Colombia enfrentó 36 mil millones de intentos de ciberataques entre enero y noviembre de 2024, según Fortinet, consolidándose como el cuarto país más atacado de América Latina. El reciente lanzamiento del SOC Nacional del MinTIC marca un hito, pero las entidades gubernamentales necesitan capacidades complementarias especializadas.
Como Director Comercial de Gobierno en InterNexa, he acompañado la transformación digital de entidades públicas durante más de dos décadas. En este artículo comparto mi visión sobre cómo los Centros de Operaciones de Seguridad (SOC) como servicio pueden cerrar la brecha crítica entre la estrategia nacional y las necesidades específicas de cada organización.
Las cifras son contundentes. Colombia registró 36 mil millones de intentos de ciberataques en los primeros once meses de 2024, según datos de FortiGuard Labs, el laboratorio de inteligencia de amenazas de Fortinet. Esta cifra representa un incremento del 200% frente a los 12.000 millones reportados en 2023, posicionando al país como el cuarto más atacado de América Latina, detrás de Brasil, México y Venezuela.
Pero más alarmante que el volumen es la sofisticación. Como señala Andrés Cajamarca, Director Senior de Ingeniería de Fortinet Colombia: "Nos enfrentamos a un panorama de amenazas en constante evolución, los cibercriminales continúan especializándose, utilizando técnicas avanzadas y sofisticadas de reconocimiento y evasión".
Los ataques ya no son masivos e indiscriminados. Son quirúrgicamente dirigidos. Y el sector público está en el centro de la diana.
Los ataques de ransomware contra infraestructura crítica no son escenarios hipotéticos. En los últimos dos años, Colombia ha experimentado incidentes que paralizaron servicios gubernamentales esenciales durante días, comprometieron millones de registros ciudadanos, y obligaron a suspender términos judiciales y procedimientos administrativos críticos.
Las consecuencias trascienden lo tecnológico:
Estos incidentes han demostrado lecciones críticas:
La pregunta que todo tomador de decisión debe hacerse no es "¿nos puede pasar?", sino "¿cuándo nos pasará y qué tan preparados estamos?".
El 21 de enero de 2025, el MinTIC inauguró el Centro de Operaciones de Seguridad Nacional (SOC), con una inversión de $15.543 millones. Este centro, gestionado por el ColCERT, integra herramientas de vanguardia como Mandiant, ThreatQ y Tenable.
El SOC Nacional beneficiará inicialmente a cerca de 6.400 entidades públicas nacionales y territoriales con servicios gratuitos de monitoreo básico. A futuro, se espera impactar a más de 300.000 organizaciones privadas con la implementación de controles básicos de seguridad.
Es un avance fundamental. Pero plantea preguntas estratégicas:
Una superintendencia que maneja datos financieros sensibles tiene un perfil de riesgo diferente al de una secretaría de educación departamental. ¿Puede un SOC nacional ofrecer la especialización sectorial que cada entidad requiere?
Muchas entidades manejan información que no puede salir de sus instalaciones o que requiere controles adicionales más allá de los estándares básicos. El SOC Nacional opera bajo premisas de monitoreo generalizado, no de custodia de información crítica.
Detectar es el primer paso. Contener, erradicar y recuperar requiere capacidades locales, equipos especializados y planes de respuesta específicos por entidad.
La estrategia nacional es esencial, pero insuficiente para organizaciones con infraestructuras críticas, obligaciones regulatorias estrictas o perfiles de amenaza elevados.
Según el estudio Global Digital Trust Insights 2025 de PwC, que encuestó a 4.042 ejecutivos de 77 países, solo el 2% de las organizaciones ha implementado acciones de ciberresiliencia en toda su organización.
Permítanme repetir eso: 2%.
No es un problema de conciencia. El 66% de los líderes tecnológicos clasifican la ciberseguridad como el principal riesgo que su organización debe mitigar en los próximos 12 meses. El 77% planea aumentar su presupuesto en ciberseguridad durante 2025.
El problema es la ejecución. Las organizaciones saben que deben actuar, pero luchan por implementar estrategias integrales.
