Septiembre de 2025 - Más allá de una amenaza, la ciberdelincuencia se consolida como una
situación crítica que impacta a empresas de todos los tamaños y sectores. Las cifras son un
recordatorio de la magnitud del riesgo: según datos obtenidos por FortiGuard Labs, el área de
inteligencia y análisis de amenazas de Fortinet, en la primera mitad del año, Colombia se
convirtió en el epicentro de 7,1 mil millones de intentos de ciberataques. Este volumen
posiciona al país como el tercer objetivo en una región que, en su conjunto, concentró el 25%
de todas las detecciones de amenazas a nivel global.
Son cifras que evidencian una sofisticada evolución en la mentalidad de los ciberdelincuentes.
¿Qué piensa y cómo actúa un atacante desde el momento cero? Arturo Torres, director de
inteligencia contra amenazas de FortiGuard Labs para América Latina y Caribe, nos da las
claves para entender su estrategia.
En el mes de la concientización sobre la ciberseguridad, es importante entender cómo actúa un
ciberdelincuente y, sobre todo, hay que aprenden a identificar cuando se está siendo víctima de
una intrusión.
Reconocimiento, planeación y primer movimiento del ataque
El primer paso del ciberdelincuente, no es atacar sino observar. Antes de lanzar una sola línea
de código malicioso, dedica tiempo a la fase de reconocimiento. Su propósito es construir un
mapa detallado del objetivo, comprendiendo qué elementos están expuestos en internet, cuáles
servicios están vulnerables y qué sistemas usan las organizaciones.
Con esta panorámica, el ciberdelincuente planea el asalto y evalúa cómo entrar. La primera
herramienta es la del artesano del engaño: el phishing, herramienta preferida de los criminales
al ser la que explota el eslabón más débil: la confianza humana.
Gracias a la inteligencia artificial, ya no envía correos masivos con errores evidentes. Ahora,
diseña modelos personalizados, casi perfectos. Puede crear una solicitud de pago de un
proveedor que parece legítima, o una alerta de seguridad interna. Es un método barato y
efectivo, que solo requiere esperar un click erróneo.
De forma paralela, se sumerge donde operan los "Initial Access Brokers" o los mayoristas del
acceso ilícito. En lugar de forzar la entrada, el ciberdelincuente simplemente compra un juego
de llaves y adquiere un paquete de credenciales robadas, capturadas días antes por malware.
Además, los atacantes constantemente están buscando vulnerabilidades en sistemas
expuestos a internet, como aplicaciones web, VPNs, firewalls, o incluso dispositivos IoT y
cámaras de seguridad. Cuando encuentran una falla lanzan ataques masivos incluso horas
después de su publicación.
La Invasión Silenciosa
Una vez dentro del sistema, el ciberdelincuente no hace ruido. Su objetivo ya no es forzar la
entrada, sino moverse por la red como un fantasma para encontrar la información más valiosa.
Para tomar el control, no instala programas sospechosos. En su lugar, usa las propias
herramientas del sistema en su contra, ganando poder poco a poco, como si encontrara las
llaves maestras para abrir todas las puertas.
Se mueve libremente de un computador a otro, pareciendo un empleado más. Es capaz de
robar las contraseñas de otros usuarios directamente de los equipos, lo que le permite moverse
por toda la red sin levantar sospechas. Toda su actividad se disfraza para parecer tráfico
normal de internet, escondiéndose a plena vista. No tiene prisa y puede pasar semanas
explorando de forma invisible. La organización no lo sabe, pero el verdadero peligro ya no está
afuera: está creciendo, en silencio, desde su interior.
La Búsqueda del tesoro
¿Qué buscan los ciberdelincuentes? Ellos se interesan por información que posea un valor
comercial, operativo o estratégico. Su objetivo varía: mientras algunos se centran en
credenciales (accesos a correos, VPNs, cuentas bancarias) e información personal para
venderlas y cometer fraudes, los grupos de ransomware persiguen datos críticos para la
operación con el fin de extorsionar a sus víctimas. Para los atacantes más sofisticados, los
metadatos internos, son un tesoro invaluable, ya que les proporcionan un mapa detallado para
planificar ataques más profundos y devastadores desde dentro del sistema.
Una vez que el atacante ha penetrado la red, se enfoca en extraer la información sigilosamente
o cifrar o borrar datos. Su principal táctica es pasar desapercibido, ocultando la fuga de
información dentro de canales cifrados.
Para ello, aprovechan herramientas del propio sistema para comprimir los datos, dividirlos en
partes y sacarlos lentamente, evitando así ser detectados por los sistemas de seguridad.
También utilizan software especializados para transferir la información a servidores remotos,
mezclando su actividad con el tráfico normal de la organización.
¿Se puede identificar un ataque en sus inicios?
Aunque los ataques son diseñados para ser sigilosos, existen señales que pueden delatar su
presencia. Estas suelen ser sutiles, como la aparición de escaneos internos, accesos
sospechosos en ubicaciones y horarios inusuales, la creación de nuevas cuentas de usuario o
cambios inexplicables en los sistemas. Los propios empleados son los primeros en detectar
que algo anda mal al notar lentitud, errores extraños o archivos que desaparecen.
Otras alertas son más técnicas y evidentes, como el tráfico de red anómalo hacia destinos
desconocidos, picos en la transferencia de archivos, o cuando las herramientas de seguridad
(EDR o SIEM) detectan comandos sospechosos. Las señales más obvias, como la aparición de
mensajes de ransomware, significan que el ataque ya está en su fase de impacto. Por ello, la
clave para una detección temprana es tener una telemetría unificada, donde las herramientas
de seguridad comparten información para conectar estos puntos y descubrir la amenaza antes
de que el daño sea mayor.
¿Qué hacer en caso de ataque?
El protocolo ideal debe ser rápido, estructurado y multidisciplinario, no sólo para contener el
daño, sino para aprender y mejorar. Se configura en diferentes fases que comienzan mucho
antes del ataque. Esto incluye una sólida preparación que integra políticas claras, roles
definidos y simulacros periódicos. Una vez ocurre la intrusión, se activan las fases de
Detección y análisis para identificarla rápidamente; contención para aislar los sistemas
afectados, erradicación para eliminar la amenaza de raíz . Finalmente, se procede a
desarrollar una recuperación segura de las operaciones.
Más allá de seguir este procedimiento, el éxito de la respuesta depende de factores críticos que
deben operar en conjunto. La automatización es fundamental para actuar con velocidad,
mientras que la visibilidad completa de la red y la colaboración entre áreas (no solo TI)
garantizan una acción coordinada. Todo esto, alimentado por Inteligencia de Amenazas en
tiempo real, permite actuar con precisión. Así, el incidente deja de ser solo una crisis y se
convierte en una valiosa oportunidad de fortalecimiento para la organización.
La estrategia de seguridad más efectiva hoy en día reside en la integración de sistemas que
operen como un ecosistema unificado. Construir esta arquitectura tecnológica en la que cada
componente se comunica y enriquece al otro, es una tarea compleja que requiere un
conocimiento profundo. Por ello, es fundamental asesorarse con expertos en ciberseguridad,
como Fortinet, para diseñar y configurar plataformas robustas que además de responder a las
amenazas, se adelanten a ellas.
