Más allá de una amenaza, la ciberdelincuencia se consolida como una situación crítica que impacta a empresas de todos los tamaños y sectores. Las cifras son un recordatorio de la magnitud del riesgo: según datos obtenidos por FortiGuard Labs, el área de inteligencia y análisis de amenazas de Fortinet, en la primera mitad del año, Colombia se convirtió en el epicentro de 7,1 mil millones de intentos de ciberataques. Este volumen posiciona al país como el tercer objetivo en una región que, en su conjunto, concentró el 25% de todas las detecciones de amenazas a nivel global.
Son cifras que evidencian una sofisticada evolución en la mentalidad de los ciberdelincuentes. ¿Qué piensa y cómo actúa un atacante desde el momento cero? Arturo Torres, director de inteligencia contra amenazas de FortiGuard Labs para América Latina y Caribe, nos da las claves para entender su estrategia.
En el mes de la concientización sobre la ciberseguridad, es importante entender cómo actúa un ciberdelincuente y, sobre todo, hay que aprenden a identificar cuando se está siendo víctima de una intrusión.
Reconocimiento, planeación y primer movimiento del ataque
El primer paso del ciberdelincuente, no es atacar sino observar. Antes de lanzar una sola línea de código malicioso, dedica tiempo a la fase de reconocimiento. Su propósito es construir un mapa detallado del objetivo, comprendiendo qué elementos están expuestos en internet, cuáles servicios están vulnerables y qué sistemas usan las organizaciones.
Con esta panorámica, el ciberdelincuente planea el asalto y evalúa cómo entrar. La primera herramienta es la del artesano del engaño: el phishing, herramienta preferida de los criminales al ser la que explota el eslabón más débil: la confianza humana.
Gracias a la inteligencia artificial, ya no envía correos masivos con errores evidentes. Ahora, diseña modelos personalizados, casi perfectos. Puede crear una solicitud de pago de un proveedor que parece legítima, o una alerta de seguridad interna. Es un método barato y efectivo, que solo requiere esperar un click erróneo.
De forma paralela, se sumerge donde operan los «Initial Access Brokers» o los mayoristas del acceso ilícito. En lugar de forzar la entrada, el ciberdelincuente simplemente compra un juego de llaves y adquiere un paquete de credenciales robadas, capturadas días antes por malware.
Además, los atacantes constantemente están buscando vulnerabilidades en sistemas expuestos a internet, como aplicaciones web, VPNs, firewalls, o incluso dispositivos IoT y cámaras de seguridad. Cuando encuentran una falla lanzan ataques masivos incluso horas después de su publicación.
La Invasión Silenciosa
Una vez dentro del sistema, el ciberdelincuente no hace ruido. Su objetivo ya no es forzar la entrada, sino moverse por la red como un fantasma para encontrar la información más valiosa. Para tomar el control, no instala programas sospechosos. En su lugar, usa las propias herramientas del sistema en su contra, ganando poder poco a poco, como si encontrara las llaves maestras para abrir todas las puertas.
Se mueve libremente de un computador a otro, pareciendo un empleado más. Es capaz de robar las contraseñas de otros usuarios directamente de los equipos, lo que le permite moverse por toda la red sin levantar sospechas. Toda su actividad se disfraza para parecer tráfico normal de internet, escondiéndose a plena vista. No tiene prisa y puede pasar semanas explorando de forma invisible. La organización no lo sabe, pero el verdadero peligro ya no está afuera: está creciendo, en silencio, desde su interior.
La Búsqueda del tesoro
¿Qué buscan los ciberdelincuentes? Ellos se interesan por información que posea un valor comercial, operativo o estratégico. Su objetivo varía: mientras algunos se centran en credenciales (accesos a correos, VPNs, cuentas bancarias) e información personal para venderlas y cometer fraudes, los grupos de ransomware persiguen datos críticos para la operación con el fin de extorsionar a sus víctimas. Para los atacantes más sofisticados, los metadatos internos, son un tesoro invaluable, ya que les proporcionan un mapa detallado para planificar ataques más profundos y devastadores desde dentro del sistema.
Una vez que el atacante ha penetrado la red, se enfoca en extraer la información sigilosamente o cifrar o borrar datos. Su principal táctica es pasar desapercibido, ocultando la fuga de información dentro de canales cifrados.
Para ello, aprovechan herramientas del propio sistema para comprimir los datos, dividirlos en partes y sacarlos lentamente, evitando así ser detectados por los sistemas de seguridad. También utilizan software especializados para transferir la información a servidores remotos, mezclando su actividad con el tráfico normal de la organización.
¿Se puede identificar un ataque en sus inicios?
Aunque los ataques son diseñados para ser sigilosos, existen señales que pueden delatar su presencia. Estas suelen ser sutiles, como la aparición de escaneos internos, accesos sospechosos en ubicaciones y horarios inusuales, la creación de nuevas cuentas de usuario o cambios inexplicables en los sistemas. Los propios empleados son los primeros en detectar que algo anda mal al notar lentitud, errores extraños o archivos que desaparecen.
Otras alertas son más técnicas y evidentes, como el tráfico de red anómalo hacia destinos desconocidos, picos en la transferencia de archivos, o cuando las herramientas de seguridad (EDR o SIEM) detectan comandos sospechosos. Las señales más obvias, como la aparición de mensajes de ransomware, significan que el ataque ya está en su fase de impacto. Por ello, la clave para una detección temprana es tener una telemetría unificada, donde las herramientas de seguridad comparten información para conectar estos puntos y descubrir la amenaza antes de que el daño sea mayor.
¿Qué hacer en caso de ataque?
El protocolo ideal debe ser rápido, estructurado y multidisciplinario, no sólo para contener el daño, sino para aprender y mejorar. Se configura en diferentes fases que comienzan mucho antes del ataque. Esto incluye una sólida preparación que integra políticas claras, roles definidos y simulacros periódicos. Una vez ocurre la intrusión, se activan las fases de Detección y análisis para identificarla rápidamente; contención para aislar los sistemas afectados, erradicación para eliminar la amenaza de raíz . Finalmente, se procede a desarrollar una recuperación segura de las operaciones.
Más allá de seguir este procedimiento, el éxito de la respuesta depende de factores críticos que deben operar en conjunto. La automatización es fundamental para actuar con velocidad, mientras que la visibilidad completa de la red y la colaboración entre áreas (no solo TI) garantizan una acción coordinada. Todo esto, alimentado por Inteligencia de Amenazas en tiempo real, permite actuar con precisión. Así, el incidente deja de ser solo una crisis y se convierte en una valiosa oportunidad de fortalecimiento para la organización.
La estrategia de seguridad más efectiva hoy en día reside en la integración de sistemas que operen como un ecosistema unificado. Construir esta arquitectura tecnológica en la que cada componente se comunica y enriquece al otro, es una tarea compleja que requiere un conocimiento profundo. Por ello, es fundamental asesorarse con expertos en ciberseguridad, como Fortinet, para diseñar y configurar plataformas robustas que además de responder a las amenazas, se adelanten a ellas.
