Transparencia verificable: El nuevo termómetro de la ciberseguridad empresarial

Un estudio independiente analizó a 14 proveedores globales de ciberseguridad y descubrió que, aunque todos cumplen con las normativas básicas, muy pocos permiten verificar de forma técnica lo que hacen con los datos corporativos. La brecha entre lo prometido y lo demostrable se ha convertido en una señal de riesgo, y pocos jugadores avanzan en esa dirección.

Cuando una empresa latinoamericana busca una solución o un proveedor de ciberseguridad, suele centrarse en tasas de detección, certificaciones y compatibilidad técnica. El proceso de evaluación todavía se apoya en cuestionarios detallados que los proveedores rellenan con certificaciones de cumplimiento.

Pocas organizaciones van más allá y se preguntan si pueden verificar, de forma independiente, lo que esas soluciones de software hacen con sus datos una vez instaladas.

El informe Transparency Review and Accountability in Cyber Security (TRACS) 2025, encargado por la Cámara de Comercio del Tirol (WKO) de Austria, ejecutado por MCI – The Entrepreneurial School y AV‑Comparatives, y con verificación legal de Studio Legale Tremola, analizó 14 productos de seguridad empresarial con presencia global.

Índice

Metodología dual del estudio

Lo que diferencia a TRACS de un benchmark convencional es su enfoque dual. Por un lado, un equipo legal revisó los contratos de licencia (EULA), las políticas de privacidad, los acuerdos de procesamiento de datos, las certificaciones vigentes y los compromisos públicos de cada proveedor. Por otro, un equipo técnico instaló cada producto en un entorno de laboratorio controlado, capturó todo el tráfico de red entrante y saliente –incluyendo, cuando fue posible, la inspección de tráfico cifrado con TLS– y comparó lo observado con lo declarado por los proveedores en sus documentos.

En este contexto, transparencia no significa simplemente publicar promesas de cumplimiento, sino permitir que clientes, auditores o reguladores contrasten con evidencia cómo se manejan los datos, qué se transmite, cómo se actualiza el software y qué es realmente auditable.

Puntos Clave
  • El informe TRACS 2025 evaluó 14 proveedores globales de ciberseguridad
  • Aunque todos cumplen con normativas básicas, muy pocos permiten verificar técnicamente el manejo de datos corporativos
  • El estudio usó una metodología dual: revisión legal de contratos y políticas, y pruebas técnicas en laboratorio con captura de tráfico, incluso inspección de TLS
  • La falta de verificabilidad independiente se considera una señal de riesgo, y la mayoría de empresas latinoamericanas aún se basa solo en cuestionarios y certificaciones sin auditorías reales.

Hallazgos principales

Transparencia verificable: El nuevo termómetro de la ciberseguridad empresarial
  • Todos los proveedores cumplen lo básico –GDPR e ISO 27001–, pero la transparencia verificable es excepcionalmente escasa.
  • Se identificaron discrepancias relevantes entre lo que varios proveedores declaran en sus documentos contractuales y lo que sus productos realmente transmiten en operación.
  • Los 14 productos son propietarios y de código cerrado; sus licencias prohíben expresamente la ingeniería inversa.
  • Solo tres proveedores –Cisco, Kaspersky y Microsoft– operan centros de transparencia para sus clientes empresariales o entidades autorizadas, aunque con alcances diferentes. Microsoft limita el acceso a agencias gubernamentales, Cisco mantiene un alcance acotado y Kaspersky permite examinar código fuente, mecanismos de actualización y procesos de gestión de datos a través de 13 centros ubicados en ciudades como Bogotá, São Paulo, Zürich, Tokio y Seúl.
  • En cuanto a la transparencia de la cadena de suministro de software, la situación tampoco es favorable. Aunque la mayoría reconoce el uso de componentes de código abierto, solo Cisco, Kaspersky y Sophos publican listas de materiales de software (SBOM).
  • Respecto a los resultados de auditorías de seguridad, solo Sophos los publica en su sitio web; los demás (Broadcom, Check Point, Cisco, Kaspersky, Microsoft y Webroot) entregan informes completos a quien los solicite.

Recomendaciones para responsables de seguridad

TRACS no es un ranking de productos ni pretende medir la eficacia total de las soluciones frente a amenazas reales; su foco está en cuánto de lo que promete un proveedor puede ser verificado. En ese sentido, el estudio ofrece criterios concretos para CISO y responsables de compras empresariales:

  • Incluir la verificabilidad de la transparencia como un indicador clave al evaluar proveedores.
  • Solicitar acceso a centros de transparencia o a pruebas independientes que demuestren el manejo de datos y actualizaciones.
  • Exigir la publicación de SBOM y la disponibilidad de resultados de auditorías de seguridad, al menos bajo solicitud.
  • Combinar la evaluación de certificaciones con pruebas técnicas que confirmen la ausencia de transmisión de datos no autorizada.
  • Documentar y exigir cláusulas contractuales que permitan auditorías externas y establezcan mecanismos de respuesta ante hallazgos de opacidad operativa.

Para las empresas latinoamericanas, que enfrentan crecientes exigencias regulatorias, presión reputacional y amenazas digitales cada vez más sofisticadas, este cambio de paradigma representa una oportunidad concreta: profesionalizar la selección de proveedores. La evaluación ya no debe limitarse a revisar certificaciones o promesas comerciales, sino que también debe exigir evidencias, trazabilidad y condiciones reales de verificación.

Javier Mendoza Silva
Javier Mendoza Silva Periodista

Licenciado en Comunicación Social con mención en Periodismo por la Universidad Central de Venezuela. Tiene 12 años de experiencia en cobertura de política nacional y conflictos sociales, con enfoque en derechos humanos. Ha trabajado para medios impresos, digitales y radiofónicos en Latinoamérica.

Vota post
Mira tambien:
Roberto Suzuki: no intenten implementar la ciberseguridad en OT como lo hacen en TIRoberto Suzuki: no intenten implementar la ciberseguridad en OT como lo hacen en TI
¡La Mejor Hora para Publicar en TikTok y Maximizar tu Alcance!
¡Ventajas y Desventajas de TikTok: ¡Descubre la Verdad!
¡Ventajas y Desventajas de Facebook: ¡Descubre la Verdad!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir