Hay una diferencia entre contratar un buen producto de ciberseguridad y tomar una buena decisión de contratación. La mayoría de los consejos solo hace lo primero.
Lo sé porque llevo más de dos décadas en incidentes donde esa diferencia termina importando. El producto tenía certificaciones. Tenía referencias. Llevaba años en el mercado. Y aun así, algo salió mal; no porque fuera un mal producto, sino porque nadie había evaluado cómo operaba dentro de la organización, cómo distribuía sus actualizaciones, cómo gestionaba sus propias vulnerabilidades, o qué tan accesible era la información necesaria para hacer esas preguntas.
Contratar algo bueno es necesario. No es suficiente.
La evaluación estándar de un producto de ciberseguridad gira alrededor de dos preguntas: ¿detecta bien las amenazas? y ¿tiene las certificaciones correctas? La primera se responde con pruebas comparativas independientes. La segunda, con ISO 27001 y SOC 2, las dos certificaciones más comunes en el mercado.
ISO 27001 audita si el proveedor tiene procesos de seguridad documentados, controles implementados y un ciclo de mejora continua. SOC 2 evalúa disponibilidad, confidencialidad e integridad del servicio. Ambas son señales útiles. Pero las dos miran hacia adentro del proveedor, sobre sus procesos internos, en un momento dado, bajo un alcance que el propio proveedor define.
Lo que ninguna mira es cómo opera ese producto dentro de tu empresa. ¿Cuándo fue la última vez que alguien en tu organización hizo esa pregunta?
CrowdStrike lo dejó claro en julio de 2024. Es una solución de detección y respuesta (EDR/XDR) instalada directamente en los dispositivos de la empresa, con acceso profundo al sistema operativo, que opera de manera continua y se actualiza de forma automática. Era uno de los mejor evaluados del mundo. Sus tasas de detección eran referencia. Sus certificaciones, impecables. Y una actualización distribuida de manera simultánea a millones de dispositivos dejó fuera de operación a aerolíneas, hospitales y bancos en cuestión de horas. El problema no fue su capacidad de protección. Fue una dimensión que las certificaciones no miden: cómo gestiona y distribuye sus propias actualizaciones antes de que lleguen a producción.
¿Tu organización sabe cómo hace eso el proveedor que tienes contratado hoy?
Esa dimensión, y varias más, es lo que el estudio TRACS 2025 midió por primera vez de manera independiente. Catorce herramientas EDR y EPP, soluciones que detectan amenazas y protegen los endpoints de la empresa, evaluadas por la Cámara de Comercio del Tirol a través de AV-Comparatives, organización con más de dos décadas haciendo pruebas independientes de productos de ciberseguridad. El análisis combinó tres capas: revisión legal de contratos y políticas públicas, evaluación de postura de seguridad, y análisis técnico en operación real de laboratorio.
No es una certificación más. Es una fotografía de comportamiento real desde afuera.
Te puede interesar: La IA no compite con los terapeutas. Compite con el vacío
Los resultados tienen dos caras, y las dos importan.
Lo que los productos hacen bien: todos cumplen GDPR, todos son SOC 2 Type II, todos tienen mecanismos para que investigadores externos reporten vulnerabilidades, y todos soportan operación sin conexión a internet. Hace veinte años, nada de eso existía.
Ningún producto evaluado publica de manera proactiva los resultados de sus auditorías de seguridad. Casi ninguno tiene disponible un inventario verificable de los componentes de software que lo integran sin que el cliente lo solicite explícitamente. Solo la mitad ofrece garantías legales a los investigadores que reportan vulnerabilidades de buena fe. ¿Tu organización los pide hoy, antes de firmar?
La documentación sobre procesos de actualización escalonada es inconsistente entre unos y otros. Y la información que necesitarías para evaluar correctamente un producto existe, pero está dispersa entre el contrato de licencia, la política de privacidad y múltiples páginas del sitio web. ¿Alguien en tu equipo la buscó antes de la última renovación?
El EU Cyber Resilience Act y el NIS2 son una señal clara de hacia dónde va la exigencia global en transparencia de productos de software. En México y América Latina ese marco no existe aún, pero considerarlo como criterio de evaluación es una decisión que las organizaciones más avanzadas de la región ya están tomando; no porque el regulador lo exija, sino porque representa el estándar que los mejores proveedores del mundo están siendo presionados a cumplir.
Porque la transparencia es posible. Algunos productos del estudio respondieron mejor que otros en casi todas las dimensiones evaluadas.
La diferencia entre contratar un buen producto y tomar una buena decisión de contratación está en las preguntas que se hacen antes de firmar. Más allá de lo que entrega el proveedor en su proceso de venta, existen estudios independientes como TRACS 2025 que analizan estos productos desde afuera, sin nada que venderles. Usar esa evidencia es una decisión de gobierno, no de tecnología.
Sobre el autor:
Correo: [email protected]
Linkedin: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
¿Usas más Facebook?, síguenos para estar siempre informado
