Kaspersky presentó su Boletín de Seguridad 2025 centrado en la ciberseguridad del sector retail y de comercio electrónico, donde analiza incidentes reales y las principales tendencias de amenazas que impactaron a los usuarios y a las empresas durante el último año.

Más allá de ofrecer un balance de lo ocurrido en 2025, el informe también sirve como base para anticipar los riesgos que marcarán 2026, ayudando a organizaciones y consumidores a entender qué cambió, qué amenazas se consolidaron y qué nuevos desafíos deben prepararse para enfrentar.

La ciberseguridad en el sector retail y e-commerce en 2025, en cifras:

• El 14.41% de los usuarios del sector retail se enfrentó a amenazas web.
• El 22.20% de los usuarios del sector retail se enfrentó a amenazas en el dispositivo.
• El 8.25% de las empresas de retail y e-commerce sufrió ransomware este año.
• Un 152% más de usuarios B2B únicos del sector retail y e-commerce se encontró con detecciones de ransomware en 2025 en comparación con 2023.
• Kaspersky identificó 6.7 millones de ataques de phishing dirigidos a usuarios de tiendas online, empresas de reparto y sistemas de pago.
• El 50.58 % de estos ataques de phishing se dirigió a tiendas online.

Panorama de la ciberseguridad en retail y e-commerce en 2025

En 2025, el sector vivió un aumento claro de los riesgos digitales. Las compras online, las apps móviles y los servicios de entrega facilitaron la vida de los usuarios, pero también ampliaron las oportunidades para los ciberdelincuentes. Este contexto ayuda a entender por qué las amenazas fueron más frecuentes y más sofisticadas a lo largo del año.

Apps falsas, incluso en tiendas oficiales: Pedir comida por apps ya es algo normal en nuestra vida diaria. Pero en 2025 quedó claro que ni siquiera descargar una aplicación desde una tienda oficial garantiza que sea segura. Algunas apps aparentan ser legítimas, pero en realidad roban datos personales y financieros de los usuarios.

El ransomware creció con fuerza en el sector B2B: En 2025, el número de usuarios del sector retail y e-commerce que se encontró con ataques de ransomware aumentó un 152% frente a 2023. El mayor crecimiento se dio entre 2024 y 2025, y se debe principalmente a la rápida expansión de una familia de malware llamada Trojan-Ransom.Win32.Dcryptor. Este ransomware se hace pasar por una herramienta legítima (DiskCryptor) y la utiliza para cifrar los discos de las computadoras, dejando a las empresas sin acceso a su información.

El protagonismo del phishing en el comercio online. A pesar de ser una técnica de ataque consolidada, el phishing sigue siendo muy común en el contexto de las compras en línea. De noviembre de 2024 a octubre de 2025, los productos de Kaspersky bloquearon 6,651,955 intentos de acceso a enlaces de phishing dirigidos a usuarios de tiendas online, sistemas de pago y servicios de entrega. De estos intentos, el 50.58 % se dirigía a compradores online, el 27.3 % suplantaba a sistemas de pago y el 22.12 % apuntaba a usuarios de empresas de reparto.

Las temporadas de ventas siguen siendo terreno fértil para los atacantes: Los picos estacionales de compras online ofrecen oportunidades predecibles para escalar ataques centrados en el usuario. Los periodos de alta actividad promocional reducen la vigilancia de los usuarios y permiten que escenarios conocidos de phishing y spam se mezclen con el tráfico legítimo de marketing, aumentando su eficacia. De cara a 2026, la forma en que las personas compran por internet seguirá cambiando rápidamente, impulsada por la inteligencia artificial y nuevas experiencias digitales. Pero estos avances también traerán nuevos riesgos en privacidad y fraude, que tanto empresas como usuarios deberán tener en cuenta.

De cara a 2026, la forma en que las personas compran por internet seguirá cambiando rápidamente, impulsada por la inteligencia artificial y nuevas experiencias digitales. Pero estos avances también traerán nuevos riesgos en privacidad y fraude, que tanto empresas como usuarios deberán tener en cuenta.

Los chatbots ganarán protagonismo en las compras: Cada vez más personas usarán asistentes conversacionales para buscar productos. A diferencia de las búsquedas tradicionales, estos sistemas recogen información más detallada sobre gustos y necesidades, lo que hace que los datos de las conversaciones sean tan sensibles como los de una compra. Esto aumenta el riesgo de uso indebido o exposición de información personal.

