Enlaces rápidos

    Hay una escena que se repite cada diciembre con una naturalidad que casi nadie cuestiona. El CEO activa su mensaje de fuera de oficina. El CEO cierra el año y se toma unos días. El consejo entra en pausa hasta enero. Los comités se reprograman “para después de fiestas”. No es negligencia; es cultura corporativa. El negocio, al menos en apariencia, entra en un compás de espera.

    El problema es que los ciberincidentes no entienden de calendarios ni respetan periodos vacacionales.

    Lo he visto más de una vez. La llamada llega a mitad de la mañana, en la última semana del año. No es una alerta técnica ni un tablero en rojo. Es una situación real que requiere activar respuesta a incidentes y manejo de crisis. Y es justo ahí donde aparece el verdadero problema: alguien tiene que decidir. Autorizar. Comunicar. Asumir el costo. Y no encontramos a nadie.

    La pregunta que surge no es técnica, es incómoda: “¿Quién puede autorizar esto ahora mismo?”. A veces ni siquiera hay un ataque confirmado, solo indicios suficientes para no quedarse inmóvil. Pero el riesgo deja de ser tecnológico para volverse decisional. No está claro quién manda, quién comunica ni quién asume el peso de una decisión cuando los titulares no están.

    Este riesgo no afecta a todos los negocios por igual. Hay industrias que, por su naturaleza, se vuelven especialmente vulnerables en estos periodos: aquellas que dan servicio continuo y las que están directamente conectadas con flujos de dinero. Pagos, transacciones, comercio, logística, plataformas digitales, servicios financieros. Justo cuando la operación no puede detenerse, la estructura de decisión suele estar más fragmentada.

    Infórmate: Brasil gana a México en inversión de publicidad digital

    En México y en varios países de América Latina esto no ocurre solo en diciembre. Semana Santa, Buen Fin, Black Friday o fines de semana largos repiten el mismo patrón: mayor exposición operativa, mayor sensibilidad reputacional y menor disponibilidad de tomadores de decisión. No es una anomalía; es un ciclo conocido.

    A veces alguien pregunta: “¿Sabes cuándo es el momento en que existe más probabilidad de ser atacado?”. No me refiero a campañas masivas de ransomware, que no discriminan fechas. Me refiero a los momentos donde el negocio baja la guardia, donde las jerarquías se relajan y donde decidir cuesta más trabajo que postergar.

    En los comités, la ciberseguridad suele presentarse como un tema ordenado: responsables definidos, reportes claros, rutas de escalamiento. Pero en vacaciones esa arquitectura se vuelve frágil. Las responsabilidades formales siguen ahí, pero la autoridad real se diluye. Nadie quiere “molestar” al CEO. Nadie quiere tomar una decisión que pueda ser cuestionada en enero. Y mientras tanto, el tiempo corre.

    Desde la perspectiva de quienes lideran ciberseguridad y tecnología, diciembre es un mes extraño. La responsabilidad sigue intacta, pero el respaldo ejecutivo no siempre es explícito. Existen protocolos, sí, pero no siempre hay patrocinio claro para activarlos sin generar fricción. El dilema es silencioso: actuar con firmeza y parecer alarmista, o esperar y confiar en que “seguro no pasa nada” hasta que regresen los decisores.

    Y el problema no termina en casa. Tu proveedor también se va de vacaciones. A veces sin dejar a nadie claramente designado. A veces asumiendo que “si pasa algo, vemos después”. La cadena de suministro entra en el mismo modo pausa, aunque el impacto potencial no se detenga con ella.

    Conviene decirlo con claridad: esta no es una columna para justificar que los equipos técnicos no tomen vacaciones. Que tengan buenas vacaciones. El descanso no es el problema. El problema es delegar el riesgo al calendario. Pretender que la ciberseguridad aguante porque es diciembre, porque es temporada alta o porque “nunca pasa nada” en esas fechas es una decisión estratégica, aunque rara vez se reconozca como tal.

    Te puede interesar: México logra superávit comercial de 663 millones de dólares en noviembre

    El negocio, mientras tanto, está enfocado en otra lógica. Cierres, inventarios, bonos, metas cumplidas. La continuidad se da por sentada. Cuando se habla de riesgo, se habla en abstracto: “si algo pasa, reaccionamos”. Pero reaccionar implica decidir. Y decidir implica asumir consecuencias, incluso cuando los líderes están fuera.

    En organizaciones grandes, este problema se amplifica. En PYMES, se vuelve crítico. Proveedores con equipos mínimos, responsables únicos que se desconectan por completo, decisiones que se postergan porque “nadie quiere quedar mal”. Y, sin embargo, el impacto no se queda ahí: escala hacia clientes, socios y marcas que sí están bajo escrutinio público.

    Aquí es donde la conversación suele incomodar al consejo. Porque no se trata de comprar más herramientas ni de pedir más reportes, sino de aceptar una realidad menos cómoda: la ciberseguridad pone a prueba la capacidad de decidir cuando no es el momento ideal para hacerlo. Y los periodos vacacionales, lejos de ser una excepción, son el escenario donde esa debilidad se vuelve más visible.

    En más de una simulación ejecutiva, cuando el escenario ocurre en vacaciones, el silencio inicial dice más que cualquier diagnóstico. “¿A quién llamaríamos?”, “¿tenemos autorización para esto?”, “¿quién habla con el regulador si el responsable está fuera?”. No son preguntas técnicas. Son preguntas de gobierno corporativo.

    La solución no es heroísmo ni vigilancia permanente. A veces basta algo mucho más simple: dejar un protocolo claro para estos periodos. No un manual técnico, sino una definición mínima de quién puede tomar las riendas cuando nadie quiere hacerlo. Esa claridad, en medio del silencio, marca toda la diferencia.

    Diciembre, paradójicamente, es uno de los mejores momentos para hacerse esa pregunta. Porque el silencio, las ausencias y las transiciones no son una excepción; son parte normal de cualquier organización. Y la ciberseguridad, vista desde la estrategia, no trata de evitar que algo pase, sino de asegurar que, pase lo que pase, alguien pueda decidir a tiempo.

    Lo verdaderamente inquietante no es que ocurra un ciberincidente durante las vacaciones.

    Es descubrir, demasiado tarde, que todos asumieron que alguien más iba a decidir.

    Saludos desde mis vacaciones, pero junto al teléfono por si hay un incidente que termina en crisis.

    Sobre el autor:

    Correo: [email protected]

    LinkedIn: https://www.linkedin.com/in/andresvelazquez/

    Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

    Síguenos en Google Noticias para mantenerte siempre informado