La ciberseguridad en consumo masivo dejó de ser un tema reservado al área de sistemas. En 2026, según PwC, el 76% de las compañías globales de consumer markets planea aumentar su presupuesto de ciberseguridad, mientras que en retail casi el 68% de los ejecutivos espera desplegar IA agéntica en actividades operativas y empresariales durante los próximos 12 a 24 meses. El dato importa porque muestra que la digitalización comercial sigue acelerándose, al mismo tiempo que se amplía la superficie de ataque.
La discusión pasa por sostener la operación. El Foro Económico Mundial (WEF) advierte que el fraude cibernético ya es la principal preocupación de los CEO consultados y que el 65% de las grandes compañías identifica a los terceros y a la cadena de suministro como sus mayores barreras para construir resiliencia.
KPMG, en paralelo, detectó que el 53% de las organizaciones afirma tener una integración mayoritaria entre la gestión de riesgos de terceros y la gestión de riesgos empresariales, pero solo el 18% afirma haber logrado una integración completa.
Ese cruce explica por qué el consumo masivo enfrenta una presión particular. Plantas, centros de distribución, ecommerce, puntos de venta, CRM, programas de fidelización, accesos remotos, integraciones con terceros y más decisiones tomadas con datos en tiempo real forman parte de una misma cadena. Si uno de esos eslabones cae, el impacto puede:
- Frenar ventas
- Demorar entregas
- Afectar acuerdos con proveedores
- Erosionar la confianza de clientes y socios
A ese escenario se suma una capa que gana peso en las compañías más industrializadas del sector: la conexión en tiempo real entre planta y negocio. En ese punto, Ricardo Lavergne, CINO de IMHOIT, advirtió que “ya no se trata solo de proteger sistemas o bases de datos, sino de evitar alteraciones en procesos físicos, errores de automatización, interrupciones productivas, fallas en mantenimiento, trazabilidad defectuosa o decisiones basadas en información incorrecta”.
PwC también detectó que las empresas de consumo masivo se sienten poco preparadas ante amenazas cloud, brechas de terceros y ataques contra productos conectados.
Washington Giacoya, CEO de ROISA Tech, afirmó en diálogo con Innovación Digital 360: “El mayor descalce no suele estar en un único punto, sino en la combinación de tres: identidades, configuraciones y monitoreo”. Su diagnóstico resume bien un problema cada vez más frecuente en el sector: el negocio se digitaliza rápido, pero la capacidad de controlarlo no siempre madura al mismo ritmo.
Índice de temas
¿Por qué la ciberseguridad en consumo masivo pasó a ser una cuestión de negocio?
La nueva presión sobre el sector nace de un cambio de escala. Deloitte detectó que la IA ya se está moviendo hacia el corazón de la operación del retail. Para el consumo masivo, eso implica más automatización, más dependencia de datos y más decisiones críticas corriendo sobre la infraestructura digital.
En ese contexto, Giacoya explicó que es muy peligroso tener el perímetro mal operado y los endpoints con poco control. Y fue más allá: “El problema no suele ser la falta de herramientas, sino la falta de visibilidad continua y correlación entre estos tres frentes”.
A su vez, Lucas Greco, director de Accsys, le comentó a Innovación Digital 360 que “la visibilidad centralizada hoy es fundamental”. Para el ejecutivo, en una empresa donde conviven operación física, logística, sucursales, canales digitales y terceros, “no tener una visión clara de la infraestructura y de los activos tecnológicos implica operar con puntos ciegos”. Esa falta de visibilidad, explicó, compromete la priorización de riesgos y la capacidad de respuesta.
En la misma línea, Diego Arias, director de Argensys IT Services, coincidió con ese punto de partida en conversación con ID360. “El principal riesgo es la falta de visibilidad”, afirmó. Y lo resumió en una frase que vale casi como una regla básica para cualquier director de sistemas del sector: “No podés proteger lo que no sabés que tenés”.
¿Dónde están hoy los puntos de exposición más críticos?
El primer gran foco está en las identidades. Según ROISA, ahí se concentra buena parte del acceso inicial silencioso:
- MFA incompleto o inconsistente
- Cuentas privilegiadas sin monitoreo
- Credenciales filtradas reutilizadas
- Integraciones SSO mal implementadas
- Accesos SaaS poco gobernados.
Giacoya explicó que ese cambio también se observa en cómo se investiga un incidente. “Pasamos del foco del malware al foco de comportamiento”, dijo. Hoy se prioriza detectar el uso anómalo de credenciales, la elevación de privilegios, los movimientos laterales y las combinaciones sospechosas entre usuario, endpoint y directorio activo.
