SOC para el Sector Gobierno: ciberseguridad proactiva en la era de las amenazas dirigidas

Resumen ejecutivo:

Colombia enfrentó 36 mil millones de intentos de ciberataques entre enero y noviembre de 2024, según Fortinet, consolidándose como el cuarto país más atacado de América Latina. El reciente lanzamiento del SOC Nacional del MinTIC marca un hito, pero las entidades gubernamentales necesitan capacidades complementarias especializadas. 

Como Director Comercial de Gobierno en InterNexa, he acompañado la transformación digital de entidades públicas durante más de dos décadas. En este artículo comparto mi visión sobre cómo los Centros de Operaciones de Seguridad (SOC) como servicio pueden cerrar la brecha crítica entre la estrategia nacional y las necesidades específicas de cada organización.

1. El panorama actual: Colombia en la mira cibernética

Las cifras son contundentes. Colombia registró 36 mil millones de intentos de ciberataques en los primeros once meses de 2024, según datos de FortiGuard Labs, el laboratorio de inteligencia de amenazas de Fortinet. Esta cifra representa un incremento del 200% frente a los 12.000 millones reportados en 2023, posicionando al país como el cuarto más atacado de América Latina, detrás de Brasil, México y Venezuela.

Pero más alarmante que el volumen es la sofisticación. Como señala Andrés Cajamarca, Director Senior de Ingeniería de Fortinet Colombia: "Nos enfrentamos a un panorama de amenazas en constante evolución, los cibercriminales continúan especializándose, utilizando técnicas avanzadas y sofisticadas de reconocimiento y evasión".

Los ataques ya no son masivos e indiscriminados. Son quirúrgicamente dirigidos. Y el sector público está en el centro de la diana.

2. El costo real de la vulnerabilidad en el sector público

Los ataques de ransomware contra infraestructura crítica no son escenarios hipotéticos. En los últimos dos años, Colombia ha experimentado incidentes que paralizaron servicios gubernamentales esenciales durante días, comprometieron millones de registros ciudadanos, y obligaron a suspender términos judiciales y procedimientos administrativos críticos.

Las consecuencias trascienden lo tecnológico:

• Servicios ciudadanos interrumpidos: Trámites paralizados, sistemas de salud sin acceso a historias clínicas, procesos judiciales suspendidos
• Confianza institucional erosionada: Los ciudadanos cuestionan la capacidad del Estado para proteger su información
• Costos financieros ocultos: Recuperación de datos, servicios de emergencia, impacto reputacional, posibles sanciones regulatorias
• Vulnerabilidad prolongada: La recuperación completa puede tomar semanas o meses

Estos incidentes han demostrado lecciones críticas:

1. La tercerización no transfiere responsabilidad: Aunque un proveedor externo falle, la entidad gubernamental asume las consecuencias frente a los ciudadanos y reguladores.
2. Los backups mal diseñados son inútiles: Tener respaldos en el mismo ambiente que los sistemas productivos significa que un ataque que compromete uno, compromete ambos.
3. La detección tardía multiplica el daño: Entre más tiempo pase un atacante sin ser detectado en la red, mayor será el alcance de la brecha y más compleja la recuperación.
4. La respuesta improvisada falla: Sin planes probados, equipos entrenados y protocolos claros, la organización pierde tiempo valioso en medio de la crisis.

La pregunta que todo tomador de decisión debe hacerse no es "¿nos puede pasar?", sino "¿cuándo nos pasará y qué tan preparados estamos?".

3. La estrategia nacional: un punto de partida, no una solución completa

El 21 de enero de 2025, el MinTIC inauguró el Centro de Operaciones de Seguridad Nacional (SOC), con una inversión de $15.543 millones. Este centro, gestionado por el ColCERT, integra herramientas de vanguardia como Mandiant, ThreatQ y Tenable.

El SOC Nacional beneficiará inicialmente a cerca de 6.400 entidades públicas nacionales y territoriales con servicios gratuitos de monitoreo básico. A futuro, se espera impactar a más de 300.000 organizaciones privadas con la implementación de controles básicos de seguridad.

Es un avance fundamental. Pero plantea preguntas estratégicas:

¿Es suficiente el monitoreo genérico para entidades con necesidades específicas?

Una superintendencia que maneja datos financieros sensibles tiene un perfil de riesgo diferente al de una secretaría de educación departamental. ¿Puede un SOC nacional ofrecer la especialización sectorial que cada entidad requiere?

¿Qué pasa con la información clasificada y los sistemas críticos?

