Esta semana el mundo de la ciberseguridad tuvo dos noticias que, a primera vista, no tenían nada en común. Una sobre firewalls comprometidos. Otra sobre niños en redes sociales. Pero vistas en conjunto cuentan la misma historia: lo que no protegemos en casa desde el inicio termina afectándonos a todos. El 18 de junio, la CISA, la agencia federal de ciberseguridad de Estados Unidos, emitió una alerta urgente. Una campaña bautizada como FortiBleed había comprometido más de 86.000 dispositivos Fortinet en 194 países, incluyendo firewalls y VPNs, es decir, la primera línea de defensa de redes corporativas y gubernamentales en todo el mundo. La verdadera huella de la IA: energía, agua y riesgo sistémicoEl método, sin embargo, no fue un zero-day sofisticado. No se trató de un ataque con inteligencia artificial avanzada ni de un actor estatal con recursos ilimitados. Fue algo mucho más básico: automatización probando contraseñas de fábrica que nadie había cambiado, cuentas genéricas de administrador activas desde la instalación y credenciales heredadas de incidentes anteriores que nunca fueron rotadas. Imaginemos por un momento que el guardia de seguridad del edificio más blindado de una ciudad lleva años usando como clave el número de serie que venía impreso en la caja del sistema. Eso es FortiBleed.El impacto de un firewall comprometido no es menor. Un atacante puede modificar reglas de red, interceptar tráfico VPN, crear backdoors, desactivar registros de auditoría y preparar ataques de ransomware sin generar alertas visibles. En los registros filtrados aparecen compañías como Samsung, Oracle, Siemens, Chevron, Toyota, PwC y Accenture, además de cientos de entidades gubernamentales. El mayor volumen de afectados proviene del sector de telecomunicaciones.El episodio incluso tuvo efectos en el mercado. Las acciones de Fortinet cayeron un 3,1% el 17 de junio, tras la reactivación de los titulares sobre vulnerabilidades, recordando que la ciberseguridad ya no es un tema técnico aislado, sino un asunto material para los mercados. El mismo día en que se conocía esta alerta, otra discusión avanzaba en paralelo en Estados Unidos, Australia y Europa: la regulación del acceso de menores a redes sociales.Ohio, Australia, el Reino Unido. ¿Y América Latina? Un tribunal federal de apelaciones en Estados Unidos ratificó la ley de Ohio que exige a Instagram, TikTok, YouTube y Snapchat a consentimiento parental para que menores de 16 años creen cuentas en redes sociales. Australia ya adoptó medidas similares a nivel nacional y el Reino Unido proyecta su implementación hacia 2027. En América Latina, el panorama es más complejo. Los datos disponibles son inquietantes. Un estudio regional basado en más de 28.000 encuestas en 15 países revela que el 63 % de los niños recibe su primer celular a los 9 años, que seis de cada diez han interactuado con desconocidos en redes o videojuegos sin percibir el riesgo y que el 70 % no sabe qué es el grooming. Naciones Unidas estima además que más de un tercio de los jóvenes en 30 países ha sufrido ciberacoso y que uno de cada cinco ha faltado a la escuela por esta causa. No haríamos que un niño de nueve años entre solo a un espacio de alto riesgo físico, como una discoteca. Sin embargo, sí le entregamos un dispositivo con acceso ilimitado a un entorno digital sin mediación suficiente. Mientras algunos países como Argentina, Brasil, Chile, Colombia, Costa Rica avanzan en la regulación, América Latina progresa de forma desigual. Existen estrategias nacionales de ciberseguridad en distintos niveles de madurez, pero ninguna región cuenta aún con una entidad equivalente a la CISA, capaz de emitir alertas coordinadas, rápidas y vinculantes en todo el ecosistema digital. Y hay un elemento adicional que la CISA hace y pocas veces se menciona. La ciberseguridad no empieza en las empresas ni en los gobiernos, sino en la vida cotidiana. Algunas agencias de seguridad digital en países desarrollados trabajan también con escuelas, familias y educadores para prevenir riesgos desde la infancia. Esa es una conversación que aún está pendiente en la región. La pregunta para la alta dirección es inevitable. Si incluso los fabricantes de tecnología de seguridad pueden fallar en lo más básico, como rotar credenciales, ¿qué tan sólidas son las cadenas de control de riesgo en las empresas que dependen de ellos? Un firewall sin parchar no es solo un problema técnico. Es un problema de continuidad, de reputación y también de sostenibilidad. Aquí el análisis suele detenerse. No debería. Desde 2019, múltiples incidentes han demostrado que un firewall comprometido en sectores como energía puede afectar redes inteligentes,detener la gestión de una planta solar o eólica, interrumpir operaciones críticas y detener sistemas de monitoreo ambiental. Incluso los sistemas de medición de emisiones, clave para los reportes ESG, pueden verse comprometidos. La ciberseguridad ya no es un asunto separado de la agenda de sostenibilidad. Es parte de su base estructural. El factor humano, siempre es claveFortiBleed no ocurrió porque la tecnología fuera insuficiente, sino porque las credenciales nunca fueron cambiadas y nadie asumió la responsabilidad de hacerlo. Del mismo modo, la exposición de menores en entornos digitales no es solo un problema de plataformas, sino de gobernanza, regulación y decisiones postergadas. En ambos casos, el error no es exclusivamente técnico. Es humano e institucional. Los datos lo confirman. Según el Cyber Threat Index 2025 de Coalition, una proporción significativa de empresas en América Latina sufrió incidentes de ciberseguridad con costos millonarios. Sin embargo, aquellas con marcos sólidos de gobernanza digital lograron reducir pérdidas y tiempos de recuperación de manera sustancial. El costo de la inacción ya no es una advertencia. Es una realidad medible. La pregunta no es si el riesgo existe. La pregunta es quién está dispuesto a asumir la responsabilidad antes de que ocurra el daño. Protege lo que más valoras antes de que alguien más lo encuentre primero. Andrea García Beltrán es Partner y Head of Cyber Europe en Nirvana MGA, co-fundadora de CyberSpecs® y creadora de Cibervoces.