El segundo frente es la operación del perímetro. Giacoya sostuvo que muchas veces falta disciplina operativa:
- Reglas temporales que quedan abiertas
- Cambios no documentados
- Puertos expuestos
- Accesos administrativos publicados por comodidad
- Poca visibilidad sobre configuraciones
No siempre falla la compra de tecnología; falla su operación continua.
Accsys lo vincula con la creciente complejidad de los entornos híbridos. Greco advirtió que “el principal riesgo es la fragmentación” cuando una empresa suma cloud pero mantiene su infraestructura histórica. Ahí empiezan a convivir entornos, herramientas y criterios distintos, y ese mosaico puede abrir vacíos de control en accesos, monitoreo y gestión.
El tercer frente aparece en los activos distribuidos. Ahí entran en juego las terminales en sucursales, los puestos en depósitos, los dispositivos en logística o los equipos que cumplen una función específica y quedan fuera del radar cotidiano del área de TI.
En las organizaciones que, además, avanzan en automatización y sensorización, aparece otro frente de exposición menos visible: la convergencia entre IT y OT. Lavergne lo resumió así: “El mayor desafío es integrar dos mundos que históricamente fueron diseñados con prioridades distintas”. Mientras IT suele priorizar la confidencialidad, la actualización y la estandarización, explicó, OT pone el foco en la disponibilidad, la continuidad y la seguridad del proceso físico.
Arias explicó que muchas compañías expandieron el ecommerce, las sucursales y los servicios en la nube sobre una base tecnológica heredada que no estaba diseñada para ese nivel de digitalización. Eso incrementa la superficie de ataque y arrastra limitaciones estructurales en la visibilidad, la segmentación y el monitoreo.
En ese terreno, Argensys insistió con otro principio. “La clave es no tratar la red como un bloque único”, sostuvo Arias. Oficinas, depósitos, puntos de venta y accesos remotos, planteó, tienen perfiles de riesgo distintos y deben segmentarse. Ese criterio también aparece en la guía de CISA para OT, que recomienda:
- El inventario de activos
- La clasificación por criticidad
- El monitoreo en tiempo real
- La revisión de puertos, protocolos y cuentas de usuario para construir arquitecturas más defendibles
La preocupación no es solo teórica. El IC3 del FBI recibió en 2025 más de 1.008.000 denuncias y reportó pérdidas por US$ 20.877 millones. Phishing/spoofing siguió entre las categorías con mayor volumen de denuncias, mientras que el fraude ciberhabilitado mantuvo un peso decisivo.
¿Por qué la continuidad operativa pesa tanto como la protección del dato?
En el consumo masivo, una intrusión se mide por lo que detiene. Giacoya fue terminante: “Siempre pesa mucho no tener un plan”. Según explicó, cuando una empresa no cuenta con un esquema claro de respuesta, el impacto se multiplica. Lo que con un plan puede resolverse en horas o en algunos días, sin él puede extenderse a semanas o incluso a meses.
El CEO de ROISA ordenó incluso las consecuencias más graves:
| Orden | Consecuencia grave | Descripción |
|---|---|---|
| 1 | Falta de un plan | La ausencia de un esquema claro de respuesta multiplica el impacto de un incidente. |
| 2 | Caída operativa | La interrupción de sistemas críticos puede frenar ventas, producción, logística o atención. |
| 3 | Afectación de la cadena comercial | El incidente puede impactar en proveedores, distribuidores, entregas y acuerdos comerciales. |
| 4 | Exposición de datos | En algunas industrias, la filtración o compromiso de información aparece como una consecuencia posterior. |
No es una jerarquía menor, ya que ubica a la resiliencia operativa como el verdadero núcleo del problema.
Ahora bien, en los entornos industriales digitalizados la discusión sobre datos también cambia de naturaleza. Lavergne remarcó que “la integridad de los datos pasa a ser determinante” porque de ella dependen las decisiones de producción, mantenimiento, abastecimiento, calidad y distribución. Y sintetizó el punto con una definición muy concreta: “Proteger la integridad del dato es proteger la calidad de la decisión”.
Argensys reforzó ese punto desde la trinchera técnica. Arias advirtió que muchas compañías cuentan con un backup, pero no saben realmente cuánto pueden tardar en restaurarlo, ya que no hacen pruebas periódicamente y no definen tiempos aceptables de recuperación para sus sistemas críticos. Por eso fue categórico: “La continuidad operativa no es una herramienta: es un proceso”.
Accsys llega a una conclusión similar desde la gestión. Greco sostuvo que la visibilidad sobre activos críticos, exposición y vulnerabilidades es la base para “proteger la continuidad operativa, reducir incertidumbre y sostener el negocio”. En su visión, cuando la ciberseguridad se integra a la planificación de infraestructura y continuidad, deja de tratarse como un tema aislado del área técnica.
¿Qué exige hoy una cadena comercial más conectada y dependiente de terceros?
La digitalización del consumo masivo incorporó más actores al ecosistema del negocio:
- Marketplaces
- Operadores logísticos
- Plataformas cloud
- Integradores
- Proveedores de software
- Partners de marketing
- Fintechs
- Servicios tercerizados que forman parte de la arquitectura cotidiana del negocio
Desde MIT también llegan señales en la misma dirección. Un trabajo del Centro de Transporte y Logística advirtió que los ciberataques están golpeando las cadenas de suministro y exponiendo vulnerabilidades ocultas precisamente en tecnologías diseñadas para aumentar la eficiencia, como el cloud, la robótica y los sistemas conectados. La recomendación es tratarlos como una función central de la supply chain y no como una preocupación secundaria del área de seguridad.
En Accsys, Greco conectó este fenómeno con un error muy común: abordar auditorías o requerimientos de compliance de forma aislada y reactiva. “El desafío no pasa solo por aprobar una revisión, sino por construir una estructura tecnológica y de seguridad coherente”, afirmó. Cuando eso no ocurre, la auditoría expone problemas de trazabilidad, gobierno y gestión.
ROISA observó algo similar al analizar terceros y cloud. Para Giacoya, el cloud y los terceros no siempre son el origen del problema, pero sí funcionan como amplificadores. Si ya existen debilidades, la expansión del ecosistema digital acelera la exposición.
En los proyectos de digitalización industrial, ese efecto amplificador también se observa cuando se conectan sensores, gateways, aplicaciones o accesos remotos sin una arquitectura de resguardo desde el inicio. Lavergne advirtió que “uno de los errores más frecuentes es digitalizar primero y gobernar después”.
¿Qué hoja de ruta mínima deberían priorizar las empresas medianas del sector?
La discusión suele desordenarse cuando se la plantea como una lista infinita de herramientas. En empresas medianas de consumo masivo, el camino inicial parece bastante más concreto. “Lo primero es contratar un recurso que entienda de seguridad y riesgo”, planteó Giacoya, ya sea interno o bajo la modalidad de vCISO. A partir de ahí, la prioridad debería ser comprender el negocio y mapear el riesgo operativo real.
Sobre esa base, ROISA propone cuatro pilares de corto plazo:
- Gestión de accesos
- Arquitectura de red y perímetro
- Resiliencia operativa
- Monitoreo con visibilidad
La secuencia importa porque busca ordenar primero aquello que más impacta en la continuidad del negocio.
Si la empresa, además, está avanzando en la digitalización industrial, IMHOIT propone ordenar esa hoja de ruta según una lógica específica. Lavergne sostuvo que “el primer paso debería ser obtener visibilidad real de los activos y de las conexiones entre ellos”, y recién después avanzar en la segmentación entre IT y OT y en el gobierno de accesos.
Accsys sumó a la protección inteligente del dato. Greco sostuvo que “el cifrado es una capa clave para reducir el riesgo de exposición”, pero advirtió que su valor real se manifiesta cuando forma parte de una estrategia más amplia de clasificación de la información y de políticas de resguardo según la criticidad y el impacto.
Argensys, en cambio, impulsó con fuerza la disciplina de diseño. Arias marcó que en proyectos de CRM o integraciones rápidas con ecommerce, ERP y marketing, el error más común es abrir permisos “para que funcione” y nunca revisarlos. Por eso dejó una definición tajante: “La seguridad no puede ser un parche posterior”.
El director de Argensys también puso el foco en la operación cotidiana. “El soporte diario es la primera línea de detección”, afirmó, porque muchas señales tempranas aparecen antes en tickets, fallas menores o comportamientos extraños que en un incidente declarado. La ciberseguridad no empieza solo en el SOC; también comienza en la gestión diaria.
Greco remarcó que cuando la ciberseguridad se integra a infraestructura, continuidad y crecimiento, sostuvo, “deja de ser vista únicamente como un costo defensivo y pasa a convertirse en un factor de confianza, resiliencia y sostenibilidad operativa”. En un sector donde cualquier interrupción pega directamente en ventas, reposición, logística y servicio, esa definición tiene un peso concreto.
La conclusión es menos técnica de lo que parece y, al mismo tiempo, más estratégica. La ciberseguridad en consumo masivo es una disciplina de negocio que hoy define si una empresa puede seguir vendiendo, distribuyendo, cobrando, reponiendo stock y sosteniendo la confianza de clientes y socios cuando todo su modelo comercial depende de sistemas, datos y conexiones cada vez más distribuidos.