En el sector público, esta brecha tiene implicaciones que trascienden lo organizacional:
Como señala el estudio Cybersecurity Considerations 2025 de KPMG: "Las organizaciones enfrentan nuevos desafíos en materia de ciberseguridad que requieren atención estratégica y una acción coordinada". No basta con tecnología. Se requiere un enfoque que integre personas, procesos y tecnología.
Aquí es donde el modelo de "SOC como Servicio" emerge como alternativa estratégica y costo-efectiva para entidades que:
Un SOC especializado correlaciona amenazas:
Las entidades gubernamentales operan bajo marcos regulatorios estrictos:
Un SOC como servicio especializado en gobierno no solo detecta amenazas, sino que genera evidencia auditable, trazabilidad de incidentes, reportes de cumplimiento y documentación para auditorías.
Un SOC especializado en gobierno incluye:
Implementar un SOC interno de nivel empresarial requiere inversiones significativas en múltiples frentes:
Un SOC como servicio transforma inversión inicial (CAPEX) en gasto de funcionamiento predecible (OPEX), ofreciendo:
El análisis de costo total de propiedad debe considerar no solo la inversión inicial, sino los costos ocultos: rotación de personal especializado, actualizaciones tecnológicas frecuentes, mantenimiento de certificaciones, y especialmente el costo de oportunidad de no detectar amenazas a tiempo.
Permítanme hablar desde mi experiencia liderando la estrategia comercial para gobierno en InterNexa.
Durante 12 años como ejecutivo en ETB, lideré las áreas de Empresas & Ciudades Inteligentes y Experiencia al Cliente, gestionando unidades de negocio multimillonarias para el mercado corporativo y gubernamental. Esa experiencia me enseñó algo fundamental: en ciberseguridad, la tecnología es solo una parte de la ecuación. La experiencia del usuario final—en este caso, los funcionarios y ciudadanos—determina el éxito real de cualquier implementación.
Un SOC puede ser tecnológicamente impecable, pero si sus alertas llegan incomprensibles, si los tiempos de respuesta no se alinean con las necesidades operativas de la entidad, o si los equipos internos no saben cómo interactuar con él, fracasa en lo esencial: proteger efectivamente.
Ahora, como Director Comercial de Gobierno en InterNexa, aplico esa visión de experiencia del cliente a la ciberseguridad gubernamental. No vendemos tecnología: diseñamos soluciones que funcionan en el contexto operativo real de cada entidad.
InterNexa nace de la infraestructura crítica del Estado colombiano (Somos una empresa ISA, ahora parte de Grupo Ecopetrol), con más de 25 años operando servicios esenciales.
No estamos hablando de marketing: cuando una superintendencia o un ministerio nos confía su seguridad, la información permanece bajo jurisdicción nacional, cumpliendo las regulaciones de protección de datos gubernamentales.
En un contexto donde los ataques pueden tener origen en actores estatales extranjeros, la soberanía digital no es un lujo: es una necesidad estratégica.
El sector gobierno no solo maneja redes administrativas. Opera infraestructura de control:
InterNexa lleva décadas protegiendo infraestructura donde la disponibilidad no es negociable. Entendemos la convergencia IT/OT porque vivimos en ella. Sabemos que un ataque a un sistema de control puede tener consecuencias físicas, no solo digitales.
Muchos proveedores ofrecen SOC como un servicio aislado. En InterNexa, el SOC se integra con nuestra infraestructura de:
Esto significa que no solo monitoreamos amenazas: entendemos toda la arquitectura de conectividad y datos de la entidad. Podemos detectar anomalías a nivel de red que un SOC sin visibilidad integral no vería.
Aquí es donde mi experiencia de 12 años liderando Experiencia al Cliente en ETB marca una diferencia crítica.
He visto demasiados proyectos de ciberseguridad técnicamente perfectos que fracasan porque:
En InterNexa diseñamos la experiencia del servicio pensando en tres usuarios:
Un SOC no es solo tecnología. Es un servicio que debe integrarse naturalmente en la operación diaria de la entidad, hablar su lenguaje, entender sus prioridades, y adaptarse a su realidad organizacional.
Operamos centros de operaciones de seguridad en Bogotá y Medellín. Esto no es redundancia: es resiliencia operativa. Si un evento afecta una ciudad, el otro centro mantiene operaciones sin interrupción.
Para entidades con operaciones nacionales, esto significa cobertura distribuida y tiempos de respuesta optimizados.
Como Director Comercial enfocado en gobierno, veo tres tendencias que los tomadores de decisión deben considerar en su estrategia:
Los atacantes ya usan IA para:
Pero la IA también potencia la defensa:
La pregunta no es "¿adoptamos IA en ciberseguridad?" sino "¿cómo la implementamos de forma segura y efectiva?". Un SOC especializado debe tener capacidades de IA integradas, pero con supervisión humana experta.
El enfoque está evolucionando. Ya no se trata solo de evitar que entren, sino de:
Esto requiere planes de continuidad probados, backups realmente aislados, equipos entrenados en respuesta, y simulacros periódicos.
¿Cuántas entidades gubernamentales tienen planes de recuperación cibernética probados? Según el estudio de KPMG, solo el 35% de las organizaciones globalmente ha implementado un "cyber recovery playbook" en toda su organización.
Colombia ha actualizado sus marcos legales promoviendo la cooperación público-privada en ciberseguridad. El MinTIC lo ha señalado claramente: la seguridad digital es responsabilidad compartida.
Las entidades gubernamentales no pueden (ni deben) hacerlo solas. Necesitan:
El modelo ideal combina:
Esto plantea una realidad difícil para las entidades que quieren construir SOCs internos: competirán por talento escaso, costoso y con alta rotación.
Un SOC como servicio resuelve parcialmente este problema:
Esto no elimina la necesidad de fortalecer capacidades internas, pero permite a las entidades enfocarse en tener coordinadores de seguridad competentes que trabajen con el SOC externo, en lugar de tratar de armar equipos completos desde cero.
9. Recomendaciones estratégicas para tomadores de decisión
Como profesional que ha acompañado a decenas de entidades públicas en su transformación digital, estas son mis recomendaciones:
Antes de decidir cualquier inversión, respondan:
No tienen que elegir entre el SOC nacional o un SOC privado. Pueden:
Este modelo optimiza recursos: usan servicios nacionales donde aplican, e invierten en especialización donde realmente lo necesitan.
Un SOC externo no elimina la necesidad de tener gente competente internamente. Necesitan:
Inviertan en cultura de seguridad. Ninguna tecnología protege contra usuarios que hacen clic en enlaces maliciosos o comparten credenciales.
Cuando evalúen proveedores de SOC, exijan:
Un SOC interno barato puede salir carísimo si:
Comparen el costo total de propiedad:
Para entidades acostumbradas al lenguaje presupuestal privado: esto convierte CAPEX en OPEX, liberando recursos de inversión para otras prioridades estratégicas.
En la mayoría de los casos, el SOC como servicio ofrece mejor relación costo-beneficio, especialmente para entidades pequeñas y medianas.
10. Conclusión: la ciberseguridad como habilitador estratégico
He comenzado este artículo con cifras alarmantes: 36 mil millones de intentos de ataque en 2024. Pero quiero concluir con un mensaje de oportunidad.
La ciberseguridad no es un gasto operativo que debemos soportar. Es un habilitador estratégico de la transformación digital del Estado colombiano.
Cuando las entidades gubernamentales operan con confianza en su seguridad digital:
En InterNexa, con nuestra experiencia de más de 25 años protegiendo infraestructura crítica, estamos listos para ser ese aliado especializado. No para reemplazar la estrategia nacional, sino para complementarla donde las entidades lo requieran.
La pregunta que los tomadores de decisión deben hacerse no es "¿podemos pagar por más ciberseguridad?", sino "¿podemos pagar las consecuencias de no tenerla?".
Los incidentes recientes que han comprometido millones de datos de ciudadanos colombianos son una respuesta clara.
A lo largo de mis conversaciones con tomadores de decisión en entidades gubernamentales, he identificado preguntas recurrentes que merecen respuestas claras. Permítanme abordar las más importantes: