Las empresas mexicanas que contratan servicios de ciberseguridad suelen guiarse por certificados GDPR o ISO 27001 y por la tasa de detección de amenazas. El informe ‘Transparency Review and Accountability in Cyber Security’ (TRACS) 2025 advierte que esa información no basta: la mayoría de los proveedores impide verificar técnicamente qué ocurre con los datos tras la instalación.
El estudio, encargado por la Cámara de Comercio del Tirol austriaco y ejecutado por MCI y AV-Comparatives, analizó 14 soluciones globales. Un equipo legal revisó contratos, políticas de privacidad y certificados; otro equipo técnico instaló cada producto en laboratorio, capturó el tráfico de red –incluyendo TLS cuando fue posible– y cotejó la actividad real con lo declarado.
La conclusión: todos los fabricantes cumplen el marco normativo básico, pero solo tres –Cisco, Kaspersky y Microsoft– ofrecen centros de transparencia donde los clientes pueden auditar código y flujos de datos. El resto mantiene licencias que prohíben la ingeniería inversa y no proporcionan evidencias concretas sobre el destino de la información capturada.
Este vacío convierte la transparencia verificable en un riesgo latente. Un proveedor puede declarar que no extrae datos corporativos, mientras su solución transmite tráfico a servidores externos sin documentación clara. La investigación detectó discrepancias relevantes entre lo contractual y lo observado, pero no las detalló públicamente para evitar demandas por violación de licencia.
Para las organizaciones locales, el hallazgo implica replantearse los procesos de adquisición. Exigir certificados sigue siendo necesario, pero ya no suficiente. La nueva diligencia debe incluir cláusulas que permitan auditorías de tráfico, acceso a logs y apertura de código en entornos controlados. En ausencia de esa capacidad, el cumplimiento queda reducido a promesas escritas.
El estudio TRACS propone un índice de transparencia verificable que clasifica a los proveedores en función de la disponibilidad de evidencias técnicas y la ausencia de restricciones legales a la auditoría. La herramienta aún no es adoptada por reguladores, pero ya es utilizada por bancos europeos para filtrar contrataciones.
En México no existe una regulación equivalente. La Ley de Protección de Datos Personales exige consentimiento y finalidad, pero no obliga a demostrar técnicamente el cumplimiento. La Secretaría de Economía y el INAI tienen potestad para auditar, carecen de laboratorios especializados en código cerrado.
Mientras tanto, las empresas que manejan información sensible –desde hos
Etiquetas: Ciberseguridad, Datos corporativos, Auditoría, Transparencia, Contratación pública, Tecnología · Ciberseguridad global
About the Author