Los cambios en impuestos y reglas comerciales también serán usados para estafar: Nuevas tarifas, aranceles y normas de comercio internacional podrían convertirse en excusas para campañas de phishing y tiendas falsas, con promesas de precios demasiado bajos o supuestas exenciones de pagos, afectando sobre todo a pequeños y medianos comercios.

Los asistentes de compra con IA saldrán de las tiendas online: Estos servicios empezarán a integrarse en navegadores, apps y plataformas externas. Aunque facilitan la comparación de precios, también recogen datos del comportamiento del usuario fuera del control directo de las tiendas, lo que crea nuevos riesgos de privacidad y uso poco transparente de la información.

La búsqueda de productos por imágenes abrirá nuevos retos: Subir fotos será cada vez más común para encontrar artículos similares, pero esas imágenes pueden incluir rostros, espacios del hogar o datos visibles como direcciones o números de teléfono. Por eso, la protección de esos contenidos será clave para evitar filtraciones de información personal.

“Estamos viendo un cambio profundo en la forma en que las personas descubren y eligen productos online. En 2025 ya se notó una transición desde las búsquedas simples por palabras clave hacia interacciones más naturales, visuales y conversacionales. Esto significa que los usuarios comparten más información sin darse cuenta, y que las empresas manejan volúmenes de datos cada vez más ricos y delicados. De cara a 2026, el gran desafío no será solo proteger esa información de ataques externos, sino también garantizar que se utilice de forma transparente, responsable y con límites claros. La confianza del consumidor dependerá cada vez más de cómo se gestionen estos datos”, asegura Lisandro Ubiedo, analista Senior de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky.

La entrada Compras con IA y más fraudes: los riesgos digitales que marcarán al e-commerce 2026 se publicó primero en ZonaCISO.

Ya no solo se trata de prevenir ataques informáticos. Hoy, la ciberresiliencia se ha convertido en un factor clave para proteger el valor económico y la continuidad del negocio, en un entorno donde los incidentes digitales pueden generar impactos operacionales y reputacionales inmediatos.

Según el Global Cybersecurity Outlook 2026 del World Economic Forum, un 64% de las organizaciones declara cumplir con los requisitos mínimos de ciberresiliencia, pero solo un 19% asegura superarlos. Si bien esta cifra representa un avance frente a 2025 -cuando apenas un 9% se ubicaba en ese nivel-, el informe advierte que la resiliencia sigue bajo presión.

La ciberresiliencia ha cobrado creciente relevancia en la última década, en el contexto de la acelerada transformación digital de empresas y estados, tanto en Chile como en el mundo. Se refiere a la capacidad de una organización para anticipar amenazas, resistir interrupciones, responder de forma efectiva y recuperarse rápidamente, manteniendo la continuidad del negocio, incluso en escenarios adversos.

Más que evitar incidentes, implica asumir que estos pueden ocurrir y estar preparados para que no paralicen la operación ni erosionen la confianza de clientes y socios. Es lo que permite que un incidente no se transforme en una crisis de negocio”, señala David Pereira, gerente general de Inside Security.

Uno de los hallazgos más relevantes del informe es que, a medida que las organizaciones aumentan su nivel de resiliencia, cambia también la forma en que perciben los riesgos. Los CEOs de empresas altamente resilientes ya no apuntan principalmente a limitaciones internas, sino a riesgos externos y sistémicos: un 78% identifica las vulnerabilidades en terceros y cadenas de suministro como el principal obstáculo para seguir fortaleciendo su resiliencia, seguido por la rápida evolución del entorno de amenazas y tecnologías emergentes (56%) y las complejidades regulatorias y de gobernanza (41%).

En contraste, los CEOs de organizaciones con baja resiliencia siguen enfrentando barreras más básicas, como la falta de presupuesto (63%), la escasa visibilidad sobre entornos IT, OT e IoT y la escasez de talento especializado en ciberseguridad (ambos con 56%). Esto evidencia que la madurez en ciberresiliencia no depende solo de la tecnología, sino de cómo las empresas priorizan y gestionan el riesgo.

“Las organizaciones más avanzadas entienden que el riesgo ya no está solo dentro de sus sistemas, sino en todo el ecosistema digital del que dependen. En cambio, las empresas menos maduras aún deben resolver desafíos clave”, advierte David Pereira. En ese sentido, el profesional identifica tres frentes prioritarios para avanzar en ciberresiliencia:

• Gobernanza del riesgo cibernético, alineando la seguridad con los objetivos estratégicos y la toma de decisiones de la alta dirección.
• Desarrollo y retención de talento, combinando capacitación continua con modelos operativos que reduzcan la dependencia de roles críticos individuales.
• Gestión activa del riesgo de terceros, mediante auditorías continuas, monitoreo de proveedores y un mapeo claro de dependencias tecnológicas.

Desde Inside Security destacan que avanzar hacia una ciberresiliencia real requiere un cambio de enfoque: integrar la seguridad en la estrategia del negocio, fortalecer la gobernanza del riesgo cibernético, desarrollar y retener talento clave y gestionar activamente los riesgos asociados a terceros. “Las organizaciones que entienden la ciberresiliencia como una capacidad estratégica están mejor preparadas para innovar y crecer en un entorno digital cada vez más complejo”, concluye Pereira.

La entrada Ciberresiliencia: Por qué las empresas aún enfrentan barreras para alcanzarla se publicó primero en ZonaCISO.

De acuerdo con estimaciones del mercado, el costo de adecuación puede partir en rangos de US$30.000 a US$100.000 para empresas medianas, mientras que en grandes organizaciones -con ecosistemas digitales complejos, múltiples plataformas y operación cloud- la inversión puede superar fácilmente el millón de dólares. Esto, considerando herramientas de seguridad avanzada, data governance, automatización de derechos de los titulares, consultoría especializada y cambios estructurales en la arquitectura de sistemas.

En un contexto donde los datos son un activo crítico para la operación y la confianza del mercado, el cumplimiento de la ley se perfila no solo como un desafío regulatorio, sino como una decisión estratégica con impacto directo en costos, riesgos y competitividad.

La inminente entrada en vigor de la nueva Ley de Protección de Datos Personales está marcando un punto de inflexión para las empresas que operan en Chile.

Más allá de ajustes normativos o cambios contractuales, la regulación está impulsando una revisión profunda de las plataformas tecnológicas, los modelos de operación y la forma en que las organizaciones entienden la gestión de datos personales, en un contexto donde la fiscalización, la trazabilidad y la capacidad de respuesta serán cada vez más exigentes.

Desde la perspectiva tecnológica, uno de los principales cambios viene dado por la adopción obligatoria de los principios de privacy by design y privacy by default. Según explica Cristina Fritz, cofundadora de Digital Exp, Enterprise Technology especializada en transformación digital de grandes empresas, la privacidad deja de ser un conjunto de lineamientos aplicados a posteriori y pasa a convertirse en un eje estructural de los sistemas digitales.

“La nueva ley obliga a diseñar plataformas donde la privacidad sea el estándar operativo. Ya no basta con adaptar sistemas existentes; es necesario repensar cómo se capturan, procesan y almacenan los datos personales desde su origen”, señala.

Un reto no solo tecnológico

Este nuevo enfoque implica transformaciones relevantes en la arquitectura de sistemas. Las empresas deberán avanzar hacia modelos que prioricen la minimización de datos, recolectando únicamente la información estrictamente necesaria para cumplir una finalidad legítima.

A ello se suma la adopción de cifrado integral, controles de acceso basados en el principio de mínimo privilegio y mecanismos de auditoría que permitan rastrear cada interacción con datos personales. Arquitecturas modulares y segmentadas, capaces de aislar incidentes y reducir superficies de ataque, comienzan a consolidarse como un estándar técnico en un escenario de creciente exposición a riesgos.

El desafío, sin embargo, no es solo tecnológico. La nueva normativa exige una coordinación permanente entre las áreas de negocio, tecnología y seguridad de la información, un cambio cultural que muchas organizaciones aún están abordando.

“El cumplimiento no puede recaer en un solo equipo. Negocio debe definir el propósito y la proporcionalidad del uso de datos; TI debe traducir esas definiciones en sistemas con privacidad incorporada; y seguridad debe garantizar que los controles funcionen frente a amenazas reales”, explica Cristina Fritz.

En este sentido, la gobernanza de datos, con roles claros, comités transversales y métricas comunes, se vuelve una condición básica para asegurar un cumplimiento sostenido en el tiempo.

A medida que los ecosistemas digitales crecen y los datos se distribuyen entre múltiples plataformas y proveedores cloud, las herramientas de data governance y data mapping pasan de ser una buena práctica a un requisito operativo.

Mantener visibilidad sobre qué datos personales existen, dónde se almacenan, quién accede a ellos y con qué finalidad es clave tanto para cumplir la ley como para responder ante eventuales fiscalizaciones. “Sin una visión centralizada y actualizada de los datos, las organizaciones pierden control y aumentan significativamente su exposición al riesgo regulatorio”, advierte Fritz.

Un factor clave

La automatización también se posiciona como un factor decisivo. La ley refuerza los derechos de los titulares, estableciendo plazos claros para responder solicitudes de acceso, rectificación, cancelación u oposición.

Para muchas empresas, cumplir estos tiempos de forma manual resulta inviable. Por ello, se observa una adopción creciente de portales de autoservicio, motores de workflow automatizado y plataformas de gestión de identidades, que permiten validar solicitudes, distribuir tareas y mantener trazabilidad completa.

“Responder en plazo ya no es solo una obligación legal, es un indicador directo de madurez digital”, afirma.

En paralelo, el fortalecimiento de la ciberseguridad se consolida como uno de los ejes más críticos del cumplimiento. La nueva Ley de Protección de Datos eleva las expectativas sobre la capacidad de las empresas para prevenir brechas, detectar incidentes de forma temprana y responder oportunamente.

Tecnologías como sistemas de detección y respuesta, monitoreo continuo, prevención de pérdida de datos y gestión centralizada de eventos de seguridad se vuelven parte del núcleo tecnológico exigido.

“Hoy no se trata solo de evitar incidentes, sino de poder demostrar que existen controles activos, monitoreo permanente y capacidad de respuesta ante cualquier evento”, sostiene la experta.

Otro aspecto central es la generación de evidencia técnica verificable. Frente a un escenario de fiscalización más riguroso, las empresas deberán demostrar objetivamente cómo protegen los datos personales. Registros de acceso, bitácoras inalterables, repositorios de consentimientos y sistemas de documentación automatizada permiten acreditar cumplimiento y trazabilidad. “La intención de cumplir ya no es suficiente si no puede respaldarse con evidencia técnica clara”, enfatiza Fritz.

Para los especialistas, el avance de Chile hacia un marco regulatorio más exigente en protección de datos no solo representa un desafío, sino también una oportunidad estratégica.

“Las organizaciones que entiendan esta ley como un proyecto de transformación digital, y no solo como una obligación legal, estarán mejor preparadas para competir en una economía donde la confianza será un activo clave”, dice Cristina Fritz.

Cristina Fritz agrega además que existen formas de optimizar la inversión tecnológica sin comprometer el cumplimiento: “Las empresas pueden reducir costos priorizando soluciones modulares y escalables, reutilizando plataformas existentes cuando sea posible, y adoptando tecnologías en la nube con modelos de pago por uso. También es clave automatizar procesos repetitivos y centralizar la gobernanza de datos para evitar duplicidades. Con una planificación estratégica y una mirada integral, es posible cumplir con la ley y fortalecer la infraestructura digital sin inflar el presupuesto innecesariamente”, señala la experta.

La entrada Nueva Ley de Protección de Datos empuja a invertir millones en tecnología se publicó primero en ZonaCISO.

La última versión del estudio del World Economic Forum (WEF) y Accenture, Global Cybersecurity Outlook 2026, concluye que el riesgo de ciberseguridad se está acelerando, impulsado por los avances en inteligencia artificial, la profundización de la fragmentación geopolítica y la creciente complejidad de las cadenas de suministro. En ese contexto, el informe muestra que los ejecutivos de América Latina son en el mundo los que menos confianza tienen en la capacidad de sus países para proteger la infraestructura crítica de ataques de ciberseguridad.

De acuerdo con el análisis, casi la mitad de los ejecutivos en Latam dice no confiar en la capacidad de sus países para responder a ataques cuyo objetivo sea infraestructura crítica.

Maria Luisa Acuña, cybersecurity lead de Accenture Chile, sostiene que “en 2026, la geopolítica continuará siendo el principal factor que influye en las estrategias de ciberseguridad, y, de hecho, un  64% de las organizaciones a nivel mundial está considerando ciberataques con motivación geopolítica, como la interrupción de infraestructura crítica o el espionaje. Ante esto, 91% de las organizaciones más grandes ha modificado sus estrategias de ciberseguridad debido a este riesgo.

En Chile pienso que el panorama será similar, toda vez que muchas organizaciones designadas como operadores de importancia vital por la Ley Marco de Ciberseguridad, están revisando sus estrategias de ciberseguridad, no solo por el cumplimiento legal, sino por su rol y responsabilidad como parte de una infraestructura crítica nacional. su

Por otra parte, el reporte del WEF y Accenture muestra también que las empresas latinoamericanas son en el mundo las que más sufren escasez de talento en ciberseguridad. De esa forma, el 65% de los ejecutivos encuestados sostuvo que en sus organizaciones no cuentan con una fuerza laboral que cuente con las habilidades necesarias para alcanzar sus objetivos de ciberseguridad.

