Durante la última década, Latinoamérica multiplicó su oferta académica en ciberseguridad: diplomados, maestrías, especializaciones y certificaciones se replican bajo la promesa de formar profesionales capaces de enfrentar los riesgos del mundo digital. Paradójicamente, los fraudes digitales siguen en aumento, las brechas de datos se repiten y la cultura organizacional de seguridad permanece frágil. Este artículo examina ese contraste a través de una lente cognitiva.

El problema: más títulos, mismos riesgos

Cada programa académico exige trabajos finales e investigaciones que, en teoría, deberían traducirse en soluciones concretas. En la práctica, muchos de estos documentos son técnicamente sólidos pero operativamente desconectados de la realidad empresarial y social. Fortinet (2024) documenta que casi el 90% de las organizaciones en Latinoamérica y el Caribe experimentó una brecha de seguridad en el último año, atribuible parcialmente a la falta de competencias aplicadas —no a la ausencia de titulados.

La pregunta incómoda es inevitable:

¿Cómo es posible que tengamos más profesionales formados, más investigaciones y más tesis, pero no observemos un impacto proporcional en la madurez real de ciberseguridad?

Una explicación cognitiva: el conocimiento no basta

La Teoría de Carga Cognitiva (Sweller, 1988; Sweller, van Merrienboer & Paas, 1998) ofrece una clave interpretativa precisa: los programas académicos tienden a saturar la memoria de trabajo de los estudiantes con contenido teórico abstracto —carga cognitiva extrínseca— sin construir los esquemas mentales necesarios para la transferencia al entorno operativo. La carga germana, aquella que facilita la construcción real de conocimiento aplicable, se sacrifica en favor del rigor metodológico formal.

A nivel organizacional, Pfeffer & Sutton (2000) denominan este fenómeno el "knowing-doing gap": la brecha estructural entre lo que las organizaciones saben que deben hacer y lo que realmente ejecutan. Aplicado a ciberseguridad, investigaciones recientes muestran que compañías certificadas en estándares como ISO 27001 siguen incurriendo en brechas mayores precisamente porque validan el conocimiento sin verificar su implementación real.

Kaspersky (2025) confirma este diagnóstico regional: al menos un tercio de los líderes en América Latina considera que incluso sus propios expertos en seguridad tienen solo un conocimiento moderado de las amenazas vigentes. La fragmentación no es únicamente estructural —es cognitiva.

Una fragmentación en tres frentes

Academia

Produce conocimiento con alta carga extrínseca. Las investigaciones rara vez llegan al terreno operativo con esquemas transferibles.

Carga extrínseca
Empresa

Implementa soluciones reactivas sin base conceptual sólida. Víctima del "knowing-doing gap": sabe qué hacer, pero no lo ejecuta.

Knowing-doing gap
Sociedad

Consume tecnología sin desarrollar esquemas cognitivos de protección. La cultura digital madura no se enseña en ningún programa.

Déficit de esquemas

En medio de esta desconexión, el atacante evoluciona constantemente, aprende más rápido y aprovecha precisamente esas brechas de coordinación. El BID, la OEA y la Universidad de Oxford (2025) señalan que la investigación en ciberseguridad es el factor menos maduro de la región, con inversiones incipientes en la mayoría de naciones y un déficit global estimado en 4,8 millones de profesionales.

La propuesta: integración cognitiva y colaborativa

La solución no depende de generar más cursos ni más títulos. Requiere rediseñar el ecosistema bajo principios reales de transferencia del conocimiento. La carga germana (Sweller et al., 1998) se activa cuando el aprendizaje ocurre en contextos auténticos, con problemas reales y retroalimentación operativa inmediata. Las tesis deberían convertirse en pilotos, laboratorios, herramientas y modelos de gestión implementables —no en documentos que acreditan pero no transforman.

Esto implica construir un modelo verdaderamente colaborativo donde cada actor ceda algo:

Una posible línea de solución puede encontrarse en la aplicación del concepto de ambidiestralidad organizacional desarrollado por James March, quien planteó la necesidad de equilibrio entre dos capacidades fundamentales dentro de las organizaciones: la explotación y la exploración. La explotación se relaciona con el perfeccionamiento de lo existente: eficiencia, operación, experiencia acumulada, cumplimiento y resultados inmediatos. La exploración, en cambio, se vincula con investigación, innovación, experimentación, aprendizaje y búsqueda de nuevas soluciones. El problema actual del ecosistema de ciberseguridad parece reflejar precisamente un desequilibrio entre ambas dimensiones. La academia tiende a concentrarse excesivamente en la exploración teórica, mientras que las empresas suelen enfocarse únicamente en la explotación práctica y operativa. Como consecuencia, se genera una brecha donde el conocimiento científico pierde conexión con la realidad y la práctica empresarial pierde profundidad conceptual y capacidad de innovación sostenible. Bajo este enfoque, resulta necesario construir modelos de integración real entre universidad y empresa que permitan una circulación continua del conocimiento y la experiencia. Una medida concreta podría ser el establecimiento de convenios estructurados entre universidades y organizaciones públicas o privadas, donde los docentes universitarios deban cumplir periódicamente pasantías técnicas u operativas en entornos reales de trabajo. Estas experiencias permitirían actualizar conocimientos, comprender problemas contemporáneos y evitar el desfase entre contenidos académicos y necesidades del mercado. De manera complementaria, las organizaciones también podrían incentivar que sus profesionales participen activamente en actividades académicas, investigación aplicada y producción científica. La impartición de horas aula, tutorías, desarrollo de artículos científicos o participación en proyectos de investigación debería ser considerada un elemento de valor dentro del crecimiento profesional y organizacional. Asimismo, podrían establecerse mecanismos de licencias sabáticas parciales o temporales para docentes e investigadores, orientadas específicamente a experiencias prácticas en empresas, laboratorios, centros de operación o proyectos tecnológicos reales. De igual manera, funcionarios con experiencia operativa podrían participar temporalmente en actividades académicas y de investigación. Este modelo generaría múltiples beneficios: • Actualización continua de contenidos académicos. • Mayor transferencia de conocimiento hacia las organizaciones. • Producción científica basada en problemas reales. • Formación de estudiantes con visión práctica y estratégica. • Reducción de la brecha entre teoría y operación. • Creación de ecosistemas colaborativos de innovación y resiliencia digital. La ciberseguridad moderna requiere precisamente esa ambidiestralidad: organizaciones capaces de operar eficientemente en el presente mientras exploran y construyen capacidades para enfrentar amenazas futuras. Sin ese equilibrio, la academia corre el riesgo de producir conocimiento desconectado de la realidad, mientras que las empresas quedan atrapadas en un pragmatismo reactivo que difícilmente podrá sostenerse frente a un entorno tecnológico y adversarial en constante evolución.

La academia debe bajar parte de su rigidez científica para facilitar la transferencia práctica. La empresa debe abandonar el pragmatismo vacío sin sustento técnico e incorporar pensamiento sistémico y gestión basada en evidencia. La sociedad debe dejar de ver la ciberseguridad como un problema exclusivamente técnico o corporativo. Así como aprendimos normas de seguridad vial, debemos desarrollar hábitos digitales mínimos de protección y responsabilidad.

Solo cuando el conocimiento circule, se aplique y se valide operativamente podremos pasar de un ecosistema basado en diplomas y discursos a uno verdaderamente orientado a la resiliencia digital.

El verdadero valor del conocimiento en ciberseguridad no está en el diploma colgado en la pared, sino en la capacidad de reducir riesgos, proteger personas y fortalecer la confianza digital de toda la sociedad.

— Guido E. Rosales Uriona
Referencias seleccionadas
Sweller, J. (1988). Cognitive load during problem solving: Effects on learning. Cognitive Science, 12(2), 257–285.
Sweller, J., van Merrienboer, J. J. G., & Paas, F. (1998). Cognitive architecture and instructional design. Educational Psychology Review, 10(3), 251–296.
Pfeffer, J., & Sutton, R. I. (2000). The knowing-doing gap: How smart companies turn knowledge into action. Harvard Business School Press.
Fortinet. (2024). Informe global sobre la brecha de competencias en ciberseguridad 2024. fortinet.com
Kaspersky. (2025). Desconocimiento en ciberseguridad impacta a más de la mitad de las empresas en América Latina. latam.kaspersky.com
BID, OEA & Universidad de Oxford. (2025). Informe de Ciberseguridad 2025: Desafíos de vulnerabilidad y madurez en América Latina y el Caribe.
Díaz Barriga, R. (2020). La brecha de ciberseguridad en América Latina frente al contexto global de ciberamenazas. Revista de Estudios en Seguridad Internacional. Dialnet

Artículo de opinión académica. Las posiciones expresadas son del autor a título personal.
Universidad Católica Boliviana "San Pablo" · La Paz, Bolivia · Mayo 2026

ORCID 0009-0005-3797-2596