Empieza construyendo criterio, protocolos, coordinación y práctica.

Porque un ciberataque puede empezar en sistemas.
Pero la diferencia entre un incidente controlado y una crisis mayor suele estar en otro lugar: en la capacidad de la organización para decidir junta, bajo presión y antes de que sea demasiado tarde.