Daniela Álvarez de Lugo, Gerente General para la Región Norte de América Latina en Kaspersky. Foto: cortesía. Portal ERP Colombia.
En muchas empresas, la infraestructura digital se parece a una gran bodega: los sistemas críticos están al frente, bien iluminados y bajo llave, pero al fondo quedan cajas que nadie abre hace años. No aparecen en los inventarios, nadie pregunta por ellas, pero siguen ahí. En el mundo digital, esas cajas son servidores heredados, cuentas inactivas y repositorios olvidados que continúan conectados a la red y cuando el ERP es el corazón operativo del negocio, basta que una de esas cajas esconda una vulnerabilidad para comprometer procesos, datos y decisiones estratégicas.
Durante años, la conversación sobre ciberseguridad se ha enfocado en proteger lo nuevo como las migraciones a la nube, la automatización, la inteligencia artificial y la modernización de aplicaciones. Sin embargo, el riesgo más subestimado suele estar en lo que quedó atrás; los sistemas que ya no participan en la operación diaria, pero que siguen encendidos, sin mantenimiento y fuera del radar. Esa “infraestructura invisible” amplía silenciosamente la superficie de ataque y crea puntos ciegos que los equipos de TI ni siquiera saben que existen.
Para organizaciones donde el ERP concentra información financiera, logística, comercial y de talento humano, el impacto es mayor pues un servidor olvidado o una cuenta que nadie desactivó puede convertirse en la puerta de entrada para robar credenciales, moverse dentro de la red o alterar procesos tan sensibles como facturación, pagos o reportes contables. No se trata solo de un incidente tecnológico: puede afectar la continuidad operativa, el cumplimiento regulatorio y, en cuestión de horas, la confianza del negocio.
El problema crece con cada fusión, adquisición o proyecto de transformación digital. Aplicaciones antiguas que nadie retiró, máquinas virtuales que sobrevivieron a una migración o accesos que quedaron activos tras la salida de un empleado terminan formando un ecosistema paralelo que interactúa con los sistemas centrales sin controles claros. Es deuda tecnológica acumulada que, con el tiempo, se convierte en deuda de riesgo.
Los datos confirman esta realidad. La encuesta CISO Survey de Kaspersky revela que el 46 % de las organizaciones en Colombia no cuenta con un calendario regular de evaluaciones de riesgo y revisa sus controles solo después de un incidente. Además, el 54 % aún gestiona la inteligencia de amenazas de forma manual, un método lento y propenso a errores que dificulta identificar activos antiguos en entornos cada vez más complejos. En ese contexto, pretender gobernar un ERP sin visibilidad total del entorno es, simplemente, gestionar a ciegas.
Te puede interesar: Colombia registró 3.795 ciberataques semanales de media en enero
Pero más allá de la ciberseguridad, este es también un problema de gestión empresarial. Cuando una organización no sabe con precisión qué sistemas, datos y accesos siguen activos, pierde control sobre sus costos, su cumplimiento normativo y, sobre todo, sobre la confiabilidad de la información con la que toma decisiones. Los activos fuera del inventario se convierten en riesgos fuera del gobierno corporativo. Por eso, la seguridad ya no puede verse como un asunto técnico sino como una cuestión de estrategia, disciplina operativa y liderazgo.
La buena noticia es que este no es un problema inevitable. Las organizaciones más resilientes están implementando herramientas automatizadas que mantienen un inventario vivo de todos los activos conectados, alertan cuando aparece un sistema no reconocido y comparan de forma continua qué debería existir frente a lo que realmente está en la red. También establecen revisiones periódicas para detectar servidores olvidados tras migraciones, repositorios en la nube sin uso o accesos que ya no tienen justificación.
A esto se suman políticas claras para retirar aplicaciones obsoletas, eliminar la información de manera segura antes de apagar equipos y coordinar con recursos humanos la desactivación inmediata de cuentas cuando alguien deja la compañía. Más que tecnología adicional, se trata de orden, visibilidad y responsabilidad sobre todo el entorno digital.
Al final, la madurez digital no consiste únicamente en sumar nuevas tecnologías, sino en aprender a limpiar lo que ya no aporta valor. Proteger a la compañía no es solo reforzar la puerta principal de la ‘bodega’; también implica entrar al fondo, abrir cada caja, decidir qué se queda, qué se archiva y qué se desecha. Porque en seguridad, lo que nadie mira suele ser lo primero que atacan. Y una bodega desordenada nunca será un negocio verdaderamente seguro.
