La ciberseguridad ya forma parte del proceso de venta
Hay empresas mexicanas que llegan al final de una negociación de nearshoring y pierden el contrato sin entender por qué. El precio ya dejó de ser el factor decisivo: el verdadero filtro es demostrar que pueden proteger la información del cliente.
Imagina la siguiente escena. Una empresa mexicana llega a la etapa final de una negociación con un cliente estadounidense. El precio es competitivo. La visita a planta resulta satisfactoria. Todo indica que el contrato está cerca. Entonces aparece un cuestionario de seguridad: preguntas sobre accesos, respaldos, gestión de proveedores, respuesta a incidentes. La empresa realiza muchas de esas prácticas, pero nunca las documentó. Días después, el contrato se adjudica a otro proveedor. Nadie menciona la palabra “ciberseguridad”. Simplemente, la oportunidad desaparece.
Ese silencio explica por qué algunas empresas pierden oportunidades de negocio sin siquiera saber cuál fue la verdadera razón.
Durante años pensamos que competir por estos contratos era cuestión de costo, ubicación y velocidad. Hoy eso ya no basta. El verdadero filtro para ganar un cliente en Estados Unidos no es el precio. Es la capacidad de demostrar, con evidencia documental, que se puede confiar en ti con su operación.
¿Por qué ocurrió este cambio? Porque las grandes empresas aprendieron que un proveedor vulnerable también puede convertirse en su propio problema. Casos como SolarWinds demostraron que un incidente en un proveedor puede propagarse a cientos de organizaciones. Desde entonces, la evaluación de ciberseguridad dejó de ser una cortesía y pasó a formar parte del proceso de compras.
En México no hace falta buscar mucho para entender por qué esto también nos toca. Casi cualquier semana hay noticias de una brecha de seguridad o un ataque de ransomware, casi siempre contra alguna dependencia de gobierno. Pero esa cobertura es engañosa: el gobierno sale en las noticias porque es un blanco visible y politizado, no porque sea el único expuesto. Las empresas privadas viven el mismo riesgo, con la diferencia de que rara vez se hace público.
El cambio ha sido silencioso pero profundo. Antes, la seguridad era un tema que se resolvía puertas adentro, dentro del área de sistemas. Hoy es una condición comercial. La primera auditoría ya no ocurre después de firmar el contrato. Ocurre antes. Si un proveedor no puede mostrar controles, políticas y evidencia de madurez, simplemente queda fuera de la lista corta. No es porque haya sufrido un ataque visible. Es porque no inspiró la confianza suficiente para entrar a la cadena de suministro.
No hace falta ser una planta industrial para vivir esto. Tampoco hace falta ser una empresa de tecnología. Cualquier empresa mexicana que le venda a un cliente corporativo del norte, sin importar el sector, puede toparse con el mismo filtro. Un formulario de evaluación de proveedor que pide evidencia, no promesas verbales. Consultores que acompañan a empresas mexicanas describen un patrón que comienza a repetirse: procesos de venta que avanzan bien hasta la etapa de evaluación de seguridad. Ahí se detienen. No por precio ni por calidad de producto. Por falta de estructura documentada.
Este filtro no es exclusivo de Estados Unidos. En Europa, regulaciones como GDPR y marcos de seguridad como ISO 27001 han llevado la evaluación de proveedores al mismo nivel: la confianza debe poder demostrarse antes de firmar.
NIST CSF e ISO 27001 ayudan a responder ese tipo de cuestionarios porque proporcionan un lenguaje común para demostrar controles y buenas prácticas. Lo importante no es memorizar sus nombres. Lo importante es entender que el comprador ya no pide promesas. Pide evidencia.
Hoy los compradores ya no compran promesas. Compran evidencia.
Vale la pena que te hagas, ahora mismo, tres preguntas incómodas. Si un cliente potencial te pidiera hoy tu política de seguridad de la información por escrito, ¿existe ese documento? ¿Sabes quién dentro de tu empresa tiene acceso a los sistemas y datos de tus clientes? ¿Podrías demostrarlo con un listado? Y si mañana tuvieras que responder un cuestionario de seguridad de un comprador extranjero, ¿sabrías por dónde empezar, o improvisarías sobre la marcha?
Si te quedaste sin respuesta en alguna, no estás solo. Es una situación común entre las medianas empresas mexicanas hoy. Pero es también, exactamente, la razón por la que se están perdiendo contratos que en papel ya estaban ganados.
La buena noticia es que arreglar esto no exige una transformación radical. Tampoco un presupuesto de consultoría corporativa. Exige, primero, documentar lo que ya haces: quién tiene acceso a qué, cómo se respalda la información. Muchas empresas ya tienen esas prácticas, solo nunca las escribieron. Exige, segundo, tomar un cuestionario de seguridad de proveedor típico y responderlo tú mismo como ejercicio. Las preguntas que no puedas contestar son tu lista de pendientes real. Y exige, tercero, que alguien dentro de la organización sea el dueño explícito de esa conversación. No se necesita un CISO de tiempo completo. Se necesita que la responsabilidad no quede flotando entre todos y nadie.
Durante años, las empresas mexicanas aprendieron a competir por costo. En los próximos años, competirán por confianza. Porque la diferencia entre ganar o perder un contrato puede no estar en la línea de producción. Puede estar en la capacidad de demostrar que la información del cliente estará protegida. La seguridad ya no solo protege el negocio. También ayuda a conseguirlo.