El estudio elaborado por la OEA y el BID, evaluó capacidades nacionales a través del Cybersecurity Capability Maturity Model (CMM), que abarca cinco dimensiones: políticas y estrategias, cultura y sociedad, educación y habilidades, marco legal y regulatorio, y tecnologías y estándares.
El programa CICTE de la OEA, el Banco Interamericano de Desarrollo (BID) y el Centro Global de Capacidad en Ciberseguridad (GCSCC) de la Universidad de Oxford, han publicado recientemente el “2025 Cybersecurity Report: Vulnerability and Maturity Challenges to Bridging the Gaps in Latin America and the Caribbean” (Informe de Ciberseguridad 2025: Desafíos de vulnerabilidad y madurez para cerrar brechas en América Latina y el Caribe), en el cual se realiza una evaluación regional que mide la madurez de ciberseguridad de 30 países utilizando el Cybersecurity Capability Maturity Model (CMM), y que considera cinco dimensiones clave para este análisis: las políticas y estrategias; cultura y sociedad; educación y formación; marco legal y regulatorio; y tecnologías y estándares.
El documento, disponible en idioma inglés, indica que la región ha mostrado un progreso en la formulación de políticas nacionales, la creación de marcos regulatorios y la institucionalización de prácticas de ciberseguridad. Sin embargo, destaca que la protección de infraestructuras críticas, la disponibilidad de talento especializado y la adopción de tecnologías avanzadas son áreas donde muchos países aún no alcanzan estándares sólidos, dejando expuestos sectores públicos y privados ante ataques de alta complejidad.
El reporte subraya que los gobiernos han incrementado iniciativas para impulsar una cultura de seguridad digital y han fortalecido sus marcos legales, pero que estos esfuerzos no siempre se traducen en capacidades técnicas operativas efectivas. Además, se advierte que la incorporación de tecnologías emergentes como la inteligencia artificial amplía las superficies de ataque y exige nuevos enfoques y capacidades especializadas para responder a los desafíos del entorno digital.
Los análisis regionales concluyen que, aunque la brecha promedio entre países tiende a disminuir, la variación en la madurez de capacidades sigue siendo alta: mientras algunos países consolidan estructuras robustas, otros requieren esfuerzos significativos para cerrar deficiencias en educación técnica, recursos operativos y coordinación multisectorial.
Algunos expertos que participaron en el estudio señalaron que la cooperación internacional, la inversión sostenida en talento especializado y la integración de políticas de ciberseguridad con agendas de desarrollo digital son componentes clave para elevar la madurez en toda la región. Además, destacaron la importancia de promover ecosistemas colaborativos entre gobiernos, sector privado y academia para generar resiliencia colectiva frente a ataques cada vez más sofisticados.
| País / Región | Fortalezas destacadas | Desafíos persistentes |
| Argentina | Marco normativo en desarrollo y capacidades técnicas en sectores estratégicos; presencia de talento especializado y ecosistema académico activo. | Falta de coordinación interinstitucional sostenida; brechas en implementación efectiva y en protección de infraestructuras críticas. |
| Bolivia | Avances iniciales en institucionalidad y concientización sobre ciberseguridad a nivel estatal. | Bajo nivel de madurez general; ausencia de una estrategia nacional plenamente operativa y capacidades limitadas de respuesta a incidentes. |
| Brasil | Alto nivel de madurez relativa; estrategia nacional consolidada; capacidades técnicas robustas y sector privado activo. | Complejidad de coordinación federal; presión constante por la magnitud de su superficie de ataque y su rol regional. |
| Chile | Marco legal moderno en despliegue; institucionalidad clara con la ANCI; liderazgo regional en gobernanza y cooperación internacional. | Desafíos en la implementación homogénea en sectores públicos y privados; escasez de talento especializado. |
| Colombia | Experiencia temprana en políticas de ciberseguridad; CSIRT con trayectoria; enfoque integral que vincula seguridad y desarrollo digital. | Necesidad de actualizar marcos frente a nuevas amenazas; brechas en capacidades regionales fuera de grandes centros urbanos. |
| Ecuador | Avances en diagnóstico y planificación estratégica; mayor reconocimiento político del riesgo cibernético. | Institucionalidad aún frágil; capacidades técnicas y presupuestarias limitadas para respuesta y prevención. |
| Paraguay | Progresos en concientización y primeros pasos hacia una gobernanza nacional en ciberseguridad. | Bajo nivel de madurez; ausencia de mecanismos sólidos de gestión de incidentes y formación especializada. |
| Perú | Estrategia nacional definida; fortalecimiento progresivo del CSIRT; integración de ciberseguridad en la agenda digital. | Implementación desigual; limitaciones en recursos y en protección de servicios esenciales. |
| Uruguay | Institucionalidad clara y estable; enfoque preventivo; buen nivel de coordinación público-privada. | Escalabilidad de capacidades frente a amenazas más sofisticadas; dependencia de recursos humanos especializados. |
| México | Amplia experiencia técnica y sector privado avanzado; capacidad operativa relevante a gran escala. | Falta de una gobernanza nacional unificada; fragmentación institucional y brechas regulatorias. |
| Centroamérica (grupo) | Mayor cooperación regional; creciente apoyo de organismos internacionales; avances en concientización. | Madurez general baja; limitaciones presupuestarias y técnicas; alta dependencia de asistencia externa. |
| Caribe (grupo) | Progresos normativos en algunos Estados; interés creciente en resiliencia digital. | Alta exposición por tamaño reducido; escasez de talento; capacidades limitadas de respuesta a incidentes. |
El reporta también identifica a un grupo acotado de países que sobresalen de manera consistente en la evaluación regional, aunque lo hacen por razones distintas. El liderazgo no responde a un único modelo, sino a combinaciones de gobernanza, marco normativo, capacidades técnicas e institucionalidad.
En el grupo de mayor madurez general aparecen Chile, Brasil y Uruguay. Chile es destacado como un referente regional por la solidez de su gobernanza, la existencia de una estrategia nacional clara, un marco regulatorio robusto y una coordinación institucional que ha ido consolidándose en el tiempo. Brasil sobresale por la escala de sus capacidades técnicas, su ecosistema público-privado y el nivel de inversión en infraestructura y talento, aunque el informe advierte que su tamaño también implica desafíos de coordinación. Uruguay, en tanto, es presentado como un caso de alta eficiencia institucional: pese a sus menores recursos, logra un desempeño destacado gracias a políticas claras, buena implementación y una gestión pública consistente en ciberseguridad.
Un segundo grupo de países con desempeño alto, pero aún con brechas relevantes, está compuesto por Colombia y México. Colombia muestra avances sostenidos en regulación, cooperación público-privada y continuidad de políticas, lo que le permite ubicarse entre los países más avanzados de la región, aunque el informe señala la necesidad de fortalecer capacidades técnicas más especializadas. México, por su parte, destaca en desarrollo normativo y participación en instancias de cooperación internacional, pero enfrenta el desafío de reducir las desigualdades en capacidades entre sectores y regiones.
Finalmente, el reporte reconoce progresos importantes, aunque desiguales, en países como Argentina, Perú, Costa Rica y República Dominicana. En estos casos, se observa una mayor conciencia del riesgo y avances en marcos legales o estratégicos, pero persisten brechas en la implementación práctica, la disponibilidad de recursos y la coordinación operativa. En el caso específico de Perú, el reporte destaca que ha logrado establecer políticas nacionales y avances legales que sientan bases para fortalecer su ciberseguridad y pone énfasis en la coordinación entre entidades gubernamentales e iniciativas privadas como un factor esencial para lograr una respuesta más eficaz ante incidentes avanzados.
En conjunto, el informe concluye que, si bien existe un núcleo de países que lidera la madurez regional, la mayoría de América Latina y el Caribe aún se encuentra en etapas intermedias, con avances formales que no siempre se traducen en capacidades efectivas de prevención, respuesta y resiliencia.