La seguridad es infraestructura. Finéndela como si fuera una infraestructura.

Repensar la economía de la ciberseguridad

A medida que se acerca el 2026, me doy cuenta de que pienso menos en las tendencias tecnológicas y más en la economía. Durante los últimos años, hemos debatido sobre la arquitectura, la inteligencia artificial, la automatización y todas las nuevas siglas que prometen una mejor defensa. Sin embargo, detrás de esas discusiones hay una pregunta más incómoda que rara vez se aborda directamente: si la ciberseguridad es realmente fundamental, ¿por qué sigue estructurada y financiada como un elemento de costo controlado y no como una infraestructura básica?

‍

Esta pregunta surge con mayor claridad en las conversaciones con los proveedores de servicios de comunicaciones. La conectividad sigue siendo el centro de gravedad de la mayoría de los CSP. Impulsa la valoración, la cuota de mercado y la atención de los consejos de administración. Los servicios de seguridad gestionados son importantes y cada vez se esperan más, pero rara vez se los considera la columna vertebral estructural de la organización. Esa distinción es importante porque da forma a las decisiones mucho antes de que ocurra cualquier incidente.

‍

Cuando la economía de la conectividad da forma a los resultados de seguridad

La conectividad opera en un mercado mercantilizado. Los clientes comparan los precios minuciosamente, los márgenes se gestionan de forma rigurosa y la presión competitiva es constante. Cuando la seguridad se combina con la conectividad, inevitablemente se heredan esas restricciones comerciales. Debe seguir siendo competitiva, no debe aumentar considerablemente los costos y no debe complicar los ciclos de ventas. Al mismo tiempo, las expectativas puestas en la protección a nivel de red son inflexibles. Las empresas asumen que el tráfico es limpio, los reguladores asumen la continuidad y los usuarios finales asumen la disponibilidad. Ninguna de estas expectativas se ajusta a la economía de un producto sensible a los márgenes.

‍

La contradicción se hace más evidente cuando se examina cómo se implementa la seguridad en la práctica. En más de una situación, he visto cómo se introdujo un nivel de mitigación básico como configuración predeterminada porque se ajusta a la realidad de las adquisiciones y a las restricciones comerciales. Una resiliencia más sólida, que requiere una infraestructura y una profundidad operativa adicionales, se convierte en una cuestión de actualización. Por lo general, ese debate adquiere urgencia solo después de que un incidente visible cambie la percepción del riesgo. Este patrón no es el resultado de una negligencia; refleja cómo funcionan los incentivos dentro de las organizaciones.

‍

Sin embargo, esta dinámica no se origina únicamente en las salas de juntas de los CSP. El comportamiento de los compradores desempeña un papel igualmente importante. Los clientes empresariales negocian con ahínco los precios de la conectividad y esperan que el paquete incluya funciones de seguridad integradas. Las ofertas se evalúan en paralelo y, con frecuencia, se reducen a partidas y comparaciones de costos. De este modo, los clientes refuerzan la propia mercantilización que limita la forma en que se puede estructurar y financiar la seguridad.

‍

Los presupuestos de seguridad de las empresas también tienden a seguir el riesgo percibido más que la exposición estructural. Cuando la disrupción es reciente, la inversión se expande y se da prioridad a la resiliencia. Cuando los sistemas parecen estables, se reanuda la optimización y se recupera la disciplina de costes. Las organizaciones suelen querer una protección de nivel de infraestructura, pero dudan en financiarla de forma proactiva. Como resultado, se incentiva tanto a los proveedores como a los clientes a minimizar los costos hasta que el riesgo sea visible.

‍

El ciclo reactivo del riesgo percibido

En todo el ecosistema, la inversión en seguridad sigue un ciclo reactivo. Los proveedores optimizan sus ofertas para seguir siendo viables desde el punto de vista comercial. Los clientes optimizan los gastos para controlar los presupuestos. Los ajustes se producen principalmente después de que los incidentes obligan a reevaluar la exposición.

‍

Mitigación de DDoS a nivel de red ilustra claramente esta dinámica. En general, se asume que forma parte de la conectividad moderna, pero una mitigación significativa requiere capacidad de depuración, capacidad de monitoreo, profundidad de ingeniería y ajuste continuo. Se trata de compromisos operativos que conllevan un coste real. Cuando dichos servicios se posicionan principalmente como un paquete de funciones y se evalúan principalmente en función del precio, se financian en consecuencia. Con el tiempo, esa estructura económica limita la resiliencia del sistema en general, de manera realista.

‍

El problema, por lo tanto, no es la falta de conciencia. La mayoría de las juntas directivas y los compradores empresariales entienden que la ciberseguridad es fundamental. El problema radica en la falta de alineación entre la resiliencia que se espera implícitamente y los presupuestos y estructuras que se aprueban explícitamente.

‍

Una elección deliberada en 2026

A medida que nos acercamos a 2026, la pregunta no es si la ciberseguridad es importante para los CSP o para sus clientes. Ese debate está en gran medida zanjado. La cuestión más relevante es si ambas partes están dispuestas a tratarlo como una infraestructura en términos prácticos.

‍

Si se espera que la seguridad implique una responsabilidad a nivel de infraestructura, debe estructurarse, financiarse y evaluarse en consecuencia. Esto significa definir la protección básica con honestidad, distinguir claramente entre las características propias de los productos básicos y la resiliencia de la infraestructura, y alinear los presupuestos con esas distinciones. Los CSP no pueden ofrecer de manera sostenible una resiliencia de nivel de infraestructura con los márgenes de las materias primas, y los clientes no pueden esperar razonablemente una protección sin concesiones mientras negocian únicamente sobre la base del precio.

‍

Los CSP se encuentran en el centro de las economías digitales, pero las empresas y los reguladores dan forma a las expectativas que se les imponen. La estabilidad se da por sentado en todo el ecosistema, y es poco probable que esa suposición se debilite. Si se espera que la ciberseguridad mantenga esa estabilidad, no puede permanecer estructurada económicamente como un accesorio de la conectividad o como una idea de último momento en los ciclos de adquisición. La tensión central de este problema es más económica que técnica, y los proveedores y clientes que lo reconozcan pronto y ajusten sus modelos en consecuencia estarán mejor posicionados para lo que les espera.