Cuando una empresa en Latinoamérica está seleccionando una solución o un proveedor de ciberseguridad, suele concentrarse en tasas de detección, certificaciones y compatibilidad técnica. El proceso de evaluación aún suele basarse en cuestionarios detallados que los proveedores responden con certificaciones de cumplimiento.
Pocas organizaciones van más allá y se preguntan si pueden verificar, de forma independiente, lo que esas soluciones de software hacen con sus datos una vez instaladas.
Un estudio reciente responde esa pregunta con evidencia empírica y sugiere que allí está uno de los asuntos menos discutidos del sector: la brecha entre lo que los proveedores prometen y lo que realmente pueden demostrar cuando se les examina con rigor técnico y legal.
Todos cumplen, pero casi nadie deja verificar: la brecha de transparencia que la industria de ciberseguridad prefiere no discutir.
El informe ‘Transparency Review and Accountability in Cyber Security’ (TRACS) 2025, encargado por la Cámara de Comercio del Tirol (WKO) de Austria, ejecutado por MCI – The Entrepreneurial School y AV-Comparatives, y con verificación legal de Studio Legale Tremolada, analizó 14 productos de seguridad empresarial con presencia global.
Lo que diferencia a TRACS de un ‘benchmark’ convencional es su enfoque dual. Por un lado, un equipo legal examinó los contratos de licencia (EULA), las políticas de privacidad, los acuerdos de procesamiento de datos, las certificaciones vigentes y los compromisos públicos de cada proveedor.
Por otro, un equipo técnico instaló cada producto en un entorno de laboratorio controlado, capturó todo el tráfico de red entrante y saliente –incluyendo, cuando fue posible, la inspección de tráfico cifrado con TLS– y contrastó lo observado con lo declarado por los proveedores en sus documentos.
En este contexto, transparencia no significa publicar promesas de cumplimiento, sino permitir que clientes, auditores o reguladores contrasten con evidencias cómo se manejan los datos, qué se transmite, cómo se actualiza el software y qué es realmente auditable.
Índice de temas
Hallazgos del estudio de transparencia
La conclusión principal del estudio fue preocupante: todos los proveedores cumplen lo básico –normativas como GDPR e ISO 27001–, pero la transparencia verificable sigue siendo excepcional, y el estudio identifica discrepancias relevantes entre lo que varios proveedores declaran en sus documentos contractuales y lo que sus productos transmiten realmente en operación.
En otras palabras: un proveedor puede proporcionar respuestas que satisfagan formalmente los requerimientos y, aun así, mantener una opacidad operativa difícil de auditar.
Todos los productos son propietarios y de código cerrado, y sus licencias prohíben expresamente la ingeniería inversa.
Solo 3 proveedores –Cisco, Kaspersky y Microsoft– operan centros de transparencia para sus clientes empresariales o entidades autorizadas, aunque con alcances distintos. Según TRACS, el de Microsoft limita el acceso a agencias gubernamentales, el de Cisco tiene un alcance acotado y solo los Centros de Transparencia de Kaspersky permiten examinar el código fuente, los mecanismos de actualización y los procesos de gestión de datos. Este proveedor opera 13 de estos centros, en ciudades como Bogotá, São Paulo, Madrid, Zúrich, Tokio y Seúl.
En el terreno de la transparencia de la cadena de suministro de software, la situación no es mejor. Aunque la mayoría de los proveedores reconoce el uso de componentes de código abierto, solo Cisco, Kaspersky y Sophos publican listas de materiales de software (SBOM).
Lo mismo ocurre con los resultados de auditorías de seguridad: de los 14 proveedores, solo Sophos los publica en su sitio web, mientras que Broadcom, Check Point, Cisco, Kaspersky, Microsoft y Webroot proporcionan informes completos a quien los solicite.
Recomendaciones prácticas para responsables de seguridad
Aunque TRACS es un estudio pionero centrado en transparencia verificable de proveedores de ciberseguridad, se conecta con preocupaciones más amplias sobre cadena de suministro, confianza y resiliencia. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha insistido en que las organizaciones necesitan transparencia sobre las prácticas de ciberseguridad de los productos y servicios que reciben, mientras que el Foro Económico Mundial asocia la apertura y la transparencia con culturas más maduras de respuesta a incidentes.
TRACS no es un ranking de productos ni pretende medir la eficacia total de las soluciones frente a amenazas reales. Su foco está en cuánto de lo que promete un proveedor puede ser verificado, y en ese sentido ofrece criterios de evaluación concretos para los CISO –líderes de Seguridad de la Información– y los responsables de compras empresariales.
Las recomendaciones para los tomadores de decisiones son concretas:
- Verificar las certificaciones mediante informes oficiales y no por logos genéricos.
- Solicitar listas de materiales de software (SBOM) y políticas de retención de datos.
- Revisar las cláusulas de respuesta a incidentes y compromisos Safe Harbor.
- Comprobar las ubicaciones de los centros de datos.
- Evaluar las capacidades de funcionamiento sin conexión para entornos aislados.
- Configurar cada producto con el mínimo de privilegios necesarios.
El estudio concluye que la transparencia verificable puede funcionar como un indicador relevante de madurez en seguridad y gobernanza del proveedor y sus soluciones, aunque no reemplaza otras variables técnicas de evaluación como pruebas de eficacia, resiliencia, respuesta a incidentes o seguridad de la cadena de suministro.
Para las empresas colombianas y latinoamericanas, que enfrentan crecientes exigencias regulatorias, presión reputacional y amenazas digitales cada vez más sofisticadas, este cambio de paradigma crea una oportunidad concreta: profesionalizar la selección de proveedores. Eso implica que la evaluación ya no debería limitarse a revisar certificaciones o promesas comerciales, sino que también debe exigir evidencias, trazabilidad y condiciones reales de verificación.
