Informe de
Ciberseguridad
Empresarial
Colombia 2026
El análisis más completo sobre el panorama de amenazas cibernéticas en Colombia. Datos reales de más de 3,000 empresas colombianas, tendencias de ransomware, costos de brechas y recomendaciones accionables para proteger su organización.
Resumen Ejecutivo
Los números que debe conocer
Cifras extraídas de incidentes reales en empresas colombianas de todos los tamaños y sectores.
Empresas con al menos 1 incidente
El 73% de empresas colombianas sufrió al menos un incidente de seguridad significativo durante 2025, comparado con el 61% reportado en 2024. El incremento del 12 puntos porcentuales refleja la mayor sofisticación de los actores de amenaza que operan en la región.
Costo promedio de una brecha (USD)
El costo total promedio de una brecha de datos en Colombia alcanzó los 2.3 millones de dólares en 2025, incluyendo costos directos (respuesta, notificación, remediación) e indirectos (pérdida de clientes, daño reputacional, multas regulatorias de la SIC).
Ataques iniciados por phishing
Casi la mitad de todos los ataques exitosos en Colombia comenzaron con un correo de phishing. Los atacantes utilizan técnicas de spear phishing dirigidas a ejecutivos y personal financiero, suplantando identidades de entidades colombianas como la DIAN, Bancolombia y la SIC para aumentar credibilidad.
PYMES con plan de respuesta
Solo el 12% de las pequeñas y medianas empresas colombianas cuenta con un plan documentado de respuesta a incidentes. Esta brecha crítica significa que cuando ocurre un ataque, la mayoría de organizaciones reacciona de forma improvisada, incrementando el tiempo de recuperación de días a semanas.
Sectores más atacados en Colombia
El sector financiero sigue siendo el objetivo primario, pero la diversificación de ataques hacia salud y manufactura en 2025 representa una tendencia preocupante con implicaciones para la seguridad de datos de millones de colombianos.
La concentración de ataques al gobierno refleja el incremento de grupos de ciberespionaje patrocinados por estados que buscan acceder a información estratégica y bases de datos de ciudadanos. El sector salud, por su parte, se ha convertido en objetivo por la alta rentabilidad de la venta de historias clínicas en mercados de datos ilegales.
Evalúe su exposición con hacking éticoBancos, fintechs, aseguradoras, fiduciarias
Entidades estatales, alcaldías, empresas públicas
EPS, IPS, clínicas, laboratorios, farmacias
Petróleo, minería, alimentos, textiles, automotriz
E-commerce, supermercados, tiendas, franquicias
Educación, logística, telecomunicaciones, ONG
Fuente: Análisis de incidentes Starsolution + COLCERT 2025. N=3,247 empresas.
Top 5 Amenazas en Colombia 2026
Análisis detallado de los vectores de ataque más prevalentes con contexto específico para el ecosistema empresarial colombiano.
Ransomware-as-a-Service (RaaS)
CRÍTICO LockBit 3.0 • BlackCat/ALPHV • Cl0pEl modelo Ransomware-as-a-Service democratizó el cibercrimen: grupos como LockBit, BlackCat y Cl0p operan como franquicias que venden su malware a "afiliados" locales en Colombia. Esto significa que atacantes sin conocimientos técnicos avanzados pueden ejecutar ataques devastadores pagando una comisión del 20-30% del rescate al grupo desarrollador.
En Colombia, LockBit afectó a múltiples entidades del sector financiero y gobierno durante 2024-2025, cifrando sistemas críticos y publicando datos sensibles cuando las víctimas no pagaron. El tiempo promedio de cifrado de toda la infraestructura es de apenas 45 minutos desde la infiltración inicial.
La doble extorsión —cifrar Y exfiltrar datos para amenazar con publicarlos— es ahora estándar en el 68% de los casos colombianos. Las empresas enfrentan el dilema de pagar sin garantía de recuperación o asumir multas de la SIC por exposición de datos personales bajo la Ley 1581.
Business Email Compromise (BEC)
ALTO Fraude CEO • Suplantación proveedoresEl Business Email Compromise es el ataque más rentable por unidad de esfuerzo. Los atacantes estudian la estructura organizacional de la empresa por semanas usando LinkedIn, redes sociales y correos públicos, para luego suplantar al CEO o CFO y solicitar transferencias urgentes a cuentas controladas.
En Colombia, la modalidad de suplantación de proveedores es especialmente efectiva: los atacantes comprometen el correo de un proveedor real y en el momento de una transacción legítima, modifican los datos bancarios para desviar el pago. Muchas empresas solo descubren el fraude semanas después, cuando el proveedor reclama el pago pendiente.
El FBI estima que los ataques BEC generaron pérdidas globales de más de $2.9 mil millones en 2023. En Colombia, el promedio por incidente exitoso supera los $85,000 USD, con casos documentados de más de $500,000 USD en el sector constructor y de servicios.
Ataques a Cadena de Suministro
ALTO Software supply chain • Terceros comprometidosLos ataques a la cadena de suministro explotan la confianza implícita que las empresas depositan en sus proveedores de software y servicios. Al comprometer un proveedor confiable, los atacantes obtienen acceso a cientos de organizaciones simultáneamente. El ataque a SolarWinds demostró en 2020 que incluso soluciones de seguridad pueden ser vectores de ataque.
En Colombia, el mayor riesgo proviene de software local no auditado, plugins de WordPress o plataformas de comercio electrónico desarrolladas por terceros sin prácticas seguras de desarrollo. Muchas empresas colombianas confían en proveedores tecnológicos locales que no implementan revisión de código, controles de integridad o procesos de divulgación de vulnerabilidades.
Los sectores más afectados son aquellos con ecosistemas complejos de proveedores: manufactura (con sistemas SCADA y OT), sector financiero (con integraciones a pasarelas de pago) y sector salud (con sistemas de información hospitalaria de terceros).
Exfiltración de Datos por Insiders
MODERADO-ALTO Empleados • Contratistas • Ex-colaboradoresLas amenazas internas —tanto maliciosas como accidentales— representan el 19% de todos los incidentes en Colombia. A diferencia de los atacantes externos, los insiders ya tienen acceso legítimo a los sistemas, lo que los hace más difíciles de detectar y contener. El tiempo promedio para detectar una amenaza interna es de 77 días.
En el contexto colombiano, la alta rotación laboral en sectores tecnológicos y financieros, combinada con controles deficientes de desaprovisionamiento de accesos, crea ventanas de oportunidad. Ex-empleados que mantienen credenciales activas semanas o meses después de su salida representan el vector más común de amenaza interna.
El 34% de los casos de insider en Colombia involucran a personal de TI con acceso privilegiado que extrae bases de datos de clientes para venderlas a competidores o a redes de fraude. La implementación de soluciones DLP y monitoreo de usuarios privilegiados reduce el riesgo en un 71%.
Ataques a Infraestructura Cloud Mal Configurada
CRECIENTE AWS • Azure • GCP • S3 expuestosLa migración acelerada a la nube durante la pandemia dejó una herencia de configuraciones deficientes que siguen siendo explotadas en 2026. Buckets S3 públicos, grupos de seguridad demasiado permisivos, secretos hardcodeados en repositorios de código y claves de API expuestas son hallazgos comunes en las evaluaciones de superficie de ataque que realizamos.
En Colombia, el 58% de las empresas que migraron a la nube entre 2020-2022 nunca realizó una auditoría de configuración posterior. Los atacantes utilizan herramientas automatizadas que escanean continuamente Internet en busca de recursos cloud mal configurados: un bucket S3 público con datos de clientes puede ser descubierto y exfiltrado en menos de 24 horas de su exposición.
El concepto de "Shared Responsibility Model" aún no está completamente interiorizado en el ecosistema empresarial colombiano: AWS, Azure y Google Cloud aseguran la infraestructura, pero la configuración segura de los servicios que se despliegan sobre ella es responsabilidad del cliente.
Regulaciones y Cumplimiento en Colombia
El incumplimiento normativo ya no es solo un riesgo de reputación — las multas son reales y crecientes.
Ley 1581 de 2012
Protección de Datos PersonalesLa Ley Estatutaria de Protección de Datos establece los principios y obligaciones para el tratamiento de datos personales en Colombia. La Superintendencia de Industria y Comercio (SIC) puede imponer multas de hasta 2,000 SMLMV (~$600M COP) por incumplimiento.
- ✓ Registro de Bases de Datos ante la SIC obligatorio
- ✓ Política de tratamiento de datos personales publicada
- ✓ Medidas de seguridad técnicas y administrativas
- ✓ Notificación de brechas a la SIC y titulares
Circular 007 SFC
Ciberseguridad Sector FinancieroLa Superintendencia Financiera de Colombia exige a todas las entidades vigiladas implementar un marco de gestión de riesgos de ciberseguridad. La Circular Externa 007 de 2018 establece requerimientos específicos de controles, pruebas de penetración anuales y gestión de incidentes.
- ✓ Sistema de Gestión de Seguridad de la Información (SGSI)
- ✓ Pruebas de penetración anuales obligatorias
- ✓ Plan de continuidad de negocio ante ciberincidentes
- ✓ Reporte de incidentes a la SFC en menos de 72 horas
ISO/IEC 27001:2022
Estándar Internacional SGSILa versión 2022 de ISO 27001 incorpora 11 nuevos controles relacionados con seguridad cloud, gestión de amenazas y continuidad operacional. En Colombia, la certificación ISO 27001 es exigida en licitaciones de entidades como MinTIC, DIAN y el Ministerio de Salud para contratos de manejo de datos sensibles.
Starsolution ha certificado más de 50 organizaciones en Colombia bajo ISO 27001:2022 con tasa de aprobación del 100%.
Ver consultoría ISO 27001CONPES 3701 y 3854
Política Nacional de CiberseguridadLos documentos CONPES establecen los lineamientos de política para la ciberseguridad y ciberdefensa nacional. El CONPES 3854 modernizó el marco institucional creando el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT) como entidad coordinadora de respuesta a incidentes.
- ✓ Infraestructuras críticas identificadas y reguladas
- ✓ Coordinación sectorial ante incidentes nacionales
- ✓ Colaboración público-privada en ciberdefensa
¿No sabe si su empresa cumple con la normativa colombiana? Solicite una evaluación de cumplimiento gratuita.
Evaluación de Cumplimiento GratuitaInversión en Ciberseguridad: Colombia vs. el Mundo
Entender cuánto invierten sus pares es el primer paso para justificar el presupuesto de seguridad ante la junta directiva.
Colombia
Mercado emergente
Latinoamérica
Promedio regional
Global
Economías desarrolladas
La brecha de inversión tiene un costo
Colombia invierte 4.2 veces menos que el promedio de economías desarrolladas como porcentaje del presupuesto TI. Esta diferencia se refleja directamente en el tiempo de detección de incidentes (22 días en Colombia vs. 9 días en EE.UU.) y en el costo final de los ataques.
Por cada USD que no se invierte en prevención, las empresas colombianas gastan en promedio USD 7 en recuperación. El retorno de inversión de un programa de ciberseguridad bien implementado supera el 400% en los primeros 3 años.
10 Recomendaciones de Starsolution para 2026
Acciones concretas, priorizadas por impacto y aplicables a empresas colombianas de cualquier tamaño.
Implemente EDR/XDR en todos los endpoints
El antivirus tradicional no detecta el 45% de las amenazas modernas. Los endpoint detection & response con IA identifican comportamientos anómalos antes de que el daño ocurra.
Proteja el correo electrónico contra phishing y BEC
El 47% de los ataques comienzan por email. Las soluciones de seguridad de correo con análisis de sandbox, DMARC y detección de BEC son su primera línea de defensa.
Proofpoint Email SecurityConozca su superficie de ataque externa
No puede proteger lo que no conoce. El monitoreo continuo de activos expuestos, credenciales filtradas y vulnerabilidades externas es la base de cualquier programa de seguridad.
Enthec Attack Surface ManagementRealice pentesting al menos una vez al año
Un atacante ético que identifique sus vulnerabilidades antes que un criminal. Las pruebas de penetración revelan vectores de ataque reales que los escaneos automatizados no detectan.
Hacking Ético StarsolutionImplemente gestión de vulnerabilidades continua
Los atacantes explotan vulnerabilidades conocidas en promedio 15 días después de su publicación. Priorice y remedie CVEs basándose en riesgo real, no solo en severidad CVSS.
Gestión de vulnerabilidadesProteja documentos sensibles con cifrado persistente
La protección de datos debe seguir al documento, no al perímetro. Las soluciones de Information Rights Management aseguran que solo usuarios autorizados puedan abrir, editar o imprimir archivos críticos.
SealPath Document ProtectionAudite y monitoree accesos privilegiados
El 34% de los incidentes internos involucra personal con acceso privilegiado. El monitoreo continuo de administradores, DBA y usuarios con acceso especial es crítico para detectar comportamientos anómalos.
Netwrix AuditorAdopte detección y respuesta extendida (XDR)
Correlacione eventos de endpoints, red, email y cloud en una sola plataforma. Los ataques modernos cruzan múltiples vectores y requieren visibilidad unificada para ser detectados a tiempo.
Stellar Cyber Open XDRCertifíquese en ISO 27001:2022
La certificación ISO 27001 no es solo un requisito para licitaciones — es la demostración más sólida de madurez en seguridad. Establece procesos repetibles y cultura de seguridad sostenible.
Consultoría ISO 27001 ColombiaDocumente y pruebe su plan de respuesta a incidentes
El 88% de las empresas colombianas sin plan de respuesta tardan más de 5 días en contener un incidente. Con un plan probado, el tiempo de contención baja a menos de 8 horas. Realice simulacros anuales.
Solicitar taller de incident responseMetodología del Informe
Fuentes de Datos
- ■ Datos de clientes (anonimizados): Análisis de incidentes de seguridad reportados por +3,000 empresas clientes de Starsolution entre enero 2024 y diciembre 2025, con datos completamente anonimizados y agregados.
- ■ COLCERT: Reportes públicos del Grupo de Respuesta a Emergencias Cibernéticas de Colombia del MinTIC.
- ■ Verizon DBIR 2025: Data Breach Investigations Report con filtros para Latinoamérica y economías emergentes.
- ■ Bases de datos de brechas: Have I Been Pwned, DeHashed y registros públicos de la SIC sobre notificaciones de brechas.
Alcance y Limitaciones
- ■ Período analizado: enero 2024 - diciembre 2025
- ■ Muestra: 3,247 empresas colombianas de todos los tamaños (10 a 5,000+ empleados)
- ■ Sectores: Financiero, gobierno, salud, manufactura, retail, educación y servicios
- ■ Sesgo de muestra: Los datos están sesgados hacia empresas con mayor madurez de seguridad al ser clientes de servicios de ciberseguridad. El panorama real del ecosistema colombiano podría ser más crítico.
Aviso legal: Los datos de este informe son con fines informativos. Los costos y estadísticas provienen de fuentes públicas y análisis anonimizados de incidentes. Starsolution S.A.S. no se responsabiliza por decisiones empresariales basadas exclusivamente en esta información sin un análisis personalizado. Para datos específicos de su empresa, solicite un diagnóstico de ciberseguridad.
Descargue el informe completo en PDF
47 páginas con análisis completo, gráficos adicionales, casos de estudio anonimizados y hojas de trabajo para evaluar el estado de seguridad de su empresa.
¿Tiene preguntas? Escríbanos a contacto@star-ti.com o llámenos al +57 300 701 0017