Experto Antifraude

Auditoría de TI

El poder del modelo Porter aplicado a la ciberseguridad

Detalles
Categoría de nivel principal o raíz: Blog
TI

Por: Equipo Auditool

Las cinco fuerzas de Porter revelan lo que no viste

Imagina esta situación: Son las 3:00 AM y recibes una llamada urgente. El director de tecnología de tu empresa cliente te informa que han sufrido un ataque cibernético masivo. Millones de datos de clientes han sido robados y las noticias ya están circulando. Lo peor de todo: hace apenas dos meses completaste una auditoría de ciberseguridad donde todo parecía estar "bajo control".

¿Qué fue lo que no viste? ¿Cómo es posible que todos los sistemas de seguridad estuvieran funcionando correctamente, pero la empresa seguía siendo vulnerable?

La respuesta la encontramos en una herramienta que Michael Porter creó hace décadas para analizar la competencia en los negocios, pero que nadie está usando para entender la ciberseguridad: las cinco fuerzas que realmente determinan si una organización puede ser atacada exitosamente.

Por qué las auditorías tradicionales de ciberseguridad no son suficientes

Cuando la mayoría de auditores revisamos la ciberseguridad de una empresa, seguimos siempre los mismos pasos:

✅ Verificamos que existan políticas de seguridad escritas

✅ Revisamos que los sistemas estén configurados correctamente

✅ Comprobamos que solo las personas autorizadas tengan acceso

✅ Validamos que existan sistemas para detectar problemas

✅ Confirmamos que haya planes para responder a emergencias

El problema es que esto es como revisar que una casa tenga buenas cerraduras, pero sin preguntarnos quién quiere entrar, por qué quieren hacerlo, qué tan determinados están, y qué recursos tienen para lograrlo.

La ciberseguridad no es solo un tema de tecnología. Es un tema de entender el "ecosistema" completo donde opera la empresa.

Las cinco fuerzas de Porter explicadas para ciberseguridad

Michael Porter identificó cinco fuerzas que determinan qué tan competitiva es una empresa en su mercado. Nosotros vamos a usar estas mismas fuerzas para entender qué tan vulnerable es una organización a los ciberataques.

Fuerza #1: La amenaza de nuevos atacantes

En los negocios normales: ¿Qué tan fácil es que nuevas empresas compitan contra nosotros?

En ciberseguridad: ¿Qué tan fácil es que nuevos grupos de criminales digitales nos elijan como objetivo?

Las preguntas que deberías hacer en tu auditoría:

  • ¿Qué tan "atractiva" es nuestra empresa para los criminales digitales?
  • ¿Hemos estado en las noticias por crecimiento, ganancias o nuevos productos?
  • ¿Trabajamos en una industria que está "de moda" para los atacantes?
  • ¿Estamos creciendo tan rápido que nuestras defensas no pueden seguir el ritmo?

Por qué esto es importante: Cada vez es más fácil convertirse en criminal digital. Existen "servicios de crimen" donde cualquier persona puede contratar un ataque sin saber de tecnología, igual que contratas un taxi sin saber manejar.

Ejemplo práctico: Una empresa de tecnología financiera celebró públicamente haber alcanzado 100,000 clientes. Pocas semanas después sufrió su primer ataque serio. La celebración los había puesto en el "radar" de grupos criminales que antes los consideraban muy pequeños para atacar.

Qué buscar como auditor:

  • Menciones de la empresa en noticias positivas
  • Crecimiento rápido en ventas o usuarios
  • Nuevos productos o servicios que manejen dinero o datos sensibles
  • Presencia en redes sociales que muestre éxito empresarial

Fuerza #2: El poder de los proveedores tecnológicos

En los negocios normales: ¿Qué tan dependientes somos de nuestros proveedores principales?

En ciberseguridad: ¿Qué tan vulnerables somos a través de las empresas que nos brindan servicios tecnológicos?

Las preguntas que deberías hacer en tu auditoría:

  • ¿Tenemos una lista completa de TODAS las empresas que nos dan servicios tecnológicos?
  • ¿Sabemos qué tan seguras son las empresas de las que dependemos?
  • ¿Qué pasaría si la empresa que maneja nuestra página web o nuestros correos fuera atacada?
  • ¿Tenemos alternativas si nuestro proveedor principal tiene problemas?

Por qué esto es crítico: Los atacantes han descubierto que es más fácil atacar a una empresa pequeña que presta servicios a muchas empresas grandes, que atacar directamente a las empresas grandes.

