Pre-conflicto Rusia-Ucrania: por qué tu empresa debería revisar exposición tech ahora

Empezamos febrero con la tensión Rusia-Ucrania escalando rápido. Hay 100 mil tropas rusas en la frontera, EE.UU. y Reino Unido están sacando personal de embajadas, y los analistas de inteligencia que sí saben de esto ya no hablan de "si pasa", hablan de "cuándo pasa". Para una empresa mexicana mediana, la primera reacción suele ser "esto está lejos, no nos toca". Es un error.

Un conflicto Rusia-Ucrania, aunque sea regional, va a tocar cuatro frentes tech globales: ciberseguridad, cadenas de suministro, sanciones cross-border, y precios de energía e insumos. Conviene revisarlos esta semana, no cuando ya esté el conflicto en marcha.

Por qué el riesgo cibernético no es teórico

En 2017, un ataque originado contra Ucrania llamado NotPetya terminó causando daños globales por más de 10 mil millones de dólares. Maersk perdió 300 millones, Merck cerca de 870 millones, FedEx-TNT casi 400 millones. Empresas que no tenían operación en Ucrania ni en Rusia terminaron con su infraestructura encriptada porque el malware se propagó por VPNs, software contable compartido y conexiones de proveedores.

Si Rusia invade Ucrania, la probabilidad de actividad cibernética en escala (wipers, ataques a infraestructura energética, ataques destructivos disfrazados de ransomware) es alta. Y como demostró NotPetya, el blast radius no respeta fronteras.

Para una empresa mexicana mediana, las preguntas operativas son:

• ¿Qué proveedores de software tienen presencia o desarrollo en Ucrania, Bielorrusia o Rusia? (más de los que crees: muchos productos de outsourcing dev y SaaS tienen oficinas ahí).
• ¿Tu plan de respuesta a incidentes está actualizado y probado este año?
• ¿Tienes backups offline (no en la misma red, no replicados en tiempo real) de tus sistemas críticos?
• ¿Sabes cuánto tiempo te toma restaurar operación si encriptan todo mañana?

Cadenas de suministro: gas, granos, semiconductores y software

Rusia y Ucrania son productores clave de varios insumos que tocan a la economía global, no solo regional:

• Gas natural y petróleo: un conflicto presiona precios de energía mundial. En México eso se traduce en costos de logística más altos, posible presión inflacionaria, presión al peso.
• Granos: Ucrania es uno de los mayores exportadores mundiales de trigo y aceite de girasol. Impacto directo en industria alimentaria.
• Neón, paladio, titanio: insumos críticos para fabricación de semiconductores. Ucrania produce gran parte del neón de grado semiconductor del mundo. Un corte agrava la crisis de chips que apenas empezaba a ceder.
• Software y servicios IT: mucho desarrollo offshore opera desde Ucrania, Bielorrusia y Polonia.

Para tu empresa, lo razonable es mapear los 10 insumos o servicios más críticos y revisar exposición indirecta. Tu proveedor de software puede ser de Boston, pero si su equipo de ingeniería está en Kiev, eso importa esta semana.

Sanciones cross-border: el riesgo que nadie revisa

Si EE.UU. y la UE imponen sanciones fuertes a Rusia, el efecto secundario más complicado para empresas mexicanas no es el comercio directo (poco), sino el cumplimiento OFAC.

Ejemplos de situaciones reales:

• Tu empresa procesa pagos vía un banco corresponsal en EE.UU. Si ese pago va a una entidad sancionada (aunque sea por un proveedor secundario), el banco lo bloquea y puede congelar la relación.
• Tu plataforma SaaS tiene clientes en países que después se sancionan. Toca cortar acceso o exponerse a multas.
• Tienes inversión en empresa con presencia en Rusia. Las reglas de divestimento pueden volverse muy específicas y muy rápido.

Aun si tu exposición se ve nula a primera vista, vale la pena que legal y compliance hagan un screening esta semana contra listas SDN, EU, UK. El costo de revisar es bajo. El costo de descubrir exposición tres meses después de que un pago se bloqueó es alto.

Lo que recomendamos hacer en febrero

No es momento de pánico, pero sí de preparación ordenada. Cinco acciones concretas que se pueden hacer en las próximas dos semanas:

1. Refuerzo cibernético baseline

• Confirmar que MFA está activo en todos los accesos críticos (correo, VPN, paneles de cloud, ERP, banca).
• Validar que backups offline existen y se han probado este trimestre. Backup que no se ha restaurado nunca no es backup.
• Aplicar parches críticos pendientes (CISA mantiene listas priorizadas).
• Revisar y deshabilitar accesos remotos que no se usan.

2. Revisión de proveedores con exposición

Pedir a tus proveedores tech principales un statement breve sobre su exposición a Ucrania, Bielorrusia y Rusia: ubicación de equipo, planes de continuidad, contactos de respuesta a incidentes. La mayoría va a tener uno listo (las que no, dice algo).

3. Plan de continuidad actualizado

Si hace más de 12 meses no se actualiza el plan de continuidad, hacerlo este mes. Foco en escenarios concretos:

• ¿Qué hago si mi software contable principal queda inoperante 5 días?
• ¿Qué hago si mi proveedor de logística sufre un ciberataque?
• ¿Quién toma decisiones de comunicación si pasa un incidente en fin de semana?

4. Screening de compliance

Legal y compliance corren screening contra listas de sanciones actualizadas. Documentar resultado.

5. Comunicación interna

Que el comité directivo y el equipo IT/seguridad tengan claro el escenario, sin alarmismo y sin minimizar. Una nota interna corta basta.

La lectura

Un conflicto en Europa del Este se siente lejos hasta que el primer pago se bloquea, el primer ciberataque tumba a tu proveedor, o el costo del flete sube 30% en un mes. Las empresas mexicanas medianas que dediquen dos semanas en febrero a revisar exposición van a operar con menos sobresaltos en el resto del año, independientemente de cómo termine la situación.

La preparación no es predicción. Es seguro barato.

---

¿Tu empresa tiene exposición geopolítica? Revisemos juntos. En ALCA acompañamos a equipos de C-level y compliance a hacer assessment de exposición tech y cadena de proveedores. Conversemos sin costo.