(*) Columnista invitado. Los ciberataques concentran gran parte de la atención, pero incendios, cortes de energía o errores humanos también pueden detener una organización.
Cuando hablamos del impacto de la seguridad sobre los negocios, casi siempre pensamos en ciberataques. Ransomware, robo de información, filtraciones de datos o ataques a la cadena de suministro, episodios que ocupan los titulares periodísticos y alimentan una preocupación cada vez mayor entre las organizaciones.
Y es lógico. Los ataques existen, son cada vez más sofisticados y pueden generar pérdidas millonarias.
Pero hay una pregunta que pocas empresas se hacen: ¿Qué pasa si mañana el negocio se detiene y no fue culpa de un cibercriminal?
Un corte de energía, un incendio, el robo de un equipo crítico, una falla de infraestructura o incluso un error humano pueden tener exactamente el mismo resultado que un ransomware: la operación deja de funcionar.

Al cliente poco le importa si el sistema dejó de responder por un hacker o porque el edificio quedó sin luz durante ocho horas. Para el negocio, durante el tiempo del ataque, el impacto es el mismo.
Por eso, cuando hablamos de seguridad de la información, hablamos de mucho más que ciberseguridad. Hablamos de proteger la capacidad de una organización para seguir operando, sin importar cuál sea la causa del incidente.
Un ransomware puede detener una empresa. Un apagón también
En los últimos años vimos numerosos casos de ransomware que dejaron compañías enteras sin poder facturar, producir o atender clientes durante días.
Pero no hace falta un ataque para llegar a ese escenario.
En abril de 2025, un apagón masivo dejó sin suministro eléctrico a millones de personas en España y Portugal. Aeropuertos, hospitales, comercios, medios de transporte y empresas de todos los tamaños tuvieron que interrumpir o limitar sus operaciones durante horas.
Aunque no se trató de un ciberataque, el efecto para miles de organizaciones fue exactamente el mismo: sistemas fuera de servicio, procesos detenidos y pérdidas económicas mil millonarias.

La diferencia entre quienes lograron continuar operando y quienes no, estuvo en algo mucho más simple: el nivel de preparación. Contar con energía de respaldo, procedimientos alternativos, planes de contingencia y personal entrenado permitió que muchas organizaciones siguieran funcionando mientras otras esperaban que el servicio se restableciera.
Cuando el edificio deja de existir
Existe otro ejemplo que suele mencionarse cuando se habla de continuidad del negocio.
En 2021, un incendio destruyó parte del centro de datos de OVHcloud, uno de los mayores proveedores de infraestructura en Europa. Miles de sitios web, aplicaciones y servicios quedaron completamente fuera de línea. Muchas empresas descubrieron, demasiado tarde, que confiaban toda su operación a un único sitio y que no contaban con un plan de recuperación real.
El problema no fue únicamente el incendio. El verdadero problema fue que, para muchas organizaciones, ese edificio era el único lugar donde existía su negocio digital.

Quienes habían distribuido sus cargas de trabajo, mantenían respaldos independientes (backup) o contaban con planes de recuperación pudieron restablecer sus servicios mucho antes. El resto simplemente tuvo que esperar y algunos, desaparecer.
A veces el incidente entra por la puerta principal
Los eventos cotidianos son más frecuentes de lo que creemos.
El robo de una notebook, por ejemplo, suele verse como una pérdida material. Sin embargo, si ese equipo contiene información sensible o credenciales de acceso, el incidente puede convertirse rápidamente en una brecha de seguridad.
Lo mismo ocurre con errores humanos, fallas de infraestructura o interrupciones en proveedores críticos. Son situaciones cotidianas que rara vez aparecen en las noticias, pero que pueden afectar seriamente la continuidad del negocio.
La buena noticia es que muchas de estas situaciones tienen mitigaciones conocidas: cifrado de dispositivos, autenticación multifactor, respaldos probados, redundancia de servicios y procedimientos claros para responder ante incidentes.
La pregunta correcta no es “¿Qué puede pasar?”
Ninguna organización puede garantizar que nunca sufrirá un incidente.
La pregunta realmente importante es otra: ¿Cuánto tiempo puede dejar de operar el negocio antes de que las consecuencias sean inaceptables?
Responder esa pregunta obliga a identificar procesos críticos, conocer las dependencias tecnológicas, definir tiempos de recuperación y preparar a las personas que deberán actuar cuando ocurra una crisis.
Eso es continuidad del negocio.
No se trata de evitar que ocurra un problema —porque tarde o temprano alguno ocurrirá—, sino de asegurarse de que la organización pueda seguir funcionando cuando suceda.
La resiliencia se construye antes de necesitarla
Los incidentes cambian, lo que no cambia es la necesidad de estar preparados.
La seguridad de la información no consiste únicamente en impedir que alguien ingrese a nuestros sistemas. También implica garantizar que la información siga estando disponible, que los procesos críticos puedan continuar y que la organización tenga la capacidad de recuperarse cuando algo salga mal.
Porque, al final del día, los responsables de las organizaciones no preguntarán cuál fue la causa del incidente.
Solo recordarán si la empresa pudo seguir respondiendo cuando más lo necesitaban.
(*) Por Alberto Padín es Contador Público y MBA. Fundador, Desarrollador y Director de emprendimientos tecnológicos. CEO de Platinum Ciber.





















