El error más común: Solo revisar las empresas que tienen acceso directo a nuestros sistemas, pero no revisar a los "proveedores de nuestros proveedores".

Ejemplo práctico: Una empresa de contabilidad fue atacada porque sus clientes usaban un software de nóminas que había sido comprometido. El ataque no vino directamente hacia ellos, sino a través de una cadena de proveedores.

Qué buscar como auditor:

  • Lista completa de proveedores tecnológicos (no solo los grandes)
  • Contratos que incluyan responsabilidades de seguridad
  • Planes de contingencia si un proveedor falla
  • Evaluaciones de seguridad de proveedores críticos

Fuerza #3: La presión de clientes e inversores

En los negocios normales: ¿Qué tan exigentes son nuestros clientes y qué tanto pueden influir en nuestras decisiones?

En ciberseguridad: ¿Qué presiones externas nos llevan a tomar decisiones que, sin darnos cuenta, reducen nuestra seguridad?

Las preguntas que deberías hacer en tu auditoría:

  • ¿Los clientes nos presionan para implementar cosas rápidamente, sin tiempo suficiente para hacerlo de forma segura?
  • ¿Los inversores o dueños priorizan crecer rápido sobre invertir en seguridad?
  • ¿Las regulaciones nos obligan a enfocarnos en "cumplir requisitos" en lugar de estar realmente seguros?
  • ¿La presión por innovar nos hace adoptar tecnologías nuevas antes de que sean seguras?

Por qué esto es peligroso: Muchas veces las empresas toman decisiones que las hacen menos seguras, no porque quieran, sino porque sienten presión externa.

Ejemplo práctico: Una tienda en línea redujo los pasos de seguridad para iniciar sesión porque los clientes se quejaban de que era "muy complicado comprar". Meses después, miles de cuentas de clientes fueron robadas en un ataque automatizado.

La trampa del cumplimiento: Muchas empresas se sienten seguras porque cumplen con ISO 27001, SOX o GDPR, pero estos marcos fueron diseñados para los riesgos de hace varios años, no para las amenazas de hoy.

Qué buscar como auditor:

  • Proyectos implementados con plazos muy ajustados
  • Decisiones de seguridad influenciadas por quejas de usuarios
  • Métricas que priorizan velocidad sobre seguridad
  • Cumplimiento regulatorio sin análisis de riesgos actual

Fuerza #4: La amenaza de nuevas tecnologías

En los negocios normales: ¿Qué nuevas tecnologías podrían hacer obsoleto nuestro producto?

En ciberseguridad: ¿Qué cambios tecnológicos están creando nuevas formas de atacar que nuestros sistemas de defensa actuales no pueden detener?

Las preguntas que deberías hacer en tu auditoría:

  • ¿Cómo están cambiando las tecnologías en nuestra industria?
  • ¿Nuestros sistemas de seguridad actuales funcionarán contra los ataques del próximo año?
  • ¿Estamos preparados para nuevos riesgos como inteligencia artificial maliciosa?
  • ¿Qué tan rápido podemos adaptar nuestras defensas cuando aparecen nuevas amenazas?

El gran desafío: La tecnología avanza muy rápido, pero los sistemas de seguridad cambian muy lentamente.

Ejemplos de cambios que están creando nuevos riesgos:

  • Inteligencia artificial: Ahora los correos de estafa son casi imposibles de distinguir de los reales
  • Videos falsos: Los entrenamientos tradicionales sobre fraude ya no son suficientes
  • Dispositivos conectados: Cada nuevo dispositivo "inteligente" es una puerta de entrada potencial

Qué buscar como auditor:

  • Adopción de nuevas tecnologías sin evaluación de seguridad
  • Sistemas de detección que solo reconocen ataques del pasado
  • Falta de planes para actualizar defensas
  • Personal que no está entrenado en nuevas amenazas

Fuerza #5: Los competidores directos (atacantes específicos)

En los negocios normales: ¿Qué tan intensa es la competencia en nuestro mercado?

En ciberseguridad: ¿Quiénes son los grupos específicos que tienen razones particulares para atacarnos y qué tan capaces son?

Las preguntas que deberías hacer en tu auditoría:

  • ¿Quiénes serían nuestros atacantes más probables y por qué nos atacarían?
  • ¿Qué tan sofisticados son los atacantes que típicamente van tras empresas como la nuestra?
  • ¿Somos un objetivo más atractivo que nuestros competidores?
  • ¿Cómo se comparan nuestras defensas con las de empresas similares?

Los tres tipos principales de atacantes:

  1. Criminales organizados: Quieren dinero y van tras empresas que manejan pagos o datos valiosos
  2. Activistas digitales: Atacan por causas ideológicas (ambientales, políticas, sociales)
  3. Gobiernos extranjeros: Buscan información estratégica o ventajas económicas

Ejemplo práctico: Una empresa farmacéutica que desarrollaba vacunas recibió ataques simultáneos de tres tipos: criminales buscando dinero, activistas anti-vacunas, y gobiernos extranjeros buscando robar fórmulas.

Qué buscar como auditor:

  • Análisis de qué tipo de atacantes serían atraídos por la empresa
  • Comparación de defensas con empresas similares
  • Inteligencia sobre amenazas específicas del sector
  • Preparación para diferentes tipos de motivaciones de ataque

Cómo aplicar las cinco fuerzas en tu próxima auditoría

Paso 1: Evalúa cada fuerza

Para cada una de las cinco fuerzas, haz dos preguntas simples:

Fuerza¿Qué tan fuerte es esta amenaza? (1-5)¿Qué tan preparados estamos? (1-5)¿Es un riesgo alto?
Nuevos atacantes ¿Somos un objetivo atractivo? ¿Podemos detectar nuevas amenazas? Sí/No
Poder de proveedores ¿Dependemos mucho de terceros? ¿Controlamos estos riesgos? Sí/No
Presión externa ¿Hay presiones que afectan seguridad? ¿Balanceamos seguridad y negocio? Sí/No
Nuevas tecnologías ¿Cambia rápido nuestro entorno? ¿Nos adaptamos rápido? Sí/No
Atacantes específicos ¿Hay grupos que nos ven como objetivo? ¿Estamos preparados para ellos? Sí/No

 

Paso 2: Identifica los puntos ciegos

Para cada fuerza que marcaste como "riesgo alto", pregúntate:

  • ¿Qué estamos haciendo actualmente para manejar esto?
  • ¿Qué NO estamos viendo o monitoreando?
  • ¿Qué información nos falta para tomar mejores decisiones?

Paso 3: Crea recomendaciones específicas para cada fuerza

Para nuevos atacantes:

  • Monitorear menciones de la empresa en sitios donde se planean ataques
  • Evaluar qué tan "atractivos" somos como objetivo
  • Crear programas que recompensen a personas que encuentren vulnerabilidades

Para poder de proveedores:

  • Hacer una lista completa de todos los proveedores tecnológicos
  • Evaluar la seguridad de proveedores críticos
  • Tener planes de respaldo si un proveedor falla

Para presión externa:

  • Crear métricas que muestren el valor de la seguridad al negocio
  • Diseñar procesos que sean seguros desde el inicio
  • Educar a los tomadores de decisiones sobre riesgos

Para nuevas tecnologías:

  • Estar al día con nuevas amenazas en la industria
  • Entrenar al equipo en nuevas técnicas de ataque
  • Poder responder rápidamente a amenazas emergentes

Para atacantes específicos:

  • Identificar qué grupos probablemente nos atacarían
  • Buscar proactivamente señales de estos ataques
  • Compartir información de amenazas con empresas similares

Por qué este enfoque cambia todo

La ciberseguridad ya no es solo un problema de tecnología. Es un tema de estrategia de negocio.

Los auditores que solo revisen aspectos técnicos serán como contadores que solo saben sumar números, pero no entienden las finanzas del negocio.

Las empresas necesitan auditores que entiendan:

  • Cómo las condiciones del mercado afectan los riesgos de ciberseguridad
  • Por qué algunas industrias son más atacadas que otras
  • Cómo las decisiones de negocio pueden crear o reducir riesgos cibernéticos
  • Qué significa tener ventaja competitiva en un mundo donde la ciberseguridad es parte de la estrategia

Pregunta para reflexionar: Si tu reputación profesional dependiera de qué tan bien predices los riesgos de ciberseguridad, ¿confiarías en una auditoría que solo revisa aspectos técnicos?

La próxima vez que recibas esa llamada a las 3:00 AM sobre un ataque "imposible de predecir", sabrás exactamente cuál de las cinco fuerzas no evaluaste correctamente.

¿Has usado este enfoque en alguna auditoría? Comparte tu experiencia en los comentarios y cuéntanos qué fuerza reveló los riesgos más sorprendentes.

Auditool - Ayudando a auditores a pensar estratégicamente sobre ciberseguridad

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado