El Espejismo ESG: Cómo Melco y Coway Ocultan Riesgos Cibernéticos Sistémicos Detrás de Premios de Sostenibilidad

En el mundo del gobierno corporativo, pocas métricas tienen tanto peso como las calificaciones ESG. Las puntuaciones ambientales, sociales y de gobierno se han convertido en el estándar de oro para la inversión responsable, influyendo en miles de millones en asignación de capital. Sin embargo, está surgiendo un patrón preocupante: las empresas con altas puntuaciones ESG no son necesariamente seguras desde el punto de vista de la ciberseguridad. Dos casos recientes—Melco Resorts y Coway—ilustran esta desconexión con una claridad alarmante.

Melco Resorts publicó recientemente su Informe de Sostenibilidad 2025, titulado "RISE to Go Above & Beyond". El informe, presentado como una hoja de ruta integral de sostenibilidad, se centra en gran medida en objetivos ambientales: neutralidad de carbono, reducción de residuos y eficiencia energética. Sin embargo, una lectura cuidadosa revela una omisión flagrante: la ciberseguridad apenas se menciona. En una industria donde las violaciones de datos pueden comprometer millones de registros de clientes e interrumpir las operaciones durante días, la falta de una divulgación sólida de riesgos cibernéticos es preocupante. La sección de gobierno del informe analiza la supervisión de la sostenibilidad por parte de la junta directiva, pero no detalla cómo se identifican, evalúan o mitigan los riesgos cibernéticos. Para los profesionales de seguridad, esto es una bandera roja. Sin métricas explícitas de ciberseguridad, la 'G' en ESG se convierte en una promesa vacía.

El caso de Coway es igualmente ilustrativo. El gigante coreano de electrodomésticos fue incluido recientemente en el Anuario de Sostenibilidad S&P 2026 y en el Índice Dow Jones Best-in-Class Asia Pacific. Estos son reconocimientos prestigiosos que indican liderazgo en sostenibilidad. Sin embargo, las divulgaciones públicas de Coway ofrecen información limitada sobre su postura de ciberseguridad. La empresa ha experimentado interrupciones en la cadena de suministro e incidentes de privacidad de datos en los últimos años, lo que plantea dudas sobre si sus reconocimientos ESG reflejan una resiliencia operativa genuina o simplemente una narrativa de sostenibilidad bien gestionada.

El riesgo sistémico aquí es claro: las calificaciones ESG no están diseñadas para medir la ciberseguridad. Evalúan la huella de carbono, las prácticas laborales y la diversidad de la junta directiva—factores importantes, pero no sustitutos de la madurez cibernética. Esta brecha crea una asimetría de información peligrosa. Los inversores que confían en las puntuaciones ESG pueden subestimar el perfil de riesgo real de las empresas de su cartera. Los reguladores también son lentos para adaptarse. Mientras que la SEC y la UE han impulsado la divulgación de información relacionada con el clima, la presentación de informes de ciberseguridad sigue siendo fragmentada y voluntaria en muchas jurisdicciones.

Para la comunidad de ciberseguridad, esta tendencia exige acción. En primer lugar, los líderes de seguridad deben abogar por la inclusión de métricas de riesgo cibernético en los marcos ESG. Iniciativas como el Índice de Resiliencia Cibernética del Foro Económico Mundial y el papel del CISO en los informes de la junta directiva son pasos en la dirección correcta. En segundo lugar, los inversores deben exigir transparencia: solicitar evidencia de auditorías de seguridad de terceros, planes de respuesta a incidentes y experiencia cibernética a nivel de la junta directiva. En tercer lugar, los reguladores deben tratar la ciberseguridad como un problema central de gobierno, no como una nota técnica a pie de página.

El espejismo ESG no se trata solo de greenwashing—se trata de riesgo lavado. Empresas como Melco y Coway pueden ser sostenibles en el sentido ambiental, pero sin resiliencia cibernética, su base operativa es frágil. La próxima gran violación en una empresa favorita de ESG podría desencadenar una crisis de confianza en todo el sistema de calificación. Por ahora, el mensaje es claro: mire más allá de los premios y haga las preguntas difíciles sobre seguridad.