Muchas entidades manejan información que no puede salir de sus instalaciones o que requiere controles adicionales más allá de los estándares básicos. El SOC Nacional opera bajo premisas de monitoreo generalizado, no de custodia de información crítica.

¿Quién responde cuando el SOC detecta una amenaza?

Detectar es el primer paso. Contener, erradicar y recuperar requiere capacidades locales, equipos especializados y planes de respuesta específicos por entidad.

La estrategia nacional es esencial, pero insuficiente para organizaciones con infraestructuras críticas, obligaciones regulatorias estrictas o perfiles de amenaza elevados.

4. La brecha de implementación: el problema de la ciberresiliencia

Según el estudio Global Digital Trust Insights 2025 de PwC, que encuestó a 4.042 ejecutivos de 77 países, solo el 2% de las organizaciones ha implementado acciones de ciberresiliencia en toda su organización.

Permítanme repetir eso: 2%.

No es un problema de conciencia. El 66% de los líderes tecnológicos clasifican la ciberseguridad como el principal riesgo que su organización debe mitigar en los próximos 12 meses. El 77% planea aumentar su presupuesto en ciberseguridad durante 2025.

El problema es la ejecución. Las organizaciones saben que deben actuar, pero luchan por implementar estrategias integrales.

En el sector público, esta brecha tiene implicaciones que trascienden lo organizacional:

• Afecta la confianza ciudadana en las instituciones
• Compromete la continuidad de servicios esenciales
• Puede paralizar procesos críticos (judiciales, de salud, fiscales)
• Expone datos sensibles de millones de ciudadanos

Como señala el estudio Cybersecurity Considerations 2025 de KPMG: "Las organizaciones enfrentan nuevos desafíos en materia de ciberseguridad que requieren atención estratégica y una acción coordinada". No basta con tecnología. Se requiere un enfoque que integre personas, procesos y tecnología.

5. SOC como servicio: la solución estratégica para entidades gubernamentales

Aquí es donde el modelo de "SOC como Servicio" emerge como alternativa estratégica y costo-efectiva para entidades que:

• Necesitan capacidades más allá del monitoreo básico nacional
• Manejan información crítica o clasificada
• Operan infraestructura tecnológica compleja (IT/OT)
• Están sujetas a normativas específicas (como el Acuerdo CNO 1960 para el sector eléctrico)
• Requieren respuesta especializada ante incidentes
  
  

¿Qué diferencia a un SOC especializado del monitoreo genérico?

Monitoreo 24/7 con contexto sectorial:

No es lo mismo monitorear una red administrativa que una infraestructura de control industrial. En InterNexa, por ejemplo, nuestra experiencia de más de 25 años en infraestructura crítica nos permite entender patrones de amenaza específicos del sector energético, de telecomunicaciones o de servicios públicos. Un analista de un SOC especializado sabe que un comportamiento puede ser normal en un entorno y sospechoso en otro. Conoce las aplicaciones críticas de la entidad, sus horarios operativos atípicos, sus integraciones con otras entidades.

Detección temprana con inteligencia de amenazas contextualizada: 

Los ciberdelincuentes utilizan principalmente phishing y propagación de malware para acceso inicial, pero reservan ransomware y ataques DDoS dirigidos para objetivos específicos de alto valor: entidades gubernamentales, infraestructura crítica, sistemas de salud.

Un SOC especializado correlaciona amenazas:

• Analiza campañas dirigidas al sector público colombiano
• Identifica patrones de reconocimiento previos a ataques
• Comparte inteligencia entre entidades similares (dentro de los marcos legales)
• Detecta movimientos laterales que un monitoreo básico podría interpretar como tráfico normal

Cumplimiento normativo y evidencia auditable

Las entidades gubernamentales operan bajo marcos regulatorios estrictos:

• Modelo de Seguridad y Privacidad de la Información (MSPI) de la Política de Gobierno Digital
• Directrices específicas del MinTIC
• Normativas sectoriales (CNO 1960 para energía, por ejemplo)
• Ley de protección de datos personales

Un SOC como servicio especializado en gobierno no solo detecta amenazas, sino que genera evidencia auditable, trazabilidad de incidentes, reportes de cumplimiento y documentación para auditorías.

Respuesta a incidentes y recuperación

Detectar una amenaza a las 3 AM de un domingo es solo el comienzo. ¿Qué sigue?

• ¿Quién contiene el incidente?
• ¿Quién coordina con los equipos internos de la entidad?
• ¿Quién documenta para efectos legales?
• ¿Quién gestiona las comunicaciones con ciudadanos si hay exposición de datos?

Un SOC especializado en gobierno incluye:

• Equipos de respuesta a incidentes disponibles 24/7
• Protocolos de escalamiento definidos
• Coordinación con equipos internos (IT, jurídico, comunicaciones)
• Planes de recuperación probados
• Asesoría para notificaciones regulatorias

Eficiencia presupuestal

Implementar un SOC interno de nivel empresarial requiere inversiones significativas en múltiples frentes:

• Infraestructura tecnológica: plataformas SIEM, EDR, herramientas de análisis, almacenamiento especializado
• Equipo humano especializado operando en turnos 24/7/365
• Capacitación continua y certificaciones profesionales actualizadas
• Actualización constante de tecnologías (ciclos típicos de 2-3 años)
• Espacios físicos seguros y con redundancia
• Licenciamiento perpetuo y mantenimiento de múltiples herramientas
  
  

Un SOC como servicio transforma inversión inicial (CAPEX) en gasto de funcionamiento predecible (OPEX), ofreciendo:

• Acceso a tecnología de vanguardia sin inversión inicial en infraestructura
• Equipo especializado compartido eficientemente entre múltiples clientes
• Escalabilidad: ajustar el nivel de servicio según necesidades reales
• Actualizaciones automáticas de tecnología sin proyectos adicionales
• Transferencia continua de conocimiento a equipos internos de la entidad

El análisis de costo total de propiedad debe considerar no solo la inversión inicial, sino los costos ocultos: rotación de personal especializado, actualizaciones tecnológicas frecuentes, mantenimiento de certificaciones, y especialmente el costo de oportunidad de no detectar amenazas a tiempo.

6. El caso particular: ¿por qué InterNexa entiende las necesidades de gobierno?

Permítanme hablar desde mi experiencia liderando la estrategia comercial para gobierno en InterNexa.

Durante 12 años como ejecutivo en ETB, lideré las áreas de Empresas & Ciudades Inteligentes y Experiencia al Cliente, gestionando unidades de negocio multimillonarias para el mercado corporativo y gubernamental. Esa experiencia me enseñó algo fundamental: en ciberseguridad, la tecnología es solo una parte de la ecuación. La experiencia del usuario final—en este caso, los funcionarios y ciudadanos—determina el éxito real de cualquier implementación.

Un SOC puede ser tecnológicamente impecable, pero si sus alertas llegan incomprensibles, si los tiempos de respuesta no se alinean con las necesidades operativas de la entidad, o si los equipos internos no saben cómo interactuar con él, fracasa en lo esencial: proteger efectivamente.

Ahora, como Director Comercial de Gobierno en InterNexa, aplico esa visión de experiencia del cliente a la ciberseguridad gubernamental. No vendemos tecnología: diseñamos soluciones que funcionan en el contexto operativo real de cada entidad.

Soberanía digital

InterNexa nace de la infraestructura crítica del Estado colombiano (Somos una empresa ISA, ahora parte de Grupo Ecopetrol), con más de 25 años operando servicios esenciales.

No estamos hablando de marketing: cuando una superintendencia o un ministerio nos confía su seguridad, la información permanece bajo jurisdicción nacional, cumpliendo las regulaciones de protección de datos gubernamentales.

En un contexto donde los ataques pueden tener origen en actores estatales extranjeros, la soberanía digital no es un lujo: es una necesidad estratégica.

Experiencia en infraestructura crítica (IT/OT)

El sector gobierno no solo maneja redes administrativas. Opera infraestructura de control:

• Sistemas SCADA en empresas de servicios públicos
• Infraestructura de transporte inteligente
• Sistemas de control hospitalario
• Redes de telecomunicaciones de emergencia

InterNexa lleva décadas protegiendo infraestructura donde la disponibilidad no es negociable. Entendemos la convergencia IT/OT porque vivimos en ella. Sabemos que un ataque a un sistema de control puede tener consecuencias físicas, no solo digitales.

Arquitectura integral, no fragmentada

Muchos proveedores ofrecen SOC como un servicio aislado. En InterNexa, el SOC se integra con nuestra infraestructura de:

• Conectividad (red propia de fibra óptica de miles de kilómetros)
• Data centers con certificaciones de nivel empresarial
• Servicios cloud con seguridad nativa
• Conectividad segura entre sedes

Esto significa que no solo monitoreamos amenazas: entendemos toda la arquitectura de conectividad y datos de la entidad. Podemos detectar anomalías a nivel de red que un SOC sin visibilidad integral no vería.

Experiencia del usuario: el diferenciador real

Aquí es donde mi experiencia de 12 años liderando Experiencia al Cliente en ETB marca una diferencia crítica.

He visto demasiados proyectos de ciberseguridad técnicamente perfectos que fracasan porque:

• Los equipos internos no entienden los reportes del SOC
• Las alertas llegan sin contexto operativo de la entidad
• Los tiempos de respuesta no se alinean con ventanas críticas de operación
• La transferencia de conocimiento es inexistente o excesivamente técnica
  
  

En InterNexa diseñamos la experiencia del servicio pensando en tres usuarios:

1. Los tomadores de decisión: Reciben dashboards ejecutivos con métricas de negocio (disponibilidad, nivel de exposición, cumplimiento normativo), no solo métricas técnicas.
2. Los equipos IT internos: Obtienen información accionable, documentación clara, y capacitación continua para fortalecer sus propias capacidades.
3. Los ciudadanos (usuario final indirecto): Aunque no interactúan con el SOC, se benefician de servicios gubernamentales continuos y datos protegidos.

Un SOC no es solo tecnología. Es un servicio que debe integrarse naturalmente en la operación diaria de la entidad, hablar su lenguaje, entender sus prioridades, y adaptarse a su realidad organizacional.

Dual SOC: Bogotá y Medellín

Operamos centros de operaciones de seguridad en Bogotá y Medellín. Esto no es redundancia: es resiliencia operativa. Si un evento afecta una ciudad, el otro centro mantiene operaciones sin interrupción.

Para entidades con operaciones nacionales, esto significa cobertura distribuida y tiempos de respuesta optimizados.

7. Tendencias clave que impactarán al sector público en 2025-2026

Como Director Comercial enfocado en gobierno, veo tres tendencias que los tomadores de decisión deben considerar en su estrategia:

1. Inteligencia artificial en ciberseguridad: oportunidad y amenaza

Los atacantes ya usan IA para:

• Generar campañas de phishing más convincentes
• Automatizar reconocimiento de vulnerabilidades
• Crear deepfakes para ingeniería social
• Optimizar malware que evade detección

Pero la IA también potencia la defensa:

• Detecta anomalías que humanos no identificarían
• Automatiza respuestas a amenazas conocidas
• Libera a los analistas para enfocarse en amenazas complejas
• Predice vectores de ataque antes de que se materialicen

La pregunta no es "¿adoptamos IA en ciberseguridad?" sino "¿cómo la implementamos de forma segura y efectiva?". Un SOC especializado debe tener capacidades de IA integradas, pero con supervisión humana experta.

2. Ciber resiliencia sobre prevención

El enfoque está evolucionando. Ya no se trata solo de evitar que entren, sino de:

• Asumir que eventualmente algo entrará
• Detectarlo rápido
• Contenerlo eficazmente
• Recuperarse con mínimo impacto
• Aprender del incidente

Esto requiere planes de continuidad probados, backups realmente aislados, equipos entrenados en respuesta, y simulacros periódicos.

¿Cuántas entidades gubernamentales tienen planes de recuperación cibernética probados? Según el estudio de KPMG, solo el 35% de las organizaciones globalmente ha implementado un "cyber recovery playbook" en toda su organización.

3. Colaboración público-privada

Colombia ha actualizado sus marcos legales promoviendo la cooperación público-privada en ciberseguridad. El MinTIC lo ha señalado claramente: la seguridad digital es responsabilidad compartida.

Las entidades gubernamentales no pueden (ni deben) hacerlo solas. Necesitan:

• Proveedores especializados que complementen capacidades nacionales
• Intercambio de inteligencia de amenazas
• Respuesta coordinada ante incidentes mayores
• Capacitación continua de equipos internos

El modelo ideal combina:

• La estrategia nacional del SOC de MinTIC (servicios básicos de monitoreo)
• SOCs especializados para entidades con necesidades específicas
• Equipos internos fortalecidos con capacitación continua
• Coordinación con ColCERT para respuesta nacional
  
  

8. El déficit de talento: un desafío nacional

Según declaraciones del Alto Consejero para la Transformación Digital, Colombia necesita al menos 100.000 expertos en seguridad digital para cubrir las necesidades del gobierno nacional, regional y el sector privado.

Esto plantea una realidad difícil para las entidades que quieren construir SOCs internos: competirán por talento escaso, costoso y con alta rotación.

Un SOC como servicio resuelve parcialmente este problema:

• Centraliza talento especializado que sirve a múltiples entidades eficientemente
• Ofrece planes de carrera atractivos en empresas grandes (vs. posiciones aisladas en entidades pequeñas)
• Mantiene capacitación continua del equipo
• Transfiere conocimiento a los equipos internos de las entidades

Esto no elimina la necesidad de fortalecer capacidades internas, pero permite a las entidades enfocarse en tener coordinadores de seguridad competentes que trabajen con el SOC externo, en lugar de tratar de armar equipos completos desde cero.

 9. Recomendaciones estratégicas para tomadores de decisión

Como profesional que ha acompañado a decenas de entidades públicas en su transformación digital, estas son mis recomendaciones:

1. Evalúen su postura actual de ciberseguridad

Antes de decidir cualquier inversión, respondan:

• ¿Qué activos críticos tenemos y dónde están?
• ¿Cuánto tardaríamos en detectar una brecha?
• ¿Tenemos planes de respuesta probados?
• ¿Nuestros backups están realmente aislados?
• ¿Cumplimos con las normativas aplicables?
  
  

2. Adopten un modelo híbrido

No tienen que elegir entre el SOC nacional o un SOC privado. Pueden:

• Aprovechar los servicios básicos del SOC de MinTIC (es gratuito para entidades públicas)
• Complementar con un SOC especializado para sus sistemas críticos o información sensible
• Fortalecer sus equipos internos con capacitación

Este modelo optimiza recursos: usan servicios nacionales donde aplican, e invierten en especialización donde realmente lo necesitan.

3. Prioricen la capacitación interna

Un SOC externo no elimina la necesidad de tener gente competente internamente. Necesitan:

• Un coordinador de seguridad que entienda el negocio y pueda trabajar con el SOC
• Equipos IT que implementen buenas prácticas de seguridad
• Usuarios finales conscientes de riesgos (el 74% de brechas en Colombia en 2024 iniciaron con un correo fraudulento, según Policía Nacional y Fortinet)

Inviertan en cultura de seguridad. Ninguna tecnología protege contra usuarios que hacen clic en enlaces maliciosos o comparten credenciales.

4. Exijan evidencia, no promesas

Cuando evalúen proveedores de SOC, exijan:

• Certificaciones verificables (ISO 27001, SOC 2, etc.)
• Referencias de otras entidades gubernamentales
• Planes de continuidad y recuperación documentados
• SLAs claros con penalizaciones por incumplimiento
• Esquemas de transferencia de conocimiento

5. Consideren el costo total de propiedad, no solo el precio

Un SOC interno barato puede salir carísimo si:

• No detecta amenazas a tiempo
• No tiene cobertura 24/7 real
• Usa tecnología obsoleta
• Tiene analistas poco capacitados

Comparen el costo total de propiedad:

• SOC interno: Inversión inicial + gastos de funcionamiento + riesgo de falla
• SOC como servicio: Solo gastos de funcionamiento predecibles + transferencia de riesgo + tecnología siempre actualizada

Para entidades acostumbradas al lenguaje presupuestal privado: esto convierte CAPEX en OPEX, liberando recursos de inversión para otras prioridades estratégicas.

En la mayoría de los casos, el SOC como servicio ofrece mejor relación costo-beneficio, especialmente para entidades pequeñas y medianas.

 10. Conclusión: la ciberseguridad como habilitador estratégico

He comenzado este artículo con cifras alarmantes: 36 mil millones de intentos de ataque en 2024. Pero quiero concluir con un mensaje de oportunidad.

La ciberseguridad no es un gasto operativo que debemos soportar. Es un habilitador estratégico de la transformación digital del Estado colombiano.

Cuando las entidades gubernamentales operan con confianza en su seguridad digital:

• Los ciudadanos adoptan servicios en línea más rápidamente
• Los trámites se digitalizan sin temor
• La información fluye eficientemente entre entidades
• La innovación se acelera porque el riesgo está controlado

El SOC Nacional del MinTIC es un primer paso fundamental. Pero la estrategia completa requiere que cada entidad evalúe sus necesidades específicas y complemente con capacidades especializadas donde sea necesario.

En InterNexa, con nuestra experiencia de más de 25 años protegiendo infraestructura crítica, estamos listos para ser ese aliado especializado. No para reemplazar la estrategia nacional, sino para complementarla donde las entidades lo requieran.

La pregunta que los tomadores de decisión deben hacerse no es "¿podemos pagar por más ciberseguridad?", sino "¿podemos pagar las consecuencias de no tenerla?".

Los incidentes recientes que han comprometido millones de datos de ciudadanos colombianos son una respuesta clara.

A lo largo de mis conversaciones con tomadores de decisión en entidades gubernamentales, he identificado preguntas recurrentes que merecen respuestas claras. Permítanme abordar las más importantes: