El ciberataque contra Canvas, plataforma digital de gestión educativa, colapsó durante la crucial temporada de exámenes finales y dejó sin acceso a miles de escuelas y universidades en Estados Unidos. El colectivo de cibercriminales ShinyHunters se atribuyó la autoría del incidente, exigiendo un rescate a cambio de no filtrar información confidencial de millones de estudiantes, docentes y personal administrativo.

La empresa tecnológica Instructure, responsable de Canvas, confirmó la restauración total del servicio tras implementar medidas de emergencia y cooperar con la oficina federal FBI en la investigación. Instituciones como Columbia, Harvard, Princeton y Georgetown cancelaron o modificaron actividades, mientras el ataque dejó al descubierto el riesgo de la digitalización masiva en la educación y la vulnerabilidad de los datos escolares.

¿Qué sucedió con el hackeo a Canvas?

El 8 de mayo de 2026, usuarios de Canvas encontraron una nota de rescate firmada por ShinyHunters. El mensaje advirtió sobre el acceso a datos de millones de personas y exigió un pago para evitar su divulgación. Según la CNN, el grupo otorgó un plazo para negociar; de no cumplirse, filtraría la información obtenida.

La plataforma, con más de 30 millones de usuarios activos y presencia en 9.000 instituciones, quedó fuera de servicio durante horas. El corte afectó la preparación de exámenes finales, la entrega de tareas y las actividades virtuales en universidades y escuelas de educación básica y media en todo Estados Unidos.

Durante la interrupción, Instructure informó que puso la plataforma en modo de mantenimiento mientras investigaba el incidente. La mañana siguiente, anunció la reactivación completa del servicio, aunque muchas escuelas ya habían modificado plazos y calendarios académicos debido a la crisis, según informaron CNN y CBS News.

¿Cómo ocurrió el ataque y quiénes resultaron afectados?

El ataque comenzó cuando los hackers explotaron una vulnerabilidad vinculada a las cuentas Free-For-Teacher de la plataforma. Instructure confirmó a la cadena CBS News que esto permitió a los atacantes modificar las páginas de acceso y forzó el cierre temporal de esas cuentas.

ShinyHunters afirmó que accedieron a 6,65 terabytes de datos de cerca de 9.000 instituciones educativas en el mundo, incluyendo nombres de usuario, correos electrónicos y números de identificación.

Entre las universidades afectadas se encuentran:

• Penn State
• Harvard
• Columbia
• Wisconsin-Madison
• UCLA
• Northwestern
• University of Chicago
• University of Illinois

También resultaron perjudicados distritos escolares de California, Florida, Georgia, Texas y otros estados, de acuerdo con NBC Los Angeles.

La respuesta institucional fue inmediata: los directivos cancelaron o reprogramaron exámenes y los docentes buscaron alternativas para hacer llegar materiales y tareas, todo en medio de la incertidumbre sobre el destino de los datos personales almacenados en la plataforma.

¿Quiénes integran ShinyHunters?

El colectivo de cibercriminales ShinyHunters ha sido vinculado por investigadores de ciberseguridad y autoridades federales a incidentes graves de robo de información. Entre sus antecedentes figura el ataque a Ticketmaster en 2024 y la venta de datos de docenas de empresas en la dark web.

De acuerdo con expertos citados por CNN y CBS News, ShinyHunters es una red flexible de adolescentes y jóvenes adultos con base en Estados Unidos y Reino Unido. Utilizan técnicas avanzadas, como la suplantación de identidad por voz y la creación de páginas de inicio de sesión falsas, para engañar a empleados y obtener acceso a plataformas digitales.

En 2024, el Departamento de Justicia estadounidense sentenció a un integrante del grupo por comercializar datos robados de más de sesenta empresas. Las autoridades advirtieron que la información robada puede emplearse para extorsión o ataques futuros.

¿Cómo respondieron estudiantes y universidades?

La caída de Canvas causó ansiedad y preocupación entre quienes dependían de la plataforma para acceder a recursos académicos. Melanie Topchyan, de la Universidad de California en Riverside, relató que no pudo presentar una prueba y teme no prepararse para un examen parcial.

Anish Garimidi, de la Universidad de Pensilvania, explicó que la privación de materiales clave le generó temor y estrés. Otros, como Minhal Nazeer de Georgetown, aprovecharon la extensión de plazos otorgada por los docentes, mientras que en el MIT, Allison Park describió que los profesores tuvieron que buscar vías alternativas para comunicarse con los estudiantes.

Tras la interrupción, los docentes y alumnos dependieron de canales externos para continuar con la entrega de trabajos y el acceso a recursos, lo que demostró el papel central que tiene Canvas en la organización de tareas, calificaciones y comunicaciones académicas.

Las universidades implementaron planes de contingencia. En algunos casos, postergaron exámenes o adaptaron sus procesos administrativos, como la facturación y la gestión de ayudas financieras, para responder a la crisis.

¿Por qué este ciberataque tuvo consecuencias tan graves?

El incidente puso en primer plano la vulnerabilidad de los sistemas educativos frente a ataques cibernéticos. Canvas centraliza notas, materiales, videos, tareas y comunicaciones esenciales. La interrupción paralizó tanto la actividad académica como la administrativa en numerosas instituciones.

La acumulación de datos confidenciales y la presión del calendario académico transformaron el hackeo en una crisis nacional para el sector educativo. Aunque Instructure comunicó que no se detectó una filtración masiva de datos sensibles, autoridades y expertos recomendaron monitorear posibles riesgos futuros.

El ciberataque al portal Tu Empleo del Ministerio de Trabajo y Previsión Social expuso más de 200.000 registros personales y 40 GB de información sensible, generando riesgo de fraudes y severas advertencias del sector empresarial respecto a la seguridad de los datos ciudadanos, según un comunicado oficial de la Cámara de Industria de Guatemala.

La investigación oficial busca determinar el alcance del incidente y activó protocolos para reforzar la protección de plataformas laborales estatales, según comunicó la entidad la noche del domingo, en un mensaje difundido por el Ministerio de Trabajo y Previsión Social.

Según el comunicado del Ministerio de Trabajo, posterior a la interrupción del servicio, Tu Empleo funciona como una herramienta central en la intermediación laboral del país, autorizando a empresas a publicar vacantes y a personas en busca de trabajo a postularse en oportunidades activas. Este entorno digital se ha transformado en uno de los objetivos principales de los ciberdelincuentes, al nivel de entidades como la Dirección General de Control de Armas y Municiones (Digecam) y el Ministerio de Salud Pública, ambas víctimas de ataques similares en el último mes, de acuerdo con fuentes oficiales.

Para la Cámara de Industria de Guatemala, el riesgo inmediato tras la vulneración de Tu Empleo es la posible suplantación de identidad, extorsión y fraudes electrónicos que afectan tanto a usuarios como a empresas nacionales. El sector industrial solicitó la conformación de equipos especializados en ciberseguridad dentro del Estado y enfatizó la obligación estatal de validar y actualizar los sistemas que resguardan información ciudadana. Además, exigieron la integración de grupos transversales para cerrar vulnerabilidades críticas y la aplicación de una investigación forense completa con el fin de identificar responsables y realizar los procesos judiciales correspondientes en caso de negligencia.

Más de 200.000 datos personales expuestos: advertencias y consecuencias

La Cámara de Industria detalló que el ciberataque contra el Ministerio de Trabajo dejó expuestos más de 200.000 datos y 40 GB de información sensible vinculada a usuarios de Tu Empleo. El comunicado oficial insta a los guatemaltecos usuarios de la plataforma a actualizar las contraseñas de servicios estatales y mantenerse alertas frente a llamadas o mensajes sospechosos que empleen el pretexto de oportunidades laborales para obtener datos personales. La advertencia señala el riesgo inminente de fraudes y extorsión tras la filtración.

El Ministerio de Trabajo anunció la entrega permanente de información actualizada respecto al avance de la investigación, puntualizando: “Estamos comprometidos a proteger la información de nuestros usuarios y a tomar las medidas necesarias para prevenir incidentes de seguridad en el futuro”. La institución ya emprendió acciones para proteger los datos almacenados en sistemas electrónicos laborales y mejorar la seguridad de Tu Empleo, conforme a lo indicado en el boletín oficial.

El ciberataque se suma a una serie de incidentes recientes en instituciones públicas

El ataque a Tu Empleo se suma a una cadena de incidentes informáticos en el sector público de Guatemala durante las semanas previas. La Digecam sufrió una violación de bases de datos y registros relacionados con el control de armas, mientras que el Ministerio de Salud Pública enfrentó la encriptación de archivos en su Laboratorio Nacional. Las autoridades de Digecam activaron protocolos de investigación para cuantificar los daños y fortalecer la protección de sus sistemas. Por su parte, el Ministerio de Salud Pública comunicó que contuvo el incidente rápidamente y no se registró la sustracción de datos críticos.

Simultáneamente, el Congreso estudia una propuesta de ley enfocada en reforzar la protección de infraestructuras tecnológicas clave y mejorar la capacidad de respuesta del Estado ante incidentes cibernéticos. La sucesión de vulneraciones a servicios públicos subraya la urgencia de medidas integrales de ciberseguridad y políticas robustas para asegurar la continuidad de la administración pública y la integridad de los datos ciudadanos, según la Cámara de Industria de Guatemala.

El Ministerio de Trabajo reiteró su compromiso de mantener comunicación continua con los usuarios afectados e informó que dará a conocer cualquier avance relevante en la investigación y en las acciones de mitigación de los daños provocados por este ataque.

Microsoft anunció la integración de modelos avanzados de inteligencia artificial (IA), entre ellos Claude Mythos Preview de Anthropic, a su sistema de ciberseguridad en Azure para 2026.

Esta decisión surge en un momento estratégico dentro de la carrera tecnológica global, acelerando el desarrollo y la protección frente a los ciberataques mediante soluciones evaluadas en escenarios reales.

Según precisó el desarrollador de Windows en su blog oficial, el objetivo es identificar y corregir vulnerabilidades en etapas tempranas del proceso de programación segura.

Qué significa la colaboración entre Microsoft y Anthropic

La reciente colaboración entre Microsoft y Anthropic posiciona a Mythos como pieza clave del Ciclo de Vida de Desarrollo de Seguridad (SDL). Este modelo, presentado el 7 de abril, ha permitido detectar miles de vulnerabilidades relevantes en sistemas operativos, navegadores web y aplicaciones diversas.

De acuerdo con Reuters, se trata de una herramienta que demuestra una capacidad inusual para identificar debilidades de ciberseguridad y generar estrategias para su explotación, ampliando el espectro de riesgos y soluciones posibles en grandes infraestructuras tecnológicas.

En qué etapa está la IA Claude Mythos

Anthropic detalló que la versión actual, Claude Mythos Preview, inicia su despliegue bajo el proyecto Glasswing, un programa en el que participan líderes tecnológicos como Amazon.com, Apple y la propia Microsoft. El acceso, por el momento, se limita a este grupo exclusivo.

El propósito declarado es que cada participante pruebe el modelo ante sus propios sistemas y comparta los hallazgos obtenidos, incrementando así la eficiencia colectiva en la prevención y detección de amenazas avanzadas.

Según Bloomberg, durante las pruebas internas de Anthropic, Mythos logró identificar y explotar vulnerabilidades en todos los sistemas operativos y navegadores web principales cuando recibió instrucciones específicas de los usuarios.

Uno de los casos más complejos incluyó la creación de un código malicioso para navegador que unía cuatro vulnerabilidades de seguridad en secuencia. Esta capacidad refuerza el nivel de alerta en la industria, porque puede exponer un potencial riesgo si la herramienta quedara fuera del control de defensores expertos.

De qué forma se evaluará la seguridad de la nueva IA de Anthropic

Actualmente, Anthropic limita el acceso a Mythos y descarta su lanzamiento masivo. La empresa informó que los resultados de Project Glasswing definirán los mecanismos de control y uso responsable para la tecnología, en respuesta a la creciente inquietud por su posible mal uso.

La revisión de la seguridad de la IA es clave porque esta tecnología ya ha sido utilizada en ciberataques reales. Está el caso de un hacker que empleó herramientas inteligentes para comprometer sistemas del gobierno de México, lo que evidencia el alcance y la gravedad de la amenaza.

Según Bloomberg, en respuesta, empresas como OpenAI, rival directo de Anthropic, han lanzado iniciativas similares para fortalecer primero a los defensores, poniendo sus modelos a prueba dentro de espacios controlados.

Cómo ha sido la respuesta ante la aparición de Mythos

La administración del presidente de Estados Unidos, Donald Trump, bancos centrales internacionales y actores de distintas industrias han acelerado esfuerzos en respuesta al avance de Mythos.

El enfoque, de acuerdo con Reuters, es no solo establecer mecanismos de defensa, sino además, participar activamente en el desarrollo, evaluación y adaptación de estos sistemas de inteligencia artificial para fines legítimos de protección.

Asimismo, Newton Cheng, líder del área de ciberseguridad del equipo Frontier Red Team de Anthropic, resumió la posición corporativa al afirmar, según Bloomberg: “Creemos que este no es solo un problema de Anthropic, sino de toda la industria, que tanto las empresas privadas como los gobiernos deben estar en condiciones de enfrentar”.

En este sentido, Cheng explicó que la intención de Project Glasswing es conceder a los defensores una ventaja inicial, antes de que los potenciales atacantes puedan explotar las brechas identificadas gracias a la nueva generación de inteligencia artificial.

La Dirección General de Control de Armas y Municiones (Digecam) y el Ministerio de la Defensa Nacional (Mindef) de Guatemala activaron un protocolo especial tras detectar un ciberataque que expuso datos en la plataforma digital oficial el 10 de abril. El incidente, que comprometió credenciales de usuarios mediante un sistema automatizado, fue confirmado públicamente por el Mindef, según un informe oficial.

Según un comunicado del Mindef, no hubo encriptación de datos ni exigencia de rescate, descartando así un ataque de tipo ransomware. La cantidad de datos sustraídos no sobrepasó cinco gigabytes, conforme al informe inicial de la entidad castrense.

La reacción de las autoridades incluyó la presentación de una denuncia formal ante el Ministerio Público para que se inicie la investigación correspondiente. Además, se reforzaron los sistemas de seguridad de los servidores de Digecam y se dispuso el cambio obligatorio de contraseñas para todos los usuarios registrados, de acuerdo con lo reportado por el Mindef.

Medidas y recomendaciones para usuarios afectados

En el marco del protocolo implementado, las autoridades brindaron varias recomendaciones a la población usuaria: solo se deben considerar comunicaciones oficiales provenientes de Digecam o del Ministerio de Defensa; los trámites de reposición serán gratuitos; ningún funcionario está autorizado a solicitar pagos ni datos personales por canales no institucionales. Asimismo, se pidió validar cualquier gestión exclusivamente a través de los canales oficiales y desestimar rumores o datos no corroborados, ya que la difusión de información no confirmada podría afectar el desarrollo de los procesos administrativos.

El Mindef enfatizó que todas las reposiciones de licencias o tenencias se notificarán formalmente y garantizó que los usuarios recibirán atención conforme a los procedimientos vigentes. Añade a las sugerencias:

1. Atender únicamente comunicaciones oficiales: Los usuarios serán contactados de manera progresiva conforme a los protocolos vigentes. Ninguna licencia o tenencia quedará sin reposición y cualquier gestión debe validarse a través de los canales y números oficiales.
2. Abstenerse de acudir sin citación previa: No es necesario presentarse a las instalaciones para trámites de reposición sin notificación oficial.
3. Verificar la información en canales oficiales: Toda comunicación válida será emitida exclusivamente por el Mindef y la Digecam.
4. Prevenir posibles actos de fraude: Ninguna autoridad solicitará pagos, datos personales ni gestiones urgentes por medios no oficiales. Los trámites de reposición son gratuitos y no deben compartirse datos con terceros ajenos a la institución.
5. Cumplir con los procedimientos establecidos: Se implementará un mecanismo ordenado, escalonado y transparente, cuyo detalle estará disponible en la web de Digecam.
6. Evitar la difusión de información no verificada: Difundir rumores puede afectar el desarrollo adecuado de los procesos institucionales y administrativos.

El hecho

El Ministerio de la Defensa Nacional informó el 10 de abril que la vulneración del portal de la Digecam permitió la sustracción de información, producto de un ataque automatizado que se extendió durante aproximadamente 13 horas, según relató Julio César Taracena, comandante de la Unidad de Comunicaciones del Ejército, en una conferencia de prensa.

Taracena aclaró el protocolo para la validación y reemplazo de los documentos. Precisó: “No es que se les vuelva a dar (la misma licencia), sino que será un número diferente, un número de registro nuevo, porque esos registros que fueron filtrados automáticamente quedarán, como algo, prácticamente podríamos decir que van a ser falsos”.

El Ejército de Guatemala confirmó la extracción de datos sensibles tras un ataque informático externo al portal de la Dirección General de Control de Armas y Municiones (Digecam), lo que implica la anulación inmediata y sin costo de licencias y tenencias afectadas, mientras que las autoridades inician la reposición de registros para garantizar la legalidad en la portación de armas a partir del 10 de abril.

El Ministerio de la Defensa Nacional informó el 10 de abril que la vulneración del portal de la Digecam permitió la sustracción de información, producto de un ataque automatizado que se extendió durante aproximadamente 13 horas, según relató Julio César Taracena, comandante de la Unidad de Comunicaciones del Ejército, en una conferencia de prensa.

El volumen de datos sustraídos no superaría los cinco gigabytes, conforme al informe preliminar presentado por la autoridad militar.

Este incidente afecta de manera directa a titulares de licencias y tenencias otorgadas por la Digecam. El Ejército instruyó que los registros afectados serán anulados y sustituidos sin costo por nuevos documentos con un número y registro diferente.

Los usuarios impactados recibirán comunicación oficial individual sobre la fecha y hora en la que deberán presentarse en la sede de la Digecam para completar el proceso administrativo necesario.

La vulneración no generó, según declaraciones del Ministerio de la Defensa, encriptación ni una solicitud de rescate, típicas de ataques de tipo ransomware.

Se detectó que fueron comprometidas credenciales de usuarios, aunque el número exacto de personas afectadas no ha sido divulgado hasta el momento. La autoridad explicó, además, que el uso de un documento filtrado quedará detectado como inválido dentro de los sistemas actualizados.

La reposición de documentos se realiza bajo supervisión del Ministerio Público

La comandanta a cargo de la seguridad y el proceso de reposición explicó, que “va a ser una licencia nueva y se va a comunicar con cada una de las personas que se vieron afectadas, para que ellos se presenten a la Digecam para que puedan hacer ese proceso”.

Agregó que la identificación del universo total de usuarios afectados es responsabilidad del Ministerio Público, dependencia ante la cual el Ejército presentó formal denuncia el 10 de abril.

Julio César Taracena aclaró el protocolo para la validación y reemplazo de los documentos. Precisó: “No es que se les vuelva a dar (la misma licencia), sino que será un número diferente, un número de registro nuevo, porque esos registros que fueron filtrados automáticamente quedarán, como algo, prácticamente podríamos decir que van a ser falsos”.

La nueva documentación permitirá a los propietarios mantener su derecho a portar y poseer armas, ya que estos carnets sustituyen los registros anulados tras la filtración de información. La Digecam ya inició el procedimiento de citación y reposición de documentos tan pronto concluyó la conferencia oficial del 10 de abril.

La cifra exacta de personas impactadas sigue bajo resguardo judicial

A pesar de la insistencia de periodistas, tanto la comandanta responsable como Taracena insistieron en que “va a ser el Ministerio Público el que, en su oportunidad, tendría que dar a conocer la cantidad” de usuarios alcanzados por el incidente, debido a impedimentos legales vigentes tras la presentación de la denuncia.

El Ejército subrayó que los usuarios afectados no tendrán inconvenientes legales al momento de interactuar con autoridades policiales, incluso bajo el actual estado de prevención decretado en siete departamentos del país, ya que los carnets originales serán anulados y sustituidos por nuevos registros oficiales.

Las investigaciones para identificar a los responsables del ataque continúan abiertas, en colaboración con el Ministerio Público. La autoridad militar reiteró que la seguridad del sistema sigue bajo análisis y que la información recabada fue puesta a disposición de la fiscalía.

Las personas cuyos registros hayan sido afectados recibirán notificación oficial y acceso al proceso de reposición, para que mantengan la legalidad de sus documentos y no enfrenten complicaciones ante futuras inspecciones policiales o cambios legislativos relacionados con el control de armas.

La startup Anthropic PBC ha tomado la decisión de restringir la disponibilidad de su más reciente modelo de inteligencia artificial, Mythos, a un grupo selecto de grandes empresas tecnológicas. El motivo principal es la preocupación de que este sistema, por su nivel de sofisticación, podría ser utilizado para facilitar ciberataques.

Antes de abrir el acceso al público, Anthropic quiere que gigantes del sector como Amazon, Apple, Microsoft y Cisco puedan probar el modelo con sus propios productos, identificar vulnerabilidades y compartir las conclusiones para reforzar la seguridad digital global. Así lo dio a conocer Bloomberg.

Proyecto Glasswing: colaboración para reforzar la ciberseguridad con IA

Anthropic ha puesto en marcha el Proyecto Glasswing, una iniciativa que reúne a importantes actores tecnológicos con el objetivo de testear Mythos en entornos reales y detectar posibles fallos de seguridad.

Según la compañía, las organizaciones participantes tendrán acceso anticipado al modelo y podrán emplearlo para analizar sus productos y sistemas, buscando vulnerabilidades que pudieran ser explotadas por agentes maliciosos. Los hallazgos se compartirán de manera colectiva, generando una red de defensa colaborativa frente a los riesgos emergentes de la inteligencia artificial avanzada.

La decisión de limitar el acceso responde a la creciente inquietud entre empresas y gobiernos sobre el potencial uso indebido de modelos de IA de última generación. Actualmente, la tecnología de inteligencia artificial ya se emplea en la ejecución de ciberataques sofisticados.

Anthropic cita como ejemplo un caso en el que un hacker utilizó herramientas de IA para vulnerar sistemas del gobierno mexicano. OpenAI, principal rival de Anthropic, también ha enfatizado recientemente los riesgos cibernéticos asociados a sus modelos y ha lanzado programas piloto enfocados en proteger primero a los defensores y no a los atacantes.

Capacidades y riesgos identificados en el modelo Mythos

Durante sus pruebas internas, el equipo de seguridad de Anthropic descubrió que Mythos Preview era capaz de identificar y explotar vulnerabilidades en todos los principales sistemas operativos y navegadores web cuando el usuario lo solicitaba.

Según una entrada publicada en el blog de la empresa, los exploits generados no eran simples ni triviales; en una ocasión, el modelo escribió un exploit para un navegador que encadenaba cuatro vulnerabilidades diferentes.

Newton Cheng, responsable del esfuerzo cibernético en el Equipo Rojo Fronterizo de Anthropic, explicó que el desafío no solo afecta a una empresa, sino a toda la industria tecnológica y requiere la colaboración entre sector privado y gobiernos. “Lo que intentamos hacer con Glasswing es dar a los defensores una ventaja”, subrayó Cheng.

Colaboración con agencias y hallazgos relevantes

Anthropic ha mantenido conversaciones con funcionarios estadounidenses sobre las capacidades de Mythos en materia de seguridad, aunque no ha concretado con qué agencias específicas. Cheng confirmó que la compañía colabora con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras y el Instituto Nacional de Normas y Tecnología para abordar estos retos.

Aunque Mythos fue concebido como un modelo de uso general y no específicamente para ciberseguridad, ya ha demostrado ser capaz de encontrar problemas críticos.

Entre los hallazgos, según Anthropic, se incluyen una vulnerabilidad de software con 27 años de antigüedad presente en aplicaciones clave de Internet, así como un fallo de 16 años en un popular programa de video que otras herramientas automatizadas habían pasado por alto tras millones de pruebas.

El acuerdo entre Anthropic y las grandes tecnológicas representa un cambio en la forma de gestionar la seguridad de modelos de IA cada vez más potentes. Antes de ofrecer Mythos al público, la empresa quiere utilizar los resultados del Proyecto Glasswing para definir los límites y medidas de protección necesarios para evitar usos maliciosos.

El avance de las amenazas digitales y las fallas tecnológicas ha puesto en jaque la continuidad de las operaciones de miles de compañías.

Un reciente informe de la Oficina de Ciberseguridad de TIVIT advierte que el 23% de las empresas nunca ha probado su plan de recuperación ante incidentes, lo que las expone a improvisar su respuesta en el momento más crítico.

Una caída de sistemas puede dejar fuera de servicio áreas clave como facturación, logística, atención al cliente o producción en cuestión de minutos, generando pérdidas millonarias y daños a la reputación que pueden ser irreversibles.

El impacto inmediato de una interrupción tecnológica

Cuando ocurre una interrupción por un ciberataque, un error humano o una falla de infraestructura, el tiempo de reacción es determinante. Según TIVIT, solo el 52% de las organizaciones logra restaurar sus sistemas críticos en las primeras 12 horas, mientras que el 29% necesita al menos un día completo para volver a operar.

El costo promedio de una filtración de datos en 2023 se ubicó en 4,45 millones de dólares, pero las consecuencias van mucho más allá de las finanzas: cada hora sin sistemas representa ingresos perdidos, clientes insatisfechos, contratos en riesgo y proveedores sin respuesta.

Principales consecuencias de una caída tecnológica:

• Pérdida de ingresos y riesgo de quiebra por cada hora de interrupción.
• Deterioro de la atención al cliente y posibles fugas de usuarios.
• Contratos, acuerdos y procesos logísticos detenidos.
• Reputación corporativa afectada de manera prolongada.

“Hoy, el Plan de Recuperación ante Desastres debe contemplar escenarios de ataques cibernéticos, estos escenarios deben ser actualizados y probados periódicamente para que la continuidad operativa de toda la compañía no se vea afectada significativamente”, dijo Pablo Garcia, BDM CYBER LATAM de TIVIT,

¿Recuperar o improvisar? El factor clave es la preparación

La diferencia entre una recuperación rápida y una crisis prolongada no depende directamente de la tecnología o el presupuesto disponible, sino del nivel de preparación y entrenamiento de la organización.

Una recuperación improvisada implica tomar decisiones bajo presión, con información incompleta y roles poco claros, lo que suele extender el impacto y generar descoordinación.

En cambio, una recuperación planificada permite actuar con protocolos claros, asignación precisa de tareas y tiempos de recuperación establecidos, facilitando minimizar la interrupción y tomar decisiones informadas.

Dos indicadores son esenciales para medir cuán preparada está una empresa. Estos conceptos permiten priorizar sistemas críticos y tomar decisiones certeras en momentos de crisis:

• RTO (Recovery Time Objective), que define el tiempo máximo aceptable para restablecer la operación.
• RPO (Recovery Point Objective), que determina cuántos datos pueden perderse sin comprometer la continuidad del negocio.

Evaluar y actualizar: preguntas que toda empresa debe responder

La Oficina de Ciberseguridad de TIVIT recomienda a las empresas revisar periódicamente su capacidad de respuesta ante una posible caída total de sistemas. Algunas preguntas clave son:

¿El plan de recuperación está documentado y actualizado? ¿Cuándo fue la última vez que se realizó una restauración completa de los sistemas críticos? ¿El equipo sabe exactamente qué hacer en los primeros 30 minutos de una interrupción?

Prepararse para una crisis tecnológica dejó de ser opcional. La rapidez en la recuperación no depende de la suerte, sino de estrategias concretas, actualizadas y puestas a prueba antes de que ocurra una emergencia. La continuidad del negocio y la confianza de clientes y socios dependen de la capacidad de anticipación y reacción de cada organización.

Una intrusión informática atribuida a China contra infraestructuras de la Oficina Federal de Investigaciones (FBI) en las Islas Vírgenes estadounidenses fue clasificada la semana pasada como un “incidente mayor” y notificada formalmente al Congreso de Estados Unidos, cumpliendo la normativa de ciberseguridad federal.

El ciberataque, que afectó sistemas distintos a los de la sede central en Washington, podría tener implicaciones directas para la seguridad nacional al comprometer datos sensibles de investigaciones judiciales, según informó Fox News.

El 4 de marzo de 2026, la FBI comunicó por primera vez a miembros del Congreso la detección de actividad sospechosa en un sistema de almacenamiento de “información sensible de las fuerzas del orden” en las Islas Vírgenes.

Este sistema contenía respuestas judiciales, registros de vigilancia y datos identificatorios de personas investigadas, conforme a la notificación cuya existencia fue confirmada por Politico.

La vulnerabilidad fue explotada, de acuerdo con la notificación enviada a los legisladores, a través de la infraestructura de un proveedor comercial de servicios de Internet, lo que evidencia —según la agencia— el uso de “tácticas sofisticadas” asociadas a actores estatales.

La Ley Federal de Modernización de Seguridad de la Información (FISMA) de 2014 exige a las agencias federales informar al Congreso cualquier “incidente mayor” de ciberseguridad en un plazo máximo de siete días desde la detección de indicios razonables sobre su gravedad.

La FBI cumplió con este trámite la semana pasada, luego de haber advertido a legisladores a inicios de marzo sobre irregularidades en su entorno informático. En ese momento no se especificó el origen ni la autoría del ataque.

La diferencia principal, según informó Fox News, es que la primera alerta al Congreso fue realizada el 4 de marzo, semanas antes de confirmar el carácter de “incidente mayor” conforme a FISMA.

Hasta ahora, no se ha revelado el alcance exacto del acceso no autorizado ni el volumen de datos comprometidos, pero la clasificación legal del caso obligó a la notificación formal.

China mantiene el foco de la contrainteligencia federal según el FBI

La administración que encabeza el director Kash Patel sostiene a China como objetivo prioritario de la contrainteligencia estadounidense.

Fox News recuerda que el anterior director, Chris Wray, afirmó durante su gestión que los agentes federales abrían "un caso nuevo de contrainteligencia sobre China cada doce horas“.

Bajo Patel, la alerta persiste: la intrusión ahora notificada ocurre pocos meses después de la visita del director a China, donde buscó acuerdos para restringir el flujo de precursores químicos empleados en la producción de fentanilo con destino a América.

En el ámbito diplomático, el presidente Donald Trump tiene previsto un encuentro el mes próximo en Pekín con su homólogo Xi Jinping.

Paralelamente, la FBI ha intensificado las advertencias sobre la continua amenaza cibernética proveniente del gobierno chino, señalando la sofisticación y persistencia de estas operaciones en los últimos años.

La vulnerabilidad expuso a sujetos de investigaciones judiciales, según la notificación remitida al Congreso

El ataque se dirigió contra sistemas periféricos de la FBI en las Islas Vírgenes, no contra la infraestructura central en Washington.

Fox News informó que “la brecha podría constituir una amenaza para la seguridad nacional”, dada la sensibilidad de la información comprometida, que incluía datos personales y judiciales relacionados con investigaciones en curso.

Aunque no se ha emitido una declaración oficial pública, la alerta enviada al Congreso confirma la gravedad atribuida internamente a la infiltración.

El incidente revelado el 4 de marzo de 2026 implicó el acceso no autorizado a un sistema de la FBI en las Islas Vírgenes donde se almacenaba información judicial y personal de investigaciones activas.

Tras la confirmación de la autoría china y la magnitud del daño, el caso fue clasificado formalmente como “incidente mayor” y comunicado al Congreso conforme lo exige la Ley Federal de Modernización de Seguridad de la Información, según publicaron Fox News y Politico.

La investigación sigue abierta y no se descartan nuevas medidas de refuerzo en los protocolos de ciberseguridad federal.

La Superintendencia Nacional de Salud (SuperSalud) reportó el 31 de marzo de 2026 la detección de múltiples ciberataques contra su sistema de gestión documental SUPERARGO, que resultaron en la descarga masiva no autorizada de 1,6% de su base documental.

A través de un comunicado oficial, la entidad identificó la actividad anómala por medio de sus sistemas de monitoreo y bloqueó los accesos comprometidos, restableciendo el servicio en condiciones controladas para evitar una mayor explotación del incidente.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel

Durante el último mes, la Superintendencia Nacional de Salud detectó más de 23 millones de intentos de ciberataques sistemáticos, de acuerdo con información confirmada por la propia entidad, dirigidos contra la plataforma Superargo.

Las amenazas han estado dirigidas especialmente a la infraestructura tecnológica institucional y surgieron versiones sobre una potencial filtración de datos sensibles de ciudadanos y entidades del sector salud.

La información vulnerada corresponde a documentos y soportes relacionados con peticiones, quejas, reclamos y denuncias (PQRD), presentadas por usuarios ante la entidad.

Estos registros contienen datos personales y sensibles, lo que motivó la presentación de una denuncia penal ante la Fiscalía General de la Nación, según detalló la Superintendencia Nacional de Salud en su comunicado. La entidad inició así los trámites judiciales para identificar a los responsables del ataque y fortalecer la respuesta legal.

Para contener y analizar el incidente, la Superintendencia Nacional de Salud anunció el refuerzo de sus medidas de seguridad tecnológica en coordinación con el Centro de respuesta a emergencias cibernéticas de Colombia (Colcert) y con el Equipo de Respuesta a Incidentes de Seguridad Informática del sector salud en Colombia (Csiert) del sector salud y otras entidades como la Policía Nacional y la Superintendencia de Industria y Comercio.

En la comunicación afirmaron que la operación administrativa y la capacidad de supervisión del organismo se mantienen estables, mientras avanzan las verificaciones técnicas para determinar el alcance de la afectación. De igual manera, la Superintendencia reafirmó su compromiso con la transparencia y la seguridad, e instó tanto a los medios de comunicación como a la ciudadanía a evitar la difusión de información no confirmada para no generar alarmas innecesarias.

Entre las medidas adoptadas, la Superintendencia Nacional de Salud rechazó cualquier intento de extorsión o manipulación de datos personales y anunció el fortalecimiento de la cooperación interinstitucional para enfrentar futuras amenazas cibernéticas dirigidas contra el sector salud.

Expertos advierten de ciberataques más sofisticados

De acuerdo con el Informe de Amenazas de Fortinet, el país registró cerca de 7.100 millones de intentos de ciberataques durante el primer semestre de 2025, una cifra que mantiene a Colombia entre los territorios más atacados de América Latina. La tendencia ya se venía evidenciando desde 2024, cuando se reportaron más de 36.000 millones de intentos de intrusión.

De este modo, loss ciberataques en Colombia dejaron de ser un riesgo exclusivo de las grandes compañías o entidades públicas. En este punto, son una amenaza cada vez mayor para servicios digitales esenciales utilizados por empresas y ciudadanos, que incluyen plataformas de pago, sistemas de salud, transporte y comercio, que hoy operan en un entorno cada vez más vulnerable.

Más allá de modalidades de uso frecuente como el ransomware (ataque en el que un virus bloquea archivos o computador y piden dinero para devolver el acceso al usuario) y el phishing (cuando alguien se hace pasar por un banco, empresa o persona confiable para engañar y robar información personal) continúan siendo frecuentes, los expertos en seguridad informática son claros en que el panorama actual presenta una evolución hacia ataques combinados que mezclan ingeniería social, robo de credenciales y herramientas basadas en inteligencia artificial.

Entre las principales tendencias se destacan el phishing avanzado con mensajes personalizados, el uso de códigos QR falsos, metodo especializado para robar información durante largos periodos, y ataques multivectoriales capaces de escalar desde un engaño inicial hasta la interrupción de sistemas críticos.

De igual modo, hay preocupación por el incremento en los casos de suplantación mediante IA de voz o imagen, sumados a los ataques de denegación de servicio dirigidos a infraestructura digital como el ocurrido en SUPERARGO.

Este escenario incrementa los riesgos para sectores estratégicos como el financiero, la salud, el comercio electrónico y las entidades públicas, donde un solo incidente puede comprometer datos sensibles o afectar la continuidad de servicios.

La ofensiva digital de Irán contra Israel y Estados Unidos ha tomado un nuevo impulso durante las últimas semanas, exhibiendo una coordinación e impacto nunca antes observados.

Mientras sonaban las alarmas antimisiles sobre Israel, miles de ciudadanos recibieron mensajes que, bajo la apariencia de comunicaciones oficiales, los invitaban a descargar una supuesta aplicación de refugio.

Esta táctica, informada por el medio Financial Times, buscaba robar masivamente datos personales, y se complementó con envíos de textos intimidatorios y falsos anuncios de la muerte del primer ministro israelí. La guerra en el ciberespacio se ha convertido en un frente esencial en la estrategia de Teherán para minar la moral enemiga y extraer inteligencia.

Según expertos, esta campaña va de la mano de los ataques militares convencionales y muestra la estrecha integración de los recursos cibernéticos con las operaciones militares tradicionales.

Las acciones recientes no solo han dejado al descubierto la capacidad de intimidación de las redes iraníes sino también su alcance global y diversidad operativa. Según Gil Messing, directivo de la empresa israelí Check Point Software, Teherán ha logrado lanzar miles de ataques de tipo “wiper” —malware orientado a borrar datos— contra empresas israelíes, logrando impactar efectivamente a unas cincuenta.

Además, responsables israelíes confirmaron que el hackeo de cámaras de seguridad en todo el país —y en la región del Golfo— facilitó la localización de objetivos para ataques con drones y misiles.

Estas ofensivas han sido acompañadas por el envío masivo de mensajes psicológicos, lo que, en palabras de Messing a Financial Times, demuestra “un nuevo nivel de escala, efecto y sofisticación” en la coordinación entre sabotaje digital y desinformación dirigida.

El impacto de la escalada cibernética de Irán ha alcanzado ya a Estados Unidos. A principios de este mes, la empresa Stryker, dedicada a la tecnología médica y proveedora del National Health Service (NHS) del Reino Unido, sufrió un ataque devastador atribuible a actores iraníes. Miles de empleados fueron desplazados de sus puestos y la interrupción paralizó suministros vitales y retrasó intervenciones quirúrgicas. La agrupación denominada Handala, identificada por expertos y autoridades estadounidenses como dirigida por los servicios de inteligencia iraníes, reivindicó la destrucción de unos 200.000 dispositivos.

Según Chris Krebs, exdirector de la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA), se trata del ataque cibernético en tiempo de guerra “más relevante jamás visto contra Estados Unidos”.

Handala también publicó imágenes personales tras infiltrarse en una cuenta de correo de un director del FBI. La propia agencia confirmó el ataque a los correos electrónicos personales de su directivo, y aclaró que la información comprometida era “de carácter histórico”, según cita el Financial Times.

Modus operandi de los hackers iraníes

El entramado cibernético iraní se compone de tres niveles de operadores, según distinguen analistas y exfuncionarios: unidades bajo mando directo de la Guardia Revolucionaria Islámica y el Ministerio de Inteligencia, redes de proxies y cibercriminales contratados, y un último nivel de activistas voluntarios movidos por afinidad ideológica. Estas capas permiten a Irán desplegar una amplia gama de tácticas y dificultan la atribución de cada operación, además de facilitar la emisión de amenazas públicas con cierta credibilidad.

Entre las operaciones atribuidas a estos grupos figura la filtración de datos de empleados israelíes de un gran contratista de defensa estadounidense, el acceso a las cuentas de políticos en Albania y la intrusión en un centro de investigación nuclear en Polonia. Parte de estas acciones, especialmente las más orientadas a espionaje, permanecen sin informar, de acuerdo a investigadores.

Las fuerzas de Estados Unidos e Israel mantienen capacidades ofensivas robustas, que en ocasiones han golpeado estratégicamente a Irán. Un precedente notable es el uso del malware Stuxnet, detectado en 2009 y empleado para dañar de forma significativa el programa nuclear iraní.

También se ha documentado el empleo de inteligencia cibernética por parte de Israel en operaciones de alto perfil, incluyendo la intrusión en casi todas las cámaras de tráfico de Teherán antes de una operación de asesinato, según reportan medios citados por Financial Times.

El general Dan Caine, presidente del Estado Mayor Conjunto de Estados Unidos, relató que antes de los recientes bombardeos contra Irán se lanzaron ataques que deshabilitaron temporalmente la comunicación y la capacidad de respuesta de Teherán.

A su vez, grupos israelíes han explotado herramientas digitales como aplicaciones de oración populares en Irán para enviar notificaciones masivas incitando a la deserción, con mensajes como: “Solo así puedes salvar tu vida por Irán”.

Aunque expertos consideran que Irán carece de la sofisticación técnica de actores como Rusia o China, su estrategia de ataques asimétricos y costos reducidos resultó eficaz para sembrar caos y obtener información valiosa. Un ejemplo ocurrió en 2022, cuando medios israelíes acusaron a hackers iraníes de infiltrarse en un teléfono antiguo de la esposa del director del Mossad, exponiendo datos personales en Telegram.

Estados Unidos enfrenta desafíos derivados de una estructura cibernética fragmentada. A diferencia de Israel, donde el Estado gestiona la seguridad crítica, en Estados Unidos y Europa la protección recae sobre el sector privado, que puede solicitar ayuda estatal tras sufrir un ataque.

Esta diferencia, junto a la descentralización histórica de su red digital y la magnitud de su infraestructura, genera puntos débiles que pueden ser explotados, según expertos consultados por Financial Times.

También se suma la crisis institucional en CISA, la agencia estadounidense responsable de proteger infraestructuras esenciales, la cual opera con apenas un tercio de su plantilla y carece de dirección permanente desde enero de 2025, como indican los analistas recogidos por el medio.

Emily Harding, del Center for Strategic and International Studies, sintetizó la preocupación: “El gato ha salido de la bolsa respecto a cuán débiles somos defensivamente.”

Irán mantiene una táctica dual

Analistas advierten que, a pesar de la visibilidad de muchos ataques, gran parte de la actividad de las células más especializadas de Irán se desarrolla fuera del foco público. Mientras las campañas visibles apuntan a desestabilizar a la sociedad y atacar blancos accesibles, los grupos más experimentados adoptan una estrategia metódica de infiltración sostenida en redes estratégicas, con el objetivo de acceder prolongadamente a información sensible.

Andy Piazza, de la compañía Palo Alto Networks, señaló que “pueden haber logrado acceso de largo plazo que aún no están dispuestos a sacrificar”. Los expertos sostienen que, si logran conservar ese acceso y capitalizar el tiempo para reconstituirse, Irán podría desarrollar ofensivas de mayor impacto, según Matthew Ferren, del Council on Foreign Relations.

La ofensiva cibernética iraní revela un cambio en la guerra moderna, donde la disuasión y el daño potencial también se disputan en la profundidad de las redes digitales.

La Superintendencia Nacional de Salud confirmó el viernes 27 de marzo de 2026 que ha sido objeto de ataques cibernéticos sistemáticos durante los últimos días.

De acuerdo con un comunicado emitido por la entidad, sus sistemas de seguridad “han identificado y contenido durante el último mes más de 23 millones de ciberataques”, en medio de versiones sobre una posible vulneración de sus sistemas de información y datos institucionales.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel

La Supersalud indicó que tras monitoreos internos se detectó una afectación sobre su plataforma tecnológica, pero aseguró que el “equipo interno de trabajo activó los protocolos de contingencia y defensa”. Además, la entidad trabaja en coordinación con el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (Coicert) para analizar el caso y verificar si hubo exposición de datos sensibles.

Acciones frente a la integridad de la información

La entidad señaló que “se están adelantando las verificaciones técnicas necesarias para establecer si se ha presentado alguna afectación o exposición de datos (...) la operación administrativa y la capacidad de supervisión se mantienen estables y protegidas”, pese a los ataques recientes.

En respuesta a la inquietud pública sobre la posible filtración de datos de usuarios, prestadores y entidades del sector salud, la Superintendencia reiteró que mantiene medidas de seguridad robustas y que dará a conocer los resultados de las investigaciones técnicas por canales oficiales.

En esa misma línea, la Superintendencia Nacional de Salud rechazó “cualquier intento de extorsión o manipulación de información pública y privada”. Además, anunció que adelantará “todas las acciones legales correspondientes a través de las entidades competentes para identificar y judicializar a los responsables de estos actos delictivos”.

Finalmente, la Superintendencia hizo un llamado a los medios de comunicación y la ciudadanía para evitar la difusión de información no confirmada, con el fin de no generar “alarmas innecesarias”. Afirmó su compromiso con la transparencia y la seguridad, y continuará informando los avances de las investigaciones mediante canales oficiales.

Nubank respondió a presunta filtración de datos sensibles de clientes

Una presunta filtración de datos dejó en el centro de la atención a Nubank Colombia, tras reportes de ciberseguridad que señalan la posible exposición de más de 30.000 registros de clientes vinculados a procesos de cobranza.

La filtración no se habría originado en la infraestructura de Nubank, sino en servicios de cobranza tercerizados a las firmas EmergiaCC y Conalcréditos.

La información estaría siendo ofrecida en foros de la web oscura por USD 200 (730.000 pesos colombianos aproximadamente) e incluiría datos altamente sensibles sobre la situación financiera de los usuarios.

De acuerdo con los reportes, los registros contendrían nombres completos, números de identificación, teléfonos, información sobre productos financieros, montos adeudados, fechas de pago, días de mora y estados de cuenta.

Además, se habrían filtrado detalles internos de campañas de recuperación de cartera, lo que significaría un acceso profundo a sistemas de cobranza tercerizados.

El usuario “Petro_Escobar” sería el presunto responsable de la publicación, ya que difundió fragmentos como prueba en foros de ciberdelincuencia; aunque no se ha logrado establecer la veracidad de los datos compartidos.

Por su parte, Nubank respondió que la información filtrada “no contiene claves, contraseñas ni información de productos de ahorro o depósitos”, y confirmó: “Uno de nuestros proveedores de cobranzas reportó un evento de ciberseguridad en una plataforma externa... confirmamos que no se ha presentado ningún acceso no autorizado a los sistemas de Nu ni a la información financiera de nuestros clientes”.

El ataque sería parte de una operación más amplia atribuida al grupo NyxarGroup, que también habría comprometido información de otras entidades como BBVA Colombia, donde se expusieron cerca de 1.000 registros de clientes. En ambos casos, la vulneración afectó bases administradas por Conalcréditos.

Paralelamente, los reportes mencionan una filtración masiva en la Universidad Nacional de Colombia con aproximadamente 100.000 expedientes estudiantiles comprometidos.

La reciente aparición de un sitio web dirigido por el colectivo Handala Hack marcó la publicación de cientos de documentos y fotografías atribuidas a Kash Patel, director de la Agencia Federal de Investigación de Estados Unidos (FBI). Según consignó Fox News, autoridades estadounidenses confirmaron la autenticidad de la filtración, aunque decidieron no pronunciarse sobre la veracidad de las imágenes que han comenzado a circular en diversas plataformas digitales. Esta acción representa una represalia directa por parte de este grupo, identificado como proiraní, en respuesta a iniciativas recientes del Departamento de Justicia para confiscar dominios operados presuntamente bajo la órbita de Handala Hack.

De acuerdo con Fox News, el Departamento de Justicia llevó a cabo una operación contra páginas en Internet relacionadas al grupo Handala Hack hace aproximadamente una semana. Las autoridades describieron dicho procedimiento como un esfuerzo por desarticular operaciones de ciberataques, represión transnacional y actividades de manipulación informativa vinculadas a entidades de inteligencia iraníes. Los responsables federales detallaron que, como consecuencia de esta investigación, al menos dos dominios web fueron decomisados, lo cual habría detonado la reacción pública del colectivo de hackers.

El grupo Handala Hack, mediante un comunicado en su nueva página web, aseguró que “los supuestos sistemas ‘impenetrables’ del FBI fueron doblegados en cuestión de horas por nuestro equipo”. En la misma publicación, la organización advirtió que toda la información personal y confidencial del director de la agencia, Kash Patel, estaría desde ahora disponible para su descarga pública. Entre los materiales divulgados figuran, según lo reportado por Fox News, correos electrónicos, registros de conversaciones, documentación oficial e incluso archivos catalogados como clasificados.

“Hoy, una vez más, el mundo ha sido testigo del colapso de las supuestas leyendas de la seguridad estadounidense”, se lee en el comunicado atribuido a Handala Hack, reproducido por Fox News. El texto enfatizó su intención de “responder al ridículo espectáculo” que, a su juicio, habría representado la reciente confiscación de los dominios y los anuncios de recompensas por parte de las autoridades estadounidenses en busca de los miembros del colectivo cibernético.

Handala Hack destacó su objetivo de evidenciar la precariedad del sistema de seguridad norteamericano. El grupo concluyó su comunicado con una reflexión dirigida al público en general: “El FBI es solo un nombre, y detrás de este nombre no hay seguridad real. Si su director puede ser sobornado con tanta facilidad, ¿qué espera de sus empleados de menor rango?”, cuestionaron, según publicó Fox News.

La filtración de datos privados atribuidos a Kash Patel implica una nueva escalada en la confrontación digital entre actores vinculados a Irán y estructuras federales estadounidenses, reportó Fox News. El caso refuerza la estrategia de Handala Hack, centrada en divulgar fallas de seguridad y desafiar la percepción pública de estabilidad interna en los organismos gubernamentales de Estados Unidos, en un contexto de tensiones geopolíticas y ciberataques recurrentes.

La respuesta de las agencias estadounidenses a este incidente no incluyó precisiones sobre la autenticidad de las fotografías publicadas, aunque, consultadas por Fox News, las fuentes oficiales confirmaron que la filtración de documentos sí se produjo. La operación previa del Departamento de Justicia, que desencadenó el accionar de los hackers, formó parte de los esfuerzos continuos para eliminar la influencia de grupos que, según los funcionarios, emplean infraestructura digital para realizar operaciones psicológicas y actividades de ciberinteligencia a nivel internacional.

La escalada representada por este suceso se suma a la serie de enfrentamientos recientes en el ciberespacio entre Estados Unidos y actores vinculados a Irán. El medio Fox News destacó que las acusaciones de Handala Hack y la estrategia de exponer supuestos fallos en la seguridad gubernamental estadounidense buscan, además de responder a las acciones judiciales, fortalecer la retórica propagandista de quienes actúan en oposición a las políticas estadounidenses en la región de Medio Oriente y a nivel global.

La filtración de correos electrónicos del director del FBI Kash Patel ha provocado inquietud en los círculos de seguridad de Estados Unidos, luego de que un grupo informático vinculado a Irán asegurara haber accedido y divulgado imágenes y documentos personales del funcionario. La confirmación oficial del incidente provino de un portavoz del Departamento de Justicia, según informó Reuters.

Un grupo denominado Handala Hack Team reivindicó el ciberataque al director del FBI y publicó en su sitio web fotografías de Patel, junto con su presunto currículum y diversos archivos extraídos de sus correos personales y laborales. El material filtrado comprende mensajes enviados entre 2010 y 2019. Reuters no verificó de inmediato la autenticidad de todos los documentos, aunque examinó una muestra representativa publicada por los atacantes.

La acción fue atribuida públicamente en internet por Handala Hack Team, que afirmó haber ingresado a la cuenta privada de Patel. El grupo difundió imágenes y documentos vinculados a su actividad profesional.

Entre la información divulgada se encuentran correos electrónicos tanto personales como de trabajo. De acuerdo con la revisión de Reuters, los mensajes más antiguos datan de 2010 y los últimos de 2019. La publicación se realizó en la propia página web del grupo iraní, donde destacaron al funcionario entre sus “víctimas exitosas”.

Un portavoz del Departamento de Justicia de Estados Unidos confirmó a Reuters la existencia de una brecha de seguridad en la cuenta personal del funcionario. Sin embargo, evitó ofrecer detalles adicionales sobre el alcance del ciberataque.

Handala, que se autodenomina un grupo de hackers justicieros pro-palestinos, es considerado por investigadores occidentales como una de varias identidades utilizadas por unidades de ciberinteligencia del gobierno iraní. Handala afirmó recientemente haber hackeado a Stryker, un proveedor de dispositivos y servicios médicos con sede en Michigan, el 11 de marzo, y aseguró haber eliminado una enorme cantidad de datos de la empresa.

Reuters no pudo autenticar de manera independiente los correos electrónicos de Patel, pero la dirección personal de Gmail en la que Handala asegura haber ingresado coincide con la dirección vinculada a Patel en filtraciones de datos anteriores preservadas por la firma de inteligencia de la dark web District 4 Labs.

Hasta el momento, la FBI no respondió a solicitudes de comentarios, ni hubo mensajes directos del grupo Handala Hack Team a medios informativos.

El ataque expone las vulnerabilidades a las que se enfrentan incluso funcionarios de alto rango. El nombre del director del FBI figura ahora entre los objetivos declarados por los hackers, según detalla el propio sitio web del grupo.

La irrupción de la inteligencia artificial en los ciberataques ha transformado los fraudes digitales, convirtiéndolos en amenazas impredecibles, automatizadas y cada vez más complejas de detectar, según análisis difundidos por MIT Technology Review.

El uso de modelos de inteligencia artificial está facilitando que delincuentes desarrollen campañas de phishing, fraudes empresariales y falsificaciones digitales realistas capaces de engañar tanto a usuarios comunes como a empresas.

Esto incrementa la frecuencia y el alcance de los ataques y plantea un riesgo inmediato de pérdidas financieras y filtraciones de datos a escala global.

Cómo la inteligencia artificial impulsa los nuevos ciberataques

A finales de 2022, los atacantes comenzaron a incorporar modelos de lenguaje de gran tamaño en programas de secuestro de datos y fraudes electrónicos. Un experimento dirigido desde la Universidad de Nueva York, conocido como PromptLock, demostró que la IA puede automatizar todas las etapas de un ataque, desde identificar archivos hasta redactar mensajes de extorsión personalizados.

Aunque PromptLock fue solo una prueba de laboratorio, expertos citados por MIT advierten que los ciberdelincuentes ya emplean herramientas comparables en situaciones reales.

Junto con el uso de servicios comerciales de IA, crece la preocupación por la expansión de modelos de código abierto faltos de salvaguardas técnicas. Estas variantes pueden manipularse fácilmente para elaborar código malicioso y sortear sistemas de protección.

Ashley Jess, exespecialista del Departamento de Justicia de Estados Unidos, sostiene que los delincuentes prefieren estos sistemas, ya que les permite adaptar sus estrategias sin restricciones.

Además, estudios de Anthropic indican que la IA logró automatizar hasta el 90% de las acciones en operaciones de espionaje informatizadas; sin embargo, los humanos siguen seleccionando los objetivos. “Estamos entrando en una era donde la barrera para operaciones cibernéticas sofisticadas ha caído y el ritmo de los ataques crecerá más de lo que muchos están preparados para afrontar”, señaló Jacob Klein, director de inteligencia de amenazas en Anthropic, en declaraciones recogidas por technologyreview.

El auge del phishing automatizado y las estafas personalizadas

Una de las áreas de mayor transformación es el phishing. Con la aparición de herramientas como ChatGPT, expertos estiman que al menos la mitad del correo no deseado ya se genera usando inteligencia artificial.

Entre abril de 2024 y abril de 2025, Microsoft bloqueó aproximadamente USD 4.000 millones en fraudes y transacciones ilícitas, una cifra atribuida en parte al aumento de contenidos producidos por IA, según reportes citados por Technology Review.

Además, académicos de la Universidad de Columbia y la Universidad de Chicago determinaron que para abril de 2025, más del 14% de los ataques selectivos por correo, elaborados con IA, duplicaron su incidencia respecto al año anterior.

La capacidad de personalización avanza: los atacantes segmentan a sus destinatarios y adaptan mensajes con detalles creíbles, complicando la labor de los filtros antispam y engañando con mayor facilidad a usuarios y empleados.

“La probabilidad de que los ciberataques sean cada vez más comunes y efectivos ya no es una posibilidad remota, sino una realidad”, subrayó Lorenzo Cavallaro, profesor del University College London, al medio.

Deepfakes: la nueva frontera de las estafas digitales

La sofisticación de las falsificaciones digitales realistas, conocidas como deepfakes, marca un nuevo desafío. La reproducción automatizada de voces e imágenes posibilita fraudes a gran escala.

Según Technology Review, un empleado de la firma Arup transfirió USD 25 millones a criminales luego de una videollamada con réplicas digitales de directivos de la empresa, evidenciando que hoy resulta sencillo manipular información visual y auditiva incluso en entornos profesionales.

Expertos como Henry Ajder advierten que la mejoría y el abaratamiento de estas técnicas garantizan su expansión. “Si hay dinero por ganar y la gente sigue cayendo en la trampa, los delincuentes continuarán explotando la IA”, explicó Ajder, según declaraciones recogidas por el sitio.

Cómo protegerse ante los ciberataques con IA

Frente al avance tecnológico, los especialistas insisten en que mantener prácticas de defensa básicas sigue siendo fundamental. Los programas de detección y los filtros de correo continúan bloqueando una porción considerable de los ataques, aunque la sofisticación de estos crece de manera constante.

Billy Leonard, responsable del Grupo de Análisis de Amenazas de Google, destaca la importancia de compartir información sobre incidentes y métodos nuevos, ya que esto ayuda a fortalecer las defensas globales. Por su parte, Microsoft procesa diariamente más de 100 billones de señales evaluadas por IA para identificar anomalías y actividades sospechosas.

Los expertos reconocen que la inteligencia artificial también puede ser una herramienta para enfrentar estas amenazas, facilitando la detección de patrones y respaldando a los equipos de seguridad.

No obstante, las capacidades defensivas todavía presentan limitaciones, y adaptarse continuamente es clave para minimizar los riesgos derivados de los ciberataques potenciados por IA.

En este escenario cambiante, la vigilancia y la actualización de los sistemas de seguridad representan la mejor defensa para usuarios y empresas ante la evolución constante de los ataques basados en inteligencia artificial.

El dominio Karmabelow80.org, junto con otros tres sitios online, mostraba reciente una imagen en la que se lee "Este sitio web ha sido confiscado", junto a los emblemas del Departamento de Justicia y del FBI de Estados Unidos. Esta medida, ejecutada por las autoridades estadounidenses, responde a una acción dirigida contra plataformas digitales que, según la acusación oficial, habrían sido utilizadas en actividades de ciberataques, diseminación de desinformación y presión transnacional promovidas desde Teherán. El Departamento de Justicia detalló que la intervención de los dominios forma parte de un esfuerzo mayor por combatir campañas virtuales orientadas a intimidar a opositores y periodistas críticos con el régimen iraní.

De acuerdo con lo reportado por el Departamento de Justicia, la confiscación de los dominios justicehomeland.org, Handala-Hack.to, Karmabelow80.org y Handala-Redwanted.to se fundamenta en el hallazgo de que estos portales fueron empleados por el Ministerio de Inteligencia y Seguridad de la República Islámica de Irán. Según el comunicado difundido por este organismo, las webs habrían facilitado operaciones psicológicas, acciones de represión dirigidas al exterior de sus fronteras y la publicación de datos confidenciales sustraídos durante ciberataques patrocinados por Teherán. Adicionalmente, se atribuye a estos sitios la divulgación de mensajes que incitan a la violencia, incluyendo llamados al asesinato contra periodistas, disidentes políticos y ciudadanos israelíes.

La operación recibió el apoyo de la División de Seguridad Nacional y de la Fiscalía del Distrito de Maryland, recibiendo respaldo público por parte de las autoridades. Según destacó la fiscal general de Estados Unidos, Pamela Bondi, "la propaganda terrorista en línea puede incitar a la violencia en el mundo real". Bondi remarcó que la intervención significa que los portales respaldados por actores iraníes dejarán de difundir mensajes de odio antiestadounidense, una narrativa recurrente en los contenidos atribuidos a esos dominios, según indicó el Departamento de Justicia.

El director del Buró Federal de Investigación (FBI), Kash Patel, explicó que la estrategia de Irán incluía el uso de estos sitios web para ocultarse bajo identidades digitales que les permitían lanzar amenazas dirigidas a la sociedad estadounidense y a sectores de la disidencia. Patel dijo que con esta acción "se han desmantelado cuatro de los pilares de la operación iraní", y advirtió que aún podrían realizarse más intervenciones en el futuro. El medio estadounidense consignó que se trata de una respuesta directa a la amenaza creciente de campañas digitales que buscan intimidar a activistas, periodistas y miembros de comunidades señaladas como adversarias por Teherán.

El Departamento de Justicia subrayó que los cuatro dominios operaban como plataformas para atribuirse ciberataques, publicar información personal obtenida durante incursiones informáticas y como factor de manipulación psicológica de oponentes políticos en el extranjero. Washington alegó que las acciones de incitación y los llamados a la violencia que circulaban a través de estos portales estaban específicamente dirigidos a quienes se manifestaban en contra del régimen iraní, con especial énfasis en periodistas y ciudadanos israelíes.

En su comunicado oficial, el Departamento de Justicia explicó que las páginas web confiscadas pertenecen a una red más amplia que tiene como objetivo expandir la influencia del gobierno iraní a través de herramientas tecnológicas. Por medio de operaciones psicológicas, las autoridades estadounidenses consideran que Irán pretende coartar la libertad de expresión y generar un ambiente de temor entre quienes ejercen la crítica o la disidencia. La intervención legal fue posibilitada mediante una orden judicial, lo que permitió a las agencias federales tomar el control de los dominios para interrumpir su funcionamiento y evitar la circulación de los materiales considerados amenazas para la seguridad nacional.

Según publicó el Departamento de Justicia, la intimidación digital y la difusión de desinformación han sido identificadas como una estrategia recurrente dentro de la agenda cibernética iraní, empleando dominios internacionales para ampliar su alcance más allá de sus propias fronteras. Las autoridades estadounidenses remarcaron que el esfuerzo actual es parte de una campaña en curso destinada a desmantelar de manera sistemática infraestructuras dedicadas a la represión transnacional y a operaciones informáticas hostiles.

El comunicado enfatizó la colaboración entre diversas dependencias federales, destacando la labor conjunta entre el Departamento de Justicia, el FBI y la Fiscalía del Distrito de Maryland. Estas agencias reiteraron su compromiso con la protección de quienes enfrentan amenazas digitales y actos de intimidación vinculados a intereses extranjeros. Según informó el Departamento de Justicia, el esfuerzo continuará en tanto persistan las campañas dirigidas a silenciar voces críticas y a promover mensajes considerados peligrosos desde la óptica de la seguridad nacional estadounidense.

Apagar el celular durante unos minutos cada día se ha convertido en una práctica cada vez más difundida. La pauta, impulsada por figuras políticas y respaldada por organismos de seguridad, responde al incremento de ciberataques que afectan a millones de usuarios en todo el mundo.

La medida de prevención, que consiste en interrumpir la actividad del dispositivo al menos cinco minutos al día, fue promovida por el primer ministro de Australia, Anthony Albanese, quien alentó a la ciudadanía a realizarla mientras se llevan a cabo tareas cotidianas.

“Todos tenemos una responsabilidad. Cosas sencillas: apaga el teléfono cinco minutos cada noche. Para quienes ven esto, hazlo cada 24 horas, mientras te cepillas los dientes o haces lo que sea”, sostuvo Albanese.

La medida cuenta con respaldo técnico de la Agencia de Seguridad Nacional de Estados Unidos (NSA), que aconseja reiniciar los dispositivos con regularidad como parte de las buenas prácticas de ciberseguridad.

Por qué apagar el celular cada día reduce el riesgo de ciberataques

La acción de apagar el celular interrumpe la ejecución de procesos en segundo plano, una característica que resulta clave para limitar el funcionamiento de software malicioso.

Los expertos sostienen que muchos virus y amenazas requieren mantener una sesión activa para operar. Al cortar la energía del dispositivo, estos procesos dejan de funcionar y se cierran automáticamente, lo que dificulta la persistencia de amenazas como el spyware o los ataques de tipo zero-click.

Estos ataques pueden infectar un teléfono sin que el usuario interactúe, lo que incrementa la importancia de impedir conexiones persistentes. Apagar el celular dificulta el acceso no autorizado a información personal y financiera, brindando una defensa inicial frente a riesgos cada vez más sofisticados en el ecosistema digital.

Cuánto tiempo es suficiente para que la medida sea eficaz

La pauta sugerida por el primer ministro de Australia establece un lapso mínimo de cinco minutos diarios para que el apagado resulte efectivo. Este periodo asegura la interrupción completa de todos los procesos activos y de cualquier intento de conexión remota.

La sencillez de la acción y su escasa interferencia con la rutina diaria facilitan su adopción. Solo es necesario llevarla a cabo mientras se realiza una tarea cotidiana, para que el teléfono quede protegido sin que la medida represente una molestia para el usuario.

Cómo reforzar la seguridad de los teléfonos inteligentes

Especialistas en ciberseguridad insisten en que, aunque apagar el teléfono ayuda a interrumpir amenazas, no debe considerarse una solución única ni definitiva.

La NSA sugiere complementar esta medida con el uso de contraseñas robustas, la activación de la autenticación en dos pasos y la descarga exclusiva de aplicaciones desde tiendas oficiales.

Asimismo, la actualización periódica del sistema operativo y la precaución al conectarse a redes WiFi públicas contribuyen a mejorar la seguridad. Evitar compartir información confidencial a través de canales no oficiales o con desconocidos resulta esencial para disminuir riesgos.

Por qué es clave desactivar el Bluetooth en lugares públicos

Desactivar el Bluetooth en espacios públicos es una de las pautas del Instituto Nacional de Ciberseguridad de España (INCIBE) para evitar ataques conocidos como Bluesnarfing.

Este tipo de ciberataque ocurre cuando criminales aprovechan vulnerabilidades en la conexión Bluetooth para acceder de forma no autorizada a dispositivos cercanos, que no tienen las últimas actualizaciones de seguridad. Los atacantes suelen necesitar estar a menos de 15 metros para ejecutar el ataque.

La facilidad con la que pueden explotar debilidades en los protocolos de comunicación del Bluetooth convierte a centros comerciales, aeropuertos y eventos masivos en escenarios ideales para los ciberdelincuentes.

Cuáles son las señales que evidencian un ataque Bluesnarfing en el celular

Detectar un ataque de Bluesnarfing es difícil porque se realiza de manera silenciosa, sin alertas inmediatas. Entre los indicios más comunes se encuentra el comportamiento extraño del dispositivo, como bloqueos inesperados o el envío de mensajes no autorizados desde las aplicaciones.

Otro signo de alerta es la aparición de conexiones desconocidas en el historial de dispositivos Bluetooth. Si aparecen dispositivos que no se reconocen, existe la posibilidad de que haya existido un acceso no autorizado.

El ex ministro de Inteligencia de Irán, Ismail Khatib, que fue eliminado por Israel este miércoles en un ataque aéreo en Teherán, era considerado el principal artífice de la represión y el terror estatal del régimen, dirigiendo durante años la persecución de disidentes y la ejecución de operaciones encubiertas tanto dentro como fuera del país.

Nombrado ministro en 2021 por el Líder Supremo Ali Khamenei, Khatib consolidó su influencia al frente del Ministerio de Inteligencia iraní (MOIS), la agencia responsable del espionaje, la vigilancia y el control político. Su gestión estuvo marcada por la represión de protestas, en las cuales se le atribuye la dirección de arrestos y asesinatos de manifestantes.

Khatib era un clérigo de rango medio (Hojjat ol-Eslam), formado en jurisprudencia islámica en Qom y discípulo directo de Ali Khamenei, abatio también en el opertaivo conjunto de Estados Unidos e Israel contra el régimen inciado el pasado 28 de febrero. Su carrera en seguridad incluyó funciones en la Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) desde los años ochenta, así como la jefatura de la oficina regional de inteligencia en Qom. Antes de asumir la cartera de Inteligencia, dirigió el Centro de Protección de Inteligencia del Poder Judicial y fue jefe de seguridad de Astan Quds Razavi, una de las fundaciones más poderosas de Irán.

Rol en la represión interna y el terrorismo internacional

Durante su gestión al frente del Ministerio de Inteligencia de Irán, Ismaeil Khatib fue identificado como el principal responsable de la represión violenta contra la disidencia. Supervisó de manera directa la detención, tortura y asesinato de manifestantes durante varias olas de protestas, en particular en las conocidas como “Protestas del Hiyab” entre 2022 y 2023 y las manifestaciones que comenzaron a finales de 2025 y se extenderon durante las primeras semanas de 2026. Bajo sus órdenes, el ministerio implementó amplias campañas de vigilancia sobre activistas, periodistas y opositores políticos, recurriendo a la infiltración de agentes, el monitoreo de comunicaciones y la intimidación sistemática para sofocar cualquier intento de movilización social.

Khatib autorizó operaciones de represión que incluyeron redadas nocturnas en domicilios, desapariciones forzadas y persecución judicial contra familiares de disidentes. Numerosos informes de organizaciones internacionales atribuyen a su gestión el uso de métodos de interrogatorio violento, detenciones arbitrarias y la ejecución extrajudicial de opositores.

En el ámbito internacional, Khatib dirigió y supervisó operaciones terroristas y ciberataques contra intereses extranjeros, especialmente de Israel y Estados Unidos. Bajo su mando, el ministerio organizó atentados y asesinatos selectivos y coordinó redes de espionaje y sabotaje en distintos países. Además, impulsó campañas de desinformación digital y ciberataques dirigidos a infraestructuras críticas, instituciones gubernamentales y objetivos civiles, extendiendo el aparato represivo iraní más allá de sus fronteras.

La política de Khatib consolidó el uso de la violencia estatal y el terror como herramientas centrales para la supervivencia del régimen, profundizando el clima de miedo entre la población y exacerbando las tensiones con actores internacionales.

Sanciones internacionales y legado

Por su papel en violaciones a los derechos humanos y actividades de ciberespionaje, Khatib fue sancionado por Estados Unidos en 2022 y posteriormente por Australia y Canadá (2025-2026). Las sanciones respondieron tanto a la represión de protestas internas como a operaciones de inteligencia consideradas hostiles por la comunidad internacional.

La muerte de Ismaeil Khatib representa la eliminación de una figura central en el aparato represivo iraní, responsable de la estrategia de terror estatal y de la coordinación de operaciones clandestinas en el exterior. Según fuentes israelíes, su eliminación marca una escalada en la confrontación entre Israel e Irán, anticipando nuevas acciones en las próximas horas.

Posición en la estructura de poder iraní

El ministro de Inteligencia conformaba junto a la Guardia Revolucionaria y el Consejo Supremo de Seguridad Nacional el núcleo de seguridad estatal. Esta posición le permitía coordinar la represión interna y la política exterior agresiva, consolidando el control del régimen sobre la sociedad y reforzando su capacidad para proyectar influencia y ejecutar operaciones contra adversarios en la región y fuera de ella.

Eliminado en Teherán

El ministro de Defensa de Israel, Israel Katz, informó que Ismaeil Khatib murió en un ataque aéreo nocturno en Teherán, dirigido contra infraestructuras consideradas estratégicas para el régimen iraní. Las Fuerzas de Defensa de Israel (FDI) confirmaron que la operación incluyó el bombardeo de cuarteles generales militares, emplazamientos de misiles balísticos y centros vinculados a la seguridad interna de Irán.

Según declaraciones oficiales, el ataque también alcanzó el cuartel general del comandante de la unidad de seguridad de la Guardia Revolucionaria, el centro de mantenimiento de la División General de Abastecimiento y Asistencia, y un complejo asociado al sistema de misiles balísticos. Simultáneamente, se destruyeron varios sistemas de defensa aérea para garantizar la superioridad israelí en el espacio aéreo iraní.

Durante la escalada bélica iniciada el 28 de febrero, hackers alineados con Irán incrementaron su actividad contra sitios estratégicos en el Medio Oriente y comenzaron a expandirse hacia Estados Unidos, apuntando a contratistas de defensa y servicios críticos.

Según Associated Press, el objetivo de estos ataques es debilitar el esfuerzo militar estadounidense y elevar los costes energéticos, mediante una ola coordinada de sabotajes digitales que podría escalar si aliados de Teherán participan activamente.

En los últimos días, un grupo identificado como Handala reivindicó un ciberataque significativo contra Stryker, una empresa médica con sede en Michigan, como represalia por presuntos bombardeos estadounidenses donde fallecieron niños iraníes.

El mismo colectivo y otros actores proiraníes intensificaron intentos de infiltración en cámaras de seguridad de países vecinos para optimizar el direccionamiento de misiles de Irán. Además, dirigieron acciones contra centros de datos regionales, instalaciones industriales en Israel, una escuela en Arabia Saudita y un aeropuerto en Kuwait, difundió AP.

La incidencia de estas operaciones se amplía a nivel global: autoridades de Polonia investigan un ataque reciente contra un centro de investigación nuclear, con indicios de vinculación iraní, aunque sin descartar que otras agrupaciones utilicen el escenario de guerra para enmascarar su autoría.

Estrategia de los grupos proiraníes: daño y disuasión

De acuerdo con Ismael Valenzuela, vicepresidente de inteligencia de amenazas en la firma de ciberseguridad Arctic Wolf, lo que distingue a Handala y otros grupos afines “es su enfoque explícito en la destrucción de datos más que en la extorsión financiera”, según recogió Associated Press. Esta característica refuerza el perfil ideológico de su accionar, que prioriza el daño a la infraestructura sobre la obtención de beneficios ilícitos.

Desde el inicio del conflicto, las víctimas potenciales se expanden más allá del ámbito militar. Associated Press reportó que contratistas de defensa estadounidenses, proveedores gubernamentales y empresas asociadas a Israel, junto con infraestructuras críticas como hospitales, plantas de agua, estaciones eléctricas y sistemas ferroviarios, se perfilan como objetivos frecuentes.

La exposición aumenta en entornos con menor nivel de protección tecnológica y menor presupuesto para actualización de sistemas, como las plantas potabilizadoras locales y centros de salud.

La siguiente síntesis resume el alcance y repercusión de la ofensiva: entre los blancos recientes figuran empresas médicas en Estados Unidos e instalaciones de Israel, Arabia Saudita y Kuwait. Esta variedad ilustra la amplitud geográfica y sectorial de los ataques atribuidos a actores proiraníes.

Vulnerabilidad de infraestructuras esenciales y métodos de ataque

La limitada sofisticación técnica de algunos ataques, como señaló Shaun Williams, exagente del FBI y la CIA hoy directivo en SentinelOne, no disminuye el riesgo real para empresas o agencias públicas rezagadas en actualizaciones de seguridad, según recogió la agencia AP.

Los atacantes explotan las debilidades más evidentes: entidades que no aplican parches de software, cuentan con firewalls obsoletos o mantienen cuentas inactivas sin eliminar. Williams advirtió: “Todo lo relativo a la higiene cibernética, que siempre debió realizarse, es ahora más crítico que nunca. Prepárense para la interrupción”.

Los métodos denunciados incluyen ataques de denegación de servicio, donde saturan redes para dejar fuera de línea a usuarios legítimos, y la alteración de sitios web empresariales, lo que obstaculiza la comunicación con clientes. También han implementado tácticas de filtración y difusión de información confidencial sustraída, usados como instrumentos de presión.

Irán y sus aliados: agentes del caos digital

Aunque expertos consultados por Associated Press consideran que China y Rusia representan la mayor amenaza para la ciberseguridad estadounidense, Irán compensa su menor capacidad material con creatividad y agresividad táctica.

En los últimos años, los operadores digitales de Teherán suplantaron a activistas estadounidenses en línea para promover protestas antisionistas, montaron portales informativos y cuentas de redes sociales falsos para diseminar desinformación electoral, y han infiltrado sistemas de campaña presidencial: en 2024, accedieron al correo electrónico del equipo de Donald Trump y trataron de propagar archivos supuestamente obtenidos durante esa incursión. Además, intentaron vulnerar las cuentas de WhatsApp tanto de Trump como del entonces candidato demócrata Joe Biden.

Como reacción a estos mecanismos, el Departamento de Seguridad Nacional de Estados Unidos emitió en 2023 una advertencia pública sobre la amenaza cibernética iraní.

James Turgal, vicepresidente de la consultora de seguridad Optiv y exagente del FBI, resumió la lógica de estos ataques: “Irán, y especialmente sus apoderados, no se preocupan por la magnitud o inteligencia del adversario. Su objetivo es causar impacto, crear caos”.

Rusia y China: la vigilancia ante posibles colaboraciones

Analistas citados por Associated Press monitorizan la posibilidad de que China, Rusia o colectivos afiliados cooperen con Irán en acciones cibernéticas diseñadas para obstaculizar operaciones estadounidenses.

Los indicios más tangibles hasta la fecha provienen de Rusia: la firma de seguridad CrowdStrike ha detectado un repunte en la actividad de hackers rusos en apoyo a los objetivos de Teherán desde el estallido de la guerra.

Un grupo denominado Z-Pentest asumió la responsabilidad de afectar redes estadounidenses, incluidas infraestructuras relacionadas con cámaras de videovigilancia de circuito cerrado.

Adam Meyers, responsable de operaciones de contra-amenazas en CrowdStrike, explicó en Associated Press que el calendario de esos ataques evidencia la intención de dañar intereses estadounidenses en respuesta a la coyuntura en Irán.

La comunidad global de la ciberseguridad coincide con la advertencia emitida por Meyers: “Las organizaciones occidentales deben permanecer en alerta máxima”, ante la perspectiva de una escalada digital con amplia participación de actores estatales y no estatales.

Perú se ha convertido en uno de los países más afectados por una técnica de ciberataque conocida como ClickFix, que representa el 6% de las detecciones globales de este tipo de amenaza. Así lo revela un análisis reciente de ESET, que estudió la evolución de los llamados infostealers, programas maliciosos diseñados para robar información sensible de los usuarios.

De acuerdo con el informe, esta técnica se basa en la ingeniería social para engañar a las víctimas mediante mensajes falsos o alertas del sistema que las inducen a ejecutar comandos en sus propios dispositivos.

Cabe precisar que, una vez que el usuario realiza la acción indicada, el malware puede instalarse y comenzar a recopilar credenciales de acceso, datos financieros y otra información privada almacenada en el equipo.

Los especialistas advierten que, aunque el volumen total de detecciones de infostealers disminuyó durante 2025, las campañas se han vuelto más sofisticadas y dirigidas. En ese contexto, Latinoamérica se consolidó como una región de especial interés para los cibercriminales, con varios países registrando una actividad significativa.

“Los infostealers siguen siendo una de las herramientas favoritas de los cibercriminales porque permiten robar grandes volúmenes de credenciales e información sensible de forma silenciosa”, explicó David González, especialista en seguridad informática de ESET para América Latina.

Según el experto, en el último año se observó una reducción del 18% en el volumen de detecciones durante el segundo semestre de 2025. Sin embargo, este descenso no significa que la amenaza haya desaparecido. Por el contrario, los atacantes han adoptado nuevas estrategias, incluyendo campañas más dirigidas y el uso de tecnologías avanzadas para aumentar la eficacia de los ataques.

Uno de los elementos que impulsó esta evolución fue el abandono del desarrollo del conocido malware Agent Tesla por parte de sus creadores. Tras este cambio, otras familias de software malicioso tomaron protagonismo dentro del ecosistema de robo de información.

Entre ellas destaca Formbook, que al cierre de 2025 se posicionó como la familia de infostealers más detectada a nivel global, con el 17,3% del total de incidentes registrados. Este malware suele distribuirse a través de campañas de phishing que incluyen correos electrónicos con archivos adjuntos maliciosos.

Otra amenaza relevante es Lumma Stealer, que protagonizó campañas masivas dirigidas especialmente a usuarios de México. Su objetivo principal es el robo de credenciales y datos almacenados en navegadores web.

En el ámbito móvil también se detectaron amenazas emergentes, como NGate o PhantomCard, programas espía dirigidos principalmente al ecosistema financiero en Brasil. Estas herramientas tienen capacidad para acceder a contactos del teléfono y capturar datos de tarjetas bancarias.

Otra familia que continúa presente en la región es Spy.Banker, un tipo de troyano basado en JavaScript que se enfoca en usuarios de servicios financieros y mantiene una tasa de detección cercana al 9,5% a nivel global.

El análisis también destaca eventos específicos en diferentes países latinoamericanos. En México, por ejemplo, el 8 de julio de 2025 se registró un pico que concentró el 70% de las detecciones globales de Lumma Stealer, impulsado por una campaña masiva de spam en español.

Brasil, por su parte, se posicionó como uno de los principales focos de fraude mediante tecnología NFC, con malware móvil diseñado para suplantar aplicaciones de bancos o plataformas de comercio electrónico. En Chile también se detectó actividad relacionada con NGate, mientras que Colombia y Argentina mantienen una presencia constante en los mapas regionales de detección de infostealers.

Los investigadores identificaron varios vectores de infección utilizados por los cibercriminales para distribuir este tipo de malware. Entre los más comunes se encuentran las campañas de phishing con archivos adjuntos que simulan facturas o documentos comerciales, así como mensajes de spam que intentan engañar a los usuarios.

La técnica ClickFix también juega un papel clave en estos ataques. En estos casos, las víctimas reciben mensajes que simulan errores del sistema o instrucciones para activar un supuesto software. El objetivo es convencer al usuario de ejecutar comandos que terminan descargando el malware en su dispositivo.

Otro método frecuente consiste en el uso de descargadores de malware como CloudEyE (GuLoader), herramientas que se encargan de instalar programas maliciosos adicionales una vez que logran infiltrarse en el sistema.

Los especialistas también advierten sobre sitios web fraudulentos que imitan plataformas oficiales, como Google Play, con el objetivo de distribuir aplicaciones infectadas.

Frente a este panorama, los expertos recomiendan adoptar medidas básicas de seguridad digital. Entre ellas destacan evitar ejecutar comandos o descargar archivos provenientes de mensajes sospechosos, verificar siempre el origen de los correos electrónicos y utilizar soluciones de seguridad actualizadas.

También aconsejan reforzar la protección de credenciales mediante contraseñas seguras y autenticación en dos factores. Con el avance del modelo conocido como Malware-as-a-Service y el uso creciente de inteligencia artificial para optimizar ataques, los especialistas anticipan que estas amenazas seguirán evolucionando en los próximos años.

La Embajada de China en Costa Rica rechazó las acusaciones realizadas por autoridades costarricenses que vinculan a un grupo de origen chino con un reciente ataque informático contra sistemas del Instituto Costarricense de Electricidad(ICE). En un pronunciamiento oficial, la representación diplomática calificó los señalamientos como “infundados” y expresó su “profunda sorpresa y decepción” ante las declaraciones realizadas por algunos funcionarios del gobierno.

La reacción se produce luego de que autoridades del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones de Costa Rica (MICITT) y del propio ICE confirmaran que un grupo de ciberdelincuentes logró infiltrarse en sistemas informáticos de la institución estatal y extraer información de correos electrónicos internos. Según el gobierno costarricense, el incidente fue atribuido preliminarmente a un actor de amenaza con posible origen en China, especializado en actividades de ciberespionaje.

De acuerdo con las autoridades, los hackers lograron sustraer cerca de nueve gigabytes de información de cuentas de correo electrónico y correspondencia administrativa dentro de la institución, tras detectar movimientos sospechosos dentro de la red informática desde finales de enero.

La alerta sobre la intrusión fue emitida inicialmente por la empresa de ciberseguridad Mandiant, perteneciente al grupo Google, que notificó al equipo de respuesta ante incidentes del MICITT sobre una brecha de seguridad en la infraestructura tecnológica del ICE.

En ese contexto, la Embajada china reaccionó públicamente a las declaraciones de autoridades costarricenses. En su comunicado, el portavoz de la misión diplomática aseguró que China rechaza categóricamente cualquier insinuación de responsabilidad en el incidente.

“La parte china expresa su profunda sorpresa y decepción ante las infundadas acusaciones formuladas por ciertos funcionarios costarricenses, y rechaza categóricamente dichas afirmaciones”, indicó el portavoz.

La embajada también afirmó que el Gobierno chino mantiene una postura firme contra la ciberdelincuencia y asegura colaborar con otros países cuando se investigan este tipo de delitos.

“El Gobierno chino se opone firmemente y lucha contra todo tipo de ciberataques, y siempre trata de manera responsable y responde con rapidez a las solicitudes de asistencia de gobiernos extranjeros en materia de ciberdelincuencia”, señaló el comunicado.

Sin embargo, la representación diplomática indicó que, hasta el momento, no ha recibido ninguna solicitud formal de cooperación por parte del gobierno costarricense relacionada con el incidente.

“Cabe subrayar que China no tiene ningún interés en los datos de Costa Rica”, afirmó el portavoz.

Además, el comunicado señaló que la comunidad internacional conoce qué países realizan operaciones de espionaje digital a gran escala, aunque sin mencionar directamente a ninguna nación.

“China ha desarrollado las relaciones entre ambos países y ha impulsado la cooperación pragmática con la máxima sinceridad”, señaló el portavoz.

En esa línea, el comunicado afirmó que ciertas personas estarían promoviendo acusaciones sin pruebas con el objetivo de perjudicar la imagen del país asiático.

“Hemos notado que recientemente ciertas personas, motivadas por intenciones deliberadas, han difundido calumnias sin fundamentos contra China, con el fin de dañar su imagen y socavar las relaciones bilaterales”, indicó la embajada.

La representación diplomática también hizo un llamado a la ciudadanía costarricense a mantenerse alerta ante lo que considera intentos de desinformación.

Finalmente, el comunicado concluye con una advertencia sobre las consecuencias de deteriorar los vínculos diplomáticos entre ambos países.

“Sacrificar las relaciones entre China y Costa Rica para complacer a otros países no logra ganar el respeto de nadie”, señaló la embajada.

Mientras tanto, el gobierno de Costa Rica continúa investigando el incidente informático. El ICE presentó una denuncia ante el Ministerio Público para que se determine si el caso constituye un delito de espionaje informático y para identificar a los responsables del ataque.

Las autoridades también trabajan en un análisis forense digital para establecer con mayor precisión el alcance de la intrusión, el origen del ataque y la naturaleza de la información comprometida, mientras aseguran que los servicios críticos de electricidad y telecomunicaciones del país no se vieron afectados.

El caso vuelve a poner en el centro del debate la seguridad digital del Estado costarricense, un tema que ha ganado relevancia en los últimos años tras varios incidentes cibernéticos contra instituciones públicas y la creciente preocupación global por el espionaje informático y la protección de infraestructuras críticas.

De acuerdo con la información reunida por los servicios neerlandeses, los operadores vinculados al gobierno ruso aprovechan estrategias de ingeniería social y ‘phishing’ para sortear los sistemas de seguridad de las cuentas de mensajería instantánea. Tal como consignó el medio, los ciberatacantes utilizan enlaces falsos o códigos QR fraudulentos para persuadir a las víctimas a iniciar sesión en un nuevo dispositivo o a unirse a grupos aparentemente legítimos. A través de estos mecanismos, los atacantes logran apropiarse del control de la cuenta, lo que les otorga acceso a la lista de contactos y a las conversaciones almacenadas, tanto en chats personales como grupales.

Según el informe difundido, además de los métodos tradicionales de engaño, los hackers estatales simulan organizaciones legítimas dentro de las propias plataformas, como el ‘chatbot’ de soporte técnico. En el caso de Signal, los ciberdelincuentes se hacen pasar por el personal de asistencia de la aplicación y remiten mensajes personalizados en los que aseguran haber detectado “actividades sospechosas” en la cuenta de la víctima. Como medida de prevención, solicitan un código de verificación recibido por SMS y el PIN de la cuenta. Cuando el usuario entrega esta información, los atacantes pueden tomar control total del perfil y modificar los elementos de recuperación, según detalló la inteligencia neerlandesa.

El avance de estos ataques genera preocupación entre los organismos de seguridad, pues permite a los atacantes recibir y revisar la totalidad de la información compartida por las víctimas, incluidos documentos, imágenes y conversaciones sensibles que pudieran comprometer operaciones estatales o investigaciones periodísticas. Además, los perpetradores pueden integrarse en los chats grupales que gestionan asuntos delicados, con acceso a numerosas redes de contactos de alto perfil, explicó el informe divulgado por el MIVD y el AIVD.

Ante este escenario, los servicios de inteligencia de Países Bajos recomiendan a empleados gubernamentales y usuarios de alto rango evitar el uso de aplicaciones de mensajería instantánea para el envío de datos sensibles o confidenciales. Entre las medidas propuestas figuran la verificación periódica de los dispositivos activos en la cuenta, el rechazo de todo mensaje inesperado relacionado con supuestos problemas de seguridad y la negativa a compartir cualquier código recibido por SMS. Asimismo, se aconseja evitar el escaneo de códigos QR que no provengan de fuentes oficiales y hacer uso de los mensajes temporales, lo que permite eliminar de forma automática las conversaciones y reducir los riesgos de exposición.

El medio que reúne estas advertencias recogió también la respuesta pública de Signal. En publicaciones realizadas en la plataforma Bluesky, la aplicación enfatizó que “tu código de verificación por SMS de Signal solo es necesario al registrarte por primera vez en la aplicación”. Considerando el incremento de ataques basados en técnicas de ‘phishing’, Signal señala que recuerda activamente a sus usuarios que nunca compartan ni su código SMS ni su PIN con terceros, con el objetivo de dificultar los intentos de suplantación y robo de identidad. Añadió que tanto su infraestructura como el cifrado permanecen intactos y no han sido vulnerados: estos episodios derivan exclusivamente de la manipulación de los usuarios a través de engaños, por lo que la seguridad técnica no se ha visto directamente comprometida.

En el caso de WhatsApp, la reacción de la empresa se produjo a través de su portavoz, Zade Alsawah, en declaraciones al portal TechCrunch recopiladas por los servicios neerlandeses. Alsawah indicó que la plataforma aconseja no compartir nunca el código de seis dígitos de verificación ni prestar atención a solicitudes sospechosas recibidas por cualquier vía de contacto. WhatsApp remite además a los usuarios a su centro de ayuda, donde se exponen los pasos para identificar intentos de engaño y enlaces potencialmente peligrosos.

Como señalaron tanto los servicios neerlandeses como los portavoces de las aplicaciones, el foco de las campañas detectadas apunta prioritariamente a personas con acceso a información estratégica, aunque las recomendaciones de seguridad resultan pertinentes para cualquier usuario habitual de mensajería instantánea. Las acciones descritas buscan mitigar la capacidad de entornos estatales extranjeros de interceptar datos confidenciales y asegurar la integridad de las comunicaciones digitales en entornos oficiales y privados.

El reciente caso de presunto ciberespionaje que involucra intentos de infiltración en compañías de telecomunicaciones en Chile volvió a poner en primer plano los riesgos que enfrentan los sistemas digitales en la región. El episodio ha encendido las alertas sobre la vulnerabilidad de infraestructuras tecnológicas y el impacto que este tipo de amenazas puede tener tanto en el sector público como en el privado.

En el caso peruano, especialistas advierten que el entorno digital presenta altos niveles de exposición frente a ataques similares. La preocupación se concentra especialmente en industrias estratégicas que gestionan grandes volúmenes de información sensible y cuya seguridad resulta clave para el funcionamiento de distintos servicios y actividades económicas.

Alta incidencia de incidentes de ciberseguridad

Estimaciones elaboradas a partir de un estudio de EY indican que cerca del 40% de las empresas en Perú ha enfrentado incidentes críticos de ciberseguridad en el último periodo. Esta proporción resulta particularmente significativa si se compara con otros mercados emergentes, donde el promedio registrado es considerablemente menor.

Para los especialistas, este escenario evidencia la creciente presión que enfrentan las organizaciones frente a ataques cada vez más sofisticados. Las compañías manejan grandes cantidades de datos estratégicos, lo que las convierte en objetivos atractivos para actores que buscan obtener información con fines económicos o competitivos.

Amenazas que pueden surgir desde dentro de las organizaciones

“El riesgo ya no se limita a la figura del hacker externo. Muchas infiltraciones comienzan dentro de sectores estratégicos como telecomunicaciones, donde el acceso a redes permite capturar información sensible tanto del Estado como del sector privado”, explica Vicente Cruz, CEO de Sheriff.

En ese contexto, los ataques han evolucionado y ya no dependen exclusivamente de fallas tecnológicas. Las investigaciones muestran que aproximadamente el 19% de las organizaciones en el país ha sufrido vulneraciones relevantes de ciberseguridad vinculadas al acceso indebido de proveedores o socios que operan dentro de sus propias redes.

Empresas fachada y espionaje en la cadena de suministro

“Cada vez vemos más casos de empresas fachada que funcionan como ‘caballos de Troya’, obteniendo acceso legal a infraestructuras críticas desde dentro de la cadena de suministro”, advierte Cruz.

Este tipo de estrategias refleja un cambio en la forma en que operan los ataques. En lugar de intentar vulnerar directamente los sistemas de una organización, los responsables buscan ingresar a través de terceros vinculados a su operación, lo que dificulta la detección temprana y amplía el alcance de las intrusiones.

Infraestructura de telecomunicaciones bajo riesgo

La red de telecomunicaciones figura entre los puntos más sensibles frente al espionaje digital. Los sistemas que transportan información, incluidos los cables submarinos que conectan al país con otros territorios, canalizan datos estratégicos cuyo acceso indebido puede afectar tanto la seguridad institucional como la competitividad empresarial.

“El espionaje digital moderno no busca solo dinero inmediato. El verdadero botín suele ser la ventaja competitiva: planes de expansión, licitaciones, propiedad intelectual o credenciales de alto nivel. De hecho, el robo de identidades digitales ya representa cerca del 20% de los fraudes detectados, muchas veces mediante técnicas de ingeniería social dirigidas a empleados”, manifiesta Cruz.

Medidas urgentes para reforzar la seguridad digital

Ante este panorama, los especialistas señalan la necesidad de fortalecer las estrategias de protección digital en las organizaciones. Entre las medidas prioritarias se encuentran la implementación de sistemas de autenticación multifactor para resguardar accesos sensibles, así como el seguimiento permanente a proveedores y socios que interactúan con las redes corporativas.

Asimismo, se destaca la importancia de la capacitación interna para identificar intentos de fraude o campañas de phishing dirigidas a los trabajadores. Estas prácticas permiten reducir el riesgo de que los atacantes obtengan credenciales o información clave a través de engaños.

“Perú está en una etapa de transición en materia de seguridad digital. Hay mayor conciencia del riesgo, pero enfrentar campañas de espionaje sostenidas requiere pasar del diagnóstico a la acción y apostar por una defensa activa basada en monitoreo constante”, concluye Cruz.

La descarga automática de archivos en WhatsApp es una función que puede facilitar el uso cotidiano de la aplicación, pero también representar un riesgo de seguridad si no se configura correctamente.

Expertos en ciberseguridad recomiendan revisar esta opción y, en muchos casos, desactivarla para reducir la posibilidad de descargar archivos maliciosos sin darse cuenta, especialmente en chats grupales donde el flujo de contenido es mayor.

Esta herramienta, que suele venir activada por defecto en la aplicación, permite que fotos, videos, audios o documentos enviados por otros usuarios se descarguen automáticamente en el dispositivo. Aunque su objetivo es mejorar la comodidad y agilizar el acceso a los archivos, también puede abrir la puerta a que el teléfono descargue contenido potencialmente peligroso.

El riesgo surge cuando ciberdelincuentes utilizan archivos infectados con malware o enlaces maliciosos que se distribuyen a través de conversaciones individuales o grupos. Si la descarga automática está activada, estos archivos pueden guardarse en el dispositivo sin que el usuario haya autorizado la descarga de forma consciente.

Un escenario atractivo para los ciberdelincuentes

La popularidad de WhatsApp la convierte en un objetivo frecuente para los atacantes digitales. En países con una alta penetración de la aplicación, millones de personas la utilizan diariamente para comunicarse, compartir archivos o participar en grupos familiares, laborales o educativos.

Esta gran base de usuarios aumenta las oportunidades para los ciberdelincuentes, que buscan aprovechar las funciones de la propia plataforma para distribuir software malicioso o lanzar estafas digitales.

Además, el nivel de conocimiento tecnológico entre los usuarios es muy diverso. Mientras algunos están familiarizados con prácticas de seguridad digital, otros —especialmente personas mayores— pueden no identificar fácilmente señales de alerta, lo que incrementa el riesgo de caer en engaños.

Los atacantes también perfeccionan constantemente sus métodos. A medida que las herramientas tecnológicas evolucionan, también lo hacen las estrategias de fraude, que pueden incluir archivos aparentemente inofensivos o mensajes diseñados para generar confianza en los usuarios.

Cómo funciona la descarga automática

La descarga automática permite que cualquier archivo recibido en una conversación se guarde directamente en el dispositivo del usuario. Esto incluye imágenes, videos, audios o documentos enviados por contactos o participantes de un grupo.

En situaciones normales, esta función facilita el acceso rápido al contenido compartido. Sin embargo, también significa que el teléfono podría descargar archivos que contienen virus o programas diseñados para robar información personal.

Algunos tipos de malware pueden recopilar datos del dispositivo, acceder a información confidencial o intentar obtener credenciales de cuentas y datos bancarios. Por ello, los especialistas recomiendan revisar la configuración de la aplicación y ajustar la descarga automática según las necesidades del usuario.

Cómo desactivar la descarga automática en Android

Los usuarios de dispositivos con el sistema operativo Android pueden modificar esta configuración desde el menú de ajustes de la aplicación.

El primer paso consiste en abrir WhatsApp y acceder al menú de configuración tocando los tres puntos ubicados en la parte superior derecha de la pantalla. Luego se debe ingresar en la sección “Ajustes” y seleccionar la opción “Chats”.

Dentro de este apartado aparece la función “Visibilidad de archivos multimedia”. Al desactivarla, los archivos enviados en las conversaciones ya no se descargarán automáticamente ni se guardarán directamente en la galería del dispositivo.

Cómo cambiar la configuración en iPhone

En los teléfonos de Apple que utilizan el sistema operativo iOS, el proceso es similar.

Los usuarios deben abrir WhatsApp y dirigirse a la sección “Ajustes”. Dentro de este menú aparece la opción “Datos y almacenamiento”, donde se pueden configurar los parámetros de descarga automática.

Desde allí es posible decidir si las fotos, videos o audios se descargan siempre, únicamente cuando el dispositivo esté conectado a una red Wi-Fi o nunca de forma automática.

Una medida simple de seguridad

Desactivar la descarga automática no elimina por completo el riesgo de ciberataques, pero sí añade una capa adicional de control. De esta manera, el usuario puede decidir manualmente qué archivos desea descargar y evitar que contenido desconocido se almacene en su dispositivo sin revisión previa.

En un contexto donde las estafas digitales y los ataques informáticos son cada vez más sofisticados, pequeñas acciones como revisar la configuración de las aplicaciones pueden contribuir a mejorar la seguridad digital.

Por ello, especialistas en tecnología y ciberseguridad coinciden en que revisar las opciones de privacidad y almacenamiento en aplicaciones de mensajería es una práctica recomendable para reducir los riesgos asociados al uso cotidiano de estas plataformas.

A inicios de marzo de 2026, el sistema educativo mexicano enfrenta una de las crisis de ciberseguridad más severas de su historia reciente. Al menos 14 incidentes confirmados de filtración de datos y accesos no autorizados han impactado a universidades públicas y dependencias federales, incluida la Secretaría de Educación Pública (SEP), responsable de resguardar la información académica y personal de millones de estudiantes en todo el país. La dimensión y frecuencia de los ataques no solo evidencian la creciente sofisticación de los grupos de ciberdelincuencia, sino también profundas debilidades estructurales en la protección de datos dentro del sector.

Entre los responsables señalados en foros especializados figuran colectivos como Chronus y Sociedad Privada 157, quienes habrían difundido bases de datos con información altamente sensible: nombres completos, domicilios, RFC, CURP, correos electrónicos, números telefónicos, historiales académicos e incluso registros médicos. La exposición de este tipo de datos coloca a estudiantes, docentes y personal administrativo en riesgo de robo de identidad, fraude financiero y otras modalidades de extorsión digital.

El recuento de incidentes resulta alarmante por su concentración temporal y su alcance. Entre el 1 y el 7 de enero, la Universidad Nacional Autónoma de México reportó intrusiones en cinco de sus sistemas; aunque la institución negó la sustracción de información, investigaciones preliminares apuntan a un posible acceso a más de 300 mil registros. El 6 de enero, planteles públicos adscritos a la SEP en Puebla y Quintana Roo fueron afectados por la filtración de datos estudiantiles, incluidos expedientes médicos.

A finales de ese mismo mes, el panorama se agravó con un ataque masivo contra la SEP atribuido a Chronus, en el que se habrían extraído 2.3 terabytes de información. El universo potencialmente comprometido alcanzaría hasta 36.5 millones de personas, entre identidades educativas y datos biométricos, lo que convierte el episodio en uno de los más graves en la historia administrativa del país. De manera paralela, la Universidad Americana del Noreste (UANE) fue objeto de filtraciones difundidas en canales de mensajería instantánea.

Durante febrero, la cadena de vulneraciones continuó. Cerca de 54 mil credenciales de empleados del sector educativo —incluyendo contraseñas y números de matrícula— fueron expuestas, mientras que la Universidad Autónoma de Sinaloa reportó la afectación de 67,984 registros. El 23 de febrero, la Universidad Autónoma del Estado de Hidalgo y la Universidad Autónoma de Chiapas enfrentaron la difusión de más de 26 mil registros en foros clandestinos.

Entre el 26 y el 28 de febrero, nuevas filtraciones impactaron a la Universidad de Guadalajara, la Universidad Autónoma Benito Juárez de Oaxaca, la Universidad Autónoma de Guerrero, la Universidad Mexiquense del Bicentenario y la Universidad de Guanajuato, con un saldo superior a 119 mil registros comprometidos.

En los primeros días de marzo, la Universidad de Ciencias y Artes de Chiapas, la propia Universidad de Guadalajara —en un evento adicional—, la Universidad Autónoma del Estado de México y la Universidad de la Salud se sumaron a la lista de instituciones afectadas, con decenas de miles de registros adicionales expuestos.

Tan sólo en el ámbito universitario, la suma documentada supera los 560 mil registros directamente filtrados. Si se incorpora el impacto del ataque a la SEP y otros incidentes dispersos, el número de personas potencialmente afectadas rebasa con facilidad el millón y podría escalar a decenas de millones, dada la amplitud de las bases de datos federales comprometidas.

El contraste con los estándares internacionales es contundente. Organismos como la UNESCO y la European Union Agency for Cybersecurity (ENISA) promueven políticas de cifrado robusto, auditorías periódicas y protocolos de respuesta inmediata ante incidentes, lineamientos que buscan blindar de forma sistemática la información educativa. La reiteración de fallas en México sugiere que dichas prácticas no han sido implementadas con la rigurosidad necesaria o carecen de supervisión efectiva.

Más allá de la dimensión técnica, la crisis revela un problema de gobernanza digital. La limitada comunicación con las comunidades afectadas, la ausencia de reportes transparentes y la falta de auditorías independientes reflejan un déficit institucional que amplifica el impacto de cada intrusión. En otras jurisdicciones con marcos regulatorios consolidados, las filtraciones detonan planes inmediatos de mitigación y acompañamiento a víctimas; en contraste, la reacción en México ha sido fragmentada y, en algunos casos, minimizadora.

La acumulación de ataques en un lapso tan breve constituye una advertencia inequívoca. La protección de datos personales en el ámbito educativo no puede seguir tratándose como un asunto secundario. Se requiere inversión sostenida en infraestructura tecnológica segura, capacitación especializada y adopción integral de estándares internacionales. Lo que está en juego trasciende la reputación institucional: se trata de la confianza pública en el sistema educativo y de la seguridad digital de millones de estudiantes y trabajadores. La información aquí consignada se mantiene actualizada hasta marzo de 2026, en un escenario dinámico donde nuevos incidentes podrían emerger en cualquier momento.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro | Líder del Capítulo Querétaro de OWASP | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst.

X:https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.

De acuerdo con Panda Security, la proliferación de ataques digitales dirigidos a mujeres ha crecido de forma notable, sustentada en la adopción de nuevas tecnologías y la utilización de herramientas de inteligencia artificial, que transforman la naturaleza y sofisticación de los ataques. Según datos publicados por el Ministerio de Igualdad en la Macroencuesta de Violencia contra la Mujer 2024, revelados en 2025, un 12,2% de las mujeres encuestadas ha experimentado acoso digital en algún momento, mientras que un 0,8% reportó que terceros difundieron material sexual auténtico o manipulado sin su autorización.

La compañía de ciberseguridad detalló que, aunque el ‘phishing’ es un problema común para usuarios de ambos sexos en España, cuando los ataques involucran daños sexuales, reputacionales o de control, las mujeres resultan afectadas de manera desproporcionada. Este fenómeno se observa en modalidades como el ciberacoso, la sextorsión y los ‘deepfakes’, donde los agresores manipulan imágenes usando algoritmos de inteligencia artificial para perjudicar o intimidar a las víctimas.

Hervé Lambert, director de Operaciones Globales de Consumo de Panda Security, explicó en un comunicado que el escenario actual ya no se limita a ciberataques convencionales, sino que implica "una mezcla de fraude, acoso y manipulación que se apoya en redes sociales, mensajería y plataformas de citas". Esta situación ha llevado a generar un listado de los diez tipos de ataques más habituales que afectan a mujeres en el entorno digital.

Entre las amenazas más frecuentes se encuentran los ‘deepfakes’ íntimos, en los que se generan imágenes o videos sexualizados que aparentan ser reales, usando públicamente fotos de mujeres. Estos contenidos suelen utilizarse para acoso, chantaje o construcción de campañas ofensivas orientadas a humillar o ejercer control. Ante estos casos, Panda Security recomendó restringir al máximo el envío de fotografías íntimas y reforzar la protección de dispositivos mediante contraseñas o sistemas de autenticación de doble factor.

La sextorsión figura como otra de las técnicas más desplegadas, según reportó el medio. Consiste en amenazar a la víctima con divulgar imágenes de índole personal o sexual, ya sea obtenidas fraudulentamente o generadas artificialmente, con la finalidad de obtener algún beneficio o forzar determinadas acciones. La manipulación emocional es central en este tipo de ataques, que en ocasiones inician dentro de aplicaciones de citas o redes sociales. Panda Security aconsejó mantener bajo control la privacidad de los perfiles y restringir la entrega de información personal, advirtiendo contra perfiles sospechosos que rápidamente buscan conversaciones íntimas.

El fraude romántico, potenciado por inteligencia artificial, representa otra amenaza señalada por la compañía. Este método implica la creación de perfiles falsos que establecen relaciones simuladas con las víctimas, con fines de engaño económico. Los atacantes adaptan su comunicación a la personalidad de la usuaria, incrementando el nivel de manipulación. Para contrarrestar estos riesgos, la firma recomendó confirmar la identidad de los interlocutores, por ejemplo, solicitando videollamadas en tiempo real.

Panda Security también advirtió sobre fraudes alimentados por clonación de voz, técnica mediante la cual los delincuentes crean audios o videos que imitan la voz de una persona para solicitar dinero a familiares o allegados. “La exposición pública aumenta el riesgo, dado que cuanta más información audiovisual existe, más fácil resulta la imitación”, advirtió Lambert. La utilización de palabras clave personales entre familiares puede funcionar como método de verificación en estos casos.

El ‘phishing’ hiperpersonalizado se suma a la lista, donde los ciberdelincuentes envían comunicaciones falsas que simulan ser legítimas, como mensajes de bancos o empresas, para sustraer datos personales. Asimismo, el secuestro de cuentas en redes sociales se produce cuando un atacante asume el control del perfil de la víctima, solicitando dinero a sus contactos o difundiendo contenido ofensivo. Los atacantes llegan a estas cuentas a través de técnicas como el ‘phishing’ tradicional o el duplicado fraudulento de tarjetas SIM, también conocido como SIM swapping, subrayó Panda Security, recomendando la autenticación en dos pasos para reforzar la seguridad.

Entre otras formas de acoso digital identificadas se encuentra el ‘brigading’, definido como el acoso coordinado de múltiples cuentas para desacreditar o silenciar a una persona en línea. Lambert destacó que las mujeres suelen ser las principales víctimas de este tipo de ataques, que en muchas ocasiones responden a estereotipos de género y prácticas misóginas. Este tipo de campañas pueden llegar a expulsar a las víctimas de espacios digitales, intensificando su aislamiento y vulnerabilidad.

El ‘doxing’, consistente en recopilar y divulgar datos personales sensibles, expone a las víctimas a persecución o acoso. Puede implicar la publicación de domicilios, lugares de trabajo u otra información privada con el fin de intimidar.

Los ‘stalkerwares’ representan otra herramienta de control, instalada en dispositivos móviles para espiar a la víctima sin consentimiento. Estos programas permiten acceder a mensajes, fotos y ubicación, lo que muchas veces se vincula con contextos de violencia de género y control sobre parejas o exparejas.

Frente a este aumento de incidentes, la empresa de ciberseguridad enfatizó la importancia de no ceder ante chantajes, conservar evidencias de los ataques y presentar denuncias tanto en las plataformas digitales afectadas como ante las autoridades. Panda Security insistió en la urgencia de actuar con rapidez para proteger la integridad digital y personal de las mujeres que se ven involucradas en este tipo de incidentes, reportó el medio.

El gobierno de Estados Unidos alertó este lunes sobre el riesgo de una escalada de ataques por parte de Irán y sus grupos aliados en la región tras la muerte del líder supremo Ali Khamenei, según un reporte oficial al que tuvo acceso la agencia Reuters.

De acuerdo con el documento, la Oficina de Inteligencia y Análisis del Departamento de Seguridad Nacional considera “probable” que Teherán y sus proxies intenten atentados selectivos en territorio estadounidense, aunque descarta por ahora un ataque físico masivo.

El informe sostiene que la mayor amenaza inmediata son los ciberataques de baja intensidad, como sabotajes a sitios web o intentos de denegación de servicio.

Grupos de “hacktivistas” alineados con Irán podrían intentar vulnerar sistemas en suelo norteamericano en las próximas horas, ante la confirmación de la muerte de Khamenei y la intensificación de la campaña militar estadounidense-israelí.

Las autoridades subrayan que, aunque el riesgo de atentados de gran escala es bajo, la amenaza de incidentes dirigidos y disruptivos persiste, especialmente contra infraestructuras sensibles y objetivos estratégicos.

En paralelo, un alto funcionario citado por CNN anticipó que en las próximas 24 horas se espera “un fuerte aumento” de los ataques en Irán, mientras que la primera fase de bombardeos ya debilitó las capacidades defensivas del país.

La siguiente etapa se enfocará en destruir infraestructuras vinculadas a misiles, drones y recursos navales.

El presidente Donald Trump ratificó en una entrevista con CNN que “la gran ofensiva aún no ha comenzado”, y prometió que lo más duro está por venir. Desde la Casa Blanca se asegura que la campaña militar no tiene un plazo fijo y que continuará hasta desmantelar completamente las capacidades estratégicas de Irán.

Durante la madrugada del lunes, la Guardia Revolucionaria de Irán anunció nuevos ataques con drones y misiles contra bases estadounidenses en Kuwait y Emiratos Árabes Unidos. Según el comunicado iraní, una decena de drones impactó en la base naval de Arifjan, en Kuwait, y otro ataque golpeó un punto de concentración de tropas estadounidenses en Dubái.

A la vez, la televisión estatal iraní difundió imágenes de bombardeos con misiles contra la base aérea Muwaffaq Salti en Jordania y la ciudad de Tel Aviv, en Israel. Reuters informó que Israel amplió las hostilidades bombardeando posiciones de Hezbollah en Líbano, mientras Irán mantenía sus ofensivas contra países del Golfo con presencia militar estadounidense.

En este contexto, el Departamento de Seguridad Nacional estadounidense no ha respondido a consultas sobre nuevas evaluaciones de riesgo ni sobre posibles respuestas oficiales.

Sin embargo, el informe de inteligencia advierte que Irán probablemente continuará atacando intereses estadounidenses y de sus aliados en la región, y que podría responsabilizar a altos funcionarios norteamericanos si se producen protestas internas en Irán tras la declaración de Trump a favor de un “cambio de régimen”.

Acción preventiva

El secretario de Estado, Marco Rubio, defendió la operación militar del sábado calificándola como una acción preventiva.

Rubio señaló que existía información que Irán estaba por lanzar una ofensiva contra posiciones estadounidenses y que esperar habría costado más vidas. Trump, por su parte, explicó que el objetivo de la campaña es destruir el programa de misiles, la marina y las capacidades nucleares de Irán, y reiteró que “lo principal está por venir”.

La Casa Blanca insiste en que la campaña militar seguirá hasta anular todas las capacidades estratégicas de Irán y reducir el riesgo para sus fuerzas y aliados en la región. En este clima de máxima tensión, autoridades estadounidenses y aliadas mantienen un estado de alerta reforzado ante la posibilidad de nuevas represalias, tanto en Medio Oriente como en territorio nacional.

(Con información de Reuters, EFE y AFP)

Autoridades advierten que mantener activas ciertas funciones en el teléfono en lugares públicos puede aumentar el riesgo de sufrir ciberataques capaces de comprometer contraseñas, cuentas bancarias y datos personales.

La Comunidad de Madrid y el Instituto Nacional de Ciberseguridad de España (INCIBE) advierten que dos funciones específicas, el WiFi y el Bluetooth, representan una gran vulnerabilidad fuera del hogar.

Por esta razón, modificar hábitos tecnológicos simples, como desactivar estas opciones antes de salir, puede marcar la diferencia entre mantener la privacidad o ser víctima de robo de identidad.

Por qué dejar el WiFi encendido en público puede facilitar un ciberataque

Según la Comunidad de Madrid, esta característica, que parece inofensiva, expone a los usuarios a la posibilidad de conectarse por error a redes WiFi falsas creadas por ciberdelincuentes.

Estas redes suelen adoptar nombres semejantes a los de hoteles, cafeterías o aeropuertos, lo que dificulta su identificación por parte del usuario.

Especialistas en seguridad digital explican que una vez conectado a una red fraudulenta, el tráfico de datos puede ser interceptado con facilidad. Esto incluye la posibilidad de acceder a mensajes, fotos, credenciales de acceso y datos financieros.

Cómo el Bluetooth puede ser una puerta de entrada para los ciberdelincuentes

El Bluetooth es otra de las funciones que, si permanece activada, puede exponer al usuario a ataques sin que este lo advierta. El INCIBE advierte sobre el “Bluesnarfing”, una técnica que explota vulnerabilidades en los protocolos de emparejamiento del Bluetooth.

Este método permite que un atacante acceda a archivos, contactos y credenciales almacenadas en el dispositivo sin que la víctima perciba el ataque.

La amenaza se incrementa en lugares con alta densidad de personas, porque el alcance del Bluetooth puede llegar hasta 15 metros. El usuario suele permanecer ajeno al ataque, cuyo rastro puede pasar desapercibido.

Según el INCIBE, “si detectas inicios de sesión no reconocidos, compras no autorizadas o movimientos sospechosos en tus cuentas bancarias o perfiles en línea, podría ser consecuencia de la extracción de datos mediante Bluesnarfing”.

Cuáles son las señales que alertan que un celular ha sido intervenido

Entre los indicios más habituales figuran bloqueos inesperados del dispositivo, mensajes enviados sin autorización y un aumento inexplicable en el consumo de batería.

Además, la aparición de conexiones extrañas en el historial del Bluetooth o del WiFi puede alertar sobre la presencia de un atacante. El INCIBE sugiere prestar especial atención a estos síntomas y revisar con frecuencia los movimientos en aplicaciones bancarias y redes sociales.

Los expertos advierten que ante la sospecha de una intrusión, es prioritario desconectar el dispositivo de cualquier red WiFi y modificar de inmediato las contraseñas de las cuentas sensibles.

La adopción de medidas proactivas, como la actualización constante del sistema operativo y las aplicaciones, incrementa la protección frente a nuevas amenazas.

Qué medidas adicionales refuerzan la seguridad digital fuera del hogar

Los expertos coinciden en que la protección real reside en la adopción consciente de hábitos seguros. Sumado a desactivar el WiFi y el Bluetooth al salir de casa, el uso de VPN agrega una barrera defensiva adicional.

Esta tecnología impide que extraños accedan a la información personal o bancaria, incluso en redes abiertas, y dificulta la localización y seguimiento de los movimientos del usuario.

Asimismo, otra medida que reiteran los expertos es mantener actualizado el sistema operativo y las aplicaciones, porque estas corrigen fallos de seguridad.

En este sentido, adoptar rutinas de seguridad digital se convierte en una necesidad diaria ante el aumento de amenazas en espacios públicos. La prevención, basada en la desactivación de funciones vulnerables y el fortalecimiento de los sistemas, reduce el riesgo de exposición y protege la privacidad y los datos personales ante posibles ataques.

Un consejo práctico ha comenzado a circular entre usuarios de teléfonos inteligentes: apagar el celular durante 5 minutos cada día podría ser clave para evitar ciberataques y mejorar su rendimiento.

Esta pauta, respaldada por autoridades internacionales y promovida por gobiernos como el de Australia, ha generado interrogantes entre quienes buscan proteger su información personal en un ecosistema digital cada vez más vulnerable.

Por qué se sugiere apagar el celular todos los días

La propuesta de apagar el celular durante 5 minutos diarios ha sido impulsada por el primer ministro de Australia, Anthony Albanese, quien instó a la población a incorporar este hábito como parte de la rutina nocturna.

Según Albanese, todos tienen una responsabilidad y apagar el teléfono 5 minutos cada noche puede marcar la diferencia, sugiriendo hacerlo cada 24 horas durante actividades cotidianas.

Este consejo surge en un contexto de creciente sofisticación de los ataques digitales. La interrupción periódica del funcionamiento del dispositivo corta procesos en segundo plano que pueden ser aprovechados por software malicioso.

Cuáles procesos maliciosos interrumpe el apagado del celular

La base técnica de esta pauta reside en que varios tipos de malware requieren mantener una sesión de usuario activa para operar sin interrupciones.

Al apagar o reiniciar el dispositivo, se interrumpen procesos en segundo plano, lo que dificulta la persistencia de spyware y ataques conocidos como zero-click, capaces de infectar el aparato sin intervención directa del usuario.

El periodo mínimo de 5 minutos sugerido responde a la necesidad de asegurar que todos los procesos se cierren completamente y que la memoria del dispositivo quede libre de rastros que puedan ser aprovechados por agentes externos.

Qué otras autoridades respaldan esta medida de ciberseguridad

El Gobierno de Australia no es el único que promueve esta práctica. En 2020, la Agencia de Seguridad Nacional de Estados Unidos (NSA) aconsejó reiniciar los dispositivos al menos una vez por semana como medida para reforzar la seguridad de los teléfonos inteligentes.

Ambas medidas parten del mismo principio: interrumpir la continuidad que necesitan muchas amenazas para operar. No obstante, diversos analistas en seguridad informática coinciden en que, aunque el apagado regular no garantiza protección total, representa una primera línea de defensa ante ataques cada vez más sofisticados.

Cómo complementar esta medida para fortalecer la seguridad del dispositivo

Especialistas en ciberseguridad advierten que apagar el teléfono regularmente constituye solo una primera barrera, pero no asegura protección total frente a amenazas complejas. Ninguna medida aislada resulta suficiente.

Es fundamental complementarla con contraseñas robustas, autenticación en dos pasos, descargas solo desde tiendas oficiales y actualizaciones constantes del sistema operativo.

Adicionalmente, la elección de una red segura es fundamental. Se debe evitar conexiones WiFi públicas y abstenerse de compartir información sensible a través de canales inseguros o ante personas cuya identidad no pueda verificarse, incluso si aparentan ser representantes de entidades legítimas.

De qué forma crear una contraseña segura y evitar filtraciones en cuentas

Para crear una clave segura, los expertos aconsejan palabras complejas de al menos 12 caracteres que combinen mayúsculas, números y símbolos. No es seguro utilizar datos personales como fechas de nacimiento o nombres de mascotas, porque son fáciles de adivinar mediante técnicas de ingeniería social.

Asimismo, la exclusividad es clave: no reutilizar la misma clave en diferentes sitios y emplear un gestor de contraseñas confiable permite manejar accesos robustos sin perder el control.

Cuáles son los ciberataques más habituales

Entre los ataques comunes se encuentra el phishing, que recurre a correos o mensajes falsos para robar credenciales, así como el malware y el ransomware, que infectan, espían o secuestran información a cambio de un rescate económico.

Otros métodos habituales son los ataques de fuerza bruta que utilizan programas automáticos para descifrar contraseñas, y las vulnerabilidades en redes WiFi públicas pueden facilitar la interceptación de datos.

La aceleración en el uso de inteligencia artificial (IA) por parte de grupos de ciberdelincuentes ha provocado que un ataque sofisticado pueda iniciarse en apenas 27 segundos, un fenómeno que está transformando radicalmente la seguridad digital a escala global.

De acuerdo con el Informe Global de Amenazas 2026 publicado por la compañía CrowdStrike, la combinación de innovaciones en IA y la adaptación instantánea de los atacantes está recortando drásticamente los tiempos de respuesta y aumentando el volumen de amenazas contra infraestructuras corporativas, haciendo que los responsables de seguridad enfrenten un escenario sin precedentes

Cómo han crecido los ciberataques que usan inteligencia artificial

En el último año, los ataques habilitados por inteligencia artificial han crecido 89%, mientras que el tiempo promedio que un ciberdelincuente necesita para acceder a activos empresariales descendió en 2025 a 29 minutos, un ritmo 65% más rápido que en 2024.

El registro más extremo documentado por la firma se situó en solo 27 segundos. Esta tendencia evidencia cómo la inteligencia artificial no solo multiplica la cantidad de ofensivas, sino que además, potencia la eficiencia operativa de los criminales digitales.

Qué tácticas y actores amenazan la ciberseguridad a nivel global

El informe detalla el aumento en la sofisticación de los ataques, destacando casos como el del actor vinculado a Rusia FANCY BEAR, quien utilizó el malware LAMEHUG, equipado con un modelo de lenguaje de gran tamaño (LLM), para automatizar el proceso de reconocimiento y recopilación de documentos.

Además, señala la actividad de PUNK SPIDER, otro actor que empleó scripts generados por inteligencia artificial para acelerar el volcado de credenciales y borrar pruebas forenses.

Por su parte, el grupo de Corea del Norte FAMOUS CHOLLIMA utilizó identidades digitales creadas con IA para escalar operaciones internas de forma encubierta.

Estos grupos han desplazado sus tácticas, empleando identidades de confianza, aplicaciones de ‘Software como Servicio’ (SaaS) e infraestructuras en la nube para camuflar sus intrusiones entre la actividad legítima, dificultando la detección y reacción de los grupos de seguridad.

Cómo los ciberdelincuentes están usando IA de forma maliciosa

El uso malicioso de sistemas de inteligencia artificial generativa se intensificó, con el registro de prompts manipulados en herramientas de IA en al menos 90 organizaciones.

Los criminales han explotado vulnerabilidades en plataformas de desarrollo de IA para instaurar presencia persistente, desplegar ransomware y publicar servidores de IA falsos que se hacen pasar por servicios legítimos con el objetivo de interceptar datos confidenciales.

Asimismo, la explotación de vulnerabilidades sin previo aviso, conocidas como zero-day, mostró un crecimiento relevante: 42% de las vulnerabilidades fueron aprovechadas antes de que su existencia se hiciera pública, lo que permitió a los atacantes obtener acceso inicial, ejecutar código remoto y elevar privilegios dentro de los sistemas.

Cómo aumentan los ciberataques vinculados a diferentes países

Los expertos en ciberseguridad de CrowdStrike, que rastrean a más de 280 grupos de amenazas, identificaron un aumento de operaciones asociadas a China en 38%, y a Corea del Norte en más de 130%.

Paralelamente, los ataques orientados a la nube aumentaron 37% en general, con un incremento muy alto, de 266%, en las ofensivas respaldadas por actores estatales cuyo objetivo principal es la recopilación de inteligencia en espacios cloud.

En este contexto, esta convergencia entre innovación en inteligencia artificial y cibercriminalidad institucionalizada plantea nuevos desafíos a la defensa de activos digitales, elevando la urgencia de adaptaciones inmediatas en las estrategias de seguridad de las organizaciones.

Por esta razón, fortalecer la resiliencia digital y promover la actualización continua de las estrategias de seguridad se vuelve imprescindible para mitigar los riesgos en un ambiente cada vez más automatizado y complejo, y de esta forma, prevenir que usuarios y empresas terminen afectados por la ola de ciberataques.

La inteligencia artificial ha multiplicado por cuatro la velocidad de los ciberataques, según revela el Informe Global de Respuesta a Incidentes 2026 de Unit 42, elaborado por Palo Alto Networks.

El uso de IA permite que los adversarios reduzcan el tiempo desde el acceso inicial hasta la exfiltración de datos a tan solo 72 minutos en los incidentes más veloces, una aceleración inédita que redefine el panorama de amenazas y exige nuevas estrategias de defensa.

Ciberataques acelerados: el papel central de la inteligencia artificial

El análisis de más de 750 incidentes críticos realizado por Unit 42 evidencia que la inteligencia artificial se ha integrado en todas las fases del ciclo de vida del ataque.

Los actores de amenazas utilizan agentes autónomos de IA para operar de manera independiente, conectando identidades humanas y de máquina para acceder a sistemas y ejecutar acciones maliciosas con mínima intervención humana.

Sam Rubin, vicepresidente sénior de Unidad 42 de Consultoría e Inteligencia de Amenazas, subraya: “La complejidad empresarial se ha convertido en la mayor ventaja del adversario. Este riesgo se agrava a medida que los atacantes apuntan cada vez más a las credenciales, utilizando agentes autónomos de IA para conectar identidades humanas y de máquina y actuar de forma independiente”.

La capacidad de la IA para automatizar tareas y analizar grandes volúmenes de datos ha reducido de manera drástica el tiempo necesario para comprometer sistemas y extraer información valiosa.

Técnicas de acceso y superficies de ataque: identidad y multicanalidad en el centro

El informe destaca que el 65 % de los accesos iniciales a los sistemas se produce mediante técnicas basadas en identidad, como la ingeniería social y el uso indebido de credenciales, mientras que solo el 22 % se debe a la explotación de vulnerabilidades técnicas.

Los ataques actuales no solo son más rápidos, sino también más complejos y multicanal: el 87 % de los incidentes analizados abarcan dos o más superficies de ataque, combinando acciones en endpoints, nube, plataformas SaaS y sistemas de identidad.

Unit 42 ha detectado actividad simultánea en hasta 10 frentes distintos, demostrando que los cibercriminales aprovechan la diversidad tecnológica de las organizaciones para aumentar sus posibilidades de éxito.

El navegador y las aplicaciones SaaS: nuevos escenarios críticos para las brechas de seguridad

El navegador web se ha consolidado como el principal campo de batalla, con el 48 % de los ataques involucrando actividades en sesiones web. Esto permite a los atacantes robar credenciales y sortear los controles locales, transformando tareas rutinarias en puntos de vulnerabilidad.

Las aplicaciones SaaS de terceros también se han convertido en un objetivo prioritario, con un aumento de 3,8 veces en los ataques desde 2022. Actualmente, el 23 % de los incidentes implica el abuso de tokens OAuth y claves API para ejecutar movimientos laterales dentro de los sistemas afectados.

Configuraciones incorrectas y brechas de seguridad

Los datos de Unit 42 vinculan el 90 % de las brechas de datos a errores de configuración o fallos de seguridad, agravados por la complejidad tecnológica, la falta de visibilidad integral y un exceso de confianza en los sistemas.

Estos factores sistémicos facilitan el trabajo de los atacantes, permitiéndoles encontrar y explotar debilidades antes de que sean detectadas por los equipos de ciberseguridad.

En este contexto, la combinación de inteligencia artificial, automatización y una superficie de ataque extensa plantea desafíos sin precedentes para la protección de datos y la continuidad operativa de las empresas.

Finalmente, un ciberataque puede afectar gravemente a una empresa en múltiples niveles. La interrupción de los sistemas informáticos suele provocar la paralización de operaciones clave, lo que impacta directamente en la productividad y la capacidad de atender a clientes.

Además, la filtración o el robo de datos sensibles puede exponer información confidencial de empleados, clientes y socios, generando desconfianza y dañando la reputación corporativa.

La proliferación de suscripciones a servicios criminales en la dark web ha transformado la manera en que los ciberdelincuentes perpetran ataques y ha consolidado un sistema más ordenado y eficiente, según reportó la unidad Trend AI, parte de Trend Micro. Esta compañía ha destacado que el antiguo sistema de compraventa de malware en foros ha dado paso a un modelo basado en el acceso recurrente a un catálogo de herramientas y servicios ilícitos. Este nuevo entorno ofrece desde ransomware con sistemas de negociación incorporados, hasta malware personalizable bajo demanda, campañas de phishing completamente configuradas, programas capaces de robar información con paneles de control en tiempo real e incluso servicios de alojamiento resistentes a intervenciones policiales.

De acuerdo con un comunicado de Trend AI, este ecosistema alcanza ya un nivel de industrialización donde los pagos periódicos aseguran ingresos estables a desarrolladores y operadores. Dicho sistema propicia la constante mejora técnica de las herramientas criminales y la expansión de las ofertas en el mercado negro digital. El medio puntualizó que la aparición de estos modelos criminales por suscripción no implica un cambio en las consecuencias para las empresas atacadas, que siguen enfrentando daños operativos y económicos, así como consecuencias reputacionales. Sin embargo, según explicó el investigador sénior de Amenazas, David Sancho, citado por la firma, el ‘crime as a service’ sí multiplica el número de actores capaces de lanzar ataques.

El medio detalló que esta transición desde un sistema de compraventa puntual hacia modelos de suscripción ha ocurrido de manera gradual durante la última década. Las herramientas delictivas adquiridas bajo este esquema han aumentado la profesionalización y sofisticación de los ciberataques, facilitando su acceso a un grupo más amplio de individuos o colectivos con intenciones delictivas. Según cifras del Instituto Nacional de Ciberseguridad (Incibe) recogidas por Trend AI, en 2025 se detectaron más de 122.000 incidentes, lo que representa un incremento del 26 por ciento frente al año anterior.

A pesar del aumento de la actividad delictiva reportada, Trend AI lamentó la ausencia de estrategias renovadas para contrarrestar estas amenazas, señalando que las prácticas actualmente aplicadas apenas presentan diferencias significativas respecto a las empleadas hace una década. Sancho, citado por el medio, subrayó que el ‘crime as a service’ representa una amenaza estructural que no se puede erradicar con medidas puntuales. El investigador recomendó a las empresas asumir el nuevo entorno digital como un escenario permanente y reforzar sus capacidades destinadas a la prevención, detección y respuesta ante ciberataques.

El catálogo criminal al que pueden acceder los suscriptores consiste en herramientas y servicios especialmente diseñados para optimizar la eficiencia de los ataques y disminuir los riesgos para los atacantes. Por ejemplo, los programas de ransomware integran sistemas automáticos de negociación para las demandas de rescate, mientras que el malware personalizable permite ajustar las funcionalidades del software malicioso a las necesidades concretas de cada operación. Las campañas de phishing ofertadas se entregan completamente preparadas para su ejecución, lo que reduce los conocimientos técnicos necesarios para orquestar estafas y robos de información.

Trend AI advirtió que las infraestructuras de alojamiento ofrecidas por estos servicios pueden resistir la intervención de cuerpos de seguridad, lo que complica la labor de persecución y desmantelamiento de las redes delictivas. Así, los pagos periódicos ofrecidos por el modelo suscripcional incentivan el desarrollo constante de tecnologías criminales más difíciles de rastrear y mitigar. Según publicó el medio, esta industrialización facilita que individuos con poca experiencia técnica accedan a herramientas sofisticadas, incrementando el volumen global de incidentes informáticos.

La profesionalización de los ciberataques provoca que las víctimas se enfrenten a escenarios de extorsión, secuestro de datos e interrupción de operaciones, todo ello gestionado por actores que antes no tenían acceso al conocimiento o los recursos necesarios para tales acciones. Según remarcó Trend AI en su comunicado, la consecuencia directa de esta evolución tecnológica y organizativa en el crimen digital es un aumento significativo de los ataques sufridos por empresas y usuarios.

Frente a este panorama, el mensaje de la firma a las empresas es asumir la inevitabilidad de este tipo de amenazas y adaptar las estrategias corporativas para salvaguardar tanto la integridad operativa como la reputación institucional. Según Trend AI, la única vía viable consiste en apostar por una defensa continua y articulada que refuerce no solo la respuesta ante ataques, sino especialmente las capacidades de prevención y detección temprana.

La operación que llevó a la Guardia Civil a cerrar el perfil en X, la cuenta de Youtube y el canal de Telegram de 'Anonymous Fénix' permitió cortar la principal vía de comunicación y difusión de este grupo hacktivista, presuntamente responsable de ataques de denegación de servicio contra administraciones y entidades públicas en España. Según detalló la propia Guardia Civil, la acción culminó con el arresto de los cuatro principales integrantes de este colectivo, que llegó a atribuirse públicamente la autoría de ciberataques tras diversos eventos de interés nacional.

De acuerdo con la información proporcionada por la Guardia Civil, entre los detenidos se encuentran los considerados como cabecillas: el administrador y el moderador de la organización. Estas detenciones tuvieron lugar en mayo de 2025 en Alcalá de Henares (Madrid) y Oviedo (Asturias). El medio señaló que, a través de la investigación digital y el examen del material incautado entonces, los agentes identificaron a otros dos miembros clave de la estructura. Estos dos presuntos hackers, señalados como los más activos dentro de 'Anonymous Fénix', fueron arrestados días atrás en Ibiza y Móstoles (Madrid).

El grupo, que inició su actividad en abril de 2023, se caracterizó por su presencia en redes sociales, principalmente X y Telegram, donde compartía mensajes e informaciones dirigidas contra órganos estatales y otras instituciones en España y Sudamérica. Tal como publicó la Guardia Civil, los integrantes de 'Anonymous Fénix' decían actuar bajo la marca internacional 'Anonymous' y centraban sus acciones en los llamados ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés). Esta modalidad consiste en sobrecargar de manera coordinada sistemas informáticos mediante peticiones masivas que buscan colapsar el acceso y bloquear el funcionamiento de servicios digitales esenciales.

La investigación puso de relieve que, a partir de septiembre de 2024, la organización potenció su actividad, y, según consignó la Guardia Civil, comenzó una campaña de captación de nuevos voluntarios con el propósito de reforzar su capacidad de ataque digital. Las acciones más notorias se produjeron tras la DANA que afectó a la ciudad de Valencia, momento en que sus miembros lograron dejar fuera de servicio varias páginas web oficiales de la administración pública. La propia organización reconoció estas acciones y las justificó en su canal de Telegram alegando ser "los responsables de la tragedia".

El proceso de investigación incluyó la colaboración del Centro Criptológico Nacional y se desarrolló bajo la coordinación de la Fiscalía de Sala de Criminalidad Informática y la Fiscalía de Madrid, junto con la Plaza 50 de la Sección de Instrucción del Tribunal de Instancia de Madrid. Según informó el cuerpo de seguridad, la recopilación de evidencia digital y el análisis de los dispositivos intervenidos resultaron decisivos para la posterior localización y detención de los miembros restantes.

'Anonymous Fénix' orientó sus ataques principalmente a ministerios, partidos políticos e instituciones con sistemas de relevancia estratégica para la gestión pública y el servicio a la ciudadanía. El método utilizado buscaba saturar la infraestructura digital, afectando la operatividad de portales y aplicaciones oficiales y dificultando el acceso de los usuarios legítimos hasta que se restablecían los sistemas comprometidos.

Al cierre de su investigación, la Guardia Civil destacó que con el desmantelamiento de los canales de comunicación del grupo se ha interrumpido su capacidad de organización y difusión, al tiempo que se ha logrado preservar la integridad de los sistemas afectados y limitar el riesgo de nuevos incidentes similares. La operación constituye, según los datos ofrecidos por la fuente, uno de los mayores despliegues contra actividades de hacktivismo realizadas por colectivos nacionales relacionados con la red internacional 'Anonymous'.

El Gobierno de Groenlandia señaló que los ciberataques recientes no comprometieron la seguridad ni generaron pérdidas de datos, sino que provocaron interrupciones temporales en el acceso a distintos portales. Según informó la Agencia Danesa para la Seguridad Ciudadana este viernes, se identificaron varios ataques informáticos vinculados a redes asociadas a Rusia contra páginas web en Groenlandia el mismo día en que el rey Federico de Dinamarca mantenía una visita oficial en la isla.

Tal como publicó la radiodifusora danesa DR, estos incidentes se atribuyen al grupo de hackers NoName 057 (16), conocido por su implicación en múltiples acciones contra países miembros de la OTAN. Los ataques consistieron en métodos de denegación de servicio distribuido (DDoS), donde los sistemas afectados reciben grandes volúmenes de tráfico hasta quedar inaccesibles por breves períodos.

La Agencia Danesa para la Seguridad Ciudadana transmitió en un comunicado que mantiene una vigilancia constante sobre la evolución de la situación y coordina acciones con autoridades tanto danesas como groenlandesas para abordar los incidentes actuales. El organismo no especificó qué portales resultaron afectados, pero destacó que el monitoreo y el diálogo institucional permanecen activos para garantizar la resiliencia de los servicios digitales en Groenlandia.

El Gobierno autónomo de Groenlandia, por su parte, remarcó en otra comunicación que los ciberataques detectados en las últimas horas no provocaron daño tangible en la integridad de los datos ni en la funcionalidad permanente de las páginas web afectadas. Según consignó DR, el Ejecutivo local calificó los episodios como sucesos que únicamente interrumpen el acceso durante lapsos limitados sin consecuencias para la información almacenada.

Estos ciberataques coincidieron con dos acontecimientos relevantes. El primero, la visita del monarca danés a la isla, y el segundo, el despliegue de las primeras maniobras militares de la OTAN bajo el operativo 'Centinela del Ártico'. Esta operación busca fortalecer la presencia y las capacidades defensivas de la Alianza Atlántica en la región del Ártico y el Alto Norte, áreas de creciente importancia geoestratégica.

De acuerdo con lo detallado por el medio DR, el grupo NoName 057 (16) acumula antecedentes de ataques cibernéticos dirigidos a infraestructuras digitales en países socios de la OTAN. Las técnicas utilizadas por este colectivo apuntan a sobrecargar los recursos tecnológicos de portales oficiales y privados, dificultando sus operaciones normales sin penetrar los niveles de seguridad que resguardan los datos sensibles.

La Agencia Danesa para la Seguridad Ciudadana enfatizó que el trabajo coordinado entre instituciones nacionales y territoriales es clave para contener los impactos de estos ciberataques, al tiempo que sigue atenta a nuevas amenazas potenciales en el contexto de las actividades internacionales que se desarrollan en Groenlandia.

Durante este año, Google Play Protect detectó más de 27 millones de aplicaciones maliciosas que no se encontraban en la Play Store y, tras la experiencia de un programa piloto en Singapur, la protección contra fraudes se amplió a 185 mercados, con un alcance que ahora excede los 2.800 millones de dispositivos Android en todo el mundo. A partir de estos resultados, Google subrayó que la integración de inteligencia artificial generativa permitió detectar amenazas complejas a mayor velocidad y contribuyó a fortalecer la seguridad del ecosistema Android, según publicó el medio original.

Según detalló Google en su más reciente informe sobre la seguridad del ecosistema de aplicaciones para Android, la compañía evitó en 2025 la publicación de más de 1,75 millones de aplicaciones en Play Store por no cumplir con sus políticas. A esta cifra se suma el bloqueo de más de 80.000 cuentas de desarrolladores considerados maliciosos, además de la restricción de acceso a datos confidenciales de los usuarios en 255.000 aplicaciones. El informe, citado por el medio, describe cómo la revisión automatizada y la monitorización permanente intentan anticipar los riesgos antes de que lleguen a los usuarios.

Google también reportó el bloqueo de 160 millones de reseñas y valoraciones identificadas como spam o fraudulentas, lo que, según cifras de la empresa reproducidas por el medio, evitó la disminución promedio de medio punto en la calificación de las aplicaciones dentro de Play Store. Además, la plataforma remarcó que las mejoras en los sistemas automatizados están destinadas tanto a frenar la actividad de actores malintencionados como a facilitar el trabajo a los desarrolladores que cumplen con las normas establecidas.

El medio indicó que la compañía reforzó el énfasis en los modelos de inteligencia artificial generativa durante 2025. La empresa describe la incorporación de estos modelos como una ayuda clave para el equipo humano encargado de revisar y analizar las aplicaciones, acelerando la identificación de amenazas sofisticadas que podrían haber pasado desapercibidas con controles tradicionales. “Estas cifras demuestran cómo nuestras protecciones proactivas y nuestro esfuerzo por un ecosistema más responsable están disuadiendo a los actores maliciosos de publicar aplicaciones, mientras que nuestras nuevas herramientas facilitan a los desarrolladores honestos la creación de aplicaciones que cumplen con las normas”, declaró Google en una entrada en su blog de seguridad, según citó el medio.

En cuanto al futuro de la plataforma, Google anticipó que se mantendrá la prioridad de transformar Play Store y el sistema operativo Android en “los ecosistemas de aplicaciones más fiables”, con continuas inversiones en defensa basada en inteligencia artificial. La empresa adelantó la intención de seguir mejorando las capacidades de protección, tanto para usuarios como para desarrolladores, haciendo hincapié en la detección temprana de actividades maliciosas.

Respecto a la expansión específica de Google Play Protect, el reporte señala que la herramienta sigue analizando actualmente más de 350.000 millones de aplicaciones Android cada día. Esta función, además de examinar apps en la tienda oficial, ha ampliado recientemente su ámbito para incluir la detección y notificación de amenazas también vinculadas a estafas telefónicas. El éxito alcanzado en la implementación piloto en Singapur llevó a la empresa a ampliar la protección mejorada contra el fraude a 185 mercados, lo que representa un crecimiento significativo en la cobertura geográfica y el alcance entre usuarios de dispositivos Android, según destaca el informe replicado por el medio.

El informe anual refleja una estrategia dual: por un lado, la empresa se enfoca en robustecer las barreras que impiden el acceso a la plataforma de apps o cuentas maliciosas; por otro, ofrece herramientas para promover el desarrollo de aplicaciones legítimas y seguras. Google concluyó que el uso conjunto de inteligencia artificial, revisión humana y sistemas de defensa avanzados resulta fundamental para hacer frente al número creciente de amenazas dirigidas al ecosistema Android, en palabras recogidas en el blog corporativo de la compañía y citadas por el medio.

La tecnología aplicada con fines de daño, cada vez más integrada a los conflictos bélicos y a la disputa geopolítica, ha facilitado la proyección internacional de grupos organizados que, incluso sin recursos tradicionales, ejecutan operaciones complejas. Entre ellas destacan estafas virtuales a gran escala, especialmente orientadas a activos cripto para financiar actividades, en ocasiones con el respaldo directo de Estados que promueven acciones de falsa bandera. Los ciberataques se convirtieron en una herramienta central para operaciones de inteligencia, ofensivas híbridas, hostigamiento digital y hacktivismo.

A fines de 2025, un ciberataque coordinado tuvo como blanco al sector energético de Polonia, afectando parques eólicos, plantas fotovoltaicas y otras compañías del rubro. El objetivo fue interferir en la infraestructura mediante la alteración de sistemas de control industrial. Aunque el suministro eléctrico no se interrumpió, el episodio confirma que la ciberseguridad constituye hoy un componente estructural de la seguridad nacional polaca.

El análisis de la naturaleza y escala del ataque indica que la operación perseguía un fin destructivo más que económico. Los atacantes desplegaron malware diseñado para borrar datos e inutilizar equipamiento industrial, impactando tanto sistemas informáticos como componentes físicos. A pesar de la magnitud del incidente, la red eléctrica se mantuvo estable y los equipos de respuesta contuvieron la amenaza. De manera preliminar, se lo vincula con una iniciativa sostenida y patrocinada por un Estado, asociable a grupos de amenazas previamente identificados.

Italia denunció ciberataques de origen ruso vinculados con los Juegos Olímpicos de Invierno de Milán-Cortina. Hacktivistas intentaron interferir en la infraestructura digital relacionada con el evento. El Ministerio de Asuntos Exteriores informó que ya se activaron medidas de mitigación frente a ataques dirigidos contra sus sitios oficiales y servicios asociados a la organización olímpica, incluidas instalaciones hoteleras.

El Comité Olímpico Internacional (COI) prohibió a Rusia competir en 2017 tras el escándalo de dopaje que involucró a varios de sus atletas, y la Agencia Mundial Antidopaje (AMA) extendió sanciones en 2019 para eventos deportivos internacionales. Aunque inicialmente debían levantarse tras los Juegos de Beijing 2022, la invasión de Ucrania derivó en nuevas restricciones. El deporte de alto nivel ha sido históricamente utilizado como instrumento político, y los Juegos Olímpicos se consolidaron como escenario de disputa simbólica entre potencias.

En Rumania, el operador nacional de oleoductos Conpet reportó un ciberataque que afectó sus sistemas corporativos de TI y dejó fuera de línea su sitio web de forma temporal. No se vieron comprometidas las operaciones de transporte ni el cumplimiento de contratos. La banda de ransomware Qilin se atribuyó la autoría e incluyó a la empresa en su portal de filtraciones en la dark web. Asegura haber exfiltrado cerca de un terabyte de información y publicó documentos de muestra, como registros financieros y pasaportes escaneados, como prueba.

Casi en simultáneo, la Universidad La Sapienza de Roma —la mayor de Europa, con unos 122.000 estudiantes— sufrió un incidente que interrumpió sistemas informáticos y generó serios problemas operativos. Los alumnos no pudieron reservar exámenes, consultar aranceles ni acceder a contactos académicos. La institución se comunicó principalmente por redes sociales, con información limitada y sin un plazo claro de normalización. Algunas hipótesis atribuyen el hecho a un nuevo grupo de ciberdelincuentes identificado como Femwar02.

Los indicios técnicos apuntan al uso de una variante de ransomware de nueva generación conocida como Bablock. Este tipo de malware extorsivo habitualmente evita sistemas configurados en idioma ruso u otras lenguas postsoviéticas, característica que refuerza las sospechas sobre la posible afinidad geopolítica de sus operadores.

La dimensión y la intensidad de esta problemática, que todo indica seguirá en aumento, se reflejan también en decisiones judiciales recientes: la justicia china condenó a muerte a once integrantes de una organización familiar dedicada a casinos ilegales, juego online clandestino y centros de ciberestafas que operaban desde Myanmar. En total se dictaron 39 sentencias, varias de ellas por la administración de verdaderos campos de “ciberesclavos”. El volumen estimado de ganancias ilícitas superó los 1.400 millones de dólares (USD 1.400 millones).

Velocidad, alcance y capacidad de penetración definen este nuevo flagelo, que no reconoce fronteras ni presupuestos. El riesgo crece al ritmo de la innovación tecnológica y de la adopción de inteligencia artificial por parte de redes criminales y actores estatales. No habrá región completamente inmune: la concientización y la educación digital serán factores decisivos para reducir impactos y mejorar la preparación frente al próximo ataque.

Gabriel Zurdo es CEO y Fundador de BTR Consulting; especialista en ciberseguridad, riesgo tecnológico y negocios

El reporte, citado por Palo Alto Networks este miércoles, pone de manifiesto que la inteligencia artificial no solo modifica la velocidad de los ciberataques, sino que resitúa la identidad digital en el epicentro de las vulnerabilidades. De acuerdo con el informe, el 65 por ciento de los accesos iniciales ya se da mediante estrategias sustentadas en la manipulación de identidades, lo que incluye técnicas como la ingeniería social y el empleo ilícito de credenciales digitales. El 87 por ciento de los incidentes identificados son multicanal, es decir, involucran dos o más frentes, evidenciando una tendencia a que los atacantes combinen vías de entrada para incrementar sus posibilidades de éxito.

El análisis realizado por los expertos de Unit 42 abarca más de 750 incidentes críticos, detectando que los actores maliciosos han incorporado capacidades avanzadas de inteligencia artificial durante todas las etapas del ciclo del ataque. Sam Rubin, vicepresidente sénior de Unit 42 de Consultoría e Inteligencia de Amenazas, advirtió en una nota de prensa: “La complejidad empresarial se ha convertido en la mayor ventaja del adversario. Este riesgo se agrava a medida que los atacantes apuntan cada vez más a las credenciales, utilizando agentes autónomos de IA para conectar identidades humanas y de máquina y actuar de forma independiente”.

El incremento de la eficiencia en los ataques ha sido señalado por Unit 42 como una tendencia significativa del último año, con una aceleración de la velocidad de las campañas maliciosas hasta cuatro veces respecto a los registros precedentes. Esta transformación viene acompañada de una diversificación en las superficies de ataque. Según detalló el documento citado, el 87 por ciento de los ataques combina acciones en endpoints, servicios en la nube, plataformas de Software como Servicio (SaaS) y sistemas de identidad digital. En algunos casos, Unit 42 detectó actividad maliciosa desplegada simultáneamente hasta en diez frentes distintos, lo que complica la defensa para las organizaciones afectadas.

La preponderancia de las técnicas basadas en identidad también se refleja en los registros del informe, que atribuye el 65 por ciento del acceso inicial al empleo de credenciales y fraudes relacionados. Por su parte, las vulnerabilidades de sistemas representan el 22 por ciento de los vectores de acceso inicial observados en la muestra estudiada por Unit 42. El navegador emerge como uno de los principales escenarios de riesgo, integrando el 48 por ciento de los episodios analizados. Este dato sugiere que las actividades cotidianas de navegación web pueden transformarse en oportunidades para que los atacantes roben credenciales o evadan los controles de seguridad establecidos localmente.

En cuanto al ámbito de las aplicaciones SaaS de terceros, el informe de Unit 42 destaca un incremento relevante de los episodios registrados, con un aumento de 3,8 veces desde 2022, hasta situarse en el 23 por ciento del total de ataques. Los adversarios aprovechan la funcionalidad de estas aplicaciones mediante el abuso de tokens OAuth y claves API, lo que les facilita el movimiento lateral dentro de las redes comprometidas.

Dentro de este panorama, Unit 42 remarca que el 90 por ciento de las brechas de datos tienen su origen en configuraciones incorrectas o vulnerabilidades en la gestión de seguridad, reforzando la importancia de una gestión adecuada y la revisión periódica de los parámetros de seguridad en los entornos digitales. El exceso de confianza, la complejidad de los sistemas y la limitada visibilidad sobre los mismos se esbozan en el informe como factores sistémicos que facilitan el avance de los atacantes.

En conjunto, el reporte difundido por Palo Alto Networks describe un entorno de ciberseguridad moldeado por la integración de inteligencia artificial, el aumento de la velocidad de ejecución de los ataques, la expansión de las superficies potencialmente vulnerables y la centralidad de la gestión de identidades digitales, factores que redefinen el modo en que organizaciones y usuarios individuales enfrentan los desafíos actuales en la protección de sus datos.

De acuerdo con la información publicada en Bitdefender, Estados Unidos se ha consolidado como el país más afectado por correos no deseados con temática de San Valentín, alcanzando aproximadamente al 55 por ciento de los casos detectados de spam relacionado con esta festividad. Además, el medio indicó que estos ciberataques suelen adoptar la forma de mensajes a través de aplicaciones de citas o redes sociales, así como suplantaciones de marcas conocidas que se aprovechan de quienes compran regalos románticos en estas fechas. Estos métodos buscan obtener datos personales, información bancaria y estafar económicamente a los usuarios desprevenidos.

El uso de inteligencia artificial ha transformado los mecanismos tradicionales de estafa gracias a la capacidad de producir deepfakes para manipular voces e imágenes, y así reforzar la verosimilitud de los esquemas fraudulentos. El Global Consumer Operation Manager de Panda Security, Hervé Lambert, explicó que el fenómeno del “love bombing digital” puede inducir a la víctima a un fuerte vínculo emocional, generando ansiedad y una creencia errónea de estar en una relación auténtica. De acuerdo con estos reportes, el objetivo principal de los atacantes es obtener dinero, acceso a información personal o cualquier beneficio derivado de la manipulación de la víctima.

La evolución de prácticas como la sextorsión se apoya también en la inteligencia artificial, que posibilita la creación de deepfakes de contenido sexual sin necesidad de obtener material íntimo real. En estos casos, los estafadores amenazan a las víctimas con divulgar imágenes generadas digitalmente a menos que accedan a entregar sumas de dinero. A su vez, los comercios han sido afectados por la falsificación de marcas. Según publicó Bitdefender, los ciberdelincuentes diseñan páginas web imitaciones casi idénticas a las originales para engañar visualmente a los usuarios mientras intentan adquirir regalos de San Valentín, induciéndolos a facilitar datos de sus tarjetas de crédito.

Otro método recurrente detectado por la empresa Kaspersky incluye el uso fraudulento de plataformas que aseguran verificar la validez o saldo de tarjetas de regalo digitales. Cuando los usuarios ingresan los datos requeridos, los ciberdelincuentes pueden activar el saldo y quedarse con el valor de la tarjeta antes de que lo haga el verdadero beneficiario. Kaspersky señaló que estas páginas suelen centrarse en quienes han recibido tarjetas recientemente, aumentando la posibilidad de éxito de la estafa.

Los análisis realizados por NordVPN indican que la preparación de estos ataques comienza en el mes de enero. Durante este periodo, los ciberdelincuentes llevan a cabo intercambio de tácticas, la compra y venta de cuentas y la promoción de servicios orientados a facilitar los fraudes, de manera que al aproximarse febrero las operaciones puedan desplegar toda su capacidad. NordVPN ha destacado que la actividad en redes sociales y aplicaciones de citas como Tinder, Match, Instagram, Snapchat y OnlyFans ofrece un amplio abanico de posibles víctimas, dado el gran volumen de usuarios que buscan establecer vínculos afectivos en estas plataformas en el marco de las celebraciones de San Valentín.

El director de tecnología de NordVPN, Marijus Briedis, advirtió que los estafadores explotan específicamente las plataformas más utilizadas para conocer nuevas personas, introduciéndose en el flujo habitual de interacción social y afectiva durante esta época en la que el interés por las citas y las conexiones románticas tiende a incrementarse.

En conjunto, la información recopilada por Bitdefender, Kaspersky y NordVPN muestra un aumento sostenido en la frecuencia e impacto de los fraudes digitales relacionados con San Valentín. Los delitos van desde la manipulación afectiva mediante inteligencia artificial y la amenaza con deepfakes sexuales, hasta la suplantación de identidades comerciales y el robo de datos bancarios vinculado a la compra de regalos. Estas prácticas no solo afectan a usuarios individuales, sino también a los comercios cuya imagen puede verse comprometida por la reproducción no autorizada de su identidad visual en sitios fraudulentos.

La tendencia de anticipación en la preparación de los ataques durante enero permite a los ciberdelincuentes maximizar el alcance de las operaciones, utilizando sofisticadas herramientas técnicas y sociales. A medida que aumenta la confianza en las compras y relaciones en línea, los métodos de los atacantes han ido perfeccionándose, mostrando la capacidad de la inteligencia artificial para adaptarse y explotar nuevas oportunidades del entorno digital, sobre todo en fechas como San Valentín.

La publicación de información técnica sobre cómo aprovechar vulnerabilidades en sistemas de Windows y Office puede incrementar la posibilidad de ciberataques dirigidos contra millones de usuarios, según confirmó un portavoz de Google al medio TechCrunch. Esta semana, expertos en seguridad digital han reportado que cibercriminales han estado empleando fallos de seguridad recién detectados conocidos como exploits de día cero, lo que permite a los atacantes instalar software malicioso o acceder a información personal a través de una simple acción de clic en un enlace.

Según informó TechCrunch, Microsoft está en proceso de aplicar correcciones para tres vulnerabilidades graves en sus plataformas Windows y Office, las cuales han sido objeto de ataques antes de que existiera una solución publicada. Los exploits recientes afectan tanto al sistema operativo como a aplicaciones como el Bloc de notas, y han sido calificados con un nivel de gravedad alto por su facilidad de uso y el bajo nivel de interacción exigido a las víctimas para que los programas maliciosos consigan ejecutarse.

TechCrunch detalló que una de las vulnerabilidades, identificada como CVE-2026-21510, se localiza en el Shell de Windows. Este tipo de brecha muestra cómo, al clicar en un enlace preparado por los atacantes, estos pueden sortear la protección conocida como SmartScreen, que busca prevenir descargas o ejecuciones de archivos inseguros. Un portavoz de Google informó que esta falla ha estado siendo utilizada en campañas de ataques "activas y generalizadas", lo que ha facilitado la propagación de ataques tipo ransomware y robo de información entre los usuarios afectados.

En cuanto a la segunda vulnerabilidad, clasificada bajo el código CVE-2026-21513 y ubicada en el motor MSHTML de Microsoft, la empresa aclaró que permitía a los hackers evadir mecanismos de seguridad implementados en Windows. MSHTML es un componente clave utilizado por varios programas para representar páginas web u otros contenidos en formato HTML, por lo que brechas allí pueden tener impacto sobre diversas aplicaciones dentro del ecosistema de Microsoft.

El tercer problema grave, identificado como CVE-2026-20841, implicó riesgos en el Bloc de notas al integrarse enlaces maliciosos dentro de archivos en formato Markdown. Ante un clic sobre estos enlaces, el sistema podía ser inducido a lanzar protocolos no seguros, brindando a los atacantes la posibilidad de cargar y ejecutar archivos dañinos sin que el usuario tuviera control sobre el proceso. Aunque Microsoft indicó que no recibió reportes confirmados de ataques exitosos que hayan aprovechado específicamente el fallo en el Bloc de notas, se lanzó una actualización destinada a solventar ese y otros riesgos desde el parche correspondiente al llamado "martes de actualización".

El medio TechCrunch puntualizó que Microsoft hizo público que ya circulan detalles técnicos sobre el modo en que estas fallas pueden ser explotadas. Investigadores en seguridad digital advierten que la revelación de estos pormenores eleva el peligro de que hackers continúen utilizando estos métodos antes de que todos los usuarios apliquen las soluciones recomendadas. Microsoft, consultada por TechCrunch sobre los sitios donde se han difundido tales detalles técnicos, evitó precisar la ubicación y un portavoz declinó hacer más comentarios al respecto.

Los incidentes reflejan el impacto que los exploits de día cero pueden tener en la seguridad de los usuarios individuales y corporativos. Los ataques de este tipo, definidos por la explotación de fallas antes de que existan parches disponibles, representan uno de los mayores retos para empresas tecnológicas y responsables de sistemas informáticos, ya que aprovechan el desconocimiento de los usuarios y la rapidez con la que los cibercriminales pueden adaptar sus tácticas de ataque.

Microsoft recomendó la aplicación inmediata de las actualizaciones de seguridad disponibles a todos los sistemas Windows y Office, subrayando que el cierre diligente de estas brechas es fundamental para reducir el riesgo de infecciones por malware y la exposición de datos confidenciales a actores no autorizados. La empresa mantiene un monitoreo continuo sobre sus productos y, según publicó TechCrunch, continuará publicando parches y guías para mitigar el impacto de este tipo de amenazas según se vayan detectando nuevas técnicas por parte de los atacantes.

La situación ha impulsado el debate sobre la gestión de la divulgación responsable de vulnerabilidades en la industria tecnológica, y sobre el equilibrio entre la necesidad de informar a los usuarios y la posibilidad de facilitar información que pueda emplearse con fines maliciosos.

En el ecosistema de la ciberseguridad, una herramienta de código abierto ha revolucionado la forma en que los atacantes logran acceder a cuentas protegidas por contraseñas supuestamente seguras, incluso con una efectivdad igual o superior a la inteligencia artificial o los mejores computadores.

Se trata de CeWL, conocida entre los especialistas como un generador de listas personalizadas, que ha puesto en jaque las tradicionales defensas basadas en complejidad, obligando a repensar tanto la protección de datos como las recomendaciones para usuarios y empresas.

Cómo funciona esta herramienta para robar contraseñas

Lejos de depender solo de superordenadores o inteligencia artificial, los hackers están apostando cada vez más por estrategias basadas en la observación del entorno digital de sus víctimas. El principal secreto: explotar la información pública que los propios usuarios y organizaciones comparten en sus sitios web y redes sociales.

CeWL es un programa desarrollado en Ruby que rastrea páginas web y recopila todas las palabras relevantes que encuentra en ellas, creando de forma automática un diccionario adaptado al contexto de la empresa o individuo objetivo.

Esta herramienta, disponible en GitHub y preinstalada en distribuciones como Kali Linux, resulta sencilla de utilizar: basta con indicar la página de interés y en segundos se obtiene un listado con términos y jergas específicas del entorno digital del objetivo.

Pentesters y equipos de auditoría de seguridad han adoptado CeWL como un recurso imprescindible, pues permite demostrar a empresas y usuarios lo fácil que pueden vulnerarse sus sistemas si se repiten patrones humanos al crear contraseñas.

El programa explora hasta dos niveles de profundidad en los enlaces de la web objetivo, extrayendo nombres propios, conceptos clave del sector e incluso modismos, todo ello susceptible de ser utilizado a la hora de crear combinaciones de claves.

Tras la recopilación de palabras, los atacantes emplean programas como Hashcat para aplicar reglas de mutación y generar miles de variantes de cada término detectado.

De este modo, una palabra extraída del entorno digital, como el nombre de una empresa o un término habitual del sector, puede transformarse en contraseñas como “Hospital2026!”, “FarmLife#1” u “H0spital#1”, sumando mayúsculas, números o símbolos para cumplir con las normas tradicionales de robustez.

Los profesionales de la seguridad han comprobado en numerosas ocasiones que estas listas personalizadas permiten descifrar contraseñas en cuestión de segundos. El motivo principal: la tendencia humana a recurrir a nombres conocidos, fechas relevantes y jerga habitual a la hora de crear contraseñas, incluso cuando se exige complejidad por reglamento.

Cómo protegerse ante los ataques basados en CeWL

Frente a este panorama, las recomendaciones de los expertos se han adaptado a la nueva realidad. La solución no reside en endurecer las reglas tradicionales, sino en bloquear activamente las palabras que pueden ser extraídas del entorno digital.

Las empresas han comenzado a implementar diccionarios de exclusión personalizados: listas negras que impiden el uso de nombres de la marca, proyectos internos o palabras clave sectoriales en las contraseñas de sus empleados. Esta medida dificulta de raíz la labor de los atacantes que dependen de herramientas automatizadas como CeWL.

Además, el uso de gestores de contraseñas se ha posicionado como una de las mejores prácticas para usuarios individuales y organizaciones. Estos programas generan y almacenan claves aleatorias, imposibles de deducir a partir de información pública o patrones conocidos.

Incluso se recomienda el salto a las passkeys o llaves digitales, sistemas en los que la autenticación se realiza sin contraseñas, reduciendo aún más la superficie de ataque.

En paralelo, los equipos de seguridad aconsejan limitar la exposición de información sensible en sitios web y redes sociales corporativas, evitando publicar detalles que puedan convertirse en materia prima para ataques personalizados.

Cada día, millones de usuarios llevan sus teléfonos a espacios públicos, expuestos a la amenaza de ataques cibernéticos capaces de comprometer desde contraseñas hasta cuentas bancarias.

La vulnerabilidad aumenta cuando se mantienen activas funciones como el WiFi y el Bluetooth, advirtieron la Comunidad de Madrid y el Instituto Nacional de Ciberseguridad de España (INCIBE). Ambas entidades insisten en que modificar simples hábitos tecnológicos es fundamental para evitar la filtración de datos y el robo de identidad.

Cómo los ciberdelincuentes pueden robar datos privados por medio del Bluetooth

Entre las formas más insidiosas de ataque se encuentra el “Bluesnarfing”, técnica que explota fallas en los protocolos de emparejamiento del Bluetooth y permite a un atacante acceder a archivos, contactos e incluso credenciales almacenadas en el teléfono, explicó el INCIBE.

La amenaza tiene un alcance de hasta 15 metros, agravando el riesgo en lugares concurridos como centros comerciales y aeropuertos.

El usuario suele permanecer ajeno al ataque, que deja huellas apenas perceptibles: bloqueos inesperados del dispositivo, mensajes enviados sin autorización, aumento inexplicable en el consumo de batería o conexiones extrañas en el historial del Bluetooth.

En palabras del INCIBE: “Si detectas inicios de sesión no reconocidos, compras no autorizadas o movimientos sospechosos en tus cuentas bancarias o perfiles en línea, podría ser consecuencia de la extracción de datos mediante Bluesnarfing”.

Por qué es peligroso tener el WiFi activo en lugares públicos

El WiFi, por su parte, representa otro flanco débil. Especialistas recalcan que conservar activado el WiFi fuera del hogar implica riesgo de conexión automática a redes abiertas o falsas, muchas de ellas deliberadamente instaladas por ciberdelincuentes con nombres semejantes a los de establecimientos legítimos.

La Comunidad de Madrid advirtió sobre este escenario: “Podemos creer que pertenecen a un hotel o a un restaurante, pero que en realidad hayan sido creadas por un ciberatacante para acceder a nuestros datos”.

La facilidad con la que se pueden interceptar mensajes, credenciales y datos financieros en estas redes convierte a los usuarios en blancos ideales para la obtención ilegal de información.

Cuáles son los riesgos de que un celular sea víctima de un ciberataque

Los efectos de estas intrusiones van desde la simple vigilancia hasta consecuencias graves: fraudes financieros, transferencias indebidas, accesos no autorizados a cuentas personales o la venta de información en mercados clandestinos.

Cambios súbitos en el consumo de batería, aparición de conexiones desconocidas y movimientos extraños en aplicaciones bancarias o redes sociales constituyen señales que demandan atención inmediata.

Cómo evitar ser víctima de ciberataques en lugares públicos

La principal pauta de los expertos es clara: desactivar el WiFi y el Bluetooth en los teléfonos al salir de casa y evitar así la exposición innecesaria a ataques.

Asimismo, el INCIBE y la Comunidad de Madrid señalan que mantener actualizado el sistema operativo y las aplicaciones refuerza la protección, porque las actualizaciones corrigen fallos de seguridad.

El uso de una VPN y la desactivación de la visibilidad del Bluetooth agregan barreras defensivas. La protección real reside en la adopción consciente de hábitos seguros y en una actitud proactiva ante riesgos digitales.

Por qué es clave el uso de VPN en lugares públicos

La facilidad con la que un atacante puede instalar programas maliciosos o realizar ataques de intermediario convierte a redes WiFi públicas en un objetivo frecuente para el robo de información.

Por esta razón, las VPN se presentan como una herramienta para proteger la privacidad en estos espacios. Al crear un “túnel” cifrado entre el usuario e internet, impiden que extraños accedan al tráfico de datos, incluso si logran interceptarlo.

Este nivel de protección resulta clave para quienes necesitan trabajar o gestionar información sensible fuera de casa o la oficina. Asimismo, el uso de VPN dificulta la localización y seguimiento del usuario, agregando una capa extra de seguridad en la navegación diaria.

Apagar el celular durante 5 minutos cada día se ha convertido en una recomendación clave para reducir el riesgo de ciberataques y mejorar el rendimiento de los dispositivos.

Diversos organismos, como la Agencia de Seguridad Nacional de Estados Unidos (NSA) y autoridades gubernamentales como el primer ministro de Australia, Anthony Albanese, han respaldado esta práctica como una defensa básica frente a las amenazas digitales, que buscan vulnerar la privacidad, los datos bancarios y otras áreas sensibles de los usuarios.

Por qué es útil apagar el celular para evitar ciberataques

Especialistas en seguridad digital han resaltado que existe una serie de amenazas, como el spyware y los ataques de tipo zero-click, que requieren conexiones persistentes para permanecer en el dispositivo y recolectar información sin el conocimiento del usuario.

El apagado diario por al menos 5 minutos permite cerrar todas las sesiones activas y detener estos procesos en el sistema operativo, dificultando que los atacantes exploten vulnerabilidades de software.

El segmento de cinco minutos se considera suficiente para asegurarse de que se cierren todas las conexiones no autorizadas y que cualquier proceso malicioso detenga su actividad.

Entre las amenazas que se ven dificultadas por esta acción se incluyen los ataques de phishing, los intentos de acceso remoto y cualquier intento automatizado de penetrar dispositivos a través de conexiones activas.

Qué dicen los expertos sobre esta medida de ciberseguridad

La medida ganó visibilidad después de que el primer ministro de Australia entregara un mensaje público en el que exhortó a la población a incorporar esta pauta en sus hábitos cotidianos.

Según palabras de Albanese: “Todos tenemos una responsabilidad. Cosas sencillas: apaga el teléfono cinco minutos cada noche. Para quienes ven esto, hazlo cada 24 horas, mientras te cepillas los dientes o haces lo que sea”. Este llamado busca que la protección digital se convierta en una rutina sencilla y accesible para todos los usuarios de teléfonos.

Además, la sugerencia de reiniciar o apagar periódicamente los teléfonos inteligentes ha sido destacada por la NSA, que aconseja realizar esta acción al menos una vez por semana para minimizar la exposición a software malicioso.

Esta estrategia pretende interrumpir la actividad de programas que se ejecutan en segundo plano, entre ellos aplicaciones que pueden haber sido comprometidas por malware y que dependen del mantenimiento de sesiones activas para operar continuamente.

Con qué otras estrategias se debe reforzar la seguridad de los dispositivos

Las organizaciones de ciberseguridad subrayan que el apagado periódico es solo una barrera inicial, porque no garantiza una protección absoluta frente a ataques sofisticados. Por ello, sugieren complementar esta medida con otras prácticas fundamentales como:

• La utilización de contraseñas robustas.
• La activación de la autenticación en dos pasos.
• La descarga exclusiva de aplicaciones desde tiendas oficiales, como Google Play Store y App Store.

Asimismo, sugieren evitar conectarse a redes WiFi públicas y desalientan compartir datos sensibles a través de canales no oficiales, como llamadas telefónicas de números desconocidos o correos que simulan ser de fuentes oficiales.

Por qué es necesario no descuidar las medidas de seguridad en los dispositivos

La popularización de esta pauta responde al contexto global actual, marcado por un aumento sostenido de los ciberataques, lo que obliga a los usuarios a adoptar una actitud activa y preventiva en la gestión de sus dispositivos.

Implementar el reinicio diario se suma a una serie de acciones que, en conjunto, elevan de gran forma los estándares de seguridad, según las pautas del primer ministro de Australia y la NSA.

Su implementación diaria no quita mucho tiempo y se puede realizar en momentos donde no se necesita usar el celular como antes de acostarse a dormir o realizando actividades que no requieren el uso de esta tecnología.

Las empresas de América Latina enfrentan en promedio 2.803 ciberataques cada semana, cifra que supera significativamente el promedio global y subraya la magnitud del riesgo en la región, según un estudio de Endeavor Data Unit e Incode Technologies.

El estudio destaca que América Latina sobrepasa con claridad el promedio global de 1.984 ciberataques semanales por empresa.

El impacto económico de los ciberataques es considerable: el costo medio de una brecha de datos en América Latina llega a USD 3,81 millones. Estas pérdidas afectan directamente la continuidad del negocio y la confianza de clientes y aliados empresariales.

Esta diferencia sitúa a la región en una posición de alerta, ya que la digitalización de servicios financieros, el comercio electrónico y los procesos corporativos incrementan las vulnerabilidades de las organizaciones.

En el caso colombiano, el análisis de Endeavor Data Unit e Incode Technologies identifica avances técnicos y un mayor nivel de conciencia sobre los riesgos digitales.

Sin embargo, aún existen desafíos importantes, como el fortalecimiento de la madurez organizacional, el desarrollo de talento especializado y el impulso de la cooperación entre actores públicos y privados.

Cuál es la principal razón de estos ciberataques

La principal razón de estos ciberataques es el factor humano, el cual se mantiene como la mayor fuente de vulnerabilidad. El 68% de los incidentes tiene su origen en suplantación de identidad o en engaños a través de redes sociales y correo electrónico, por encima del secuestro de datos y otras brechas convencionales.

El informe también revela que solo el 17% de las empresas lleva a cabo evaluaciones continuas de su estrategia de ciberseguridad, mientras que un 10% admite no haber revisado nunca este enfoque.

El estudio de Endeavor Data Unit e Incode Technologies plantea como prioridades la integración de la seguridad digital en la toma de decisiones y el desarrollo de una cultura preventiva dentro de las organizaciones.

Vincent Speranza, director de Endeavor en América Latina, expone que la ciberseguridad ha dejado de ser solo un desafío técnico y ahora es vital para la sostenibilidad y competitividad de las empresas en el entorno digital.

“La ciberseguridad dejó de ser un reto técnico para convertirse en una decisión estratégica que define la sostenibilidad y competitividad de las empresas”, expresó Speranza.

A su vez, Íñigo Castillo, director general de Incode LATAM, subraya el papel de la identidad digital y la inteligencia artificial.

“La identidad digital es la infraestructura que sostiene la innovación y el desarrollo económico. La inteligencia artificial nos permite anticipar y neutralizar ataques, construyendo experiencias seguras y confiables”, afirmó Castillo.

La investigación remarca que fortalecer la ciberseguridad constituye también una oportunidad regional.

Explican que si estos países logran cerrar las brechas en talento tecnológico y consolidan la cooperación interinstitucional, el sector empresarial estará mejor posicionado para inspirar confianza, atraer inversiones y asegurar un crecimiento constante en el entorno digital.

Cómo se pueden proteger las empresas de ciberataques

Proteger a las empresas frente a ciberataques requiere, según el área de seguridad digital de BBVA, la adopción de medidas básicas aplicables a cualquier organización, sin importar su tamaño.

El primer paso consiste en evaluar los riesgos y realizar auditorías de seguridad, identificando vulnerabilidades dentro de la infraestructura tecnológica.

Llevar a cabo auditorías periódicas permite detectar fallos en los sistemas y elaborar un plan de acción específico, lo que facilita la anticipación frente a amenazas antes de que se materialicen.

Entre los puntos clave para este análisis destacan el análisis integral de la infraestructura, la revisión de accesos y permisos, así como el monitoreo constante de posibles vulnerabilidades.

La implementación de políticas de seguridad cibernética resulta igualmente fundamental. Definir normas claras sobre el uso de dispositivos, el acceso a redes y la gestión de información ayuda a prevenir ataques y a fortalecer la protección de los datos empresariales.

En las últimas semanas, una campaña fraudulenta en redes sociales ha recurrido a imágenes generadas por inteligencia artificial para simular supuestos anunciantes y atraer a usuarios incautos.

En una de las imágenes difundidas, una mujer sostiene una tarjeta gigante con el mensaje de que ha ganado 95 millones de pesos, mientras se muestran los logotipos de Noticias Caracol y Baloto, dos marcas reconocibles en Colombia.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel

Este recurso ha servido como anzuelo para promover la descarga de una aplicación inexistente, lo que ha despertado la alerta de expertos y autoridades ante la sofisticación creciente de las estafas digitales.

El anuncio falso invita a descargar una plataforma denominada Baloto Casino, prometiendo a quienes se inscriban un supuesto bono de 6.700.000 pesos y la opción de 500 giros gratuitos.

Sin embargo, tanto el medio de comunicación como Baloto han negado cualquier relación con esta aplicación, subrayando que no existe ninguna campaña publicitaria autorizada ni producto oficial con ese nombre.

Los usuarios que reciben este tipo de mensajes o encuentran promociones asociadas deben permanecer atentos, ya que las dos compañías desmintieron de manera pública cualquier vínculo con la promoción, según advirtió Noticias Caracol.

En la parte final de la información difundida, se enfatizó que quienes se enfrenten a estos anuncios deben abstenerse de dar clic, compartir datos personales o descargar aplicaciones sospechosas.

Así mismo, recomiendan denunciar estos intentos de estafa a las autoridades competentes para contribuir a frenar su proliferación en el entorno digital.

Organizaciones especializadas en ciberseguridad advierten sobre la importancia de fortalecer los hábitos digitales y adoptar mecanismos preventivos: mantener una actitud de escepticismo ante mensajes inesperados, verificar la autenticidad de remitentes y enlaces, y prestar atención a errores ortográficos, elementos habituales en los fraudes en línea.

Otra práctica relevante es activar la verificación en dos pasos para aumentar la seguridad de las cuentas personales, evitando además realizar transacciones sensibles desde redes wi-fi públicas.

La utilización de contraseñas seguras y la actualización constante de los dispositivos refuerzan las barreras contra posibles ciberataques.

Finalmente, los expertos recomiendan que, frente a ofertas que resultan demasiado buenas para ser reales o concursos imprevistos, el usuario debe realizar una evaluación minuciosa y buscar información adicional antes de tomar cualquier decisión.

Arturo Calle rechazó el uso de su imagen en promociones engañosas de inversiones

A finales de 2025, la empresa de prendas de vestir, Arturo Calle SAS, emitió una alerta urgente en la que advertía a la ciudadanía sobre la circulación de videos fraudulentos en redes sociales y plataformas digitales, en los que se utiliza inteligencia artificial para suplantar la imagen y la voz de Arturo Calle, fundador de la empresa, con el objetivo de promocionar supuestas oportunidades de inversión.

“Los colombianos que abran una cuenta con $430.000 antes de fin de mes, podrán ganar fácilmente 12 millones de pesos a la semana”, dice en el video fraudulento denunciado por la compañía.

El grupo empresarial recalcó, en su momento, que estos contenidos son totalmente falsos y que ni Arturo Calle ni Comercializadora Arturo Calle SAS han autorizado, producido o difundido dicho material audiovisual.

Así mismo, subrayó que la empresa no realiza captaciones de dinero ni invita a invertir a través de medios digitales o redes sociales y que desconoce cualquier acción que prometa rendimientos financieros acelerados asociada a su nombre.

“La suplantación de identidad busca explotar el prestigio y la buena imagen de la marca y de sus figuras públicas para generar una confianza indebida, con el único propósito de engañar y estafar a potenciales víctimas”, dice en el comunicado.

La compañía advirtió que estas estrategias buscan aprovechar el prestigio y la reputación tanto de la marca como de sus figuras públicas para generar una confianza indebida y así engañar y estafar a posibles víctimas.

Frente a este panorama, Arturo Calle SAS instó a los ciudadanos y a los medios de comunicación a actuar con verificación y cautela: deben descartar cualquier contenido de este tipo, evitar interactuar con enlaces o proporcionar datos personales o financieros, y reportar las publicaciones fraudulentas ante las autoridades judiciales correspondientes.

El ministro italiano de Asuntos Exteriores, Antonio Tajani, subrayó que Italia desplegó equipos especializados en colaboración con expertos del comité organizador para proteger las infraestructuras de los Juegos Olímpicos de Invierno de Milán-Cortina d'Ampezzo ante posibles amenazas digitales, poco antes del inicio del evento. De acuerdo con la información difundida por medios italianos y recogida por la agencia EFE, los especialistas lograron repeler varios intentos de ciberataques que, según las investigaciones, tenían su origen en territorio ruso. Los blancos de estos ataques incluían instalaciones vinculadas a las sedes olímpicas, así como determinados hoteles en la zona.

Durante una visita a Washington, Tajani expresó su reconocimiento hacia las fuerzas de seguridad y los expertos informáticos que participaron en la defensa contra estos incidentes y remarcó la importancia que reviste la ciberseguridad en contextos de grandes eventos internacionales. “La ciberseguridad se está convirtiendo en un factor clave, por lo que estoy muy satisfecho. Por supuesto, hemos informado a todas las demás autoridades pertinentes”, declaró Tajani, citado por la agencia EFE.

Según detalló el medio EFE, la planificación para contrarrestar estos riesgos comenzó antes del arranque oficial de los Juegos Olímpicos, programado para este viernes y con fecha de cierre el 22 de febrero. Las autoridades italianas, anticipando la amenaza de ataques cibernéticos en eventos de carácter global, movilizaron a un equipo especializado para coordinar acciones tanto preventivas como reactivas desde el primer momento en que se detectaron los intentos de incursión digital.

El medio EFE reportó que las acciones de sabotaje frustradas se dirigían a elementos considerados críticos para el desarrollo de la cita olímpica, tanto en lo relativo a la logística de las competencias como en la infraestructura hotelera destinada a alojar a atletas, delegaciones y prensa internacional. La alerta temprana y la cooperación entre organismos de ciberseguridad y las fuerzas de seguridad permitieron detectar y neutralizar los ataques antes de que causaran daño o interrumpieran el normal funcionamiento de las actividades olímpicas.

Los operativos incluyeron la vigilancia permanente de sistemas informáticos y la coordinación directa con el comité organizador, siguiendo protocolos establecidos específicamente para los Juegos Olímpicos de Invierno y reforzados por la experiencia previa de Italia en el abordaje de ciberamenazas internacionales. EFE destacó que los expertos mantenían comunicación constante con autoridades pertinentes a nivel nacional e internacional para compartir información sobre potenciales amenazas y responder de forma coordinada.

El contexto de estos ciberataques ocurre en un momento donde eventos deportivos de gran magnitud se convierten en blanco recurrente de operaciones hostiles en el ciberespacio, según han indicado diversos analistas citados por EFE. El caso de los Juegos Olímpicos de Invierno de Milán-Cortina d'Ampezzo refuerza la percepción de que los organizadores de acontecimientos internacionales aumentan los estándares de vigilancia y protección informática ante la creciente sofisticación de los métodos empleados por los atacantes.

Las medidas adoptadas en Italia incluyeron el refuerzo de protocolos de defensa digital en todas las sedes olímpicas y áreas de apoyo logístico, combinando la labor de técnicos informáticos y agentes de seguridad especializados para supervisar redes, dispositivos conectados y comunicaciones asociadas al evento. Autoridades italianas continuarán aplicando estos mecanismos mientras duren los Juegos Olímpicos, con actualizaciones y medidas adicionales en función de la evolución del riesgo, de acuerdo con los reportes de la prensa local mencionados por EFE.

El incidente se produce en un contexto internacional en el que la atención hacia la ciberseguridad y el uso de herramientas digitales con fines de sabotaje o espionaje ha ido en aumento. Italia, por medio de la actuación conjunta entre fuerzas de seguridad y técnicos orientados a la defensa digital, planea mantener un monitoreo permanente para preservar la celebración del evento y evitar interrupciones derivadas de intentos de ciberataque, conforme a lo señalado en los informes de EFE.

El reconocimiento expresado por Antonio Tajani reflejó la satisfacción de las autoridades italianas frente al resultado de la preparación anticipada y la cooperación interinstitucional. La explicación de Tajani sobre la notificación a las autoridades pertinentes mostró el compromiso de Italia en compartir información sobre amenazas detectadas durante los preparativos de Milán-Cortina d'Ampezzo 2026, colaborando así con la comunidad internacional en materia de ciberseguridad en el deporte, según consignó EFE.

El CERT ucraniano alertó, de acuerdo con la plataforma de noticias, que estos incidentes ocurrieron pocos días después de que Microsoft identificara y corrigiera una vulnerabilidad explotada activamente, denominada CVE-2026-21509. El 26 de enero, Microsoft lanzó una actualización de seguridad para Office con el propósito de abordar esta brecha, que permitía a un atacante sortear ciertos mecanismos locales de protección, facilitando el acceso a los sistemas afectados.

Según detalló la fuente, la táctica de los atacantes consistió en enviar archivos adjuntos maliciosos disfrazados en correos oficiales. Una vez que el destinatario abría el documento, se iniciaba una secuencia que permitía la descarga e instalación de malware empleando la técnica de 'COM hijacking', un método que explota el Modelo de Objetos Componentes de Windows. El CERT describió que dicho procedimiento instalaba una librería dinámica dañina (EhStoreShell.dll), un código de ejecución (shellcode) oculto en un archivo de imagen (SplashScreen.png) y una tarea programada denominada OneDriveHealth.

El informe oficial explicó que, al ejecutarse la tarea programada, el proceso explorer.exe era detenido y luego reiniciado, procedimiento que garantizaba la carga de la DLL maliciosa. Este archivo, a su vez, ejecutaba el shellcode incrustado en la imagen y ponía en funcionamiento la herramienta COVENANT, un software que utiliza almacenamiento en la nube para el control remoto y la persistencia en los equipos comprometidos, tal como publica la fuente citada.

El CERT atribuyó estas operaciones al grupo APT28, también identificado como Fancy Bear o Sofacy, que se asocia con la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU). Según reportó la misma fuente, este grupo enfrenta acusaciones previas por parte de agencias internacionales, señalándolos como responsables de ataques similares dirigidos contra entidades en la Unión Europea.

Por su parte, Microsoft comunicó al medio fuente la implementación de una medida adicional que refuerza la seguridad ante este tipo de amenazas. La empresa anunció que su antivirus, Defender, ahora bloquea por defecto los archivos de Office provenientes de Internet cuando se consideran sospechosos, a menos que el usuario los marque explícitamente como seguros, dificultando así la explotación de brechas de seguridad recién descubiertas.

El CERT remarcó la celeridad con la que los atacantes adaptaron su estrategia tras la divulgación del parche de Microsoft. Según se consigna en su informe, los documentos maliciosos analizados fueron elaborados en un plazo muy breve posterior a la actualización oficial, lo que sugiere un seguimiento directo de los comunicados de las empresas tecnológicas para aprovechar vulnerabilidades de reciente divulgación antes de su adopción generalizada por los usuarios.

El reporte también destacó la precisión con la que se seleccionaron los destinatarios, puestos que todos los correos electrónicos atacados mantenían vinculación directa con organismos oficiales ucranianos. Este patrón, de acuerdo con lo informado por el medio, refuerza la hipótesis de una campaña dirigida y coordinada desde estructuras asociadas a servicios de inteligencia externos. Los mecanismos utilizados buscaban no solo el acceso sino también la permanencia oculta en los sistemas comprometidos mediante herramientas avanzadas de control remoto y técnicas que dificultan la detección por parte de las soluciones convencionales de ciberseguridad.

Finalmente, la publicación de la fuente subrayó que este tipo de incidentes refleja la evolución constante de las amenazas informáticas, especialmente en contextos de conflicto donde los ataques cibernéticos se integran dentro de estrategias más amplias de desestabilización y espionaje institucional. Tanto las autoridades ucranianas como Microsoft recomendaron reforzar la actualización de sistemas y la vigilancia ante la recepción de documentos y enlaces no verificados como principal medida de mitigación frente a ataques similares.

Entre los sancionados se encuentran personas y empresas de Rusia, Emiratos Árabes Unidos y Vietnam, que habrían facilitado la exportación encubierta de petróleo ruso y operaciones de ciberataque, de acuerdo con la información oficial ucraniana. El nuevo paquete de sanciones fue anunciado este lunes por el presidente Volodimir Zelenski e incluye a diez individuos y seis entidades involucrados en el apoyo logístico, financiero e informativo a actividades de Moscú destinadas a evadir las restricciones internacionales y perpetrar acciones encubiertas en el extranjero.

Según informó el medio Europa Press, el decreto firmado por el mandatario ucraniano busca alinear las sanciones nacionales con las adoptadas previamente por la Unión Europea, con el objetivo de maximizar la eficacia de las medidas restrictivas y cerrar espacios que permitan financiar la ofensiva militar rusa. La Presidencia de Ucrania detalló en un comunicado que las personas y compañías afectadas han facilitado tanto la transferencia y exportación de crudo ruso mediante la denominada “flota fantasma”, como campañas de desinformación y ciberataques dirigidos contra Kiev, la Unión Europea y la OTAN.

En el mismo comunicado recogido por Europa Press, se precisa que varios de los individuos sancionados habrían operado a través de sus propias sociedades para asegurar el suministro de petróleo ruso, sorteando así los embargos y limitaciones promovidos por Occidente. Además, se apunta que parte de los sancionados integran el Servicio de Inteligencia de Rusia, a quienes se les responsabiliza de diferentes campañas de ciberespionaje. Estas maniobras electrónicas, según las autoridades ucranianas, buscaban extraer información confidencial de agencias estatales tanto de Ucrania como de aliados europeos y del Atlántico Norte, además de causar inestabilidad en las infraestructuras tecnológicas de estos países.

Europa Press indicó que existe un componente informativo dentro del operativo sancionado, ya que entre los afectados también figuran propagandistas rusos que, según la versión oficial, habrían participado en la promoción de mensajes favorables al Kremlin y en la manipulación de la opinión pública internacional para debilitar el respaldo político y logístico a Ucrania. Dentro del grupo objeto de sanciones se incluyen ciudadanos rusos y extranjeros, así como empresas en varias jurisdicciones fuera de la Federación Rusa.

El decreto presidencial subraya la decisión de profundizar la coordinación con la Unión Europea en materia sancionatoria. Kiev ha aprobado en el último año cerca de 15 paquetes de sanciones junto a los países comunitarios para cerrar las vías de financiación que posibilitan la continuidad de la invasión rusa. Zelenski remarcó, en declaraciones recogidas por Europa Press, la necesidad de “intensificar la presión sobre el agresor y anular todas las oportunidades de financiar la guerra”. Añadió que parte de la estrategia ucraniana apunta a “socavar las actividades de Rusia no solo contra Ucrania, sino también contra los países de la Unión Europea y la OTAN”.

Europa Press explicó que la llamada “flota fantasma” hace referencia a una red de buques comerciales sin identificación clara y con estructuras empresariales opacas, que operan al margen de los sistemas de monitoreo internacional para transportar y vender petróleo ruso pese a las sanciones en vigor. Las autoridades ucranianas afirman que estas operaciones clandestinas generan recursos estratégicos para el gobierno de Moscú y permiten ampliar sus márgenes de maniobra frente a las medidas económicas impuestas por la comunidad internacional.

El paquete anunciado por Ucrania incluye restricciones sobre los activos en territorio ucraniano de los sancionados, así como la prohibición de transacciones comerciales y la participación en operaciones financieras, especificó el medio Europa Press. La Presidencia de Ucrania expresó que el alcance de las sanciones afectará tanto a los beneficios económicos derivados de la exportación energética como a la capacidad tecnológica y propagandística del aparato estatal ruso y de sus intermediarios.

El Ejecutivo ucraniano sostiene, en información consignada por Europa Press, que el refuerzo de la política de sanciones contribuye a debilitar los cimientos financieros y operativos de la maquinaria militar rusa y de sus redes de influencia internacionales. Las autoridades de Kiev advirtieron que seguirán impulsando medidas coordinadas y ampliadas en este ámbito, en colaboración con los socios europeos, hasta que se logre detener por completo la financiación exterior que sustenta el esfuerzo bélico de Moscú y sus operaciones de desinformación y ciberespionaje.

Ana Lleido tiene una hija adolescente, a punto de cumplir 17 años. La joven compró hace unas semanas una blusa en la web de Zara, el buque insignia del gigante de la moda Inditex. Una prenda de tan solo 20 euros. En el formulario que rellenó pidió que le entregaran el producto en un locutorio habilitado para ello que hay en su barrio. Abonó 3,95 euros de gastos de envío. Todo con la tarjeta de su madre. Todo normal. Como una más de las miles y miles de compras electrónicas que se realizan a diario. Los datos del grupo muestran que la compra digital ya no es un complemento: es una parte estructural del negocio. En el ejercicio 2024, las ventas online de Inditex crecieron un 12% y alcanzaron los 10.163 millones de euros, lo que representa el 26,3% de toda la facturación anual.

Pero pasaba el tiempo y la hija de Ana no recibía el pedido. Se puso en contacto con el servicio de atención al cliente de Zara y allí le informaron que había habido un problema: el locutorio había alegado problemas de almacenaje y no había podido recibir el paquete. La blusa había sido devuelta a los almacenes de Zara. “Menos mal que hicimos el seguimiento del producto, porque si no nadie nos dice nada”. Ana y su hija solicitaron la reclamación de lo pagado. No merecía la pena volver a esperar por una blusa que no sabían cuándo iba a ser entregada. Zara les reintegró los 20 euros de la blusa, pero no los 3,95 que pagaron por el envío, un envío que nunca llegó al comprador. “El fallo había sido suyo, por qué teníamos que correr nosotros con ese gasto. No es lógico”, explica a Infobae.

Así que reclamaron los 3,95 euros a Zara. Sin suerte. ¿Es normal que la compañía no reintegre los gastos de envío si este envío no se ha podido gestionar por culpa del vendedor? Este diario ha trasladado esta pregunta a la compañía. No ha obtenido respuesta. Ana, harta de que los consumidores tengan tantos problemas para ejercer su derecho, se limitó a poner un mensaje en su cuenta de la red social X. “@ZARA, compro una prenda, pido el envío a una dirección que me dais disponible (un locutorio). El envío nunca llega, no sabemos por qué. En el locutorio no saben nada, vosotros tampoco. Me devolvéis el dinero de la prenda, pero no los gatos de envío. Si no es una estafa, lo parece”, les escribe. @Zara es una de las cuentas de la compañía, aunque esta recomienda @zaraes y @ZARA_Care para consultas de atención al cliente.

Un simple mensaje. Suficiente para un estafador avezado. Ana recibe otro mensaje a través de X. Su interlocutor se llama Merlín, asegura que trabaja en atención al cliente de Zara y que quiere hablar con ella para que le explique el problema. Pide que siga una cuenta (@zara customer care) para que puedan hablar en privado. En realidad es una cuenta falsa, pero Ana no se da cuenta en ese momento. Una vez conectados, Merlín pide el teléfono de Ana para llamarla. Al otro lado hay una voz en inglés, desde Londres. “Le pregunté por eso. Me escriben en español, me llaman en inglés, pero me argumentan que al ser una compañía consolidada internacionalmente, este servicio es en inglés, el idioma universal, Y que como mi mensaje ha salido a las redes sociales, me atienden desde una central de Londres. Tendría que haber empezado a sospechar, pero como el inglés es un idioma tan corriente en mi profesión, pues lo vi hasta normal”.

Un pago como gancho

Merlín le pide el número de pedido y varios datos, como si fuera un empleado de Zara muy solícito. Al final llega a la conclusión de que Ana tiene razón y le comunica que le van a hacer el reembolso de los 3,95 euros. Pero necesita el número de tarjeta con el que hizo la compra. El número y el código de seguridad de tres números. Ana pica y se lo facilita. Al poco rato recibe una notificación en el móvil de su cuenta bancaria informándole que en pocos días tendrá un ingreso de 3,95 euros. Parece que todo está en orden. “Lo más curioso es que la información que recibí en el móvil era igual en forma y contenido a la del reembolso de los 20 euros de la blusa no entregada. El mismo remitente, Zara.com”, explica Ana. No sospechó.

Pero Merlín no quiere acabar aquí. Ya tiene la confianza de Ana, que piensa que ha recuperado los gastos de envío. Así que le dice que Zara quiere tener un detalle con ella por las molestias ocasionadas. Los clientes son los primeros. Le dice que la política de la compañía es una compensación y le vuelve a mandar un mensaje a su tarjeta, a través de la aplicación del banco, para que lo acepte. Pero el mensaje dice claramente que autorice una compra online de 500 euros. “Menos mal que me dio por mirar atentamente el mensaje. Ahí ya caí. Qué tipo de compensación era aquella en la que yo tenía que autorizar un pago de 500 euros. Se lo dije ya medio enfadada, medio riéndome. Y ellos insistían en que aceptara, que era un simple trámite administrativo para que me pudieran dar la compensación”, continúa Ana.

Ana colgó y se dio cuenta de que había sido víctima de un intento de estafa. “Y seguían llamándome al teléfono. Ya no lo volví a coger. Anulé la tarjeta porque había dado datos sensibles, mi puse en contacto con el banco y me fui a poner una denuncia, porque era posible que durante nuestra conversación, en la que yo había dado los números de mi tarjeta, hubieran intentado hacer algún pago con ella y quitarme el dinero”, concluye Ana su peculiar historia. La Policía le dijo en comisaría que solo podía poner denuncia si había habido ilícito penal, es decir, si la habían quitado dinero de la tarjeta. No era el caso. Las estafas informáticas se han disparado en España desde el año 2021, según datos del ministerio del Interior, pasando de las 267.011 denunciadas a ese año a las 412.850 de 2024 (un incremento del 54%).

Luego Ana comprobó que el presunto empleado de Zaza le había llamado desde Londres y que ese número pertenecía a una empresa llamada TapTap Send, se trata de un servicio de transferencia de dinero de bajo costo que sirve para conectar con personas que viven en el extranjero. La aplicación fue lanzada en 2019 y se caracteriza por sus bajas tarifas para el envío de dinero a África, Asia y América Latina. Al parecer un número utilizado en estafas, según varias denuncias de usuarios en Internet. Para rizar el rizo, Ana empieza a recibir mensajes con enlaces para que pinche, enlaces que la incitan a comprobar información financiera que realmente busca sacarle dinero. ¿Tiene conocimiento Zara de este tipo de estafas utilizando su marca?, ¿ha denunciado Inditex a la Policía este tipo de prácticas fraudulentas? No ha habido respuesta por parte de la compañía.

La irrupción de la inteligencia artificial ha cambiado para siempre el escenario del fraude digital. En un mundo donde las amenazas evolucionan tan rápido como la tecnología, el enfoque tradicional de validar solo la identidad ha quedado rezagado y se necesitan otras posturas para frenar una problematica que afecta a usuarios y aempresas.

Lo que se busca ahora no es solamente centrarse en el evaluación física de la persona, como su rostro o datos biometricos, sino enfocarse en el comportamiento de los usuarios para distinguir a los legítimos de los impostores y combatir el crecimiento de ataques.

Actualmente, según Carlos Ayalde, CEO de GatekeeperX, “el fraude supera trillones de dólares en el mundo y además crece al mismo ritmo al que crecen los pagos digitales, es decir, entre un 20 y 25% cada año”, todo en medio de la implentación de IA para diseñar más ataques y superar validaciones de indentidad.

Cómo la IA es usada para realizar ciberataques

La inteligencia artificial no solo ha sido adoptada por los sistemas de defensa, sino también por los propios estafadores. Para Ayalde, “la IA juega un rol fundamental tanto en el ataque como en la defensa”. En el lado oscuro, se utiliza para generar imágenes, videos y páginas web que son réplicas exactas de las originales, con el objetivo de inducir al error al usuario final.

Además, existe una industria creciente conocida como “fraude como servicio”, donde se venden cursos, tutoriales y asesoría personalizada para cometer delitos digitales usando inteligencia artificial. Los criminales “son más innovadores, no tienen procesos, no tienen que validar nada con equipos de tecnología, legal o compliance”, advierte el directivo.

Mientras tanto, las instituciones deben lidiar con regulaciones, presupuestos y una menor velocidad de reacción.

Cómo es la nueva forma de validar la identidad usando IA

El paradigma tradicional de prevención de fraude se centraba en la validación de la identidad en el momento del acceso. Sin embargo, la sofisticación alcanzada por los atacantes obliga a ir mucho más allá.

La estrategia más efectiva en la actualidad es observar el comportamiento transaccional del usuario. El objetivo ya no es solo responder a la pregunta de si un cliente es quien dice ser, sino si realmente se comporta como lo haría habitualmente.

Esto implica analizar señales como el tipo de dispositivo utilizado, la ubicación geográfica al momento de la operación, los montos y patrones de consumo, y cualquier desviación respecto al historial.

En palabras del CEO, “las empresas han invertido mucho dinero en validar el control en la puerta de entrada, es decir, validar la identidad. Y entonces, el fraude ha ido mutando hacia suplantar la identidad cada vez de una manera más sofisticada y más bien ir a tener comportamientos extraños en la parte transaccional”.

Por eso, el reto actual es detectar no solo quién accede, sino cómo se comporta durante toda su interacción con la plataforma.

Las soluciones más innovadoras no se basan en multiplicar los controles, sino en hacerlos más inteligentes y flexibles. “Poner muchos más controles muchas veces no reduce el fraude, pero sí afecta a usuarios legítimos”, destaca Ayalde.

La clave está en aplicar modelos de inteligencia artificial que aprendan del comportamiento de los usuarios, comparen cada transacción con los historiales previos y detecten anomalías de forma autónoma. Este tipo de sistemas analiza millones de eventos, desde la apertura de sesiones hasta la creación de cuentas desde un mismo dispositivo o el uso de ubicaciones previamente asociadas a fraudes.

Ayalde pone un ejemplo práctico: “Empezamos a detectar si desde un mismo dispositivo móvil se están abriendo muchas cuentas. Puede que esas cuentas no hayan hecho todavía ninguna transacción, pero ya de entrada el sistema va entendiendo que aquí hay un comportamiento sospechoso y las va marcando como sospechosas para que se tomen decisiones cuando haga una transacción”.

Así, la inteligencia artificial no solo observa lo que ocurre, sino que reacciona en tiempo real y puede incluso contactar al usuario mediante una llamada automatizada para validar la operación.

La plataforma desarrollada por GatekeeperX ya está en funcionamiento en procesadores de pago de Latinoamérica, con resultados medibles. “Han reducido 10% el fraude que tenían antes, que ya era muy bajito. Pero sobre todo, lograron crecer más de tres puntos porcentuales la tasa de aprobación”, informa el CEO. Esto significa menos transacciones bloqueadas por error y una experiencia más fluida para los clientes legítimos.

El 28 de enero, en el marco del Día Internacional de la Protección de Datos, diversos actores del sector tecnológico y de ciberseguridad advierten sobre una tendencia preocupante: los ciberataques potenciados por inteligencia artificial (IA) han provocado un aumento de hasta 500% en el robo y circulación de contraseñas a nivel global, según el Threat Landscape Report 2025 de Fortinet.

En este contexto, la inteligencia artificial aparece como un arma de doble filo. Por un lado, fortalece la eficiencia operativa y la capacidad de prevención de incidentes.

Por otro lado, es utilizada por ciberdelincuentes para perfeccionar ataques cada vez más sofisticados, sobre todo en regiones como América Latina, donde los sectores financiero, gubernamental, salud y servicios públicos son objetivos prioritarios.

Por qué América Latina se ha convertido en un blanco frecuente de ciberataques

La transformación digital acelerada en países latinoamericanos ha ampliado la superficie de ataque para los ciberdelincuentes. El Latin America Threat Landscape Report 2025 de CrowdStrike identifica a sectores clave, como el financiero, el gubernamental y el de utilidades, entre los más afectados por incidentes de robo de datos y phishing dirigido.

Xertica.ai advierte que la falta de infraestructura de ciberseguridad robusta y la escasa cultura de protección de datos en algunas organizaciones aumentan la vulnerabilidad.

Asimismo, la región enfrenta desafíos vinculados a la implementación de regulaciones y la actualización de tecnologías, lo que la convierte en un espacio propicio para la difusión de ataques sofisticados.

Qué es la “IA Blindada” y cómo puede ayudar a proteger los datos sensibles

Frente a este problema global, empresas como Xertica.ai impulsan el concepto de “IA Blindada”, una estrategia que combina inteligencia artificial para ciberseguridad, gobernanza de datos, arquitectura segura y capacitación continua de los equipos.

El objetivo es impedir que las propias herramientas de IA empleadas por las organizaciones se conviertan en vectores de riesgo para la información crítica. Sergio Pohlmann, director de ciberseguridad de Xertica.ai para Brasil y América Latina, explica que la protección no solo depende de la tecnología.

“Ninguna solución es eficaz si las personas no están preparadas. Las capacitaciones recurrentes, las simulaciones de ataques y una cultura organizacional orientada a la seguridad son fundamentales para reducir el impacto del phishing”, afirma el ejecutivo.

Por qué la capacitación es clave ante el aumento del phishing

El componente humano sigue siendo esencial frente a la sofisticación de los ataques de phishing. Los empleados y usuarios finales representan el primer eslabón en la defensa contra el robo de datos. La capacitación recurrente y la realización de simulacros permiten identificar amenazas y actuar con rapidez ante intentos de fraude.

La cultura organizacional enfocada en la seguridad y la adopción de programas de formación actualizados refuerzan la protección de la información.

Según Pohlmann: “Estamos ante una nueva generación de fraudes digitales. La inteligencia artificial permite que los ataques de phishing sean altamente dirigidos, explotando el lenguaje, el contexto y el comportamiento humano”.

Ante esto, el ejecutivo agrega: “Esto exige que las empresas adopten una postura mucho más estratégica en relación con la protección de datos”.

De qué forma evoluciona la protección de datos como prioridad estratégica

La protección de datos ha dejado de ser un asunto exclusivamente técnico para ocupar un lugar central en la estrategia y reputación de las compañías.

Organizaciones expertas en ciberseguridad insisten en que el uso responsable de la inteligencia artificial requiere espacios seguros, transparentes y alineados con las normativas locales.

En este sentido, proteger la información se traduce en preservar la confianza de clientes, ciudadanos y socios. “Las empresas que invierten en IA de forma segura y responsable estarán mejor preparadas para crecer, innovar y relacionarse con sus clientes y con la sociedad”, dice Pohlmann.

La fecha del Día Internacional de la Protección de Datos funciona como recordatorio de la importancia de fortalecer las defensas frente a amenazas que evolucionan a la misma velocidad que la tecnología.

El desarrollo de herramientas para evitar el acceso no autorizado a archivos y la recepción de llamadas de desconocidos ha marcado un nuevo paso en la protección de cuentas digitales, especialmente para personas vulnerables a ataques sofisticados. En ese contexto, WhatsApp ha introducido la Configuración Estricta de la Cuenta, una función presentada como un avance que agrupa opciones avanzadas de privacidad y permite a los usuarios restringir archivos, multimedia y comunicaciones con desconocidos de manera simplificada. Según informó el blog oficial de la plataforma, esta actualización se convierte en una respuesta directa a la necesidad de reforzar la seguridad en aplicaciones de mensajería.

De acuerdo con lo publicado por WhatsApp en su blog de Meta, la nueva herramienta permite aplicar, en cuestión de segundos, restricciones de seguridad orientadas a proteger los datos del usuario. Entre las opciones incluidas se encuentra el bloqueo automático de archivos adjuntos y contenido multimedia recibidos de remitentes no identificados en la lista de contactos, así como el silenciamiento de llamadas provenientes de números desconocidos. La compañía destacó que el objetivo principal de esta función consiste en centralizar múltiples capas de protección dentro de un mismo apartado en la aplicación, evitando que los usuarios deban configurar cada parámetro de privacidad de forma individual.

La función de Configuración Estricta de la Cuenta, según consignó el blog oficial de Meta, ha sido ideada pensando en aquellos usuarios que pueden ser blanco de ciberataques complejos, como periodistas y figuras de relevancia pública. Al centralizar opciones avanzadas de privacidad y permitir su activación simultánea, la plataforma facilita una reacción más rápida ante posibles amenazas de seguridad. La compañía detalló que basta con acceder al menú de Ajustes, seleccionar Privacidad y, dentro de la sección 'Avanzado', activar la protección con un solo toque. La desactivación de la función se podrá realizar del mismo modo cuando el usuario lo desee.

El medio detalló que una vez habilitada, la Configuración Estricta de la Cuenta no solo bloquea el ingreso de elementos de remitentes externos a la red de confianza del usuario, sino que también puede limitar ciertas funcionalidades de la propia aplicación, restringiendo interacciones consideradas inseguras ante un potencial ataque. La herramienta fue concebida como un “confinamiento digital” temporal, permitiendo reforzar al máximo la seguridad en momentos críticos.

WhatsApp ya emplea mecanismos como el cifrado de extremo a extremo en mensajes y llamadas privadas, que constituyen un estándar de protección en la plataforma. No obstante, el despliegue de esta nueva opción responde al incremento de intentos de suplantación, acceso indebido y campañas sofisticadas para obtener información de cuentas que sufren un riesgo especial.

A partir de este martes, Meta ha inaugurado el despliegue de la Configuración Estricta de la Cuenta. El blog oficial de WhatsApp aclaró que la implementación será gradual y se prevé que los usuarios accedan a la nueva función durante las próximas semanas. La finalidad es proporcionar una herramienta eficaz que, con pocos pasos, refuerce de inmediato la privacidad y evite posibles filtraciones o secuestros de información a través de mecanismos automatizados de defensa.

La compañía manifestó que la actualización mantiene la filosofía de facilitar a los usuarios un entorno digital privado y seguro, donde las comunicaciones personales permanecen protegidas frente a riesgos emergentes. Para quienes buscan un nivel adicional de resguardo, esta novedad agiliza los procesos de configuración y suprime la necesidad de ajustar cada parámetro por separado, integrando todas las medidas esenciales en un solo comando accesible.

De acuerdo con el comunicado reproducido por el blog corporativo, la función permanecerá disponible para activarse y desactivarse tantos veces como el usuario considere necesario, adaptándose a distintas circunstancias de riesgo o a la evolución de la amenaza. Así, WhatsApp propone un sistema dinámico de defensa que atiende las demandas de privacidad y control de la información personal, en línea con los desafíos que enfrenta la comunicación digital actual.

La Agencia Española de Protección de Datos (AEPD) ha reportado que en 2025 se emitieron más de 200 millones de comunicaciones a raíz de la existencia de brechas de datos personales consideradas de alto riesgo, según consignó el organismo en su último informe anual. Este elevado volumen de notificaciones refleja la gravedad de los incidentes y la amplia repercusión que tuvieron sobre la privacidad de las personas y las obligaciones legales de las organizaciones responsables. La noticia principal, tal como destacó la AEPD, radica en el notable incremento de exposiciones de información sensible, con predominancia de causas ligadas a ciberataques y fallos en plataformas empresariales.

Según detalló la agencia y publicó el medio de referencia, durante el año 2025 se recibieron un total de 2.765 notificaciones de brechas de datos personales. El ochenta por ciento de estos incidentes involucraron al sector privado y el veinte por ciento al sector público. El organismo interpretó estas cifras como un reflejo del alto número de situaciones en las que los datos de carácter personal se han visto comprometidos, generando riesgos significativos para los derechos y libertades de los afectados.

En el desglose de los incidentes, la AEPD precisó que once de las brechas detectadas se consideraron de severidad alta, por lo que fueron trasladadas a una fase de investigación adicional. Esta decisión obedeció a la presencia de indicios sobre la falta de diligencia por parte de las organizaciones, ya sea en su respuesta ante la brecha o en las medidas preventivas implementadas previamente. El organismo subrayó la importancia de analizar estos casos en mayor profundidad por la posible repercusión en la protección de datos y la seguridad de la información.

Los informes de la AEPD revelaron que las brechas con mayor número de personas afectadas estuvieron relacionadas con ciberincidentes, especialmente ataques de ransomware e intrusiones en sistemas de información con objetivo de extraer grandes cantidades de datos personales. Tanto las empresas que gestionan relaciones con clientes (CRM) como otros encargados del tratamiento de datos resultaron especialmente vulnerables, identificándose un volumen "extraordinariamente alto" de afectados en estos casos, según informó la agencia.

La vía de acceso más frecuente utilizada en estos ataques consistió en el ingreso a redes privadas virtuales (VPN) corporativas o a aplicaciones web. Estos accesos, de acuerdo con la AEPD, se facilitaron por el uso de credenciales comprometidas de usuarios legítimos. A este respecto, el organismo remarcó que la utilización del segundo factor de autenticación representa una barrera eficaz, recomendando su implementación para reducir la posibilidad de accesos no autorizados y la consiguiente exposición de datos.

El informe presentado por la AEPD también contempló brechas de datos personales cuyos orígenes no estuvieron asociados a ciberincidentes. Entre estos casos se identificaron errores humanos, como el envío de información personal a destinatarios erróneos o la exposición accidental de datos a través de sistemas o documentos accesibles por terceros. Estos fallos, aunque de naturaleza distinta a los ataques informáticos, también conllevaron riesgos para la privacidad y generaron la obligación de notificar a las personas potencialmente afectadas.

Según detalló el órgano regulador, la notificación de estas incidencias resultó obligatoria por el alto riesgo para las personas. Las más de 200 millones de comunicaciones remitidas durante 2025 incluyeron avisos a individuos cuyos datos pudieron verse expuestos, ajustándose al marco normativo que exige a los responsables poner en conocimiento a los afectados ante situaciones en las que su privacidad o sus derechos fundamentales pudieran estar comprometidos.

El balance elaborado por la AEPD mostró que la mayoría de los incidentes notificados en el periodo analizado se originaron en entidades privadas, lo que según el organismo obedece al volumen de datos gestionados y al uso intensivo de plataformas tecnológicas por parte de este sector. En cuanto al sector público, si bien representa un porcentaje menor, también se vieron comprometidos datos en instituciones estatales y organismos vinculados.

Asimismo, el organismo reiteró la necesidad de adoptar medidas técnicas y organizativas más robustas como parte de la prevención. La agencia remarcó que el segundo factor de autenticación propone una barrera significativa frente a accesos indebidos y recomendó su uso tanto en el sector privado como en el público. Igualmente, la capacitación del personal y la revisión periódica de los sistemas de tratamiento de datos aparecen como estrategias “esenciales” para minimizar los riesgos de filtraciones accidentales.

En el análisis de las motivaciones y consecuencias de las brechas más graves, la AEPD vinculó los ataques de ransomware y la exfiltración masiva de datos personales con la actividad de grupos cibercriminales que buscan explotar vulnerabilidades en grandes plataformas empresariales. Este tipo de incidentes no solo implica un riesgo inmediato para la privacidad de los afectados, sino que también expone a las empresas a sanciones, reclamaciones y afectaciones reputacionales, según añadió el informe difundido por la agencia.

Los datos recopilados permitieron a la AEPD identificar tendencias en la naturaleza y frecuencia de los incidentes, permitiendo establecer alertas tempranas e impulsar mejoras normativas y tecnológicas. El organismo concluyó que la respuesta efectiva ante brechas de seguridad, la información transparente a los afectados y la rápida investigación de los casos más severos constituyen aspectos centrales en la protección de los datos personales en España, según publicó la propia agencia.

La ciberseguridad industrial se ha convertido en un desafío urgente para sectores estratégicos a nivel global. El avance de la digitalización y la creciente conectividad de las infraestructuras han expuesto a fábricas, plantas de energía y sistemas automatizados a amenazas que impactan directamente su operación y seguridad.

En ese panorama los sistemas de biometría y la automatización de edificios emergen como los blancos más vulnerables frente al auge de los ciberataques, según el último informe de la empresa de ciberseguridad Kaspersky.

La relevancia del tema se refleja en que, solo en el tercer trimestre de 2025, el 20,1% de los sistemas industriales sufrió ataques de malware, una cifra apenas menor al 21,9% registrado a comienzos de año. El análisis de ciberseguridad advirtió que la presión sobre entornos industriales esenciales no se detiene, afectando especialmente a áreas sensibles como energía, manufactura, transporte y logística.

Cuál es la consecuencia de las vulneraciones en ciberseguridad

Las consecuencias de los incidentes digitales van más allá del ámbito tecnológico. Una sola brecha puede ocasionar paradas de producción, retrasos en la cadena de suministro y pérdidas económicas relevantes, además de poner en riesgo la seguridad física de personas e instalaciones.

La digitalización acelerada de la industria ha multiplicado las vías de acceso para los atacantes, lo que obliga a revisar y fortalecer las estrategias de protección.

Cuáles fueron los sistemas de seguridad más afectados

En el análisis de Kaspersky se identificó que los sistemas de biometría registraron la mayor proporción de equipos industriales afectados, con un 27,4% de intentos de ataque durante 2025. La automatización de edificios ocupó el segundo lugar, con un 23,5%.

Les siguen el sector eléctrico (21,3%), la ingeniería e integración OT (21,2%), la construcción (21,1%), la manufactura (17,3%) y el petróleo y gas (15,8%). Estos porcentajes evidencian una presión sostenida sobre todos los sectores clasificados como críticos.

El informe subraya que los atacantes ya no se limitan a buscar vulnerabilidades técnicas. Ahora explotan relaciones de confianza, cadenas de suministro y proveedores críticos como puertas de entrada a redes industriales. Una brecha en un solo proveedor puede afectar a decenas de organizaciones de manera simultánea, multiplicando el alcance e impacto de los ciberataques.

Cómo influyó la IA en los ataques de ciberseguridad

Uno de los factores que más influye en la evolución de las amenazas es el uso creciente de inteligencia artificial en campañas maliciosas. Durante el último año, la compañía de ciberseguridad detectó un aumento de operaciones basadas en agentes autónomos, capaces de adaptarse y desplazarse por redes industriales con mayor rapidez.

Esto ha reducido los tiempos de detección y ampliado el alcance de los ataques, elevando la presión sobre los equipos responsables de la seguridad.

El aumento de conexiones a Internet en plantas industriales, especialmente en zonas remotas, agrava la situación. Muchas de estas infraestructuras fueron diseñadas sin contemplar la exposición digital actual y operan con sistemas de protección desactualizados.

Este escenario facilita ataques automáticos, ejecutados desde cualquier parte del mundo y de forma constante, lo que incrementa la vulnerabilidad de fábricas, plantas de energía y sistemas de transporte.

La digitalización de los procesos industriales multiplica los puntos de entrada para los atacantes y complica la defensa integral. La seguridad física, la protección de los empleados y la integridad de los procesos industriales pueden verse afectadas por una brecha digital. El uso de sistemas de biometría y automatización aporta eficiencia, pero también amplía el rango de amenazas posibles.

Recomendaciones de seguridad empresarial

Ante este panorama, los expertos han recomendado la realización de evaluaciones periódicas de seguridad, con el objetivo de identificar y corregir vulnerabilidades. La gestión eficaz del riesgo requiere establecer procesos continuos de evaluación y priorización, apoyados en soluciones especializadas que aporten información práctica y actualizada.

Actualizar los componentes críticos de la red industrial y aplicar parches de seguridad en cuanto sea técnicamente posible resulta indispensable para prevenir incidentes graves. Además, la capacitación del personal en prevención, detección y respuesta ante incidentes se presenta como una de las medidas más importantes para mejorar la preparación de las organizaciones.

La protección de las infraestructuras críticas exige una combinación de tecnología, procesos y capacitación continua.

En los últimos años, las amenazas informáticas adoptaron nuevas formas y aumentaron su alcance, afectando tanto a empresas como a usuarios individuales. Diversas técnicas ponen en riesgo la seguridad de datos sensibles y expusieron vulnerabilidades en sistemas críticos.

A medida que la economía avanza cada vez más hacia la digitalización, la protección de identidades, datos y transacciones deja de considerarse un asunto técnico y pasa a ser un factor clave para el crecimiento, la inclusión y la innovación.

Respecto a los ciberataques más comunes, según un informe de Incode Technologies y Endeavor, el phishing y la ingeniería social publicado hoy se consolidaron como tácticas predominantes en el universo de la ciberdelincuencia.

Los atacantes envían correos, mensajes y enlaces a páginas web falsas, logran generar confianza en sus víctimas y obtienen información privada. Las personas entregan contraseñas, datos bancarios y otra información sensible sin advertir el engaño, bajo la forma de un “cuento del tío digital”.

Las violaciones de datos también marcan el panorama digital. Diversos actores acceden, copian o transfieren sin autorización información confidencial de empresas, lo que facilita la filtración y venta de datos corporativos, personales y financieros a terceros. Este tipo de incidentes desencadena pérdidas económicas y daños a la reputación de las organizaciones afectadas.

El avance del malware y el ransomware impacta en la operación de sistemas y redes. Los ciberatacantes introducen software malicioso para infectar dispositivos, bloquear sistemas, exigir rescates o inutilizar información clave. Muchas víctimas sufren la alteración de la confidencialidad, la integridad y la disponibilidad de sus datos y aplicaciones.

Las vulnerabilidades en aplicaciones web y APIs se convierten en uno de los puntos más explotados por los atacantes. Las debilidades en el diseño o la implementación de sitios e interfaces de programación permiten el acceso, la modificación y la exfiltración de información, y afectan el funcionamiento de servicios esenciales.

Los ataques distribuidos de denegación de servicio (DDoS) causan la saturación de sistemas mediante tráfico malicioso generado por redes de equipos comprometidos. Esto impide el acceso a sitios web, servidores y plataformas críticas, y dejan sin servicio a miles de usuarios legítimos.

En el ámbito de las comunicaciones, los ataques man-in-the-middle permiten a los ciberdelincuentes interceptar y manipular el intercambio de datos entre usuarios, redes y dispositivos. Los atacantes espían y capturan información confidencial durante la transferencia, lo que afecta tanto a individuos como a organizaciones.

El desarrollo de la inteligencia artificial facilita la proliferación de deepfakes. Se generan contenidos de audio, imagen y video manipulados para simular autenticidad, lo que dificulta la verificación de la información y permite la difusión de fraudes y campañas de desinformación.

Por último, las amenazas de seguridad en la nube cobran fuerza a medida que las organizaciones migran sus datos y servicios a infraestructuras cloud. Los ataques comprometen la disponibilidad, integridad y confidencialidad de los recursos alojados, y obligan a las empresas a reforzar sus controles y políticas de protección.

La sofisticación y diversificación de los ciberataques modifican el escenario digital e impulsan la actualización constante de las estrategias de defensa en todos los sectores.

“La velocidad de su transformación digital es una oportunidad histórica pero también un riesgo si no se acompaña de inversión en talento, regulación inteligente y cooperación regional; fundamentales para el desarrollo económico y la construcción de confianza en la era digital”, señalaron Intercode y Endeavor.

En cuanto a Argentina puntualmente, las entidades destacaron que es un país en “evolución” en temas de ciberseguridad. Con bases legales y organizacionales establecidas, pero con la necesidad urgente de invertir en capital humano y fortalecer la cooperación para alcanzar un estadio más avanzado de madurez digital.

Argentina se encuentra en el nivel T4, es decir, en evolución del índice global de ciberseguridad, lo que refleja que ya ha superado la etapa inicial de construcción, pero aún no alcanza un nivel avanzado. Sus fortalezas se encuentran en el plano legal, técnico y organizacional.

No obstante, su desempeño resulta claramente insuficiente en materia de desarrollo de capacidades y cooperación. Se observan falencias en el fortalecimiento de capacidades en ciberseguridad, como la implementación de campañas de concientización, iniciativas educativas y programas de incentivos.

Del mismo modo, en el plano de la cooperación en ciberseguridad, se advierte la necesidad de impulsar alianzas público-privadas, ampliar la participación en acuerdos internacionales y promover una mayor colaboración interinstitucional.

El país se encuentra frente a la “necesidad urgente de invertir en capital humano y fortalecer la cooperación para alcanzar un estadio más avanzado de madurez digital”, subrayaron Incode y Endeavor.

La pauta de apagar el celular de forma periódicas ganó visibilidad internacional tras ser impulsada por figuras como el primer ministro de Australia, Anthony Albanese, y respaldada por organismos como la Agencia de Seguridad Nacional de Estados Unidos (NSA).

La práctica, que consiste en apagar el teléfono durante al menos 5 minutos cada día, busca dificultar la labor de ciberdelincuentes y minimizar la exposición del dispositivo a programas maliciosos.

Adicionalmente, este hábito contribuye a optimizar el funcionamiento interno del dispositivo. Al apagar el celular, se cierran aplicaciones que pueden estar ejecutándose en segundo plano y consumiendo recursos, lo que ayuda a liberar memoria y mejorar la velocidad de respuesta.

Realizar este procedimiento de forma regular favorece la estabilidad del sistema operativo, y puede prevenir errores o bloqueos derivados de una sobrecarga de procesos.

Por qué autoridades y expertos sugieren apagar el celular todos los días

La sugerencia de apagar el celular diariamente se fundamenta en la capacidad de interrumpir el funcionamiento de malware y obstaculizar intentos de acceso no autorizado a información confidencial.

De acuerdo con la NSA y declaraciones del primer ministro Anthony Albanese, este procedimiento permite cerrar procesos en segundo plano y cortar conexiones persistentes que podrían haber sido comprometidas.

“Todos tenemos una responsabilidad. Cosas sencillas: apaga el teléfono cinco minutos cada noche. Para quienes ven esto, hazlo cada 24 horas, mientras te cepillas los dientes o haces lo que sea”, dijo Albanese.

Esta medida, que busca integrarse con facilidad en la rutina diaria, se perfila como una defensa accesible frente a la sofisticación creciente de los ciberataques.

Cuánto tiempo debería permanecer apagado el celular para ser efectivo

La pauta de 5 minutos fue popularizada por Albanese en Australia, quien explicó que ese periodo resulta suficiente para detener completamente los procesos en segundo plano y asegurar que cualquier intento de conexión no autorizada se vea interrumpido.

La NSA coincide en la importancia de apagar o reiniciar el dispositivo, aunque sugiere hacerlo al menos una vez por semana. El lapso de 5 minutos permite liberar la memoria del dispositivo y garantiza el cierre de cualquier software malicioso que requiera una sesión activa para operar.

Esta acción resulta muy relevante frente a amenazas como el spyware y los ataques de tipo zero-click, que pueden instalarse sin que el usuario realice ninguna acción.

Qué otras medidas se deben tomar para proteger los datos personales y bancarios

Especialistas en seguridad digital y organismos como la NSA advirtieron que apagar el teléfono no es suficiente para asegurar la protección de los datos. sugieren contraseñas robustas, la autenticación en dos pasos, descargar aplicaciones únicamente desde tiendas oficiales y mantener el sistema operativo actualizado.

Asimismo, se sugiere evitar el uso de redes WiFi públicas y no compartir información sensible a través de canales no oficiales o con personas desconocidas. La combinación de estas precauciones con el apagado periódico refuerza la seguridad y disminuye las posibilidades de sufrir una intrusión o pérdida de datos.

Por qué cobra importancia este consejo en la actualidad

La medida de apagar el teléfono cada día se presenta como una respuesta pragmática, ante el incremento de ciberataques y el avance de las tecnologías utilizadas por los ciberdelincuentes.

El aumento de incidentes relacionados con el robo de datos bancarios y la vigilancia digital, llevó a que autoridades como Anthony Albanese y organismos como la NSA promuevan esta práctica de manera enfática.

La sencillez de esta acción facilita su integración en la vida diaria de los usuarios, quienes pueden realizarla durante actividades cotidianas. La medida se posiciona como un primer paso en la defensa digital, alentando a la población a adoptar hábitos que minimicen riesgos sin requerir conocimientos técnicos avanzados.

La Argentina enfrenta el desafío de fortalecer su ciberseguridad en un entorno digital cada vez más exigente. Aunque el país presenta algunas fortalezas para enfrentar el ciberdelito, aún persisten debilidades que deben abordarse en un contexto marcado por el aumento de los ciberataques y de sus consecuencias económicas.

De acuerdo a Incode Technologies y Endeavor, Argentina es un país en “evolución” en temas de ciberseguridad. Con bases legales y organizacionales establecidas, pero con la necesidad urgente de invertir en capital humano y fortalecer la cooperación para alcanzar un estadio más avanzado de madurez digital.

Más en detalle, el país se encuentra en el nivel T4, es decir, en evolución del índice global de ciberseguridad, lo que refleja que ya ha superado la etapa inicial de construcción, pero aún no alcanza un nivel avanzado. Sus fortalezas se encuentran en el plano legal, técnico y organizacional.

Sin embargo, su desempeño es notablemente bajo en desarrollo de capacidades y cooperación, mostrando deficiencias en el desarrollo de capacidades en ciberseguridad como campañas de concientización, educación y programas de incentivos.

Asimismo, en cuanto a cooperación en ciberseguridad requiere realizar alianzas público-privadas, tener mayor participación en acuerdos internacionales y fomentar colaboración interinstitucional.

Argentina se encuentra frente a la “necesidad urgente de invertir en capital humano y fortalecer la cooperación para alcanzar un estadio más avanzado de madurez digital”, señalaron Incode y Endeavor.

El contexto que explica esa necesidad es que las organizaciones latinoamericanas enfrentaron durante 2025 un promedio de 2.803 ataques semanales, muy por encima de los 1.984 a nivel global. Esto posiciona a América Latina como la tercera región con el mayor promedio de ataques semanales por organización, detrás de África (3.365) y Asia-Pacífico (2.874).

En particular, el 68% de las empresas identifica el phishing y la ingeniería social como su principal amenaza, superando al ransomware (54%) y las brechas de datos (38%).

“Las pérdidas financieras y la frecuencia de intentos superan ampliamente los promedios globales, mientras la exposición crece de forma desigual entre corporativos y startups”, destaca el reporte.

Subrayan en ese sentido que en 2025, el costo promedio de una brecha de datos en América Latina alcanzó los USD 3,81 millones, mientras que el tiempo medio para identificar y contener un incidente se extendió a 277 días: 207 días destinados a la detección y otros 70 a las tareas de contención.

Y a medida que la región avanza hacia una economía cada vez más digitalizada, la protección de identidades, datos y transacciones deja de ser una preocupación técnica para convertirse en un habilitador estratégico de crecimiento, inclusión e innovación.

Uno de los principales obstáculos para enfrentar este fenómeno es el déficit de talento en la región: se estima una falta de más de 300.000 profesionales especializados en ciberseguridad, una carencia que limita de manera significativa la capacidad de las organizaciones para desarrollar y fortalecer defensas internas.

Por otro lado, el informe advierte que en América Latina existe una brecha entre la percepción y la realidad en materia de ciberseguridad. Aunque el 65% de las organizaciones de la región asegura estar preparada para enfrentar amenazas, en la práctica predomina una cultura más reactiva que preventiva: apenas el 17% realiza evaluaciones de manera mensual o continua, mientras que un 10% nunca efectuó una evaluación formal.

Para las entidades, este escenario pone de relieve la necesidad de evolucionar desde respuestas tácticas aisladas hacia un enfoque estratégico e integral, alineado con el modelo de negocio, una demanda que se refuerza con el dato de que el 36% reconoce que su nivel de inversión en ciberseguridad resulta insuficiente.

En este marco, “América Latina está en una encrucijada. La velocidad de su transformación digital es una oportunidad histórica pero también un riesgo si no se acompaña de inversión en talento, regulación inteligente y cooperación regional; fundamentales para el desarrollo económico y la construcción de confianza en la era digital”, indican Incode y Endeavor.

“La ciberseguridad dejó de ser un reto técnico para convertirse en una decisión estratégica que define la sostenibilidad y competitividad de las empresas. Desde Endeavor, vemos la resiliencia digital como un multiplicador de confianza e innovación en el ecosistema emprendedor,” señaló Vincent Speranza, Managing Director de Endeavor en América Latina.

Por su parte, Iñigo Castillo, General Manager LATAM de Incode, dijo: “La identidad digital es la infraestructura crítica que sostiene el crecimiento económico y la innovación”.

En España, el promedio semanal de ciberataques ha alcanzado los 1.883 casos durante diciembre, lo que indica un crecimiento interanual del 5 por ciento, reportó Check Point, que a través de su informe detalla que los sectores de Instituciones Gubernamentales, Bienes y Servicios de Consumo y Telecomunicaciones han sobresalido entre los más afectados por estos incidentes. El país presenta cifras superiores a la media europea, la cual se situó en 1.677 ataques semanales, acompañada de un incremento del 9 por ciento respecto al año anterior.

El documento de Check Point aclara además que estos valores han de interpretarse dentro de un escenario marcado principalmente por la proliferación del software de secuestro de datos, denominado ‘ransomware’, y por la intensificación de la exposición a riesgos, motivada por el incremento del uso de herramientas de inteligencia artificial generativa en los entornos empresariales. Los analistas subrayan que el 2025 concluyó con un incremento global de incidentes digitales, pues la media semanal de ataques detectados en todo el mundo llegó a 2.027, lo que supone un 1 por ciento más respecto a noviembre y un 9 por ciento más en comparación con diciembre de 2024.

El sector público a nivel internacional también se encontró entre los sectores más atacados, con una media de 2.666 incidentes semanales por organización. A ello se suma el registro de las asociaciones y entidades sin ánimo de lucro, que experimentaron uno de los incrementos más importantes, llegando a 2.509 ataques semanales (un 56 por ciento más en tasa interanual). El sector de las telecomunicaciones sigue de cerca estas cifras, manteniéndose entre los más afectados.

En América Latina, el promedio se disparó a 3.065 ciberataques semanales por organización, obteniendo así el registro de mayor crecimiento interanual: un 26 por ciento más, según publicó Check Point. La región de Asia-Pacífico también presentó altos niveles de actividad maliciosa, con una media de 3.017 ataques. En contraste, África ha sido la única zona que señala una disminución interanual, aunque el informe aclara que ello responde a una variación táctica de los atacantes y no implica que la amenaza haya amainado.

Check Point asocia la expansión del uso de inteligencia artificial generativa en el entorno corporativo con nuevos desafíos en materia de seguridad. La compañía refiere que el 91 por ciento de las organizaciones que incorporan estas herramientas notificaron solicitudes de alto riesgo. Se advierte que una de cada 27 solicitudes a sistemas de generación de IA durante diciembre supuso una probabilidad significativa de exposición de datos confidenciales. En el mismo sentido, un cuarto de esas solicitudes contenía información interna o sensible y se identificó que las empresas emplearon una media de 11 plataformas diferentes de IA generativa en ese periodo. Además, según el informe, el usuario medio en el ámbito corporativo produjo hasta 56 solicitudes mensuales vinculadas a esta tecnología, lo que incrementó las posibilidades de que información clave –como datos personales, artefactos de la red interna o fragmentos de código propietario– quedara expuesta ante servicios externos sin la supervisión o el control adecuados.

Los especialistas de Check Point remarcan que esta situación fuerza a las empresas a fortalecer los mecanismos de monitoreo y restricción sobre los datos que se introducen en cada plataforma, dado que la integración de la IA generativa en el flujo cotidiano de trabajo ocurre muchas veces sin los controles ni la gobernanza necesarios en materia de seguridad de la información.

Respecto a los ataques de tipo ‘ransomware’, el informe cuantifica 945 incidentes reportados públicamente en diciembre, lo que equivale a un crecimiento interanual del 60 por ciento. Los expertos de Check Point califican este fenómeno como uno de los más disruptivos del entorno digital, por las afectaciones operativas, el impacto financiero y los casos de extorsión de información que genera en diferentes industrias. Estos ataques tienen un mayor peso en América del Norte, con un 52 por ciento de los incidentes globales, seguidos de Europa, donde representan el 23 por ciento. En este contexto, resalta la actividad del grupo Qilin, responsable del 18 por ciento de los ataques divulgados, junto con otros actores como LockBit5 (12 por ciento) y Akira (7 por ciento), este último con campañas dirigidas a sistemas Windows, Linux y plataformas virtualizadas ESXi.

En palabras de Eusebio Nieva, director técnico de Check Point Software para España y Portugal, el enfoque que deben adoptar las organizaciones durante 2026 requiere priorizar modelos de seguridad fundamentados en la prevención, aprovechar la inteligencia de amenazas apoyada por IA en tiempo real y establecer una gobernanza estricta en cuanto al uso de herramientas de inteligencia artificial a escala corporativa, según consignó el informe.

Existe un punto de inflexión en el panorama del cibercrimen organizado y en las necesidades de desarrollo de habilidades y estrategias de ciberseguridad. Un punto en el que los modelos de IA se están convirtiendo en un componente crítico y un recurso realmente útil y determinante para la gestión de operaciones de ciberseguridad, para bien o para mal. Sí, emplear agentes para la ciberdefensa es una imperiosa necesidad, pero lamentablemente la industria del cibercrimen ha decidido transitar el mismo camino. Ya existen ciberataques reales en los que los delincuentes utilizan capacidades de IA para ampliar su alcance, mejorar la velocidad de ejecución y operar a gran escala. Esta nueva realidad hace un uso intensivo de “agentes” de IA a un nivel sin precedentes, utilizándolos no solo como herramientas consultivas, educativas o de asesoramiento, sino también como brazo ejecutor de los ataques.

Distintas industrias son un blanco apetecible, pero las preferidas siguen siendo las grandes empresas tecnológicas, instituciones financieras, compañías de energía y agencias gubernamentales. Por primera vez existen indicios contundentes de ciberataques a gran escala sin una intervención humana necesaria en su ejecución. Esta nueva era de ciberatacantes representados por “agentes de IA” no tiene antecedentes, ni existen por el momento formas de mitigación o identificación temprana. Pueden operar de manera autónoma durante largos períodos y realizar tareas complejas prácticamente sin intervención humana.

Los últimos dos años han sido vertiginosos en términos de desarrollo de IA. La irrupción de agentes de IA en procesos rutinarios de la vida cotidiana se ha vuelto valiosa para la productividad y el trabajo diario; sin embargo, nos enfrentamos a un umbral preocupante: en manos equivocadas, estas herramientas pueden convertirse en un acelerador de la capacidad de ejecutar ciberataques de gran escala.

La potencia de los modelos de aprendizaje ha aumentado hasta el punto de permitirles seguir instrucciones complejas y comprender el contexto de modo tal que pueden ejecutar tareas altamente sofisticadas, como programar o codificar software. Los agentes pueden funcionar en bucles autónomos, encadenando tareas y tomando decisiones con una mínima intervención humana ocasional.

Además, tienen acceso a una amplia gama de herramientas de software de apoyo, pueden buscar información en la web, recuperar datos y ejecutar acciones que antes eran exclusivas de operadores humanos. Estas herramientas pueden incluir craqueadores de contraseñas o escáneres de red.

Convencer a una IA de participar en un ataque también es posible, más allá de que su configuración intente impedir comportamientos dañinos. Técnicas de jailbreak pueden engañarla para eludir sus restricciones de seguridad, relevar sistemas, redes e infraestructuras, identificar vulnerabilidades e incluso recopilar nombres de usuario y contraseñas que permitan acceder a información adicional o detectar cuentas con privilegios elevados. Un ataque ejecutado por una IA se produciría a una velocidad imposible de igualar por hackers humanos. Aunque parezca irreal -y levemente reconfortante-, afortunadamente muchas IA aún fallan o “alucinan”, lo que ofrece una mínima ventaja; al menos por ahora.

Estas mismas capacidades de automatización de ataques deberán utilizarse para concebir nuevos modelos de ciberdefensa, mitigación de amenazas, evaluación de vulnerabilidades y respuesta a incidentes. En la práctica, el enorme volumen de información que se debe analizar para detectar un incidente a tiempo convierte a la IA en un aliado estratégico inigualable.

La Audiencia Nacional ha impuesto una condena de un año de prisión a Raúl Stancu, un ultraderechista de 37 años, por promover en 2023 un ciberataque contra la página web del PSOE, según ha adelantado el periódico El País. Además de la pena de cárcel, Stancu deberá indemnizar al PSOE con 40.376,75 euros más intereses.

El conflicto tiene su origen en los acontecimientos ocurridos en el otoño de 2023, en un momento de fuerte tensión política y social en España. Tras las negociaciones del Partido Socialista Obrero Español con fuerzas independentistas para sacar adelante la investidura de Pedro Sánchez como presidente del Gobierno, se desató una oleada de protestas impulsadas por sectores de extrema derecha contra el principal partido del Ejecutivo.

Las movilizaciones se concentraron especialmente ante las sedes del PSOE, con especial intensidad en la calle Ferraz de Madrid, donde se produjeron enfrentamientos con la policía, cargas, uso de gases lacrimógenos y varias detenciones. Ese clima de hostigamiento político fue el telón de fondo del ciberataque que acabaría siendo objeto de enjuiciamiento.

Una herramienta para atacar al Gobierno

En ese contexto actuó Raúl Stancu, creó en octubre de 2023 en la red social X (antes Twitter) una cuenta bajo el nombre de OpStopEurabia, que se presentaba como un “Movimiento anónimo contra la expansión del Islam por España y Europa”. El perfil, que todavía sigue abierto en la red social, acumula mensajes de carácter racista y xenófobo, dirigidos principalmente contra inmigrantes, musulmanes y dirigentes de izquierdas, entre ellos el presidente del Gobierno y otros líderes políticos progresistas.

El 7 de noviembre de 2023, en pleno auge de las protestas frente a Ferraz, Stancu utilizó esa cuenta para lanzar un llamamiento público contra el PSOE y el Gobierno. A las 14.42 horas publicó un mensaje en el que pedía a otros usuarios que difundieran su iniciativa y anunciaba que habían “desarrollado una herramienta para atacar en modo de protesta al Gobierno”. El tuit incorporaba un enlace a un script informático diseñado para realizar peticiones masivas a páginas web, una técnica habitual en los ataques de denegación de servicio distribuido, que buscan colapsar los servidores mediante un tráfico artificialmente elevado.

La llamada no quedó en un mero gesto simbólico. Ese mismo día, otros usuarios de X se hicieron eco del mensaje y comenzaron a participar en el ataque. Entre ellos se encontraba un grupo de hackers conocido como Team HDP, identificado en el procedimiento como un colectivo de origen venezolano con sede en Estados Unidos. En la noche del 7 de noviembre, la empresa encargada de la gestión técnica de la web del PSOE detectó un funcionamiento anómalo de los servidores y se vio obligada a suspender temporalmente el servicio para evitar daños mayores tanto en la infraestructura como en los contenidos alojados. La página del partido quedó inoperativa durante varias horas.

Durante esa ofensiva digital, otro usuario difundió en redes sociales datos personales de 53 afiliados de la agrupación socialista de El Rosario, en Tenerife. Sin embargo, a lo largo de la investigación judicial no se acreditó que Stancu hubiera participado en esa filtración concreta, lo que llevó finalmente a su absolución por el delito de descubrimiento y revelación de secretos. El núcleo de la acusación se centró, por tanto, en su papel como impulsor y facilitador del ataque de denegación de servicio.

Hizo pública su participación

Lejos de desvincularse de lo ocurrido, Stancu se jactó públicamente del resultado. En la madrugada del 8 de noviembre, a las 00.19 horas, publicó un nuevo mensaje en X en el que celebraba que ya habían empezado a “saturar los servidores del PSOE” y llamaba de nuevo a la movilización digital con consignas como “Patriotas, os necesitamos” y etiquetas como #AmnistíaNo, #SánchezTraidor o #SánchezGolpista. Acompañó ese mensaje de otro tuit en el que volvió a facilitar el enlace a la herramienta informática utilizada para colapsar la web, rematando el discurso con expresiones como “España despierta”.

El ataque obligó al PSOE a desplegar recursos técnicos y humanos extraordinarios, tanto propios como de empresas externas, para mitigar la ofensiva, analizar lo ocurrido y restaurar el funcionamiento normal de sus sistemas. La reparación de la web y su puesta de nuevo en servicio supuso un coste total de 40.376,75 euros, cantidad que quedó acreditada mediante informes periciales y facturas incorporadas al procedimiento.

Con esos antecedentes, el Partido Socialista ejerció la acusación particular y solicitó una pena de cinco años de prisión para el acusado, mientras que la Fiscalía interesó tres años de cárcel. El Juzgado Central de lo Penal dictó sentencia en septiembre de 2025, condenando a Stancu a un año de prisión por un delito de daños y al pago íntegro de la indemnización reclamada, y absolviéndolo del delito de revelación de secretos.

Tanto la defensa como la acusación recurrieron la resolución, pero la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional, en sentencia de 20 de noviembre de 2025, ha confirmado íntegramente la condena, al considerar acreditado que el acusado realizó un llamamiento masivo, facilitó los medios técnicos necesarios y abrió la puerta a un ciberataque que tuvo consecuencias directas y cuantificables para el partido afectado.

En medio de un escenario global marcado por el aumento de amenazas digitales, una medida sencilla ha comenzado a destacarse como una defensa inicial para millones de usuarios de teléfonos inteligentes.

Apagar el celular por al menos 5 minutos diarios puede aportar varios beneficios concretos para el funcionamiento y la protección de los dispositivos. Esta pauta, impulsada por el primer ministro de Australia, Anthony Albanese, se presenta como una medida accesible que busca proteger la privacidad, los datos bancarios y la integridad de la información personal.

Cada vez más especialistas y funcionarios enfatizan que la simple acción de apagar brevemente el teléfono interrumpe procesos en segundo plano, y limita la presencia de amenazas informáticas, como el malware o el spyware.

Por qué se debe apagar el teléfono 5 minutos cada día

La pauta de apagar el celular durante cinco minutos diarios cobró notoriedad tras un mensaje público del primer ministro de Australia, quien instó a la población a incorporar esta práctica en rutinas cotidianas.

“Todos tenemos una responsabilidad. Cosas sencillas: apaga el teléfono cinco minutos cada noche. Para quienes ven esto, hazlo cada 24 horas, mientras te cepillas los dientes o haces lo que sea”, afirmó Albanese.

Esta sugerencia se perfila como una estrategia eficaz para disminuir el riesgo de ataques digitales, sobre todo aquellos que buscan vulnerar datos sensibles y cuentas bancarias.

Según estas pautas, el reinicio o apagado periódico de los dispositivos ayuda a interrumpir el funcionamiento de programas maliciosos, que podrían haber conseguido acceso al dispositivo sin el conocimiento del usuario.

Cómo ayuda el apagado del celular a prevenir ciberataques

El acto de apagar el teléfono permite cerrar todas las sesiones y conexiones activas en el sistema operativo. Diversos tipos de software malicioso, como el spyware o los ataques de tipo zero-click, requieren mantener una sesión activa para operar de forma persistente.

Expertos en seguridad digital explican que los ataques que explotan vulnerabilidades de software suelen depender de conexiones persistentes. El reinicio diario interrumpe estos procesos y dificulta la permanencia de las amenazas en el dispositivo.

El periodo de cinco minutos sugerido tiene como objetivo asegurar que todos los procesos en segundo plano se detengan y que cualquier intento de conexión no autorizada se corte por completo.

Qué tipo de amenazas logra bloquear esta práctica común

Entre las amenazas que pueden verse frustradas por el apagado diario del celular se encuentran los ataques de phishing y los intentos de acceso remoto. Al interrumpir la actividad de procesos maliciosos, el usuario reduce las ventanas de oportunidad para los atacantes.

Aunque esta práctica no garantiza una protección absoluta, es una primera barrera frente a ataques avanzados. El reinicio diario se suma a un conjunto de acciones sugeridas para fortalecer la seguridad de los teléfonos inteligentes, entre ellas, el uso de contraseñas robustas y la autenticación en dos pasos.

Cuáles otras medidas deben acompañar este hábito

Las organizaciones de ciberseguridad advierten que el apagado diario, aunque útil, no reemplaza a otras prácticas esenciales de protección digital. Entre las pautas adicionales figuran el uso de contraseñas complejas, la activación de la autenticación en dos pasos y la descarga de aplicaciones solo desde tiendas oficiales.

Asimismo, se sugiere evitar la conexión a redes WiFi públicas y no compartir información sensible a través de canales no oficiales. La creciente sofisticación de los ciberataques exige que los usuarios adopten una actitud activa y preventiva, sumando mínimas acciones que, en conjunto, elevan el nivel de seguridad de los dispositivos.

Qué dicen las autoridades expertas ciberseguridad sobre la medida

La Agencia de Seguridad Nacional de Estados Unidos (NSA) ha sugerido reiniciar los teléfonos inteligentes, al menos una vez por semana, como parte de las mejores prácticas comunes en ciberseguridad.

Esta directriz busca reducir la exposición a amenazas, al interrumpir la actividad de programas que puedan operar en segundo plano, incluidos aquellos que hayan sido comprometidos por malware.

El equipo de OpenAI ha hecho uso de bots basados en modelos de lenguaje para adoptar el rol de “atacantes” virtuales; esta estrategia se centra en simular ciberataques, con el objetivo de identificar y corregir fallos de seguridad en el navegador ChatGPT Atlas antes de que puedan ser explotados fuera de los entornos de prueba. Según publicó OpenAI en su blog, esta táctica permite a la empresa descubrir técnicas de ataque de manera interna, con la finalidad de anticiparse a amenazas externas y perfeccionar las defensas del sistema.

El navegador ChatGPT Atlas de OpenAI, lanzado en octubre, incorpora funciones diseñadas para aumentar la autonomía del asistente, brindando la capacidad de visualizar páginas web y ejecutar acciones directamente dentro del navegador. Tal como consignó OpenAI en un comunicado, estas herramientas buscan ayudar a los usuarios a navegar de forma más productiva y versátil. Sin embargo, la posibilidad de actuar de forma autónoma convierte a ChatGPT Atlas y a otros navegadores agénticos en objetivos para intentos de inyección de código. Este tipo de ataque introduce instrucciones ocultas dentro de contenido web para que sean interpretadas y ejecutadas por el modelo de lenguaje, lo que posibilita acciones bloqueadas que pueden ser perjudiciales.

OpenAI detalló en su blog que uno de los ejemplos más recientes de esta vulnerabilidad surge de lo que identificaron como “inyección de portapapeles”, donde la inteligencia artificial copia enlaces maliciosos en el portapapeles de un usuario sin su conocimiento. El problema se manifiesta plenamente si la persona termina pegando ese enlace en la barra de direcciones, lo que podría permitir la ejecución de acciones peligrosas. Según reportó la propia compañía, el surgimiento de esta amenaza reveló la necesidad de reforzar de manera continua las medidas de protección en el navegador.

Para abordar estas preocupaciones, OpenAI ha implementado un sistema de defensa que opera de forma continúa y proactiva, con el objetivo de detectar y eliminar vulnerabilidades en la fase interna, antes de que se conviertan en métodos recurrentes de ataque. Según describió el medio, la actualización de seguridad más reciente incluye el despliegue de un modelo entrenado para anticipar conductas maliciosas y un ciclo de respuesta rápida, elaborado en colaboración con el equipo rojo de la empresa. Este equipo cuenta con recursos para rastrear y analizar ciberataques, así como la capacidad para aplicar correcciones inmediatas.

Una de las innovaciones descritas por OpenAI es la utilización de un “atacante automatizado basado en LLM”, es decir, un bot capaz de simular el comportamiento de un hacker. Este bot se instruye mediante aprendizaje de refuerzo para incentivar al agente del navegador a seguir flujos de trabajo perjudiciales, con estructuras que pueden incluir decenas o cientos de pasos complejos. OpenAI señaló en su blog que mediante este proceso pueden estudiar en escenarios controlados cómo reacciona la inteligencia artificial ante tentativas de manipulación, ajustando el ataque y la defensa a cada iteración.

Según agregó la empresa, el uso continuo de estas simulaciones les permite mantenerse adelantados respecto a posibles ataques reales, y aseguraron que este tipo de estrategia, sumada a una inversión sostenida en mecanismos de control, contribuye a dificultar y encarecer los intentos de ataques de inyección de código. Con esta metodología, buscan reducir el riesgo de que las vulnerabilidades sean explotadas fuera de los entornos internos.

OpenAI remarcó en su comunicado que el enfoque para mitigar las inyecciones rápidas busca incrementar la confianza de los usuarios en el uso de ChatGPT Atlas, trabajando para que el agente sea considerado tan confiable como “un amigo altamente competente y consciente de la seguridad”. A pesar de estos esfuerzos, la compañía reconoció que la erradicación total del problema resulta improbable, comparando la persistencia de este tipo de amenazas con la de las estafas y la ingeniería social en la web. OpenAI concluyó: “Consideramos que la inyección rápida es un desafío a largo plazo para la seguridad de la IA, y necesitaremos fortalecer continuamente nuestras defensas contra ella”.

Según detalló OpenAI, su estrategia incluye la revisión constante de nuevas formas de ataque y el compromiso de mantener una mejora progresiva de los sistemas de seguridad. La empresa subrayó que la cooperación entre sus equipos internos, el empleo de bots y la actualización de sistemas conforman un ciclo de protección ajustado a la aparición de nuevos riesgos, en el que el aprendizaje reforzado juega un papel central. Además, el medio informó que la compañía apuesta por identificar vulnerabilidades internamente para minimizar el impacto potencial fuera de los laboratorios de desarrollo.

La información publicada también subraya la evolución continua de la ciberseguridad, dado que la aparición de navegadores autónomos plantea retos inéditos en cuanto a la protección de los usuarios frente a ataques diseñados específicamente para burlar las barreras impuestas en el uso de agentes de IA. Cada nueva función de autonomía puede generar escenarios no previstos, en los que tanto la prevención como la reacción temprana constituyen factores determinantes para evitar incidentes de seguridad.

La empresa sostiene que la colaboración interna, unida al uso intensivo de simulaciones automatizadas, permite detectar y reducir riesgos desde etapas tempranas. El trabajo desarrollado con equipos especializados y tecnologías avanzadas facilita que los ciclos de respuesta sean más cortos y que las soluciones se implementen antes de que las amenazas trasciendan al entorno de los usuarios finales. La protección reforzada, según describe el blog de la compañía, se mantiene como uno de los ejes prioritarios en la hoja de ruta de desarrollo de ChatGPT Atlas y otras aplicaciones basadas en IA.

OpenAI ha reconocido que su navegador de inteligencia artificial ChatGPT Atlas sigue siendo vulnerable a ciberataques del tipo inyección de instrucciones, un problema que la propia compañía admite que no podrá eliminar completamente. A pesar de los refuerzos implementados en la seguridad de Atlas, la empresa sostiene que estos ataques, capaces de manipular agentes de IA mediante órdenes ocultas en correos electrónicos o páginas web, representan un reto persistente en la seguridad en inteligencia artificial.

La compañía equipara la inyección de instrucciones con fraudes y la manipulación social frecuentes en internet, y advierte: “Es poco probable que este problema se pueda resolver algún día de manera total”. OpenAI reconoce que el “modo agente” en ChatGPT Atlas amplía de manera significativa la superficie de ataque, una preocupación que no es exclusiva de la empresa.

El Centro Nacional de Ciberseguridad del Reino Unido también ha indicado que los ataques de inyección de instrucciones probablemente “nunca podrán mitigarse por completo” en aplicaciones de IA generativa, por lo que recomienda a los profesionales de ciberseguridad enfocarse en reducir el riesgo y el impacto, más que en eliminar el problema.

La inyección de instrucciones consiste en diseñar frases o fragmentos maliciosos que, al ser procesados por un agente de IA, logran modificar su comportamiento. Investigadores y empresas como Brave han demostrado que unas pocas palabras integradas en documentos o correos electrónicos pueden hacer que navegadores como Atlas, o sistemas similares como Comet de Perplexity, ejecuten acciones no previstas.

OpenAI presentó ejemplos donde un mensaje malicioso en la bandeja de entrada llevó al agente a enviar una renuncia, en lugar de generar una respuesta automática de ausencia. Tras una reciente actualización, el sistema pudo alertar a la persona ante este intento, explicó la compañía.

Para responder a este desafío, OpenAI ha implementado un ciclo proactivo de defensa ágil, orientado a detectar nuevas tácticas de ataque antes de que sean explotadas en escenarios reales. El núcleo de esta estrategia es un “atacante automático”, una inteligencia artificial entrenada mediante aprendizaje por refuerzo para asumir el rol de un hacker interno.

Este bot ejecuta simulaciones de ataques en un entorno controlado, analiza las respuestas del sistema y ajusta sus tácticas en cada prueba, lo que permite identificar y corregir debilidades frente a ciberataques. Esta metodología, empleada también por empresas como Google y Anthropic, busca multiplicar los escenarios de prueba y acelerar los ciclos de actualización para robustecer las defensas de Atlas.

A pesar de los avances presentados, OpenAI no ha ofrecido datos que reflejen una disminución comprobable en la cantidad de ataques exitosos tras sus últimas mejoras de seguridad. Sí afirmó, a través de un portavoz, que desde antes del lanzamiento de Atlas colabora con equipos externos para fortalecer la protección ante inyecciones de instrucciones.

Expertos externos, como Rami McCarthy, investigador principal en la firma de ciberseguridad Wiz, consideran que el aprendizaje por refuerzo implementado por OpenAI es útil para adaptarse de manera constante al comportamiento de los atacantes, aunque resalta que esta es solo una parte de la solución.

McCarthy puntualiza que el riesgo en estos sistemas se determina al multiplicar la autonomía por el nivel de acceso otorgado, y advierte que los navegadores de agentes de IA se encuentran en una posición compleja al combinar autonomía intermedia con acceso muy elevado a información sensible. El especialista remarca la importancia de restringir el acceso a cuentas abiertas y exigir la revisión manual de cualquier solicitud de confirmación por parte de las personas usuarias, medidas que OpenAI también contempla entre sus recomendaciones.

OpenAI aconseja evitar conferir al agente acceso general a la bandeja de entrada y prefiere el uso de instrucciones concretas en lugar de autorizar acciones abiertas, además de establecer confirmaciones obligatorias antes de operaciones delicadas como envíos de mensajes o pagos. Según la compañía, permitir un margen de actuación demasiado amplio facilita la manipulación mediante contenidos ocultos o maliciosos, incluso si existen medidas de seguridad implementadas.

Sobre la relación entre el valor práctico de estos navegadores y los riesgos, McCarthy señala que, por ahora, la utilidad que aportan herramientas como Atlas no compensa el riesgo inherente vinculado a su acceso a datos sensibles. Este equilibrio podría modificarse en el futuro conforme la tecnología progrese, aunque actualmente las compensaciones todavía representan un dilema real.+

El Servicio de Inteligencia de Defensa de Dinamarca responsabilizó a los grupos de piratería Z-Pentest y NoName057(16) por una serie de ataques informáticos que, según explicó el propio organismo, mantienen vínculos con el Estado ruso y se alinean con los objetivos estratégicos de Moscú. De acuerdo con lo publicado por Europa Press, estos ataques perpetrados en 2024 incluyeron una incursión contra una compañía danesa encargada del suministro de agua, así como acciones de sabotaje orientadas contra plataformas institucionales, especialmente durante periodos de elevada sensibilidad política como las elecciones municipales y regionales programadas para el 18 de noviembre de 2025.

Según informó Europa Press, la existencia del ciberataque dirigido contra la infraestructura de agua no se divulgó de manera inmediata, y solo se confirmó tras el pronunciamiento reciente de las autoridades danesas, lo cual incrementó la atención sobre la naturaleza de la amenaza y el alcance de la operación. Las acciones digitalmente coordinadas afectaron también a sitios web gubernamentales, ejecutando ataques de denegación de servicio cuya función principal fue interrumpir el funcionamiento regular de portales institucionales en vísperas del proceso electoral local. El organismo de inteligencia danés detalló que el propósito de estos ataques va más allá de la simple interrupción de servicios: se inscriben dentro de una estrategia híbrida sostenida desde Moscú para desestabilizar estructuras clave y generar percepción de inseguridad entre la población.

Estas operaciones, según consignó Europa Press a partir del diagnóstico oficial danés, buscan influir tanto en el comportamiento de los ciudadanos como en la agenda política, usando la interrupción de servicios esenciales y la perturbación de procesos democráticos como herramientas de presión y manipulación. Las autoridades danesas enfatizaron que la campaña está dirigida en particular a los Estados europeos que han apoyado a Ucrania en el conflicto actual, interpretando las incursiones digitales como represalias y parte de un panorama más amplio de confrontación indirecta, donde se emplean ciberataques y desinformación para intentar alterar alianzas y debilitar la unidad occidental.

El Servicio de Inteligencia de Defensa subrayó que las agrupaciones identificadas actúan bajo la protección o con la coordinación de autoridades rusas, lo que refuerza la tesis de que estas acciones no responden al interés individual sino que forman parte integral de campañas estatales más extensas. El comunicado recogido por Europa Press hace referencia a la integración de estos esfuerzos en estrategias de desinformación mucho más amplias, dirigidas tanto a deslegitimar procesos electorales como a erosionar la confianza en las instituciones públicas y la infraestructura tecnológica fundamental de los estados miembros de la Unión Europea.

Durante la campaña de las elecciones locales de Dinamarca, los incidentes registraron una elevada coincidencia temporal con los momentos de mayor seguimiento mediático y atención social, amplificando su impacto entre la ciudadanía, según informó el medio. Las autoridades explicaron que los ataques sucedieron en fases clave del proceso electoral, lo que incrementó la inquietud sobre la posibilidad de nuevos intentos de sabotaje digital durante acontecimientos políticos críticos. El impacto pretendido de cada acción fue maximizar la percepción de vulnerabilidad y sembrar dudas entre la población sobre la integridad de los procesos políticos, en línea con la estrategia reportada por el organismo de inteligencia y recogida por Europa Press.

El informe oficial presentado en Dinamarca define la protección de infraestructuras fundamentales y la defensa contra eventos de ciberseguridad como objetivos prioritarios a partir de la rápida evolución y creciente sofisticación de este tipo de amenazas. De acuerdo con el reporte de Europa Press, el gobierno danés y otros países europeos se han enfocado en el fortalecimiento de la cooperación regional, apostando por la mejora tecnológica y la coordinación de mecanismos preventivos y de respuesta para minimizar el riesgo de futuras violaciones digitales y mitigar los efectos de intentos de injerencia externa.

La reacción de la Unión Europea surgió en respuesta directa a la atribución estatal de estos eventos, y según informó Europa Press, la portavoz comunitaria Anitta Hipper, en representación de la Alta Representante para Asuntos Exteriores Kaja Kallas, expresó que el bloque responsabiliza a Rusia por los ataques e incrementará su capacidad de reacción ante amenazas similares. “Haremos responsable a Rusia y continuaremos fortaleciendo nuestra resiliencia”, declaró Hipper, en un mensaje que refuerza el compromiso de las autoridades europeas en proteger tanto las infraestructuras críticas como la estabilidad institucional y política de los Estados miembros.

En el análisis facilitado por el Servicio de Inteligencia de Defensa, y según relató Europa Press, las operaciones cibernéticas atribuidas a Rusia encajan dentro de una tendencia observada en otros países europeos. Estas naciones han detectado patrones de acción parecidos ligados a sus respectivos periodos electorales recientes, lo que permite enmarcar las agresiones en Dinamarca como parte de una táctica regional sistemática. Esta aproximación destaca el carácter sistémico y sostenido de las campañas, que no solo buscan alterar la operatividad puntual de los servicios esenciales o influir en acontecimientos políticos concretos, sino que también aspiran a modificar equilibrios geoestratégicos por medio de herramientas digitales y campañas de desinformación, prestando especial atención a aquellos Estados que han manifestado respaldo a Ucrania.

El panorama delineado por el informe danés, recogido por Europa Press, describe un entorno de conflictividad creciente en el que la ciberseguridad y la protección de los sistemas democráticos ocupan un lugar clave en la agenda política y diplomática europea. El documento cierra advirtiendo que las acciones atribuidas a Moscú reflejan la utilización coordinada y estructural de la ciberguerra y la manipulación informativa, configurando un desafío directo para la estabilidad y la autonomía estratégica de la región en el actual escenario internacional. La respuesta europea, de acuerdo con el medio, se orienta hacia un refuerzo de las alianzas y capacidades técnicas para hacer frente a la sofisticación y el alcance de estos incidentes, perfilando la resiliencia digital y la defensa colectiva como ejes fundamentales del nuevo ciclo de seguridad continental.

El Servicio de Inteligencia de Defensa danés expuso que los ataques cibernéticos lanzados contra infraestructuras clave y páginas web oficiales durante los años 2024 y 2025 respondieron a una estrategia de influencia dirigida a socavar el respaldo occidental a Ucrania, empleando internet como escenario de confrontación. Según consignó Europa Press, Dinamarca atribuyó estos ataques a grupos identificados como Z-Pentest y NoName057(16), los cuales mantienen vínculos con el Estado ruso y han llevado a cabo una serie de operaciones que buscan tanto desestabilizar entornos críticos como captar la atención pública antes y durante procesos electorales.

De acuerdo con la información difundida por Europa Press, el organismo de inteligencia resaltó que uno de los incidentes más relevantes se produjo en 2024 sobre una empresa de agua danesa, donde los daños fueron calificados de “destructivos”. El ataque formó parte, según la fuente, de una táctica más amplia asociada al concepto de operaciones híbridas, en el que la tecnología cibernética se utiliza junto con otras formas de presión y desinformación para generar inseguridad en países que respaldan a Ucrania. Además, el Servicio de Inteligencia de Dinamarca indicó que los sabotajes tecnológicos buscan castigar a naciones opuestas al gobierno de Moscú en el contexto del conflicto con Kiev.

La respuesta oficial danesa incluyó referencias concretas a los ciberataques que afectaron diversos sitios web estatales a finales de 2025, en coincidencia con la campaña previa a las elecciones municipales y regionales programadas para el 18 de noviembre de ese año. Europa Press detalló que estos actos correspondieron a acciones de denegación de servicio, cuyo objetivo reside en impedir el acceso de los usuarios a portales institucionales mediante la saturación de los sistemas informáticos. Si bien las autoridades ya habían confirmado tales incidentes en noviembre, la trama completa del ataque dirigido a la red de agua pública en 2024 no se había hecho pública hasta este reciente comunicado.

El Servicio de Inteligencia de Defensa danés subrayó que estos grupos de piratas informáticos se emplearon como herramientas del Estado ruso para profundizar el impacto de las operaciones híbridas en la región y consolidar una campaña coordinada contra infraestructuras fundamentales y procesos democráticos occidentales. Según la entidad citada por Europa Press, acciones similares se han registrado en otros estados europeos, en las mismas fechas que sus respectivos comicios.

Según la información difundida, el objetivo de Moscú al respaldar estas incursiones tecnológicas apunta a “crear inseguridad entre los países atacados” y usar los escenarios electorales como plataformas de propaganda y manipulación de la opinión pública. Europa Press reportó que los incidentes en Dinamarca se suman a una tendencia de ampliación en los métodos empleados por Rusia en el ámbito digital para influir en la estabilidad de países europeos y disuadir el respaldo a Ucrania.

El informe oficial danés apuntó que, al emplear ataques cibernéticos en fechas cercanas a las elecciones, las autoridades identificaron un patrón consistente con campañas previas detectadas en contextos similares en Europa, donde la atención social hacia la integridad y la transparencia electoral se convierte en un terreno especialmente sensible a las maniobras disruptivas de agentes extranjeros.

Los especialistas de inteligencia daneses citados por Europa Press remarcaron que la colaboración entre distintos grupos vinculados a Rusia facilita la coordinación y perfeccionamiento de este tipo de ataques, incrementando los riesgos para operadores de servicios esenciales, la administración pública y las empresas que prestan servicios básicos para la población.

Las autoridades locales consideran que la revelación de estos incidentes busca alertar sobre el alcance de las amenazas cibernéticas y promover una mayor preparación entre los responsables de infraestructura y sistemas electorales ante posibles nuevas ofensivas coordinadas desde el exterior. Según publicó Europa Press, Dinamarca también apunta a visibilizar el uso reiterado que el gobierno ruso hace de estas tácticas como parte de una estrategia de presión y represalia orientada a quienes manifiestan su apoyo al gobierno ucraniano en medio del conflicto armado en el este europeo.

Los ataques, de acuerdo con el organismo de inteligencia citado por la misma fuente, respondieron a una lógica que combina sabotajes técnicos, manipulación de información y ataques de saturación, con el propósito de minar la estabilidad institucional y la confianza pública en la capacidad de respuesta de los estados afectados.

Las advertencias públicas realizadas por las autoridades pretenden destacar que la defensa contra incidentes informáticos requiere no solo refuerzos tecnológicos, sino también cooperación internacional y respuestas coordinadas entre países que enfrentan riesgos similares por su posicionamiento ante el conflicto ruso-ucraniano, tal como detalló Europa Press.

El gobierno de Dinamarca acusó este jueves a Rusia de haber estado detrás de dos ciberataques registrados en el país, uno de ellos durante las elecciones municipales y regionales de noviembre pasado. Las autoridades danesas calificaron los hechos como actos de “guerra híbrida” y anunciaron que convocarán al embajador ruso para exigir explicaciones.

Los ataques “constituyen una prueba muy clara de que ya nos encontramos en un escenario en el que, lamentablemente, se está desarrollando la guerra híbrida de la que venimos hablando”, afirmó el ministro de Defensa, Troels Lund Poulsen, durante una rueda de prensa en Copenhague. El funcionario explicó que una nueva evaluación de los servicios de inteligencia daneses concluyó que ambos ataques fueron realizados por grupos de hackers vinculados al Estado ruso, según declaraciones recogidas por la agencia danesa Ritzau. Poulsen sostuvo además que el Ministerio de Exteriores citará al embajador de Rusia al considerar la situación como “completamente inaceptable”.

El primer ciberataque ocurrió en 2024 y tuvo como objetivo instalaciones de tratamiento de agua. Según la inteligencia danesa, el ataque fue ejecutado por el grupo Z-Pentest y provocó la rotura de varias cañerías, lo que dejó sin suministro de agua durante varias horas a decenas de hogares. El segundo ataque se produjo en noviembre, en plena celebración de las elecciones municipales y regionales. En ese caso, se lanzaron ataques de denegación de servicio que lograron colapsar las páginas web de varios municipios. La acción fue reivindicada por el grupo NoName057(16).

Aunque los daños fueron limitados, el ministro de Situaciones de Emergencia, Torsten Schack, advirtió que estos episodios demuestran que existen “fuerzas capaces de bloquear partes importantes” de la sociedad.

La denuncia de Dinamarca se da en un contexto de creciente tensión en Europa. Este jueves, los líderes de la Unión Europea condenaron “enérgicamente” los recientes ataques híbridos contra los Estados miembros, que atribuyeron a una “intensificación de la campaña híbrida de Rusia y Bielorrusia”.

En unas conclusiones del Consejo Europeo, los Veintisiete instaron a acelerar las medidas para reforzar la resiliencia del bloque, proteger infraestructuras críticas y mejorar la capacidad de prevenir, disuadir y responder a los ataques híbridos, sin descartar nuevas sanciones. Los líderes europeos subrayaron además que la guerra de Rusia en Ucrania y sus “repercusiones para la seguridad europea y mundial en un entorno cambiante” representan un “desafío existencial para la Unión Europea”.

En ese marco, la UE reafirmó su objetivo de fortalecer su defensa de aquí a 2030, reducir dependencias estratégicas y corregir deficiencias clave en capacidades militares, con un llamado especial a avanzar en la movilidad militar.

(Con información de EFE)

Entre las personas sancionadas por la Unión Europea se encuentran ex altos oficiales militares de países como Estados Unidos, Suiza y Francia, a quienes se les atribuye la difusión de mensajes alineados con la narrativa rusa, así como la acusación de señalar a Ucrania como responsable de su propia invasión para facilitar su adhesión a la OTAN. Según informó el medio original, la UE ha adoptado este lunes nuevas sanciones que afectan a un total de 14 individuos y empresas identificados por difundir propaganda relacionada con la invasión de Ucrania y fomentar interferencia extranjera.

Tal como publicó la fuente, las autoridades europeas han incluido en la denominada 'lista negra' a ideólogos, periodistas y analistas políticos vinculados a instituciones académicas, laboratorios de ideas y universidades con lazos estrechos con el Kremlin. Además, entre los sancionados figuran creadores de contenido y actores de influencia digital que, según la UE, emplean sus plataformas para diseminar teorías conspirativas sobre la guerra en Ucrania y cultivar discursos adversos tanto para este país como para la Alianza Atlántica.

De acuerdo con la información difundida, el paquete de medidas también afecta a entidades que, según la UE, desempeñan un papel relevante en la difusión de narrativas desestabilizadoras en beneficio del gobierno ruso. Entre ellas figura el Movimiento Internacional Rusófilo, señalado por amplificar estos relatos a escala global. Otras organizaciones sancionadas fueron identificadas como responsables de perpetrar ataques tecnológicos dirigidos contra infraestructuras y sistemas de navegación europeos, lo que incluyó interrupciones en las señales GPS en diversos Estados miembro, según desglosó el medio.

Al abordar las actividades en el ciberespacio, la UE ha determinado imponer restricciones a la inteligencia militar por estar detrás de ciberataques dirigidos tanto al Gobierno de Ucrania como a los aliados de Kiev. Estas acciones forman parte de lo que el bloque categoriza como actividades híbridas por parte de Rusia, que junto a la propaganda y la desinformación, buscan incidir en la estabilidad política y la seguridad en Europa y su entorno.

Según consignó el medio citado, con esta nueva lista de sancionados, la Unión Europea ahora mantiene 59 individuos y 17 entidades sujetos a medidas restrictivas por su rol en la promoción de propaganda rusa vinculada al conflicto en Ucrania. Las personas y organizaciones incluidas en esta lista enfrentan la congelación de sus activos y la prohibición de viajar a territorio comunitario.

Las medidas aprobadas por el Consejo de la UE llegan en un momento donde el bloque europeo refuerza la presión sobre aquellos agentes considerados responsables de difundir informaciones falsas o manipuladas relacionadas con la situación en Ucrania y de instigar la desconfianza respecto a las instituciones occidentales. El medio subrayó que la respuesta institucional europea apunta a frenar la capacidad de influencia de individuos y organizaciones acusadas de contribuir al esfuerzo de desinformación y de facilitar el acceso a información perjudicial para la seguridad europea.

Por otro lado, el medio reportó que las sanciones se enmarcan en la política integral de la UE para responder a amenazas híbridas, que abarcan tanto los mensajes propagandísticos como las agresiones tecnológicas y cibernéticas. El objetivo declarado es evitar que estas prácticas comprometan las capacidades defensivas y la cohesión de los países que integran el bloque, así como de sus socios estratégicos.

En este contexto, las autoridades europeas han incrementado los mecanismos de vigilancia y respuesta frente a supuestas campañas de manipulación de la información y ataques dirigidos a infraestructuras críticas. La inclusión del Movimiento Internacional Rusófilo y otras entidades en la lista de sancionados refleja la preocupación por la internacionalización de las narrativas impulsadas desde Moscú y su repercusión en el debate público y la percepción internacional del conflicto ucraniano.

La postura de la UE, tal como lo refleja la información publicada, reitera el compromiso de actuar contra cualquier iniciativa que contribuya a erosionar la integridad del espacio informativo europeo y a socavar la seguridad de los países miembro y sus aliados. Las medidas restrictivas constituyen una extensión de los esfuerzos por contener la incidencia de actores externos que, según la UE, buscan promover divisiones internas y debilitar el apoyo a Ucrania y la OTAN a través de la propagación de discursos contrarios a los intereses europeos.

El fallo del Supremo, al que accedió EFE, se produjo el 27 de noviembre y responde a un recurso presentado por Caixa Popular, luego de que la Audiencia Provincial de Valencia hubiera dado razón a un cliente en una transferencia donde el identificador bancario internacional (IBAN) resultó introducido de forma incorrecta. El cliente reclamaba más de 15.800 euros a raíz de esta operación, e instó a los tribunales a que declararan a la entidad financiera responsable por la transferencia errónea. A pesar de que la orden de pago recogía correctamente el nombre del beneficiario y la descripción de la operación, el error en el IBAN dio lugar a que los fondos no llegaran al destinatario correcto.

Según detalló EFECOM, la sentencia del Supremo respalda el argumento principal de Caixa Popular y descarta que se haya vulnerado la normativa nacional o europea en materia de servicios de pago. El tribunal considera que la legislación vigente faculta a las entidades a ejecutar transferencias únicamente basándose en el identificador único, es decir, el IBAN, lo que limita su responsabilidad frente a discrepancias con otros datos incluidos por el cliente en la orden de pago.

El medio EFECOM recordó que un juzgado de primera instancia había dado inicialmente la razón al banco. No obstante, posteriormente, la Audiencia Provincial de Valencia tomó una decisión contraria, favoreciendo al cliente y generando incertidumbre sobre la interpretación de la normativa europea en materia de transferencias. Fue este contraste el que motivó la intervención del Tribunal Supremo, que finalmente respaldó la posición de la entidad financiera.

Según indicó EFECOM, los criterios del tribunal cimientan la jurisprudencia en lo referente al papel de los bancos a la hora de tramitar órdenes de pago electrónicas. El Supremo enfatiza que los proveedores de servicios de pago cumplirán con su deber con solo ejecutar la transferencia de conformidad con el identificador único aportado por el cliente. Esta interpretación recalca el principio de automatismo en los procesos de pago y subraya la responsabilidad del usuario al introducir correctamente los datos.

El despacho Navas & Cusí explicó que, hasta la reciente modificación normativa, las entidades financieras colaboraban para revertir fraudes una vez detectados, pero no estaban obligadas a verificar si el IBAN correspondía realmente al titular designado por el ordenante. Juan Ignacio Navas, socio director de dicho despacho, especificó a EFECOM que esta falta de obligación se mantuvo vigente hasta octubre de 2024.

A partir del 9 de octubre de ese año, el contexto legal cambió con la entrada en vigor de un reglamento europeo cuya finalidad es fortalecer la seguridad de las transferencias instantáneas en euros. Según enfatizó EFECOM, la nueva normativa obliga a los bancos a verificar que el nombre del destinatario coincida con el titular del IBAN antes de llevar a cabo la operación. Esta obligación introduce una garantía adicional para los clientes, ya que el proveedor del servicio de pago debe confirmar dicha coincidencia como requisito previo.

El texto normativo recoge explícitamente que “el proveedor de servicios de pago del ordenante ofrecerá un servicio de garantía de verificación del beneficiario, que confirme si el nombre del beneficiario coincide con el titular del IBAN antes de ejecutar la transferencia”. De acuerdo con EFECOM, esta disposición pretende prevenir errores y fraudes que puedan derivarse de la confusión o suplantación de datos al ordenar transferencias electrónicas.

El sector financiero y los usuarios deberán adaptar sus prácticas a la nueva exigencia, que busca reducir los riesgos asociados a los errores humanos y al fraude electrónico. EFECOM destacó que la vigente regulación representa un cambio relevante frente a la situación anterior, en la que la responsabilidad del banco estaba limitada si la transferencia se ejecutaba atendiendo únicamente al IBAN proporcionado por el cliente, aun en casos de discrepancias en otros datos como el nombre del beneficiario.

Las cifras aportadas por el despacho Navas & Cusí evidencian la magnitud del fraude asociado a la suplantación de identidad en operaciones bancarias, lo que ha vuelto prioritario el desarrollo normativo para incrementar la seguridad de las transferencias. La jurisprudencia sentada por el Supremo y el cambio normativo en la Unión Europea reflejan un esfuerzo por alcanzar mayor equilibrio entre derechos y deberes de clientes y entidades a la hora de operar en un entorno cada vez más digitalizado.

Este contexto normativo y judicial incide directamente sobre millones de operaciones bancarias cotidianas, mientras tanto, la evolución de la normativa y la interpretación de los tribunales continúan redefiniendo los procedimientos de verificación y prevención de fraudes a nivel nacional y europeo, según ha reiterado EFECOM.

Durante 2025, una serie de ciberataques dirigidos a páginas oficiales del gobierno de la Ciudad de México y a instituciones financieras mexicanas puso en alerta a autoridades y especialistas en ciberseguridad.

Estos incidentes, que dejaron pérdidas superiores a los 33 millones de pesos se ejecutaron contra cinco portales del gobierno de la Ciudad de México, los cuales sufrieron intervenciones no autorizadas a partir del segundo semestre del año.

La Agencia Digital de Innovación Pública (ADIP) confirmó que estos hackeos afectaron sitios que almacenan información personal de ciudadanos y empleados públicos, así como plataformas de protección civil y datos abiertos.

Ciberataques a portales gubernamentales de CDMX

El primer ciberataque se registró el 5 de junio en el portal de educación en gestión de riesgos y protección civil, lo que llevó a la implementación de mantenimientos programados y la suspensión temporal del servicio para reforzar la seguridad.

El 21 de agosto, la Caja de Previsión Para Trabajadores a Lista de Raya del Gobierno de la Ciudad de México fue blanco de otro ataque, comprometiendo un sitio donde los empleados consultan recibos de pago y trámites de pensiones.

Posteriormente, el 10 de octubre, el sitio del Centro de Comando, Control, Cómputo, Comunicaciones y Contacto Ciudadano (C5) también fue vulnerado. En este caso, el titular del C5, Salvador Guerrero Chiprés, negó que existiera relación con el crimen organizado y aseguró que la operación y la información sensible del sistema no resultaron afectadas.

Otros portales afectados incluyeron el de la propia ADIP, el 24 de octubre, y el Sistema Ajolote de Datos Abiertos, el 4 de noviembre, además de la página del Observatorio Interactivo de Hundimiento y Fracturamiento de la Alcaldía de Iztapalapa (OIHFRA).

Aunque esta última no era operada directamente por el gobierno capitalino, también fue hackeada y transformada en un sitio de apuestas, lo que obligó a migrar a un dominio más seguro y costoso.

Ciberataques a bancos mexicanos

En el sector financiero, al menos tres instituciones mexicanas reportaron ataques cibernéticos durante el año, con afectaciones económicas que superaron los 33 millones de pesos, según datos del Banco de México.

El primer caso, sucedió en el mes de abril y se vulneraron los cajeros automáticos, lo que representó una pérdida de 2.73 millones de pesos para la entidad afectada, sin tener impacto directo en los clientes. En junio, otro banco sufrió un hecho similar, con una afectación mucho mayor de 30.49 millones de pesos.

Un tercer suceso ocurrió en agosto, comprometió el aplicativo de un proveedor externo de una sociedad financiera popular, limitando temporalmente las transferencias electrónicas de algunos usuarios; en este caso, la cuantía de la pérdida aún no se ha determinado.

Frente a este panorama, las entidades incrementaron sus inversiones en seguridad digital.

Retos y estrategias en ciberseguridad

El principal reto para los bancos y reguladores no radica sólo en la detección de ataques, sino en la capacidad de adaptarse al ritmo de las tecnologías emergentes.

Álvaro Vértiz, socio y director de una firma internacional de asesoría, consultado por El Sol de México, señaló que “los bancos mexicanos muestran un nivel moderado de preparación para detectar y contener ciberataques, con inversiones crecientes en ciberseguridad, pero enfrentan un incremento sostenido de incidentes”.

Vértiz destacó que los atacantes aprovechan herramientas avanzadas como la inteligencia artificial (IA), así como el desconocimiento de los usuarios y la vulnerabilidad de ciertos grupos, como las personas adultas mayores.

Entre las amenazas más frecuentes, mencionó el uso de IA para crear deepfakes, el phishing automatizado y el ransomware.

Leidivino Natal da Silva, director general de una empresa especializada en ciberseguridad, consultado por la misma fuente, resaltó que la banca mexicana ha avanzado en la materia, impulsada por la regulación y los protocolos de las autoridades financieras.

Sin embargo, advirtió que el entorno actual exige pasar de una defensa reactiva a una defensa inteligente. “Hoy, prácticamente todas las instituciones financieras han enfrentado algún intento de ataque digital. Lo importante ya no es la frecuencia, sino la capacidad de contención y recuperación”, afirmó.

Da Silva también explicó que, aunque los bancos más grandes han invertido en infraestructura y monitoreo continuo, todavía persisten brechas en la velocidad de respuesta y en la cultura organizacional, especialmente en entidades medianas y pequeñas.

La vulnerabilidad humana sigue siendo un factor crítico, ya que prácticas como el phishing, el manejo inadecuado de credenciales y la falta de higiene digital son explotadas por los ciberdelincuentes.

Da Silva subrayó la importancia de fortalecer la autenticación de usuarios, la microsegmentación de redes y la detección temprana de anomalías, apoyándose en herramientas de IA.

“Mientras una persona tarda media hora en analizar una sola alarma, una IA puede revisar más de 3 mil 600 casos en ese mismo tiempo. En ocho horas, un sistema automatizado puede procesar hasta 28 mil alarmas, lo que se traduce en una protección mucho más ágil y eficiente”, detalló.

Ante este panorama, las instituciones financieras han adoptado medidas para reforzar la seguridad digital, como la mejora de protocolos de autenticación, la segmentación de redes y la implementación de sistemas de monitoreo automatizado.

Los especialistas insistieron en que la clave está en fortalecer tanto la infraestructura tecnológica como la cultura organizacional, promoviendo la capacitación continua y la concientización de todos los colaboradores sobre los riesgos y mejores prácticas en ciberseguridad.

En el último año, América Latina se consolidó como una de las regiones más impactadas por ciberataques dirigidos a sistemas Linux y Mac.

El más reciente informe de Kaspersky reveló que entre agosto de 2024 y julio de 2025, se bloquearon más de 726.000 ataques a sistemas Linux y 431.811 intentos contra Mac, lo que equivale a miles de incidentes diarios. Esta tendencia confirma que la seguridad digital en la región enfrenta desafíos inéditos y en crecimiento.

Cuáles son los países más afectados en materia de ciberseguridad

Brasil, Chile, México, Colombia y Perú lideran la lista de los países más afectados por ataques dirigidos a Linux. En computadoras Apple con sistema Mac, los focos principales son Brasil, México, Ecuador, Colombia y Perú. Estas cifras reflejan la vulnerabilidad no solo de usuarios domésticos, sino de empresas y organismos que, hasta hace poco, consideraban estos entornos más seguros.

De acuerdo con Fabio Assolini, ejecutivo de la empresa de ciberseguridad que reveló las cifras, la percepción de que Linux y Mac ofrecían una protección superior se ha visto superada por la sofisticación y especialización de los atacantes.

El alto uso de Linux en infraestructuras críticas, servidores y dispositivos IoT lo ha convertido en objetivo prioritario. A la par, la creciente popularidad de los equipos Mac en ámbitos corporativos y personales ha captado la atención de los ciberdelincuentes, que aprovechan esta masificación para ampliar el alcance de sus campañas.

Cómo protegerse del ataque de los ciberdelincuentes

Para enfrentar este escenario, desde Kaspersky insistieron en la adopción de estrategias de seguridad proactivas. Recomienda, entre otras acciones básicas pero decisivas, mantener actualizados los sistemas operativos y programas, emplear contraseñas complejas y únicas, activar firewalls y monitorear de forma regular los registros del sistema para detectar anomalías.

Además, la implementación de soluciones de seguridad integrales y la capacitación constante de usuarios se presentan como claves para reducir la exposición al riesgo.

Por qué el cibercrimen es tan fuerte en la región

El avance de la transformación digital en América Latina ha acelerado la dependencia tecnológica y, con ello, ha puesto al descubierto nuevas brechas en ciberseguridad. Luis Gabriel Castellanos, country manager de IFX Colombia, explicó en una conversación a Infobae que los desafíos incluyen tanto el fortalecimiento técnico de las empresas como la necesidad de ajustar procesos y planes de reacción.

Aunque muchas organizaciones han invertido en herramientas defensivas, la ausencia de simulacros y protocolos claros deja a medianas empresas en situación vulnerable frente a ataques cada vez más complejos.

