En el marco del evento “Perspectivas CONINDUSTRIA 2026” celebrado el 6 de noviembre 2025, Pedro Pacheco Rodríguez, presidente ejecutivo de la Asociación Bancaria, comenzó su ponencia titulada Retos y tendencias de la Ciberseguridad haciendo un llamado de atención a la alta dirección empresarial; la ciberseguridad no es un problema meramente tecnológico, es más gerencial y cultural. El principal riesgo, afirmó, no es la «obsolescencia tecnológica», sino la «obsolescencia gerencial». Pacheco criticó la práctica de descargar toda la responsabilidad en el gerente de tecnología tras un ciberataque, sentenciando que en muchos de los casos los responsables son el CEO y la alta dirección, quienes por no entender la magnitud del riesgo no lo tienen como asunto clave a tratar recurrentemente en las juntas directivas, ni aprueban los presupuestos adecuados para protegerse de los ciberataques. Es necesario incorporar nuevos indicadores de gestión, los tradicionales son insuficientes, resaltó que «los principales activos (data) y pasivos (contingencias) hoy en día no están registrados en el balance», y por eso la gerencia tradicional, con «indicadores del siglo pasado», es incapaz de mapear y gestionar riesgos reales propios del Siglo XXI.
El riesgo real: La quiebra operativa, no solo el robo de datos
El ponente destacó “es necesario desmitificar la creencia de que los ciberataques solo afectan a la banca, en el caso del sector industrial el riesgo más grave no es solo la pérdida de datos, sino la interrupción operativa total. En este sentido se refirió a casos emblemáticos de Ciberataques ocurridos durante este 2025, como el del fabricante de automóviles británico Jaguar Land Rover, que provocó el cierre de sus fábricas en el Reino Unido, China e India. El ciberataque no solo robó datos, sino que paralizó por completo las plantas de producción en estos países. Este ejemplo, junto al de Nucor, la mayor siderúrgica de EE.UU. , demuestra que empresas con finanzas “saludables” pueden colapsar de un día para otro, subrayando que, a mayor integración tecnológica, mayor es la vulnerabilidad.
La amenaza local: Venezuela en la mira de la «Dark Web»
Pacheco presentó cifras alarmantes y específicas para el país, revelando que el sector industrial venezolano es un objetivo prioritario para los ciberdelincuentes. Sorprendentemente, la manufactura (4%) es más mencionada en la «Dark Web» que el propio sector bancario (3.8%). El dato más crítico, de acuerdo con fuentes especializada, es la identificación de unos 3.300 grupos de “Amenaza Persistente Avanzada” (sus siglas en ingles APT) que están activamente interesados en el sector industrial venezolano, para lo cual se han detectado al menos 13 modalidades distintas de ransomware (secuestro de datos) diseñadas específicamente para atacar dicho sector.
La falla estructural: El CISO no puede reportar a Tecnología
La vulnerabilidad de las empresas se agrava por una falla de gobernanza fundamental: la mayoría de las organizaciones en Venezuela no tiene un CISO (por sus siglas en ingles Chief Information Security Officer} o Director de Seguridad de la Información. Por otra parte, en aquellas instituciones que dicen tener definida la función de un Director de Seguridad de la información, este le reporta a la Dirección o Gerencia de Tecnología, lo cual Pacheco calificó como un error garrafal y un conflicto de interés. Usó una analogía: «Es como tener al auditor interno de la empresa reportándole al gerente de finanzas». Insistió en que el CISO debe tener un nivel directivo y reportar a la alta dirección, bien a la junta directiva o al CEO para que su función sea efectiva.
El llamado a la acción: Colaboración y la nueva «segmentación»
El presidente de la Asociación Bancaria instó a un cambio de paradigma: «Los ciberdelincuentes colaboran entre ellos activamente intercambiándose información, tácticas, y programas, mientras que las empresas no lo están haciendo en la misma medida «. Recomendó a CONINDUSTRIA crear un comité gremial de ciberseguridad, similar al que opera con éxito en la banca, para compartir información, conocimiento, experiencia y abaratar costos, principalmente para las Pymes, así como definir planes de respuesta ante posibles ciberataques de sus afiliados.
Advirtió que existe la tendencia cada vez más frecuente por parte de los bancos a exigir planes de ciberseguridad robustos a sus clientes como condición para otorgar créditos, pues el riesgo cibernético se puede convertir en instantes en un riesgo crediticio, de liquidez y reputacional. Finalmente, explicó que la gerencia no necesita ser experta en profundidad sobre los temas de ciberseguridad, pero sí debe entender conceptos básicos: tales como la necesidad de que la información sensible de la organización este «segmentada». Usando la analogía de una casa, preguntó si, tras saltar la reja un delincuente e ingresar en el jardín y posteriormente romper la puerta principal, la casa internamente está «segmentada» (con «puertas blindadas» internas en pasillos y cuartos) o si el delincuente puede «pasearse libremente» por todas las áreas de la casa. El este caso ¿el ciberdelincuente puede moverse con libertad por toda la organización? O ¿existen políticas y protocolos de seguridad específicos para la segmentación de red?