María Luisa concluye que “este contexto está redefiniendo el rol de los profesionales de la ciberseguridad y pone de relieve la importancia de adaptar las competencias para responder a nuevas exigencias. Hoy estamos permanente desafiados a profundizar los skills en seguridad cuántica, seguridad agentica e incluso a auditar algoritmos de inteligencia artificial, además de traducir las amenazas técnicas en términos de impacto al negocio y financieros para lograr el espaldarazo que se requiere de la alta administración, El mismo reporte entrega una estadística que es concluyente en esto, donde el 99% de los ejecutivos encuestados en organizaciones altamente resilientes reporta la participación del directorio en materias de ciberseguridad.

La entrada Ejecutivos de Latam alertan debilidades en defensa de infraestructura crítica se publicó primero en ZonaCISO.

Sufrir pérdidas financieras, interrupciones operativas, daños a la reputación o consecuencias legales derivadas de fallos, ataques o accesos no autorizados a los sistemas de información y tecnología están entre las principales preocupaciones de las empresas.

Y según la última edición del Global Cybersecurity Outlook del Foro Económico Mundial, el fraude cibernético es la principal preocupación de los CEO. De hecho, el sondeo reveló que el 87% de los encuestados experimentó un aumento de las vulnerabilidades relacionadas con la inteligencia artificial (IA) en 2025 y el 94 % de los líderes espera que sea la fuerza que más influencia tenga en la ciberseguridad en 2026.

Ante esta realidad, el mercado laboral refleja el impacto de esas preocupaciones y se traduce en una demanda generalizada por profesionales especializados en ofrecer soluciones a estos problemas. Datos de la última edición de la Guía Salarial de la consultora Robert Half, revelaron que los profesionales del área de la tecnología son altamente cotizados y los especialistas en ciberseguridad están entre los más buscados.

Cargos en alza

Profesionales que diseñan, implementan y mantienen la infraestructura de seguridad informática de una organización están encontrando oportunidades de manera sostenida en el mercado laboral. Especialmente si sus habilidades se relacionan con el uso cada vez más frecuente de la IA.

En materia de ciberseguridad, los cargos y bandas salariales más demandadas para esta área son las siguientes:

• Pentester – $3.000.000 a $5.500.000
• Analista SOC – $2.042.208 a $2.763.948
• Arquitecto de Ciberseguridad – $4.084.416 a $5.527.896
• Analista de Ciberseguridad – $4.790.276 a $6.480.000

En el caso de los Pentester, se trata de profesionales capaces de simular ataques en entornos controlados, lo que se conoce como un hacker ético. Ya los Analistas SOC están a cargo de supervisar, detectar, analizar y responder a incidentes de seguridad en tiempo real. Y en el caso de los dos últimos, son aquellos especialistas a cargo de la creación, desarrollo, implementación y mantención posterior de las soluciones que ofrecerán protección a los datos sensibles que las empresas deben cuidar.

“Las amenazas asociadas a la inteligencia artificial son un factor más del crecimiento de la demanda de este tipo de profesionales. A cada instante surgen nuevas amenazas y eso obliga a ese talento a reaccionar a una velocidad mayor, con eficiencia y una capacidad constante de innovar y ser flexibles”, analizó Caio Arnaes, Director asociado de Robert Half Chile,

Protección de un activo estratégico

Áreas como las finanzas, el retail y la logística son algunas de las que requieren una fuerte protección de datos de todo tipo. Para eso, se requieren profesionales capaces de entender el problema, desarrollar, implementar y sostener soluciones a lo largo del tiempo son buscados en todas las áreas del mercado laboral.

La protección y manejo de datos requiere una atención estratégica porque involucra información personal de clientes y empleados, registros financieros/bancarios, propiedad intelectual (secretos comerciales), estrategias de negocio y documentos contractuales. “Se trata de un activo digital estratégico que, de filtrarse, afectarían su operación, reputación o cumplimiento legal. Y para protegerlos, las empresas invierten fuerte en profesionales capaces de garantizar su confidencialidad, integridad y disponibilidad”, explicó Arnaes.

La entrada Ciberseguridad: Sigue alza de profesionales para proteger un activo estratégico de las empresas se publicó primero en ZonaCISO.