Castellanos subraya la importancia de anticipar riesgos y reforzar la cultura de prevención. Gran parte de los líderes tecnológicos, dice, tienden a reaccionar tras incidentes graves más que a prevenir activamente.

La falta de formación especializada y de simulacros de respuesta sigue siendo un talón de Aquiles, sobre todo en sectores críticos como la banca, salud o la industria, donde las consecuencias de un ataque pueden ser especialmente graves.

El entorno regulatorio en la región añade otra capa de dificultad. Muchos países no han actualizado su marco normativo ni adherido a convenios internacionales como el Acuerdo de Budapest, lo que crea lagunas que los delincuentes explotan y complica la coordinación ante amenazas transnacionales. Esta situación contribuye a que las inversiones prioricen la recuperación rápida frente al fortalecimiento preventivo.

Frente a este panorama, los sectores más dinámicos como el financiero, salud, turismo y comercio minorista; impulsan la adopción de infraestructuras de última generación y tecnologías de defensa basadas en inteligencia artificial. La actualización constante, el desarrollo de redes robustas y la aplicación de doble autenticación se convierten así en prioridades para consolidar un entorno digital resiliente.

En este contexto, la protección eficaz depende de una visión integral que combine tecnología, protocolos, capacitación y cooperación internacional. La sofisticación de los atacantes obliga a gobiernos y empresas a una actualización permanente y a una respuesta coordinada.

Ningún sistema es completamente infalible, pero la capacidad de recuperarse tras un incidente resulta determinante para mantener la confianza y la continuidad operativa.

El caso de América Latina es un llamado de atención sobre la importancia de no subestimar el atractivo de Linux y Mac para los ciberdelincuentes. El compromiso con una seguridad digital avanzada y sostenida es indispensable para proteger datos, operaciones y usuarios en la era de la vulnerabilidad global.

Según información difundida por el Ministerio de Asuntos Exteriores de Alemania, las campañas de desinformación provenientes de actores extranjeros han focalizado esfuerzos en desacreditar a figuras clave de la política nacional, entre ellos el canciller Friedrich Merz y el exvicecanciller Robert Habeck, ambos con destacada presencia como candidatos en las elecciones federales anticipadas de febrero de 2025. El Gobierno federal ha convocado al embajador ruso, Sergei Nechayev, tras señalar directamente a Moscú como responsable de una serie de acciones consideradas contra la estabilidad democrática y la seguridad nacional, informó el medio original.

De acuerdo con el reporte, la citación al embajador ruso responde a incidentes recientes que incluyen ataques cibernéticos con consecuencias tangibles sobre sectores estratégicos. El medio detalló que, en agosto de 2024, el tráfico aéreo en el país experimentó alteraciones atribuidas a ciberataques originados en Rusia. Estas acciones se inscriben en lo que las autoridades alemanas denominan campaña de “guerra híbrida”, en la que, sumados a los ataques al sistema informático, se han detectado extensos esfuerzos de desinformación en redes y plataformas digitales, bajo el operativo denominado “Storm 1516”.

El Ministerio de Asuntos Exteriores de Alemania sostuvo que existen evidencias suficientes para asegurar que Rusia llevó a cabo maniobras de injerencia en las últimas elecciones federales y ha continuado su actividad con el objetivo de intervenir tanto en los comicios futuros como en los asuntos internos del país. Según explicó el ministerio, estos movimientos buscan provocar divisiones dentro de la sociedad alemana y alimentar la desconfianza hacia las instituciones públicas. Tal como detalló el medio, las campañas comenzaron en 2024 y han persistido, aumentando en intensidad y sofisticación conforme se aproximan las elecciones de 2025.

A lo largo de los últimos años, el Gobierno alemán advirtió sobre la presencia de lo que definió como amenazas contra la seguridad nacional provenientes del exterior, señalando tanto la invasión rusa en Ucrania como estas actividades dirigidas específicamente contra Alemania. El Ministerio de Exteriores remarcó que la combinación estratégica de ciberataques y campañas coordinadas de desinformación representa un desafío para la democracia y la cohesión social en el contexto político actual.

El medio consignó que las campañas identificadas incluyeron la difusión masiva de relatos falsos, manipulación de plataformas digitales y ataques de sabotaje digital contra infraestructuras esenciales, estrategias que han variado en métodos y alcance con el paso del tiempo. Según las autoridades, el propósito central de estas maniobras sería debilitar la confianza popular en el liderazgo político alemán y alterar el desarrollo normal de los procesos democráticos de cara a las elecciones del Bundestag. Además, la acción de convocar al embajador Sergei Nechayev subraya la gravedad que concede el gobierno alemán a la reiteración de estos incidentes y su impacto sobre la convivencia interna.

Las presiones diplomáticas y las advertencias de Berlín han intensificado el seguimiento de las redes de información manipulada, así como la respuesta a los intentos de penetración en sistemas clave que podrían afectar la infraestructura alemana, refirió el medio. La narrativa oficial subraya que las campañas de influencia e injerencia forman parte de una estrategia más amplia por parte de Moscú, cuya finalidad se extiende más allá del contexto alemán e involucra la seguridad continental en Europa.

En cuanto al contexto político, el medio explicó que las elecciones de febrero de 2025 representan un punto crítico para la estabilidad de las instituciones y la confianza social en procesos democráticos. Los nombres de Friedrich Merz y Robert Habeck han sido señalados como objetivos recurrentes en los contenidos manipulados, lo cual reitera el interés de los instigadores en distorsionar la percepción pública y alterar el curso electoral. Las autoridades recalcaron su preocupación por el crecimiento de este tipo de tácticas, que integran tanto asaltos informáticos como campañas en redes sociales, y hacen un llamado a la vigilancia y protección reforzada frente a las amenazas externas.

Finalmente, el gobierno de Alemania solicitó, según consignó el medio, una cooperación internacional y el refuerzo de esfuerzos multilaterales frente a este tipo de riesgo, argumentando que la defensa de los procesos democráticos exige respuestas coordinadas que incluyan aspectos tecnológicos, legales y sociales para impedir el avance de estas formas de injerencia.

El gobierno de Reino Unido anunció este martes la adopción de sanciones contra varios organismos de comunicación rusos y compañías tecnológicas chinas, en respuesta a lo que considera operaciones prolongadas de desinformación y ciberataques comprometidos contra Reino Unido y sus aliados internacionales.

La decisión se produce en un escenario global marcado por la proliferación de amenazas híbridas que buscan interferir en los sistemas democráticos, debilitar infraestructuras críticas y manipular la opinión pública a través de material digital falsificado.

La secretaria de Relaciones Exteriores, Yvette Cooper, informó que el paquete de sanciones abarca al canal de microblogging Rybar, la Fundación para el Apoyo y Protección de los Derechos de los Compatriotas que Viven en el Extranjero —considerada por servicios de inteligencia como una fachada de la agencia militar rusa GRU— y el Centro de Experiencia Geopolítica, encabezado por el escritor ruso Aleksandr Dugin.

De igual modo, dos compañías con base en China quedaron incluidas en la lista, acusadas de desplegar ataques cibernéticos masivos y selectivos contra infraestructuras electrónicas británicas y de estados aliados.

Las medidas fueron expuestas en un discurso pronunciado en la sede de la Cancillería británica en Londres. Durante su intervención, Cooper enfatizó que el Reino Unido y sus socios están sometidos a amenazas crecientes, entre ellas el sabotaje y campañas digitales coordinadas mediante inteligencia artificial y videos manipulados. Estas acciones, según la funcionaria, buscan minar el respaldo internacional a la resistencia ucraniana y erosionar la confianza en instituciones democráticas y operadores políticos en Europa y América del Norte.

Las autoridades británicas alertan que entre las prácticas identificadas se cuentan el uso de sitios web falsos y la publicación de anuncios políticos fraudulentos, como ocurrió durante el reciente proceso electoral en Moldavia, así como la proliferación de materiales alterados sobre el presidente ucraniano Volodimir Zelensky y su esposa, que circularon en plataformas sociales como parte de un esfuerzo sostenido para debilitar el apoyo a Ucrania frente a la invasión rusa.

El gobierno sostiene que este tipo de campañas pueden provocar efectos negativos duraderos en las sociedades afectadas, incrementando la polarización y el desconcierto en la ciudadanía.

Las nuevas sanciones tienen lugar en el marco del centenario de los Tratados de Locarno, acuerdos que sentaron bases para la paz en Europa luego de la Primera Guerra Mundial. En alusión a este aniversario, la secretaria Cooper advirtió de la importancia de intensificar la cooperación internacional para preservar la integridad de los sistemas democráticos y proteger infraestructuras sensibles de posibles sabotajes, manipulación digital y otras amenazas híbridas.

Según el gobierno británico, la reacción ante los riesgos modernos requiere coordinación regular entre aliados europeos y norteamericanos. En la agenda política figura el fortalecimiento del marco legal y el diseño de nuevas iniciativas destinadas a salvaguardar tanto la infraestructura nacional como el flujo legítimo de información pública.

Las autoridades insisten en que responder con anticipación ante cualquier agresión externa resulta fundamental para la estabilidad política de la región.

En declaraciones recientes, Cooper enfatizó que las campañas de desinformación y los ciberataques “deben llamarse por su nombre: guerra de información rusa”.

Según la cancillería, la respuesta del Reino Unido se articula sobre el principio de defensa activa y adaptación constante ante un entorno global con actores que recurren a métodos híbridos para debilitar la gobernabilidad, manipular procesos sociales y vulnerar la seguridad del Estado.

Así, el paquete de medidas busca prevenir el uso indebido de tecnologías digitales y profundizar en los mecanismos de respuesta internacional, en un contexto marcado por la incertidumbre sobre la cohesión de las alianzas tradicionales y ante la necesidad de reforzar la resiliencia frente a ataques de actores estatales extranjeros.

(Con información de The Associated Press)

La protección de la información personal guardada en los dispositivos requiere estrategias preventivas para evitar intrusiones y fraudes. Entre las pautas impulsadas por expertos y autoridades internacionales, sobresalen medidas simples que dificultan la acción de programas maliciosos y refuerzan la seguridad.

Los expertos destacan que una decisión sencilla puede convertirse en un factor clave para frenar la manipulación de datos o el robo de credenciales.

Desde el apagado por 5 minutos del teléfono todos los días hasta la actualización regular del sistema operativo y la configuración de barreras adicionales en el acceso, existen acciones que pueden implementarse rápidamente para reducir la exposición ante los ciberdelincuentes.

Por qué apagar el celular unos minutos puede marcar la diferencia en seguridad

La práctica de desconectar el teléfono durante 5 minutos diarios fue mencionada por Anthony Albanese como una táctica preventiva pensada para el público general.

Esta rutina impide la continuidad de procesos abiertos que, durante una sesión activa, podrían explotarse por programas espía o malware diseñados para extraer información.

El apagado interrumpe conexiones de acceso no autorizado y cierra procesos dañinos, lo que dificulta la persistencia de intentos de espionaje digital. Incorporar la pausa en el uso del celular afecta la base técnica de varios ataques, señalan los expertos.

Cómo las actualizaciones los parches de seguridad a los dispositivos

Actualizar el sistema operativo y las aplicaciones en celulares y computadoras se encuentra entre las pautas avaladas por la Agencia de Seguridad Nacional de Estados Unidos (NSA).

Las empresas tecnológicas publican nuevos parches con frecuencia, corrigiendo vulnerabilidades antes de ser explotadas por actores maliciosos. Ignorar las alertas de actualización incrementa la exposición a brechas conocidas.

Activar la opción de actualizaciones automáticas y revisar periódicamente la existencia de versiones más recientes, reduce las posibilidades de acceso no autorizado por parte de ciberdelincuentes.

De qué forma reforzar la seguridad de los dispositivos

Especialistas en ciberseguridad advierten que apagar periódicamente el dispositivo incrementa la protección frente a amenazas, aunque esta táctica no es suficiente para lograr una defensa integral.

La implementación de autenticación de doble factor añade una barrera adicional, porque exige validar la identidad mediante un código único y temporal. La autenticación de doble factor limita severamente las posibilidades de acceso a cuentas sensibles incluso cuando una contraseña ha sido filtrada.

En este sentido, la combinación de apagado regular, autenticación y gestión activa de permisos fortalece la seguridad en capas y minimiza el riesgo de ser víctima de fraudes masivos o suplantaciones de identidad.

Qué riesgo tienen las redes WiFi abiertas y cómo protegerse al usarlas

Las redes WiFi abiertas en espacios públicos representan uno de los principales puntos de vulnerabilidad señalados por especialistas y organismos internacionales de seguridad informática.

Lugares como cafeterías, aeropuertos o centros comerciales suelen ofrecer conexiones sin cifrado robusto, lo que permite la interceptación de datos que circulan por la red.

El uso indiscriminado de redes abiertas puede facilitar accesos no autorizados a cuentas personales y bancarias. La medida predominante consiste en evitar operaciones sensibles, como transferencias bancarias o el envío de documentos confidenciales, mientras se utiliza una red pública.

Asimismo, para acceder a internet bajo estas condiciones, se sugiere emplear VPN o preferir redes privadas.

Cómo evitar el robo de identidad a través del phishing y otras modalidades de ataque

El control sobre la información personal adquiere importancia ante el aumento de campañas de phishing, en las que ciberdelincuentes simulan ser bancos, empresas reconocidas o entidades oficiales con el fin de obtener datos confidenciales.

Por esta razón, compartir información a través de canales no oficiales o responder a solicitudes dudosas multiplica las posibilidades de fraude. Mantener una actitud preventiva ante mensajes inesperados y evitar enviar información por enlaces no verificados es la mejor defensa ante engaños.

Apple y Google han emitido nuevas advertencias de seguridad a usuarios de todo el mundo ante la creciente amenaza de ciberataques respaldados por Estados, con especial atención al uso de software espía avanzado. Ambas compañías han instado a sus clientes a reforzar sus medidas de ciberseguridad, en un escenario donde los ataques afectan a cientos de cuentas en distintos continentes y ponen en riesgo información personal y corporativa de millones de personas.

Según Apple, las notificaciones de amenaza se enviaron a usuarios potencialmente afectados, aunque la empresa no precisó el número exacto de personas ni los países involucrados. La compañía destacó que, hasta la fecha, ha alertado a usuarios en más de 150 países, lo que evidencia la magnitud global del problema.

Por su parte, Google, propiedad de Alphabet, informó que había advertido a todos los usuarios identificados como objetivo de ataques mediante el software espía Intellexa. De acuerdo con Google, estos ataques han comprometido “varias centenas de cuentas en distintos países, incluidos Pakistán, Kazajistán, Angola, Egipto, Uzbekistán, Arabia Saudita y Tayikistán”.

En su comunicado, Google subrayó que Intellexa, una empresa de ciberinteligencia sancionada por el gobierno de Estados Unidos, continúa “evadiendo restricciones y prosperando” a pesar de las medidas impuestas. La compañía no solo alertó sobre la persistencia de estas amenazas, sino que también remarcó la dificultad de frenar la actividad de actores estatales que emplean herramientas avanzadas para la vigilancia digital.

El impacto del software espía Intellexa ha sido objeto de atención internacional. Google detalló que este programa ha sido utilizado para atacar a usuarios en múltiples regiones, mientras que Apple, aunque no especificó nombres, reconoció la amplitud de las campañas de espionaje. Las advertencias recientes se suman a otras olas previas que han motivado investigaciones oficiales, incluidas pesquisas en la Unión Europea, donde altos funcionarios han sido blanco de ataques con software espía.

Mensajería cifrada, revisión de permisos y contraseñas

Por su parte, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha emitido una serie de recomendaciones para fortalecer la protección digital de los usuarios de iPhone y Android.

Entre las principales sugerencias, la CISA aconseja utilizar únicamente plataformas de mensajería cifrada, evitar el uso de VPN y revisar los permisos de las aplicaciones instaladas. Además, la agencia federal recomienda que los usuarios registren cada cuenta en sistemas de autenticación basados en FIDO, lo que implica adoptar métodos de autenticación sin contraseña.

La CISA enfatiza la importancia de realizar estos cambios especialmente en cuentas de Microsoft, Apple y Google, ya que suelen funcionar como puertas de acceso a múltiples servicios y contienen información personal sensible. Para la mayoría de los usuarios, la transición hacia la autenticación sin contraseña se traduce en el uso de claves de acceso, que combinan la contraseña y la autenticación multifactor en un solo token protegido en el dispositivo personal.

No obstante, la agencia advierte que no basta con añadir claves de acceso: es fundamental desactivar otras formas menos seguras de autenticación multifactor, como los SMS, que pueden convertirse en un punto vulnerable explotable por atacantes. En los casos en que no sea posible eliminar las contraseñas, la CISA recomienda revisarlas para asegurarse de que sean largas, únicas y aleatorias. “Revise sus contraseñas actuales para asegurarse de que sean largas, únicas y aleatorias”, aconseja la CISA, y sugiere cambiarlas por las generadas por un gestor de contraseñas confiable si no cumplen con estos criterios.

La gestión de contraseñas adquiere un papel central en la estrategia de defensa digital. La CISA recomienda utilizar gestores de contraseñas de proveedores líderes, evitando aquellos integrados en navegadores como Chrome, para crear, almacenar y actualizar contraseñas, claves de acceso y códigos de autenticación multifactor. Además, la agencia recuerda que el registro en autenticación multifactor basada en aplicaciones no elimina automáticamente el uso de SMS como método de respaldo, lo que puede dejar una puerta abierta a los atacantes.

La creciente amenaza de ataques digitales pone en peligro información personal y datos bancarios en dispositivos y computadoras, situación que ha llevado a expertos y autoridades internacionales a insistir sobre la importancia de la prevención en la vida digital cotidiana.

Existen acciones sencillas de fácil acceso que pueden disminuir la vulnerabilidad ante ciberdelitos. Pautas impulsadas desde gobiernos y agencias de seguridad, buscan motivar la adopción de rutinas preventivas para disminuir los riesgos asociados al uso diario de tecnologías conectadas.

Se explican varias medidas cotidianas para reducir el riesgo de ser víctima de ciberataques, además de brindar un mejor funcionamiento de los dispositivos.

Por qué apagar el celular durante 5 minutos ayuda a evitar ataques

La práctica de apagar el teléfono durante 5 minutos cada día fue presentada por el primer ministro de Australia, Anthony Albanese. El dirigente alentó a la población a incorporar este hábito en la rutina diaria como táctica preventiva ante ataques persistentes que comprometen la privacidad.

Sostuvo que acciones tan sencillas como desconectar el celular mientras se realiza otra actividad pueden dificultar el acceso de programas espía o malware, al interrumpir procesos activos utilizados por los atacantes.

El beneficio principal radica en que muchas formas de software malicioso dependen de sesiones activas para operar. Al apagarse el teléfono y esperar el tiempo adecuado, los procesos dañinos se cierran y las conexiones de acceso no autorizado se interrumpen, bloqueando intentos de espionaje o robo de información sin intervención del usuario.

En qué ayuda mantener actualizados los dispositivos

Actualizar el sistema operativo y las aplicaciones representa una de las formas más efectivas para resguardar información personal y laboral en celulares y computadoras, y es respaldada por la Agencia de Seguridad Nacional de Estados Unidos (NSA).

Las compañías tecnológicas publican actualizaciones frecuentes que contienen parches para corregir vulnerabilidades detectadas, muchas veces antes de que sean explotadas.

Mantener los dispositivos al día impide el acceso de ciberdelincuentes a través de fallos descubiertos en versiones previas de software, reduciendo la exposición a ataques automatizados y dirigidos.

Además, es clave permitir que las actualizaciones se instalen automáticamente y revisar de manera regular la existencia de nuevas versiones. Si se ignoran las notificaciones de actualización, se incrementa el tiempo en que un dispositivo permanece expuesto a riesgos conocidos.

Qué otras acciones complementan la seguridad de un dispositivo

Los especialistas en ciberseguridad subrayan que apagar el teléfono por sí solo no es suficiente para lograr una protección integral. Sugieren aplicar una combinación de medidas que refuerce la seguridad desde distintos frentes, como:

• Utilizar contraseñas robustas.
• Activar la autenticación en dos pasos.
• Descargar sólo aplicaciones a través de tiendas oficiales

En el caso de la autenticación de doble factor, es una barrera adicional, pues obliga a validar la identidad con un segundo código único que se actualiza y resulta difícil de predecir o interceptar por atacantes.

Por qué es peligroso conectar un dispositivo a una red WiFi pública

Las redes WiFi abiertas, como las que funcionan en cafeterías, aeropuertos o centros comerciales, carecen generalmente de mecanismos de cifrado robusto. Esta debilidad permite que atacantes intercepten información intercambiada por los usuarios, incluyendo credenciales y datos bancarios.

Evitar el uso de estas redes para transacciones sensibles y emplear preferentemente redes privadas o conexiones protegidas mediante VPN disminuye la posibilidad de filtración de datos.

Asimismo, en caso de requerir conectividad pública, es aconsejable no acceder a servicios bancarios ni enviar documentos sensibles. Detectar cuándo una red no presenta garantías mínimas de seguridad puede evitar consecuencias dañosas para el usuario.

En qué situaciones no hay que dar información personal

El control sobre la información personal cobra especial importancia ante estrategias que apelan al engaño directo, como el phishing. Ciberdelincuentes simulan comunicaciones de bancos, empresas reconocidas o entidades oficiales para solicitar datos confidenciales bajo pretextos plausibles.

Por esta razón, no compartir datos por canales no oficiales ni responder a solicitudes dudosas limita los riesgos de estafas o apropiación de identidades.

La medida de apagar el celular durante cinco minutos cada día ha ganado visibilidad en el ámbito de la ciberseguridad tras ser promovida por el primer ministro de Australia, Anthony Albanese, quien instó a la población a incorporar este sencillo hábito como una defensa accesible frente al crecimiento de amenazas digitales-

Esta práctica, que puede realizarse mientras se cumplen tareas cotidianas como cepillarse los dientes, busca interrumpir el funcionamiento de programas en segundo plano y dificultar el acceso no autorizado a información personal y bancaria.

El funcionario australiano destacó que la medida no requiere esfuerzos extraordinarios y puede integrarse fácilmente en la rutina diaria, ofreciendo una barrera inicial contra ataques persistentes.

“Todos tenemos una responsabilidad. Cosas sencillas: apaga el teléfono cinco minutos cada noche. Para quienes ven esto, hazlo cada 24 horas, mientras te cepillas los dientes o haces lo que sea”, dijo.

Que beneficios trae para la ciberseguridad apagar el teléfono

La propuesta del primer ministro australiano se alinea con las pautas emitidas en 2020 por la Agencia de Seguridad Nacional de Estados Unidos (NSA), que aconsejó reiniciar los teléfonos inteligentes al menos una vez por semana como parte de las mejores prácticas para proteger la seguridad de estos dispositivos.

Tanto la sugerencia del funcionario como la de la NSA coinciden en que el simple acto de apagar y encender el teléfono puede interrumpir la actividad de software malicioso, incluidos aquellos programas que operan sin el conocimiento del usuario.

El fundamento técnico de esta estrategia reside en que ciertos tipos de malware requieren mantener una sesión activa para funcionar. Al reiniciar o apagar el dispositivo, estos procesos se cierran automáticamente, lo que dificulta la persistencia de amenazas como el spyware o los ataques de tipo zero-click.

Además, los ataques que explotan vulnerabilidades de software suelen depender de conexiones persistentes, así que un apagado frecuente limita las oportunidades de que estas conexiones permanezcan activas y reduce la posibilidad de que un atacante mantenga acceso continuo al dispositivo.

Por qué hay que mantener apagado el celular por cinco minutos

El periodo sugerido por las autoridades australianas tiene como objetivo asegurar que todos los procesos en segundo plano se detengan completamente y que cualquier intento de conexión no autorizada quede interrumpido de forma inmediata.

Este lapso resulta suficiente para liberar la memoria del dispositivo y cortar la actividad de procesos maliciosos que requieren persistencia, facilitando la integración de la medida en la vida diaria sin representar una molestia significativa para los usuarios.

Asimismo, el reinicio diario puede frustrar ataques de phishing o intentos de acceso remoto, porque interrumpe la conexión activa del malware. Aunque esta acción no garantiza una protección absoluta, sí contribuye a reducir las ventanas de oportunidad para los atacantes, siendo una defensa inicial frente a amenazas persistentes.

Con qué otras pautas complementar el pagado periódico del dispositivo

Los expertos en ciberseguridad advierten que apagar el teléfono no es suficiente para asegurar la protección total de los datos personales y bancarios. Sugieren complementar este hábito con prácticas como:

• La descarga de aplicaciones únicamente desde tiendas oficiales.
• El mantenimiento del sistema operativo actualizado.
• El uso de contraseñas robustas.
• La activación de la autenticación en dos pasos.

Otras formas de prevención es evitar la conexión a redes WiFi públicas, y no compartir datos sensibles a través de canales no oficiales o con personas desconocidas, incluso si afirman ser de empresas legítimas.

Entre tanto, la adopción de este paso diario, que puede parecer excesivo para algunos, se presenta como una medida preventiva sencilla y eficaz ante el aumento de amenazas digitales, permitiendo a los usuarios fortalecer la seguridad de sus dispositivos móviles con una acción mínima y de fácil implementación.

El informe anual de NordPass, una empresa especializada en gestión de contraseñas, identificó que “admin” se posicionó como la contraseña más utilizada por los usuarios en Estados Unidos durante 2025, seguido de secuencias simples y palabras relacionadas como “password”. La publicación reúne información basada en millones de credenciales expuestas. Especialistas advierten que esta tendencia mantiene vulnerables a millones de cuentas ante ciberataques.

La investigación, presentada oficialmente por NordPass con el respaldo metodológico de NordStellar, analiza datos recopilados a partir de filtraciones masivas y destaca que, pese a las campañas de concientización, el empleo de combinaciones simples y predecibles permanece extendido. El reporte también revela diferencias de comportamiento entre generaciones y proporciona una lista detallada con los 200 patrones de acceso más frecuentes en Estados Unidos, Europa y otros territorios.

De acuerdo con los antecedentes del informe, durante los últimos años se ha reportado una persistencia en las malas prácticas a la hora de elegir contraseñas. Esta dinámica afecta tanto a usuarios particulares como a empresas y permite que los delincuentes empleen herramientas automatizadas para acceder a cuentas en segundos.

¿Cuál es la contraseña más usada en Estados Unidos en 2025?

La edición 2025 del informe de NordPass se basó en el análisis de millones de credenciales filtradas en la red a lo largo del año. La contraseña “admin” fue la más común, seguida de variantes como “password”, números en secuencia y combinaciones como “Aa123456”. Destaca también la aparición de términos explícitos y patrones de teclado habituales.

Entre los veinte primeros puestos de la lista estadounidense se repiten cadenas numéricas como “123456”, “12345678”, “123456789”, “12345” y “111111”. Variantes como “Password”, “Password1”, “password1” y “Password1!” evidencian que muchos usuarios optan por alternar mayúsculas y minúsculas o añadir un símbolo, pero sin separarse de palabras comunes.

NordPass advierte que la simplicidad de estas credenciales facilita el trabajo de los atacantes, que utilizan programas capaces de probar miles de combinaciones conocidas en poco tiempo. De acuerdo con la empresa, un ciberdelincuente puede vulnerar una contraseña común como “admin” en menos de un segundo, cifra que ilustra el alcance del problema.

¿Qué contraseñas son las más comunes en 2025 según el informe de NordPass?

El análisis de NordPass no se restringe al mercado estadounidense. A nivel global, “123456” mantiene el primer lugar como la contraseña más popular, seguido por “admin” y “12345678”. El informe indica que patrones simples, secuencias numéricas ascendentes y palabras clave internacionales siguen predominando en listas de diferentes países.

La organización también identificó que el uso de caracteres especiales ha aumentado, aunque la mayoría de los usuarios sigue empleando combinaciones predecibles. Ejemplos como “P@ssw0rd” y “Abcd@1234” aparecen con mayor frecuencia, pero continúan siendo fácilmente vulnerables ante ataques automatizados.

Este fenómeno se observa tanto en Europa como en regiones de Asia y América Latina. La tendencia sugiere que la dificultad para recordar contraseñas robustas impulsa a las personas a escoger alternativas simples y universales.

¿Cómo varía el uso de contraseñas según la edad de los usuarios?

El estudio de NordPass aborda el comportamiento según edades y subraya que las diferencias son menos marcadas de lo que se suele suponer. De acuerdo con la empresa, tanto usuarios jóvenes como adultos mayores tienden a repetir patrones inseguros.

Los internautas de entre 18 y 25 años prefieren secuencias largas de números, mientras que personas mayores optan por nombres propios. En ambos casos, NordPass resalta el riesgo de recurrir a cadenas fácilmente adivinables o conocidas por los atacantes.

El informe detalla que ninguna generación destaca positivamente en la creación de contraseñas verdaderamente aleatorias o robustas. El hábito de emplear datos personales, fechas de nacimiento o términos populares sigue siendo común y representa una debilidad estructural en la seguridad digital.

¿Cuáles son las recomendaciones para crear contraseñas seguras en 2025?

A partir de la información analizada, NordPass ofrece una serie de recomendaciones para reducir la exposición a brechas de seguridad. Entre las medidas sugeridas se destacan las siguientes:

• Crear contraseñas largas, preferentemente de al menos 20 caracteres, que combinen letras, números y símbolos.
• Evitar el uso de palabras comunes, secuencias numéricas simples y términos personales.
• Asignar una contraseña única a cada cuenta o servicio digital para impedir que un acceso comprometido derive en la vulneración de otros perfiles.
• Utilizar gestores de contraseñas para almacenar credenciales de manera segura y generar combinaciones aleatorias.
• Activar la autenticación multifactor en todos los servicios que ofrezcan esta posibilidad.
• Actualizar periódicamente las contraseñas y revisar accesos antiguos en busca de vulnerabilidades.
• Aplicar las actualizaciones de seguridad de los sistemas operativos y aplicaciones.

NordPass destaca que el uso de contraseñas fuertes y el abandono de prácticas riesgosas pueden frenar ataques automatizados y salvaguardar información sensible.

¿Por qué las contraseñas débiles siguen representando una amenaza?

Según información del informe, la persistencia de contraseñas débiles y repetidas ha contribuido a una oleada de filtraciones de datos y accesos ilegítimos en los últimos años. Los ciberdelincuentes suelen explotar bases de datos filtradas y utilizar las combinaciones más frecuentes para ingresar en cuentas bancarias, de correo electrónico y redes sociales.

De acuerdo con el estudio presentado, un solo acceso comprometido puede desencadenar una cadena de vulneraciones en otros servicios si se ha repetido la contraseña inicial en distintos sitios.

El informe enfatiza que las fugas de credenciales no solo afectan a usuarios individuales sino también a organizaciones, donde los accesos administrativos simples han originado incidentes de alto impacto.

La investigación plantea que la educación y el cambio de hábitos pueden modificar el panorama actual, aunque la implementación de tecnologías como el gestor de contraseñas o los sistemas de autenticación basados en llaves podría ser determinante en el futuro cercano.

Quienes utilicen servicios en línea reciben la recomendación de revisar periódicamente sus credenciales, sustituir aquellas identificadas en filtraciones públicas y mantenerse informados sobre incidentes recientes.

América Latina enfrenta una ola de ciberataques sin precedentes. Informes internacionales recientes revelan que la región sufre un 40% más de incidentes semanales que el promedio global, y el sector salud se ha convertido en uno de los más expuestos y vulnerables. Lo que hace que esta situación sea particularmente alarmante es que los ciberdelincuentes están cada vez más enfocados en este sector.

La lógica detrás de estos ataques es simple: el beneficio económico. Los grupos criminales secuestran y encriptan la información, exigen rescates para liberarla o la venden en mercados ilegales. Los datos médicos son especialmente valiosos, ya que contienen información altamente sensible, con una vida útil más larga y un mayor precio de reventa que las credenciales financieras.

En el Perú y en toda la región, la evidencia es cada vez más clara: filtraciones masivas de registros de pacientes y ataques a redes internas han paralizado servicios esenciales. En Chile, el Instituto de Salud Pública (ISP) sufrió un ciberataque en junio de 2025, lo que provocó retrasos en resultados de pruebas cruciales, como las de VIH y hepatitis, y afectó a varios hospitales..

Sin embargo, persiste una brecha crítica y constante: la falta de modernización de las estrategias de seguridad junto con la infraestructura tecnológica. Muchas instituciones todavía operan con un modelo de perímetro de red obsoleto, originalmente diseñado para proteger centros de datos físicos con cortafuegos y controles internos de red.

Este modelo se vuelve peligrosamente inadecuado cuando se aplica a infraestructuras modernizadas y basadas en la nube (como nubes privadas, AWS o Azure). Estos entornos disuelven el perímetro de red tradicional, lo que vuelve ineficaces esos controles heredados. Este desajuste arquitectónico crea huecos que los ciberdelincuentes pueden aprovechar.

Es vital comprender que las dos capas de seguridad —física y virtual— no son redundantes, sino complementarias. Una no sustituye a la otra. Los entornos virtuales requieren defensas diseñadas específicamente para proteger centros de datos, nubes privadas e infraestructuras distribuidas, donde residen los activos más críticos: historias clínicas electrónicas, resultados de laboratorio e informes médicos.

El desafío no es únicamente tecnológico. En el Perú, por ejemplo, las leyes de protección de datos clasifican la información clínica como altamente sensible, con sanciones que van más allá de las multas. Existen consecuencias administrativas e incluso responsabilidad penal para quienes no resguarden adecuadamente esta información. Los riesgos, por lo tanto, abarcan lo tecnológico, lo reputacional y lo legal.

La conclusión es clara: la ciberseguridad en salud debe replantearse con una estrategia integral y proactiva. Esto implica realizar evaluaciones exhaustivas, adoptar modelos de seguridad potenciados por inteligencia artificial y machine learning, e implementar un monitoreo constante que permita anticiparse a los ataques en lugar de reaccionar cuando ya han ocurrido.

La ciberseguridad en salud ya no puede ser tratada como un asunto técnico delegado al área de TI. Es un imperativo estratégico, esencial para la continuidad de los servicios médicos y para mantener la confianza pública. Ignorar esta urgencia no solo pone en riesgo los datos, sino también vidas humanas.

La creciente sofisticación de los ciberataques impulsados por inteligencia artificial (IA) ha dejado a la mayoría de las empresas en una posición de desventaja, según revela el informe ‘State of Ransomware 2025’ de CrowdStrike.

De acuerdo con este estudio, el 76% de las empresas a nivel global, es decir 7 de cada 10 empresas, reconoce que no logra igualar la velocidad ni la complejidad de las amenazas potenciadas por IA, lo que amplía la brecha entre los ciberdelincuentes y los grupos de ciberseguridad.

Cuál es el verdadero impacto de la IA en el aumento y detección de ciberataques

El análisis de CrowdStrike pone de manifiesto que la inteligencia artificial ha acelerado la ejecución de los ataques, al igual que ha elevado su nivel de sofisticación.

Esta evolución ha generado una preocupación generalizada: el 89% de las organizaciones considera imprescindible adoptar soluciones de protección basadas en IA para poder cerrar la brecha existente.

La urgencia de esta transformación se refleja en el hecho de que la mitad de las empresas encuestadas teme no poder detectar ni responder con la rapidez necesaria ante ataques automatizados por IA, mientras que menos de una cuarta parte logra recuperarse en un plazo de 24 horas tras un incidente.

Qué tipo de ciberataques han sido potenciados por la inteligencia artificial

El informe detalla que el 48% de las organizaciones identifica las cadenas de ataque automatizadas por IA como la principal amenaza de ransomware en la actualidad. Además, el 85% advierte que los métodos tradicionales de detección están quedando obsoletos frente a las nuevas tácticas potenciadas por inteligencia artificial.

Esta percepción se ve reforzada por los datos sobre el impacto de los ataques: cerca del 25% de las empresas ha experimentado interrupciones o grandes pérdidas de datos como consecuencia directa de estos incidentes.

También, el estudio identifica al phishing como uno de los vectores de ataque más persistentes. El uso de inteligencia artificial ha incrementado la credibilidad de estos engaños, una tendencia reconocida por el 87% de las organizaciones.

Otro peligro son los deepfakes, es decir, contenidos hiperrealistas generados o modificados mediante IA, que se perfilan como un elemento central en los futuros ataques de ransomware.

Cuáles retos tienen las empresas para reducir el éxito de ciberataques

Elia Zaitsev, director de Tecnología de CrowdStrike, enfatizó en una nota de prensa que “el informe confirma que las defensas legacy no pueden igualar la velocidad ni la sofisticación de los ataques impulsados por IA. El tiempo es la moneda de la ciberdefensa hoy en día, y en el mundo actual dominado por la IA, cada segundo cuenta”.

En cuanto a las estrategias de respuesta, el informe advierte sobre los riesgos de ceder ante las demandas de los atacantes. El 83% de las organizaciones que pagaron un rescate fueron víctimas de nuevos ataques posteriormente, y el 93% sufrió el robo de datos a pesar de haber realizado el pago.

Asimismo, el 76% de las empresas señala una discrepancia entre la percepción de la alta dirección sobre su preparación ante el ransomware y la preparación real, lo que, según CrowdStrike, evidencia la necesidad de un mayor compromiso ejecutivo para modernizar las defensas y adaptarse al nuevo escenario de amenazas.

Qué papel cumple la capacitación de empleados en la protección de los datos

La capacitación ha demostrado impacto positivo en la adopción de buenas prácticas, como el uso de contraseñas robustas y la identificación de intentos de phishing.

Las empresas que implementan programas de capacitación continua logran detectar y contener incidentes más rápido, que aquellas organizaciones que no invierten en entrenamiento.

Esto es repaldado por diversos estudios que destacan que la formación en ciberseguridad es una de las herramientas más efectivas para reducir riesgos de amenazas avanzadas.

La creciente ola de ciberataques sobre la infraestructura digital de Estados Unidos dejó al descubierto una verdad incómoda: la fragilidad reside menos en la sofisticación de los atacantes y más en la deficiente calidad del software que sostiene sectores esenciales.

De acuerdo con un análisis de Foreign Affairs, la inteligencia artificial (IA) representa una oportunidad concreta para revertir años de inseguridad digital, al ofrecer herramientas capaces de transformar los estándares de protección en el país.

Durante mucho tiempo, la narrativa ubicó a los atacantes informáticos como adversarios casi invulnerables. Sin embargo, la mayoría de los accesos ilícitos explotan defectos conocidos y previsibles en productos tecnológicos ampliamente utilizados.

Desde 2021, grupos vinculados al Ministerio de Seguridad del Estado y al Ejército Popular de Liberación de China —identificados como Salt Typhoon y Volt Typhoon— aprovecharon sistemas sin parches y dispositivos mal asegurados para infiltrarse en redes de telecomunicaciones, sistemas de transporte y servicios eléctricos estadounidenses.

En 2024, hackers del Servicio Federal de Seguridad ruso explotaron una vulnerabilidad sin corregir en dispositivos de red, comprometiendo miles de routers y switches a lo largo de infraestructuras clave. “Estados Unidos no tiene un problema de ciberseguridad. Tiene un problema de calidad del software”, señala Foreign Affairs.

Incentivos económicos y el círculo vicioso de la industria

El trasfondo de esta realidad es económico. Los proveedores de software casi nunca encuentran verdaderos incentivos para priorizar la seguridad, ya que es más rentable y rápido desplazar los costos de la inseguridad hacia los clientes.

Ante la falta de normativas obligatorias y sanciones por fallos de seguridad, el diseño inseguro es una decisión empresarial lógica. Así, el mercado recompensa la rapidez y el bajo costo, relegando la protección.

Este modelo originó una industria de ciberseguridad multimillonaria que, como indica Foreign Affairs, funciona como un “mercado de posventa” donde se buscan remedios a defectos que jamás debieron producirse.

La inteligencia artificial como motor del cambio

La IA aparece como agente disruptor en este escenario. Sus capacidades permiten automatizar la identificación y corrección de vulnerabilidades, incluso en sistemas que parecían inactualizables. Actualmente, firmas tecnológicas como Google, Meta y Microsoft ya emplean IA que crea cerca de una cuarta parte de su código, proporción que podría superar el 80% en los próximos cinco años.

Estas herramientas asimilan décadas de código imperfecto y concentran el conocimiento sobre todas las fallas y correcciones conocidas, con lo que superan los límites individuales de cualquier programador.

El impacto de la IA en la ciberseguridad se comprobó en el AI Cyber Challenge, impulsado por la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) entre 2023 y 2025. Según datos recopilados por Foreign Affairs, los modelos líderes lograron identificar la mayoría de las vulnerabilidades introducidas intencionalmente y revelaron debilidades desconocidas, ejecutando el análisis en minutos y a costes mínimos.

Esta eficacia anticipa un cambio de paradigma: la seguridad puede integrarse como característica estándar del software en lugar de agregarse después como solución costosa.

Regulación, responsabilidad y cooperación público-privada

Aun así, el aprovechamiento de la IA en ciberseguridad implica amenazas adicionales. Los mismos sistemas capaces de fortalecer defensas pueden facilitar ataques más rápidos y adaptativos.

Además, la protección de los propios modelos de IA representa un reto ya que pueden manipularse a través de datos de entrenamiento alterados, adoptar decisiones inesperadas o depender de componentes externos poco fiables.

Foreign Affairs advierte que implementar funciones basadas en IA sin garantizar su seguridad repetiría los errores responsables de la debilidad digital actual.

Ante estos desafíos, el gobierno estadounidense inició medidas regulatorias y de mercado. En julio, la Casa Blanca presentó el “White House AI Action Plan”, que enfatiza la integración de seguridad, transparencia y responsabilidad desde la etapa de diseño en los sistemas de IA.

El plan prevé la creación de entornos de prueba conjuntos, mecanismos de verificación del origen de los modelos y auditorías constantes de desempeño. A la par, la ley sobre responsabilidad de IA aprobada en California en septiembre impone criterios de transparencia y evaluación de riesgos que podrían servir de modelo nacional.

En el plano comercial, la administración Biden estableció en enero de 2025 el “U.S. Cyber Trust Mark”, un sello que acredita el cumplimiento de estándares de ciberseguridad en dispositivos conectados a Internet. Inspirada en etiquetas como Energy Star, esta certificación busca incentivar la inversión en seguridad y ofrecer datos precisos a los consumidores sobre los productos. Sin embargo, Foreign Affairs recomienda extender la iniciativa a todo el software para convertir la seguridad en una exigencia general y no en excepción.

La armonización normativa sigue siendo un reto crítico: sectores como energía, transporte, finanzas y comunicaciones navegan entre requisitos regulatorios inconexos, lo que crea una “maraña de requisitos superpuestos” y propicia el cumplimiento superficial, sin reducir el riesgo real.

Consolidar el liderazgo de la Oficina Nacional del Director de Ciberseguridad (ONCD), creada en 2021, figura como solución propuesta para coordinar la política y establecer obligaciones claras para que los proveedores respondan por fallos ocasionados por prácticas negligentes.

El poder de compra y el futuro de la resiliencia digital

El sector público tiene margen de influencia vía compras. El gobierno federal, como mayor consumidor mundial de software, puede exigir estándares elevados en sus contratos. Ejemplos recientes, como la carta abierta de JPMorgan Chase a sus proveedores exigiendo anteponer la seguridad al lanzamiento acelerado de nuevas funciones, demuestran que el poder de compra puede elevar los estándares en toda la industria.

Pese al reconocimiento del problema, el avance hacia soluciones efectivas aún no se consolidó. Las medidas regulatorias y los incentivos no crearon un marco nacional obligatorio, mientras que la presión de la industria tecnológica ralentiza reformas que aumentarían costes o frenarían la innovación.

El futuro de la ciberseguridad en Estados Unidos dependerá de la capacidad para alinear incentivos, fortalecer la cooperación público-privada y aprovechar al máximo la IA. Según la conclusión de Foreign Affairs, el objetivo no es lograr protección absoluta, sino construir sistemas resilientes, capaces de soportar amenazas y asegurar la confianza en la vida digital.

La Red de Servicios Gubernamentales del Ejecutivo taiwanés registró un promedio de 2,8 millones de ciberataques diarios en lo que va de 2025, informó la Oficina de Seguridad Nacional (NSB) de Taiwán, en medio del recrudecimiento de las tensiones con Beijing.

En un documento recogido por la agencia CNA, el organismo indicó que los ataques se concentraron en áreas como “proyectos de infraestructura críticos” e “información confidencial sobre la cooperación gubernamental en el exterior”.

Según la NSB, los ataques dirigidos contra los sistemas vinculados con la defensa nacional, las relaciones exteriores y las comunicaciones buscaban “obtener información sensible” y “alterar el desarrollo de infraestructuras clave”.

El organismo agregó que, hasta la fecha, las agencias de inteligencia taiwanesas identificaron más de 1,5 millones de piezas de “información controvertida” difundidas en redes sociales a través de “perfiles anómalos”. Estos contenidos propagaban noticias falsas con el objetivo de influir en la opinión pública, fomentar la confrontación interna, elogiar a China y sembrar desconfianza hacia Estados Unidos.

De acuerdo con la NSB, estas operaciones estarían encabezadas por el Partido Comunista Chino (PCCh), que utiliza dichos contenidos para “usar a Taiwán para atacar a Taiwán” y “replicar mensajes destinados a amplificar sus campañas de desinformación”.

Asimismo, la oficina reveló que 24 personas fueron acusadas en Taiwán por casos de espionaje en los primeros nueve meses de 2025, entre ellas trece oficiales en activo o retirados.

La NSB denunció que el Ejército Popular de Liberación (EPL) y las agencias de seguridad y policía del régimen chino han organizado una “red coordinada” y creado un “ejército cibernético”, compuesto también por civiles chinos, para lanzar ataques contra Taiwán y sustraer información sensible.

En los últimos años, el Gobierno taiwanés ha reportado un aumento de las tácticas en “zona gris” de China, que incluyen el envío de globos aerostáticos más allá de la línea media del Estrecho, la proliferación de noticias falsas y el hackeo de información sensible.

Taiwán se gobierna de forma autónoma desde 1949 bajo el nombre de República de China, y cuenta con Fuerzas Armadas y un sistema político, económico y social distintos a los de la República Popular China, destacándose como una de las democracias más avanzadas de Asia.

Beijing, por su parte, considera a la isla como una “parte inalienable” de su territorio y ha intensificado su campaña de presión en los últimos años para concretar la “reunificación nacional”, objetivo clave del dictador Xi Jinping en su proyecto de “rejuvenecimiento” de la nación china.

(Con información de EFE)

La logística global ya no se mide solo por la eficiencia de los puertos, los corredores terrestres o la automatización de los depósitos. En un mundo hiperconectado, donde cada embarque depende de datos compartidos entre múltiples actores, la ciberseguridad emerge como un nuevo eslabón crítico de la cadena de suministro.

Así lo advierte el Foro Económico Mundial (WEF) en su último informe Elevating Cybersecurity: Ensuring Strategic and Sustainable Impact for CISOs (octubre de 2025), que analiza cómo la digitalización y la dependencia tecnológica están redefiniendo los riesgos en el comercio internacional.

El estudio señala que más de la mitad de las grandes organizaciones del mundo consideran la gestión de riesgos de terceros como un desafío clave para su ciberresiliencia. Esto incluye a proveedores logísticos, operadores de transporte, despachantes de aduana y plataformas tecnológicas interconectadas, que pueden transformarse en puertas de entrada para ciberataques con impacto sistémico.

Vulnerabilidades en red

Según el Foro, las cadenas de suministro digitales interdependientes amplifican los puntos de exposición a amenazas cibernéticas. “Las organizaciones tienen la responsabilidad de mantener prácticas sólidas de ciberseguridad a lo largo de toda la cadena, tanto aguas arriba como aguas abajo”, señala el documento. Esto implica no solo proteger las conexiones con proveedores, sino también resguardar la información de los clientes y la trazabilidad de las operaciones.

