Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Ciberresiliencia

El negocio de la ciberdelincuencia: lo que un ex subdirector del FBI quiere que todo CISO sepa

Raghu Nandakumara
,
Director Senior, Mercadotecnia de Soluciones Industriales
May 27, 2025
23 min. lectura
Headshot of Brian Boetig
Brian Boetig, asesor principal de Global Trace y ex director asistente del FBI

El delito cibernético no es solo una amenaza técnica, sino que es un negocio global próspero. Y pocas personas entienden mejor la evolución de ese negocio que Brian Boetig.

Con más de 35 años en seguridad nacional y seguridad pública, se ha desempeñado como subdirector del FBI, diplomático estadounidense, enlace de la CIA y socio de una firma consultora internacional. Ahora es asesor principal de Global Trace ayudando a las organizaciones a desarrollar resiliencia cibernética.

En este episodio de El Segmento, Brian se unió a mí para compartir cómo su experiencia en la aplicación de la ley y la inteligencia da forma a su enfoque de la ciberseguridad actual y por qué los actores de amenazas están ganando donde las empresas se quedan atrás.

Del robo a la tienda al ransomware como servicio

Brian ha investigado de todo, desde secuestros en el extranjero hasta extorsión digital en casa.

¿Qué los conecta? La búsqueda del apalancamiento.

“Tratamos los secuestros por rescate de la misma manera que nos acercamos. ransomware hoy”, dijo Brian. “Sabes quién lo hizo, sabes cómo operan, y sabes negociar. Es un modelo de negocio, y lo manejan mejor que algunas compañías legítimas”.

Dice que la economía del cibercrimen se inclina a favor de los atacantes.

“Si robas una tienda en persona por 50 dólares, aparece todo un equipo de respuesta policial”, dijo. “¿Pero robar 500.000 dólares en línea? En la mayoría de las jurisdicciones, las fuerzas del orden no sabrán qué hacer con ella”.

El delito cibernético es escalable, sin fronteras y, a menudo, invisible. En opinión de Brian, hasta que los defensores adopten un enfoque similar de mentalidad empresarial, seguirán siendo superados.

Si robas una tienda en persona por $50, aparece todo un equipo de respuesta policial. ¿Pero robar $500,000 en línea? En la mayoría de las jurisdicciones, las fuerzas del orden público no sabrán qué hacer con ella.

Por qué prohibir los pagos de rescate no es la respuesta

Pocos temas suscitan más debate que si se debería permitir que las organizaciones paguen los resandos. Brian ha visto a ambos lados desde su época en el FBI hasta consultar con directores ejecutivos que navegan por una brecha.

“No hay una respuesta de manto”, dijo. “Algunas empresas dejarán de existir si no pagan”.

Recordó un bufete de abogados cuyo historial de clientes completo estaba cerrado. Sin pago, su negocio y reputación habrían sido destruidos.

La prohibición pagos de rescate puede parecer un elemento disuasorio, pero Brian cree que corre el riesgo de victimizar dos veces a las organizaciones: “Estás eliminando una de las pocas herramientas que quedan para sobrevivir”.

En cambio, sugiere una estrategia más matizada:

  • Desincentivar los pagos mediante la preparación
  • Desarrolle una higiene general de ciberseguridad, incluidos los backups
  • Implementar modelos de seguros inteligentes
  • Reducir la legislación que simplifica en exceso las realidades complejas del negocio

En lugar de prohibiciones absolutas, lo que las organizaciones necesitan es un enfoque más inteligente, uno que equilibre la resiliencia, el riesgo y las realidades que enfrentan los líderes después de un ataque.

El seguro cibernético no es una red de seguridad

A medida que más empresas recurren a seguro cibernético para su tranquilidad, Brian ofrece una verificación de la realidad.

“No es una solución. A menudo es más como una negociación”, dijo. “Y a veces lo primero que hace la aseguradora es buscar una razón. no pagar.”

Lo comparó con los seguros de automóviles. Sí, estás cubierto... a menos que te hayas perdido un detalle en la letra pequeña. El resultado es confusión durante una crisis, términos de cobertura poco claros y retraso en la recuperación.

“La mayoría de las pólizas solo te ayudan a volver a estar en línea”, advirtió Brian. “No cubrirán la reconstrucción de la confianza, el daño reputacional o la resiliencia futura”.

Su consejo a los CISO es saber exactamente qué cubre su póliza y dónde están sus brechas de cobertura. Nunca trate el seguro como un sustituto de defensas fuertes, y no confíe en que las compañías de seguros trabajen en su mejor interés después de un ataque.

El riesgo cibernético es un riesgo para el negocio

Con demasiada frecuencia, el riesgo cibernético sigue siendo tratado como un problema de TI. Brian ve eso como un error peligroso.

“Si la C-suite no cree en la ciberseguridad, no va a ser financiada, priorizada o practicada”, dijo.

Recordó una época en la que los CEOs no sabían quiénes eran sus leads de TI. “Ahora, finalmente estamos viendo que las salas de juntas comienzan a entender que la ciberseguridad no se trata de firewalls, se trata de mantener vivo el negocio”.

Ese cambio, dice, se debe en parte a las presiones regulatorias, pero también refleja la creciente comprensión de que la resiliencia es una ventaja competitiva.

Brian también se apresuró a señalar que ser violado no significa que fallaste. De hecho, los mejores líderes de seguridad asumen que va a suceder.

“Solía decirle a los CEOs: 'Está bien ser víctima de un ciberataque. No está bien no estar preparado para uno'”, dijo.

Esa mentalidad está en el corazón de Cero Confianza que asume compromiso y se centra en reducir las consecuencias de una violación.

“La preparación no solo significa backups y políticas”, enfatizó Brian. “Es cultural. Todos en la organización necesitan saber su papel cuando las cosas van mal”.

Solía decirle a los CEOs: “Está bien ser víctima de un ciberataque. No está bien no estar preparado para uno”.

Cerrar la brecha entre el riesgo y la realidad

Las historias de Brian resaltan una verdad central. La ciberseguridad no se trata de evitar riesgos; se trata de administrarlo.

Las organizaciones más resilientes tratan la seguridad como una función del negocio, adoptan la planificación proactiva e invierten en contención, no solo en prevención.

O como Brian lo expresó: “No esperas hasta que se produzca un incendio para comprar un extintor de incendios. Planeas, entrenas y te aseguras de que todos sepan dónde está”.

¿Quieres saber más? Escucha el episodio completo de esta semana de El segmento: un podcast de liderazgo de confianza cero en Podcasts de Apple, Spotify, o donde sea que obtenga sus podcasts. También puede leer el transcripción completa.

Temas relacionados

Ciberresiliencia

Artículos relacionados

Explorando el uso de la funcionalidad NGFW en un entorno de microsegmentación
Ciberresiliencia

Explorando el uso de la funcionalidad NGFW en un entorno de microsegmentación

Conozca más sobre la investigación de Illumio sobre las posibilidades de implementar características NGFW en un entorno de microsegmentación.

Leer más
Aspectos destacados de la Conferencia RSA: Nuevos enfoques para las amenazas cibernéticas actuales
Ciberresiliencia

Aspectos destacados de la Conferencia RSA: Nuevos enfoques para las amenazas cibernéticas actuales

Durante los últimos dos años, las organizaciones han cambiado a modelos de infraestructura de TI cada vez más híbridos y distribuidos, que han abierto nuevas vulnerabilidades y riesgos de ciberseguridad. En tanto, hemos visto un devastador ciberataque tras otro llegar a los titulares noticiosos.

Leer más
Asume violación: Mejores prácticas en resiliencia cibernética
Ciberresiliencia

Asume violación: Mejores prácticas en resiliencia cibernética

Asumir una brecha significa asumir una mentalidad adversario. Esto es lo que eso significa para su forma de pensar acerca de las inversiones en seguridad en personas, procesos y tecnología.

Leer más
5 cosas que aprendí de un ex hacker más buscado por el FBI
Ciberresiliencia

5 cosas que aprendí de un ex hacker más buscado por el FBI

Aprende cinco lecciones de Brett Johnson, ex cibercriminal más buscado, sobre el engaño, la confianza y por qué Zero Trust es más importante que nunca.

Leer más
Lo que las organizaciones sin fines de lucro están enseñando a la industria de ciberseguridad
Segmentación de confianza cero

Lo que las organizaciones sin fines de lucro están enseñando a la industria de ciberseguridad

Aprenda del experto en ciberseguridad sin fines de lucro, el Dr. Kelley Misata, sobre cómo las organizaciones impulsadas por la misión se acercan a la seguridad con empatía, propósito y una mentalidad de escuchar primero.

Leer más
La toma de un ciberpsicólogo sobre la cultura de culpa de la ciberseguridad
Segmentación de confianza cero

La toma de un ciberpsicólogo sobre la cultura de culpa de la ciberseguridad

Descubra cómo el estrés, las amenazas de IA y el comportamiento humano hacen que Zero Trust sea esencial para la resiliencia cibernética.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información