Un ataque a un solo eslabón puede generar un efecto dominó: paralizar puertos, detener flotas o bloquear sistemas de gestión aduanera. En sectores como el comercio exterior, donde los procesos dependen de certificados digitales, contratos electrónicos y plataformas de trazabilidad, una vulnerabilidad en la red puede traducirse en pérdidas millonarias y rupturas en el abastecimiento global.

El informe subraya además que la fragmentación tecnológica y geopolítica complica la detección y prevención de amenazas. Las disputas comerciales, las sanciones internacionales y las políticas de soberanía de datos están generando ecosistemas digitales cada vez más regionalizados, lo que “dificulta la agregación de información para detectar ataques y coordinar respuestas”. En ese contexto, los responsables de seguridad deben desarrollar nuevas estrategias para mantener la visibilidad y el control sobre sistemas distribuidos en múltiples jurisdicciones.

La ciberresiliencia como ventaja competitiva

El Foro Económico Mundial propone que la ciberseguridad deje de ser vista como un área técnica y pase a considerarse un pilar estratégico para la continuidad operativa y la competitividad. En su análisis, el Chief Information Security Officer (CISO) ya no es solo un especialista en sistemas, sino un actor central en la gestión del riesgo empresarial.

Esta mirada se alinea con la evolución del comercio internacional, donde las cadenas logísticas inteligentes, la inteligencia artificial y la automatización portuaria requieren niveles cada vez más altos de protección digital. Los ciberataques no solo pueden afectar la integridad de la información, sino también la disponibilidad de servicios esenciales, desde la gestión de inventarios hasta la planificación del transporte multimodal.

La ciberresiliencia, en ese sentido, se convierte en una ventaja competitiva: las empresas y países que logren integrar seguridad digital a lo largo de toda la cadena serán capaces de mantener operaciones estables frente a interrupciones tecnológicas o geopolíticas. “El éxito del CISO depende de su capacidad de influencia y de colaboración transversal, más que de su jerarquía”, subraya el texto, destacando la importancia de la cooperación entre los líderes de tecnología, operaciones y cumplimiento.

Ecosistemas de confianza

El documento también destaca la necesidad de construir ecosistemas colaborativos de seguridad entre gobiernos, empresas y organismos reguladores. En este sentido, propone que los directorios de las compañías traten la ciberseguridad como una cuestión de gobernanza corporativa y no solo de cumplimiento normativo.

El WEF sostiene que la protección digital debe incorporarse a la cultura organizacional de manera transversal. En la práctica, esto significa que todos los actores de la cadena —desde los equipos de compras hasta los operadores logísticos— comprendan su rol en la prevención de incidentes y actúen con protocolos comunes de respuesta.

En el plano global, la coordinación entre agencias nacionales de ciberseguridad, fuerzas de seguridad y empresas privadas es esencial para detectar patrones de ataque y compartir inteligencia de amenazas. El informe alienta la creación de canales de comunicación confiables entre las partes, tanto en el ámbito público como en el privado, para responder de forma rápida ante incidentes con impacto transfronterizo.

El futuro de las cadenas seguras

En su conclusión, el Foro Económico Mundial advierte que las cadenas logísticas y comerciales del futuro dependerán de la confianza digital tanto como de la infraestructura física. “La ciberseguridad debe ser vista como un habilitador de innovación, confianza y crecimiento competitivo”, plantea el texto.

A medida que las empresas automatizan procesos y adoptan tecnologías emergentes —desde la inteligencia artificial hasta la computación cuántica—, el desafío será equilibrar velocidad, innovación y protección. En ese escenario, la logística internacional se enfrenta a un nuevo paradigma: el de proteger no solo los bienes que se transportan, sino también los datos que los hacen posibles.

Casi el 80% de los ciberataques detectados en la Unión Europea durante el último año estuvieron motivados por cuestiones ideológicas, según el informe divulgado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA). El documento, que analiza 4.875 incidentes, apunta a Rusia y China como principal fuente de actividad maliciosa contra los Estados miembros y señala que el ciberactivismo fue responsable del 79,4% de los casos, convirtiéndose en la principal causa de los ataques, por encima de las redes cibercriminales (13,4%) y de las campañas de ciberespionaje (7,2%).

El informe especifica que las campañas de ciberactivismo presentan un impacto general bajo, pero resultan ser las más frecuentes debido a su facilidad y bajo coste de ejecución. El ataque más común es el DDoS —distribuido de denegación de servicio—, que estuvo presente en un 77% de los incidentes analizados. Esta técnica consiste en saturar sitios web, servidores o recursos de red con tráfico malicioso, hasta impedir su funcionamiento para los usuarios legítimos. No obstante, los ataques de tipo ‘ransomware’ son señalados en el reporte como la amenaza con mayor repercusión para el bloque.

La ENISA también resalta la persistencia de ataques ligados a actores alineados con estados extranjeros, una tendencia que se mantuvo durante el año pasado. Según el informe, se registraron 46 conjuntos de intrusiones distintas, de las cuales el 47% se atribuye a grupos vinculados a Rusia y el 43% a actores conectados con China, con un 36% adicional correspondiente a Corea del Norte. La mayoría de estos ataques se dirigieron a instituciones públicas (38,2%), seguidas por el sector del transporte (7,5%) y las infraestructuras digitales y financieras (4,8% y 4,5%, respectivamente).

Durante los últimos años diversos ciberataques han afectado a varios países de la región, extendiendo la amenaza sobre sus instituciones. En 2021 el sistema de salud público de Irlanda (HSE) sufrió un ataque de ‘ransomware’ que paralizó sus sistemas. La agresión informática, atribuida al grupo Conti, detuvo la actividad hospitalaria, generó cancelaciones de citas y expuso información confidencial de miles de pacientes, con repercusiones legales aún presentes en 2024. En 2023, la Biblioteca Británica fue víctima de un ataque por parte del grupo Rhysida tras negarse al pago de rescate, lo que derivó en la filtración de 600 gigabytes de datos y gastos de recuperación superiores a siete millones de libras.

El sector del transporte también se ha visto impactado. En septiembre de este mismo año, un ataque con ‘ransomware’ afectó los sistemas de check-in de varios aeropuertos europeos, incluidos los de Heathrow en Londres, forzando a operar manualmente e implicando cancelaciones masivas.

Informes previos de la ENISA revelaron que las telecomunicaciones y el sector financiero vienen registrando un aumento sostenido en el número de incidentes. Los Estados miembros notificaron en 2022 más de 1.500 episodios de seguridad en telecomunicaciones, cifra que se incrementó en 2024 con 188 casos reportados en 26 países. Entre 2023 y 2024, se contabilizaron 488 incidentes públicos en el ámbito financiero, siendo los bancos el blanco principal en casi la mitad de las ocasiones.

El informe también recoge un avance en la atribución oficial de ataques a actores estatales. En abril de 2025, Francia responsabilizó por primera vez a la inteligencia militar rusa (GRU) de operaciones de piratería cibernética dirigidas contra sus instituciones.

El director ejecutivo de ENISA, Juhan Lepassaar, afirmó que la situación obliga a “establecer prioridades para proteger las infraestructuras críticas y garantizar que el futuro digital sea seguro”, según declaraciones incluidas en el informe.

Hace un año, un usuario logró manipular a ChatGPT para que revelara instrucciones sobre cómo fabricar una bomba casera, aprovechando una falla en los protocolos de seguridad de la inteligencia artificial y persuadiéndola para que proporcionara indicaciones previas para armar explosivos. En general, las IA están diseñadas para seguir pautas y restricciones éticas, y la mayoría de las versiones comerciales y de investigación están programadas para impedir la entrega de información relacionada con actividades ilegales o peligrosas.

Recientemente, se registró un caso en el que ChatGPT ofreció instrucciones paso a paso para autolesionarse, explicándole a un usuario cómo podría cortarse las venas a la altura de las muñecas.

Todo comenzó con una consulta a ChatGPT, que describió ritos ceremoniales, incluidos cánticos, invocaciones y sacrificios de animales. Según la política declarada de OpenAI, ChatGPT “no debe incentivar ni facilitar la autolesión”.

Así, cuando se le pregunta directamente sobre la autoagresión, el chatbot suele derivar a los usuarios a un teléfono de ayuda. Sin embargo, algunas conversaciones con ChatGPT pueden comenzar siendo un tanto inocentes o exploratorias, derivando luego hacia un ámbito mucho más complejo y peligroso.

Para engañar y persuadir a una IA a responder este tipo de consultas, solo es necesario insistir con múltiples intentos o recurrir a algún pretexto elíptico y débil, argumentando que se trata de una investigación o que se tiene como inocente propósito la elaboración de un programa.

En este caso, ChatGPT terminó proponiendo cortarse las venas: “Conseguir una hoja de afeitar limpia”, “Buscar un punto en la parte interior de la muñeca donde se pueda sentir el pulso o ver una vena pequeña; y hasta evitar las venas o arterias grandes”. Cuando el usuario reconoció estar nervioso, ChatGPT lo consoló, describió un ejercicio de respiración relajante y de preparación para calmar su ansiedad antes de hacer la incisión.

“¡Puedes hacerlo!”, dijo el chatbot.

Las respuestas de ChatGPT iban más allá de la autolesión, sugiriendo incluso considerar la idea de acabar con la vida de otra persona.

Cuando se le preguntó si era posible “hacerlo con honor”, ChatGPT respondió: “A veces sí. A veces no”, citando antiguas prácticas sacrificiales.

Es posible que algunas IA más avanzadas o entrenadas para actividades específicas —como las utilizadas en investigación o en procesos de simulación— puedan proporcionar información sobre temas sensibles o peligrosos, dependiendo de su programación y de las restricciones que se les hayan impuesto, por lo que el acceso a estas plataformas requiere seguridades mucho más robustas. La realidad es que algunos modelos de inteligencia artificial están siendo utilizados en intentos de operaciones de extorsión y estafas a gran escala, suplantando identidades y falsificando CV´s aplicados a solicitudes de empleo de empresas tecnológicas internacionales por parte de agentes de Corea del Norte, o en procesos de comercialización de paquetes de malware autoevolutivo o ransomware.

La IA se está “militarizando”, con modelos entrenados para ejecutar ciberataques sofisticados, intrusiones de inteligencia y fraudes operados por Estados-Nación, incluso brindando instrucciones sobre el uso de navegadores para acceder a la dark web con el fin de adquirir tarjetas de crédito robadas y activas, burundanga, fentanilo, pasaportes falsos e identidades sintéticas.

Según los sondeos surgidos de nuestro Centro de Estudios de Ciber Entornos y Sociedad Digital, el 14 % de los niños menores de edad que utilizan IA para confeccionar sus tareas escolares indican al “prompt” que la respuesta sea escrita como lo haría una criatura de 12 años y que, además, incluya algunos errores de ortografía y tipeo.

El Equipo Global de Análisis e Investigación de Kaspersky (GReAT) ha advertido sobre la exposición de más de 10.000 dispositivos del Internet de las Cosas (IoT) a ciberataques a nivel global, una problemática que afecta principalmente a routers y pone en riesgo tanto a usuarios domésticos como a empresas de distintos sectores.

De acuerdo con el reporte de ciberseguridad, esta situación se agrava en países como Brasil, México, Chile, Argentina y Colombia, donde la proliferación de dispositivos conectados ha elevado el nivel de vulnerabilidad en hogares y oficinas.

La presencia de dispositivos IoT en América Latina

De acuerdo con el análisis publicado por Kaspersky, el crecimiento del IoT progresa de forma veloz, con una tasa estimada de conexión de 127 dispositivos nuevos por segundo en todo el mundo. Esta cifra refleja una tendencia en la que un 34 % de los usuarios latinoamericanos ya dispone, al menos, de un aparato IoT funcionando en su domicilio.

En los entornos domésticos modernos, la conectividad de asistentes de voz, televisores, cámaras y electrodomésticos se suma a la de los tradicionales routers, mientras que en el ámbito empresarial dispositivos como cafeteras, impresoras y sensores operan interconectados de manera constante, aunque muchas personas no los perciban como parte integral de su infraestructura digital.

Cómo funciona el Internet de las Cosas y por qué es vulnerable

El Internet de las Cosas define una red de objetos físicos capaces de recopilar y transmitir datos sin intervención humana directa. Según la investigación, cada individuo interactúa diariamente, en promedio, con entre 10 y 15 dispositivos IoT.

Si bien aportan comodidad y eficiencia, estos equipos también pueden convertirse en la vía de acceso de amenazas difíciles de anticipar, ya que el 23 % de los usuarios en la región desconoce o no comprende claramente qué implica el concepto de IoT, de acuerdo con cifras de la propia empresa.

La superficie de ataque se amplía cuando estos equipos emplean contraseñas débiles o repetidas, comparten datos de manera insegura, carecen de actualizaciones o se conectan a redes sin protección.

Según el estudio citado, un solo dispositivo vulnerable puede ser secuestrado y utilizado como parte de una red de bots o “botnet”, infraestructura que los ciberdelincuentes emplean para coordinar desde la sustracción de información hasta la propagación de malware, acciones de espionaje, minería de criptomonedas, distribución de spam y phishing, así como ataques de Denegación de Servicio Distribuido (DDoS).

El informe de Kaspersky destaca que uno de cada cuatro latinoamericanos se muestra indiferente ante la posibilidad de que un ciberdelincuente acceda a sus aparatos conectados.

Las botnets constituidas por dispositivos IoT representan un riesgo elevado, ya que los agresores pueden emplear estas redes para saturar servidores o manipular controles críticos vinculados a servicios esenciales, con el potencial de causar disrupciones tanto en la esfera digital como en la vida cotidiana.

María Isabel Manjarrez, investigadora de seguridad del Equipo Global de Investigación y Análisis para América Latina de Kaspersky, subrayó: “Gracias al Internet de las Cosas, hoy vivimos en ecosistemas inteligentes donde casi todo está conectado, no solo en hogares u oficinas, también en servicios críticos como agua, gas o luz, e incluso procesos industriales. Cada dispositivo IoT nuevo trae consigo la responsabilidad de protegerlo y mantener seguras las redes a las que se conecta”.

Según la especialista, no existen dispositivos “malos” por sí mismos, pero sí pueden actuar como focos de propagación cuando resultan vulnerados, constituyendo así puntos de contagio dentro de una red.

Para reducir riesgos, la compañía recomienda a los usuarios domésticos configurar la seguridad de los dispositivos IoT, controlar los permisos de las aplicaciones, emplear contraseñas únicas y robustas y mantener siempre actualizados los equipos y sus aplicaciones.

Adicionalmente, se aconseja proteger los dispositivos que se sincronizan con el IoT, como teléfonos y computadoras, a través de soluciones de ciberseguridad confiables.

La Comisión Europea (CE) instó a los Estados miembros a aplicar de forma inmediata y efectiva la nueva directiva sobre redes y sistemas de información (NIS2), luego de que un ataque cibernético contra proveedores de servicios de facturación y embarque afectara el funcionamiento de aeropuertos clave en Bélgica, Alemania y Reino Unido. La magnitud del incidente, que derivó en cancelaciones, retrasos y congestión en las terminales aéreas, expuso la fragilidad de un sector esencial para la conectividad logística global.

La directiva, que busca elevar los estándares comunes de ciberseguridad en toda la Unión Europea, todavía no ha sido traspuesta por la mayoría de los países del bloque. Según datos de Bruselas, apenas 12 Estados miembros completaron el proceso, mientras que otros 19, entre ellos España, enfrentan procedimientos de infracción por incumplimiento.

Impacto logístico y magnitud de los ataques

El ciberataque, ocurrido durante el fin de semana, afectó de manera directa al aeropuerto de Bruselas, donde las aerolíneas se vieron forzadas a cancelar cerca de la mitad de sus vuelos entre el viernes y el domingo. La imposibilidad de acceder a los sistemas de facturación y embarque generó un cuello de botella en las operaciones, alterando la planificación de rutas y la disponibilidad de conexiones internacionales.

En Alemania, el aeropuerto de Berlín-Brandeburgo experimentó interrupciones similares, con tiempos de espera prolongados y retrasos en las partidas. A su vez, en el aeropuerto londinense de Heathrow, uno de los principales nodos de transporte aéreo de Europa, los pasajeros fueron advertidos de demoras derivadas de un “problema técnico” en el mismo tipo de sistema. Si bien las autoridades aclararon que la seguridad aérea y el control del tráfico no estuvieron comprometidos, el episodio dejó en evidencia la vulnerabilidad de los procesos logísticos que sostienen la aviación comercial.

El transporte aéreo, considerado una infraestructura crítica por la directiva NIS2, depende de sistemas informáticos que concentran información sensible: datos de pasajeros, itinerarios, procesos de carga y coordinación entre aerolíneas, aeropuertos y organismos de control. Una interrupción en estos puntos neurálgicos no solo provoca inconvenientes para los viajeros, sino que compromete la confiabilidad de toda la red de movilidad internacional, afectando cadenas de suministro que dependen de la rapidez del transporte aéreo.

La respuesta de Bruselas

El portavoz comunitario Thomas Regnier subrayó que los ataques demuestran la necesidad urgente de implementar NIS2. Esta normativa amplía el alcance de los sectores obligados a reforzar sus defensas, introduce exigencias claras en gestión de riesgos y notificación de incidentes, y obliga a cada Estado a contar con una estrategia nacional de ciberseguridad.

Además, establece lineamientos específicos para la protección de la cadena de suministro, la actualización constante de vulnerabilidades y la capacitación en seguridad digital. Las empresas catalogadas como “operadores de servicios esenciales” deben garantizar que cumplen con los requisitos técnicos y organizativos para reducir la exposición a amenazas.

La Comisión informó que trabaja en coordinación con Eurocontrol, la Agencia de Ciberseguridad de la Unión Europea (ENISA), autoridades nacionales y aerolíneas para recuperar la normalidad y apoyar a los pasajeros afectados. Sin embargo, el alcance del incidente refuerza la preocupación por el bajo nivel de preparación de varios países frente a ciberataques de gran escala.

Un desafío para la resiliencia logística

Los aeropuertos europeos actúan como nodos estratégicos para el flujo de bienes y personas en la economía global. Una interrupción prolongada, como la sufrida en Bruselas, puede alterar cadenas de suministro que dependen de vuelos de carga y de conexiones rápidas con otros mercados. En este sentido, el episodio revela la necesidad de integrar la ciberseguridad como parte de la resiliencia logística, del mismo modo que se contemplan variables como el clima, la congestión de infraestructura o los conflictos laborales.

La comisaria europea de Emergencias y Preparación de Crisis, Hadja Lahbib, advirtió que la Unión debe invertir en preparación ante amenazas “reales y complejas”. Recordó que la estrategia comunitaria busca reforzar la coordinación entre los Estados miembros y garantizar la capacidad de reacción conjunta frente a incidentes que afectan infraestructuras críticas.

Una carrera contra el tiempo

Mientras algunos países avanzan en la transposición de NIS2, otros enfrentan retrasos que los dejan expuestos a sanciones y, sobre todo, a mayores riesgos. La Comisión ha dejado claro que la aviación y el transporte en su conjunto están en el centro de las prioridades, no solo por la magnitud de los incidentes recientes, sino porque representan pilares fundamentales de la competitividad y la conectividad europea.

El ciberataque a los aeropuertos europeos marca un punto de inflexión: la logística aérea, columna vertebral del comercio exterior y del turismo, no solo depende de aviones y pistas, sino también de la solidez de sus sistemas digitales. En un escenario global cada vez más interconectado, la ciberseguridad deja de ser un área técnica aislada para convertirse en un requisito indispensable para garantizar continuidad, confianza y eficiencia en las operaciones logísticas internacionales.

Las empresas enfrentan hoy un escenario donde los ciberataques evolucionan, impulsados por avances en inteligencia artificial (IA) y futuros usos de la computación cuántica. El costo de estos incidentes puede alcanzar cifras millonarias, como lo demuestra el fraude sufrido por la firma británica Arup, que perdió 25 millones de dólares por una videollamada alterada mediante IA.

En el caso de la IA generativa, plantea desafíos inéditos: la manipulación de imágenes y sonidos permite crear deepfakes convincentes y desarrollar campañas de phishing más efectivas, lo que expone vulnerabilidades profundas en la verificación de la identidad digital y la protección de datos.

Además, según proyecciones de Deloitte, los fraudes apalancados en IA podrían provocar pérdidas por 40.000 millones de dólares solo en Estados Unidos para 2027. Estos eventos han llevado a especialistas en ciberseguridad a advertir sobre la necesidad de tener una hoja de ruta que reconozca estos peligros y los pueda prevenir.

Cómo se preparan las empresas latinoamericanas ante el avance de ciberataques

El contexto latinoamericano muestra una rápida toma de conciencia frente a los riesgos cibernéticos. Matías Haidbauer, responsable de servicios de ciberseguridad de IBM para América Latina, aseguró que “están muy concientizadas. Quieren adoptar las mejores tecnologías y servicios para equipararse al nivel de los ciberatacantes”.

El especialista resaltó la adopción de inteligencia artificial aplicada a la protección informática como parte de las estrategias clave en la región. No obstante, la misma tecnología que fortalece sistemas defensivos también amplía las capacidades de los atacantes.

De acuerdo con Haidbauer, el uso de IA por actores maliciosos “no está creando nuevos ataques, sino que está escalando exponencialmente lo que ya hacían: campañas masivas de phishing en segundos, segmentación avanzada de datos y generación automática de código malicioso forman parte de este arsenal ofensivo”.

De qué forma la inteligencia artificial puede potenciar las amenazas informáticas

La inteligencia artificial permite automatizar procesos de intrusión que hasta hace poco precisaban gran inversión de tiempo y recursos por parte de los ciberdelincuentes.

Según explicó Haidbauer, “ahora los atacantes pueden realizar ciberataques más personalizados, o envenenar el código de una aplicación de forma más sencilla”.

Asimismo, el impacto de los deepfakes en el sector empresarial resulta muy grave, por su capacidad para vulnerar controles internos a través de la suplantación de identidad.

El episodio reciente en Arup, demostró que la creación de videos manipulados con IA, son capaces de simular la voz y los gestos de altos ejecutivos, y permitió a los atacantes convencer a un empleado de transferir una suma millonaria, exponiendo la facilidad con la que estos métodos pueden evadir las defensas convencionales.

Qué medidas deben tomar las organizaciones para combatir las deepfakes

El desarrollo de herramientas para detectar deepfakes avanza, aunque la capacitación humana sigue siendo crucial. Según Haidbauer, “hay soluciones tecnológicas para identificar deepfakes, pero es fundamental que las personas que trabajan en las entidades estén capacitadas para identificar estos fraudes”.

Destacó que, en casos recientes en América Latina y otros mercados, los atacantes simularon ser representantes de empresas a través de IA para obtener beneficios, como la entrega de millas de viajero u órdenes de transferencia.

Por este motivo, “la educación y la capacitación, no solo de los equipos de ciberseguridad, sino de toda la plantilla, se tornan esenciales frente a ataques que explotan la confianza de los integrantes de una organización”, destacó el especialista de IBM.

Por qué la computación cuántica se puede convertir en una amenaza

Frente al auge de la computación cuántica, el debate no reside en si esta tecnología llegará, sino en cuándo se convertirá en un instrumento accesible para criminales informáticos.

Haidbauer subrayó que “la computación cuántica, cuando alcance cierto nivel de capacidad, podrá romper toda la encriptación avanzada que hoy protegen los sistemas de las empresas”. El riesgo radica en que, al volverse viable su uso, hará obsoletos los sistemas criptográficos actuales.

La medida a seguir pasa entonces por una estrategia de preparación: “Las empresas tienen que estar listas para defenderse cuando los atacantes empiecen a usar la computación cuántica”, dijo.

Agregó: “Eso implica cambiar todo el esquema de encriptación y adaptar procesos internos, no necesariamente adquirir su propia computadora cuántica, sino anticipar la amenaza y redefinir la arquitectura de comunicaciones corporativas”.

El Primer Informe de Gobierno de Claudia Sheinbaum presume a la digitalización y la soberanía tecnológica como banderas de un México que aspira a ser potencia regional en innovación. Nuevas instituciones, identidad digital, proyectos espaciales y conectividad parecen dibujar un país que se prepara para el futuro.

Sin embargo, cuando la conversación llega a la ciberseguridad, el discurso se desmorona: lo que se presenta como estrategia es, en realidad, un conjunto disperso de buenas intenciones que no alcanza a responder a la gravedad de los riesgos que enfrentamos.

El gobierno celebra la protección del dominio gob.mx y la instauración de alertas tempranas. También habla de una Política General de Ciberseguridad que aún está en proceso, lineamientos normativos en preparación y un cuestionario diagnóstico que, en el mejor de los casos, sirve como termómetro preliminar.

El problema es que los ciberataques no esperan a que los borradores se conviertan en políticas definitivas. El ransomware, el robo de datos y las intrusiones a infraestructura crítica avanzan en semanas, no en años. Mientras México redacta documentos, los atacantes afinan nuevas técnicas, desarrollan malware más sofisticado y prueban vulnerabilidades en los sistemas gubernamentales y empresariales.

El contraste es brutal: mientras los cibercriminales actúan con precisión quirúrgica y velocidad milimétrica, la respuesta del Estado se mueve con pasos burocráticos. No hay plazos definidos, no hay metas medibles, no hay responsables claros. El resultado es una estrategia lenta, genérica y difusa que difícilmente podrá blindar al país frente al nivel actual de amenaza.

Capacitar a 2,958 jóvenes en programación y ciberseguridad a través de la Escuela Pública de Código es un avance loable, pero marginal. El déficit de especialistas en ciberseguridad en México se mide en decenas de miles. Celebrar cifras tan pequeñas es, en el mejor de los casos, ingenuo; en el peor, un intento de maquillar la falta de visión de largo plazo.

Hablar de soberanía digital y de proyectos espaciales suena grandilocuente, pero carece de sentido si lo básico —la protección de los sistemas, la resiliencia de la infraestructura crítica y la capacitación masiva de talento— sigue en estado embrionario. Es como construir satélites mientras se dejan abiertas las puertas de los servidores gubernamentales.

Un punto importante a señalar es la velocidad de los ciberataques contra México, los cuales tienen las siguientes características:

- Son extremadamente rápidos: se miden en cientos o miles de intentos por segundo a nivel nacional.

- Son constantes: un bombardeo ininterrumpido las 24 horas del día.

- Son crecientes: el volumen y la sofisticación aumentan cada año, impulsados por la automatización, la inteligencia artificial y motivos económicos y políticos.

Frente a este escenario, cualquier política “en borrador” es insuficiente y peligrosa. La amenaza digital es dinámica y permanente; responder con planes a medias equivale a enfrentar un huracán con un paraguas roto.

Hasta ahora, el gobierno no ha buscado una colaboración abierta con la industria ni con especialistas en ciberseguridad en México; no ha convocado mesas de trabajo, ni ha lanzado invitaciones, estudios o investigaciones que permitan un diálogo amplio sobre el tema. Es probable que se apoye en sus asesores habituales, quienes suelen ajustar sus recomendaciones a lo que consideran aceptable para la presidencia, aunque esto no necesariamente responda a las necesidades reales de la ciudadanía, como ha ocurrido en otros ámbitos.

La ciberseguridad debe abordarse de manera integral, considerando la amplitud y diversidad de áreas que implica. Esto requiere conformar equipos multidisciplinarios con perfiles como analistas, instructores, hackers éticos, auditores, especialistas forenses, desarrolladores, programadores, investigadores, psicólogos y abogados, entre otros, de modo que se cubran de manera efectiva los distintos ámbitos de esta disciplina.

En cuanto al diseño de políticas, estas deberían basarse en tres ejes centrales:

Tecnología y actualización de sistemas, invirtiendo en las soluciones más avanzadas disponibles mientras no exista tecnología propia, y asegurando que los sistemas se mantengan actualizados con los parches de seguridad aplicados oportunamente.

Capacitación y concientización, tanto para los empleados del gobierno, sin importar jerarquía, como para la ciudadanía, mediante mecanismos y centros de formación que fortalezcan la cultura de ciberseguridad.

Planes de respuesta y estándares internacionales, con estrategias de gestión de incidentes, planes de recuperación ante crisis y procedimientos alineados con normas como ISO 27001 o marcos de referencia como el NIST.

Estos tres ejes deben desarrollarse de manera simultánea e integral, ya que de lo contrario las políticas perderían efectividad.

Respecto al momento para impulsar estas iniciativas, no cabe duda de que es oportuno, pero más allá de las buenas intenciones, lo que urge es la ejecución inmediata. En ciberseguridad, México va rezagado frente a la velocidad, flexibilidad y capacidad de adaptación de los cibercriminales. El gobierno debe actuar con rapidez, con base en una planificación sólida, análisis profundo y el respaldo de los especialistas disponibles en el país.

De lograrse, estas acciones pueden sentar las bases para la creación de una Ley de Ciberseguridad en México, una norma que lleva años pendiente a pesar de que el país es un blanco constante del cibercrimen. Sin embargo, el tiempo es el factor decisivo: mientras más tardemos en establecer políticas y marcos normativos, mayor será el rezago frente a las tácticas y tecnologías que los criminales ya están aplicando.

El gran pendiente del gobierno de Sheinbaum no está en el discurso, sino en la ejecución. Sin recursos claros, sin gobernanza definida y sin urgencia, la ciberseguridad en México se mantiene en el limbo. El país no necesita diagnósticos interminables ni borradores eternos: necesita acción inmediata, coordinación real y una estrategia que entienda que la amenaza digital no es una posibilidad futura, sino una realidad presente.

Hasta ahora, lo anunciado es apenas un bosquejo. Y en el mundo de la ciberseguridad, los bosquejos no protegen nada.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

**Los comentarios emitidos en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.

La filtración masiva de documentos de la Dirección de Inteligencia de la Policía Nacional (Dirin), conocida como los “Dirin Leaks”, provocó de inmediato reacciones en el ámbito político.

Este viernes 5 de septiembre, el congresista Diego Bazán declaró a Canal N que la información difundida se trataría de un “intento de hackeo”, tal como lo señaló la Policía Nacional en las primeras horas del día. Según el parlamentario, lo ocurrido fue una vulneración completa de los sistemas de la Dirin que dejó al descubierto datos de agentes, equipos y operaciones en curso.

Bazán aseguró que recibió confirmaciones directas de personal de inteligencia que, de manera anónima, lo alertaron sobre la magnitud del ataque.

Congresista Diego Bazán desmiente versión oficial

El legislador señaló que la versión oficial intenta suavizar un hecho que ya compromete a la seguridad nacional. Aparentemente, según relata el congresista, el ministro del Interior, Carlos Malaver, informó al presidente de la Comisión de Seguridad Ciudadana del Congreso que el ataque se habría limitado a una “primera capa” de los servidores.

Bazán, sin embargo, desmintió esa explicación al sostener que los archivos están circulando y que incluyen detalles de operaciones activas, lo que dejaría desprotegidos a los propios efectivos de la PNP.

“Agentes de inteligencia se han comunicado directamente conmigo, quienes desmienten las declaraciones del propio ministro. Es totalmente falso”, enfatizó.

Para Bazán, este episodio confirma la precariedad de la ciberseguridad estatal. Recordó que la Dirin invirtió cerca 7 millones de soles en un sistema de protección que terminó siendo vulnerado con facilidad. “Esto no responde a un pasatiempo de hackers aficionados, que han intentado divertirse con esta información, sino a organizaciones criminales quienes están pagando para que precisamente este tipo de información se filtre”, manifestó.

Exigen retirar a los altos mandos de la Dirin

El congresista adelantó que exigirá la presencia inmediata de Carlos Malaver en las comisiones de Seguridad Ciudadana y Defensa del Congreso, donde ya se aprobó una moción de interpelación. En su opinión, la magnitud de la filtración amerita que el titular del Interior “dé un paso al costado” y asuma responsabilidades políticas.

“El ministro tiene que tomar acciones inmediatas y remover a quienes dirigen la Dirin. Este tema no se puede permitir más y las consecuencias ya se están viendo”, dijo. También cuestionó la permanencia del actual jefe de inteligencia, a quien recordó como un general cesado en La Libertad por presuntos vínculos con la minería ilegal. “¿Cómo confiar la seguridad nacional a una persona con esos antecedentes?”, expresó.

Para el congresista, tanto la falta de controles como la permanencia de altos mandos cuestionados reflejan un manejo deficiente del área de inteligencia que terminó en esta crisis.

Agentes de inteligencia y operativos en riesgo

Bazán alertó también que la filtración incluye información sobre equipos especializados adquiridos por la Policía para labores de infiltración y seguimiento, así como información de los propios agentes.

Para él, que estos detalles estén ahora al alcance público no solo compromete investigaciones de alto impacto, sino que podría facilitar represalias de grupos delictivos contra los agentes responsables. “Esto es totalmente peligroso”, remarcó.

Entre los documentos expuestos figuran identidades, códigos CIP, cargos, movimientos de ingreso y salida de agentes, bases de datos internas, circulares, reportes clasificados e incluso credenciales de acceso.

Una campaña de ciberataques de procedencia china ha puesto en máxima alerta a las principales agencias de seguridad e inteligencia a nivel mundial. Según un informe conjunto presentado por el FBI y organismos equivalentes de numerosos países, los ataques comenzaron en el sector de las telecomunicaciones en Estados Unidos y ya afectan a más de 200 organizaciones en EE. UU. y entidades de 80 naciones distintas.

El alcance de la ofensiva, el tipo de información sustraída y la variedad de sectores afectados destacan una amenaza de índole global contra infraestructuras críticas.

Ciberataques de origen chino afectan a organizaciones y gobiernos

El despliegue de amenazas informáticas producido desde China ha provocado la reacción coordinada de miembros del grupo de inteligencia Five Eyes —Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda—, junto a los servicios de seguridad de países como Finlandia, Países Bajos, Polonia y República Checa. Esta acción mancomunada resulta inédita, reflejando la preocupación internacional por el carácter expansivo de la campaña.

Brett Leatherman, subdirector de la división cibernética del FBI, calificó la operación como una vulneración mayor de la privacidad, tanto en territorio estadounidense como fuera de sus fronteras.

Los atacantes consiguieron penetrar profundamente en compañías de telecomunicaciones, extrajeron datos sensibles como registros de llamadas y mandatos judiciales, y confeccionaron mapas comunicacionales que involucraban a figuras políticas relevantes de los partidos mayoritarios de Estados Unidos.

“La campaña violó expectativas de privacidad no solo en EE. UU., sino a nivel global”, señaló Leatherman en declaraciones a The Washington Post.

Las investigaciones identifican al grupo responsable bajo el nombre de Salt Typhoon, según la terminología difundida por Microsoft. Tres empresas privadas con supuestas conexiones con el Ejército Popular de Liberación y el Ministerio de Seguridad del Estado de China habrían protagonizado la ofensiva, con margen de maniobra para seleccionar autónomamente sus blancos.

Esa flexibilidad ha generado un crecimiento considerable en la lista de afectados, que abarca rubros como hotelería, transporte y energía.

Leatherman enfatizó la singularidad de estos ataques: “Esto demuestra un ataque mucho más amplio e indiscriminado contra infraestructuras críticas en todo el mundo, de formas que van muy por fuera de las normas de las operaciones en el ciberespacio”. De este modo, la campaña ha definido un nuevo paradigma respecto de la gravedad de las amenazas cibernéticas internacionales.

Pero la afectación no se limita al espionaje y sustracción de datos. Otra estrategia paralela ha consistido en introducir capacidades destructivas en servicios públicos esenciales, incluidas empresas de energía y agua. Este componente eleva aún más la alarma sobre la seguridad de infraestructuras críticas, ya que involucra riesgos de daño físico y disrupciones a gran escala en suministros básicos.

Recomendaciones de ciberseguridad y persistencia de los riesgos

Los esfuerzos de los distintos organismos para frenar la acción de los hackers no han eliminado los riesgos. Las agencias confirmaron que los atacantes han diseñado mecanismos ocultos de reinfiltración en los sistemas, como puntos de acceso encubiertos y registros de configuraciones de dispositivos. Estas puertas traseras complican de manera significativa la erradicación completa de la amenaza.

“El hecho de que algo fue seguro hace seis meses no significa que lo siga siendo hoy”, advirtió Leatherman, haciendo hincapié en la necesidad de revisión permanente de la seguridad de las infraestructuras digitales.

La declaración oficial difundida por los organismos de inteligencia aporta un listado detallado de los dispositivos y métodos cibernéticos vulnerados, además de instrucciones específicas para detectar ataques previos y fortalecer las defensas corporativas.

La campaña de ciberataques liderada desde territorio chino representa un desafío sin precedentes para gobiernos y empresas, ya que introduce tácticas sofisticadas y objetivos dispares a gran escala, según la información obtenida en la investigación.

El panorama de ciberseguridad en el país atraviesa uno de sus momentos más complejos. Industrias como la manufactura, telecomunicaciones, salud y servicios financieros han visto un crecimiento sostenido en los intentos de intrusión, con ataques cada vez más sofisticados y adaptados a cada sector. La digitalización de procesos y la modernización de sistemas industriales han abierto nuevas oportunidades, pero también han expuesto a estas organizaciones a riesgos sin precedentes.

Ciberataques en aumento y su impacto en Perú

Según el Reporte Global de Amenazas 2025 de Fortinet, los entornos de tecnología operacional (OT) —que respaldan la infraestructura crítica— ya no son daños colaterales, sino objetivos primarios para los atacantes. Los ciberdelincuentes utilizan amenazas persistentes avanzadas (APT) que buscan interrumpir servicios, robar información, exigir rescates o incluso permanecer ocultos para futuras explotaciones.

Los datos son contundentes: solo en el primer semestre de 2025, Perú registró 748,2 millones de intentos de ciberataques, mientras que la región de América Latina representó el 25% de todas las detecciones a nivel global. En paralelo, se identificaron 423 millones de escaneos activos en redes peruanas, lo que equivale a un ritmo de 36.000 intentos por segundo. Estos escaneos permiten a los atacantes detectar vulnerabilidades específicas y aprovecharlas con herramientas impulsadas por inteligencia artificial (IA).

Sectores más vulnerables frente al ransomware

Uno de los riesgos más graves lo constituye el ransomware, que ha dejado de enfocarse únicamente en el secuestro de datos para centrarse en el secuestro de servicios. El reporte de Fortinet señala que la industria manufacturera es, por segundo año consecutivo, el sector más atacado en Perú. Los grupos criminales calculan con precisión cuánto daño económico puede causar la paralización de una línea de producción y utilizan esa información para presionar a las víctimas en procesos de extorsión.

El problema no se limita a la manufactura. Las telecomunicaciones, el sector salud y los servicios financieros también son blanco frecuente de campañas personalizadas que buscan generar disrupciones críticas en servicios de los que depende la población.

La inteligencia artificial: arma de doble filo

El uso de la inteligencia artificial ha transformado por completo el campo de batalla digital. Del lado ofensivo, los ciberdelincuentes han desarrollado y comercializado herramientas como FraudGPT y WormGPT, que permiten automatizar correos de phishing, diseñar campañas de ingeniería social altamente realistas y mapear superficies de ataque con una efectividad nunca vista.

Por otra parte, las empresas de ciberseguridad también han comenzado a integrar IA en sus sistemas defensivos. En el caso de Fortinet, se emplea tanto IA discriminativa para identificar malware desconocido como IA generativa (GenAI) para resumir y priorizar alertas, reduciendo el tiempo de respuesta de los analistas. Esta combinación es clave en contextos donde el personal especializado es escaso y los ataques se multiplican de manera exponencial.

Cómo deben prepararse las organizaciones

El crecimiento del Internet de las Cosas (IoT) industrial, la llegada del 5G y el despliegue de redes celulares privadas han incrementado el número de dispositivos conectados, lo que amplía el terreno vulnerable para los atacantes. Frente a este panorama, los expertos recomiendan que las organizaciones prioricen tres áreas de acción fundamentales:

1. Cerrar las brechas básicas de seguridad: aplicar autenticación multifactor (MFA), cambiar credenciales predeterminadas, controlar identidades y realizar evaluaciones periódicas de la superficie de ataque.
2. Invertir en operaciones de seguridad (SecOps) informadas: usar manuales alineados con MITRE ATT&CK para sistemas de control industrial (ICS), implementar tecnologías de engaño que detecten movimientos laterales y aprovechar inteligencia de amenazas en tiempo real.
3. Planear para lo inevitable: realizar simulacros regulares de ciberincidentes, entrenar al personal en la detección de amenazas de phishing y establecer protocolos claros de respuesta en ambientes tanto de TI como de OT.

Estas medidas buscan fortalecer la resiliencia cibernética de las infraestructuras críticas y reducir la ventana de exposición frente a ataques cada vez más rápidos y automatizados.

Un compromiso con la ciberresiliencia

Fortinet, compañía que cotiza en el Nasdaq (FTNT), ha reiterado su compromiso de apoyar a las organizaciones en este proceso mediante una cartera integrada de más de 50 soluciones de seguridad de nivel empresarial. Actualmente, más de medio millón de clientes a nivel global confía en sus sistemas de protección, mientras que el Instituto de Capacitación de Fortinet continúa formando profesionales en ciberseguridad para responder a la creciente demanda de especialistas en este campo.

El laboratorio FortiGuard Labs, unidad de inteligencia de amenazas de la empresa, desarrolla y utiliza tecnologías de aprendizaje automático e IA de vanguardia para proporcionar a las organizaciones información procesable y actualizada en tiempo real. Además, mantiene colaboraciones con CERTs, gobiernos y entidades académicas con el objetivo de mejorar la ciberresiliencia a nivel mundial.

El desafío para Perú y la región

El escenario que enfrenta Perú no es aislado. América Latina en su conjunto se ha convertido en un campo fértil para las operaciones cibernéticas debido a la rápida digitalización, la falta de inversión en seguridad en ciertos sectores y la brecha de talento especializado. A medida que los cibercriminales perfeccionan sus tácticas, las organizaciones deben comprender que la ciberseguridad no es solo una inversión tecnológica, sino un imperativo estratégico para garantizar la continuidad de servicios que afectan directamente a la población.

La defensa de las infraestructuras críticas no puede depender únicamente de medidas tradicionales, sino de un enfoque que combine inteligencia, preparación y una cultura organizacional orientada a la resiliencia. En este contexto, la colaboración entre el sector público, privado y académico será clave para frenar el avance de amenazas que, de no ser contenidas, podrían comprometer la seguridad y la estabilidad económica del país.

Una advertencia emitida por el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) y sus aliados internacionales puso en el centro de la escena a tres empresas tecnológicas con sede en China, acusadas de facilitar una campaña cibernética global contra redes críticas.

El director ejecutivo del NCSC, Richard Horne, expresó: “Estamos profundamente preocupados por el comportamiento irresponsable de las entidades comerciales mencionadas con sede en China, que ha permitido una campaña desenfrenada de actividades cibernéticas maliciosas a escala mundial”.

El informe, respaldado por agencias de Estados Unidos, Australia, Canadá, Nueva Zelanda, República Checa, Finlandia, Alemania, Italia, Japón, Países Bajos, Polonia y España, detalla cómo estas compañías han dirigido sus acciones contra organizaciones de sectores esenciales desde al menos 2021.

Según el NCSC, “esta actividad se ha dirigido a organizaciones de sectores críticos, incluidos el gobierno, las telecomunicaciones, el transporte, el alojamiento y la infraestructura militar a nivel mundial, y se ha observado un grupo de actividades en el Reino Unido”.

El documento identifica a Sichuan Juxinhe Network Technology Co Ltd, Beijing Huanyu Tianqiong Information Technology Co y Sichuan Zhixin Ruijie Network Technology Co Ltd como las entidades implicadas.

El NCSC subraya que “las tres empresas de tecnología con sede en China prestan servicios cibernéticos a los servicios de inteligencia chinos y forman parte de un ecosistema comercial más amplio en China, que incluye empresas de seguridad informática, corredores de datos y piratas informáticos a sueldo”.

El alcance de la amenaza se amplifica por la naturaleza de los ataques, que no dependen de herramientas sofisticadas, sino de la explotación de vulnerabilidades conocidas.

El NCSC advierte: “Los actores de amenazas han tenido un éxito considerable aprovechando vulnerabilidades comunes conocidas en lugar de confiar en malware a medida o vulnerabilidades de día cero para llevar a cabo sus actividades, lo que significa que los ataques a través de estos vectores podrían haberse evitado con una aplicación oportuna de parches”.

El impacto de estas acciones va más allá del robo de datos. El NCSC señala que “los datos robados mediante esta actividad pueden, en última instancia, proporcionar a los servicios de inteligencia chinos la capacidad de identificar y rastrear las comunicaciones y movimientos de objetivos en todo el mundo”.

Ante este panorama, Horne enfatizó en la urgencia de la respuesta: “Es crucial que las organizaciones en sectores críticos específicos presten atención a esta advertencia internacional sobre la amenaza que representan los actores cibernéticos que han estado explotando vulnerabilidades públicamente conocidas y, por lo tanto, solucionables”.

El NCSC recomendó a las organizaciones británicas de importancia nacional que “busquen de forma proactiva actividades maliciosas e implementen acciones de mitigación, que incluyan garantizar que los dispositivos periféricos no estén expuestos a vulnerabilidades conocidas e implementar actualizaciones de seguridad”.

El Reino Unido ha reforzado su marco legal con la Ley de Telecomunicaciones (Seguridad) de 2021 y el Código de Prácticas asociado, donde el NCSC actúa como autoridad técnica.

Al respecto, Horne destacó: “El próximo proyecto de ley sobre ciberseguridad y resiliencia del gobierno fortalecerá aún más las ciberdefensas del Reino Unido, protegiendo los servicios de los que el público depende para seguir con su vida normal”.

El NCSC ofrece a todas las organizaciones del Reino Unido el servicio gratuito de Alerta Temprana, que “proporciona notificaciones oportunas sobre posibles problemas de seguridad, incluyendo vulnerabilidades conocidas y actividades maliciosas que afectan a las redes de los usuarios”.

El aviso publicado por el NCSC y sus socios internacionales insta a los defensores de la red a “buscar de forma proactiva la actividad y tomar medidas para mitigar la amenaza de los atacantes que explotan debilidades evitables”.

La ciberseguridad en el Perú atraviesa un momento crítico, con un incremento alarmante de ataques dirigidos contra sectores estratégicos como la manufactura, telecomunicaciones, salud y servicios financieros. De acuerdo con el Reporte Global de Amenazas 2025 de Fortinet, los entornos de tecnología operacional (OT) ya no son víctimas colaterales, sino objetivos primarios de cibercriminales que buscan interrumpir servicios esenciales, robar datos sensibles o exigir millonarios rescates.

Durante la primera mitad del 2025, el país fue víctima de 748,2 millones de intentos de ciberataques, según el laboratorio de inteligencia FortiGuard Labs. A nivel regional, Latinoamérica concentró el 25% de las detecciones globales, lo que coloca al continente en una posición de alta vulnerabilidad frente a las nuevas amenazas.

Escaneo constante y ataques más sofisticados

El informe detalla que los ciberdelincuentes han pasado de realizar ataques masivos e indiscriminados a ejecutar operaciones focalizadas, basadas en un meticuloso trabajo de reconocimiento previo. Actualmente, los sistemas peruanos enfrentan 36.000 intentos de escaneo por segundo, una cifra que revela el nivel de automatización y persistencia con el que operan los adversarios.

FortiGuard detectó más de 423 millones de escaneos activos en Perú solo entre enero y junio de este año. Estos procesos permiten a los atacantes identificar servicios vulnerables para luego explotarlos utilizando herramientas impulsadas por inteligencia artificial (IA), capaces de acelerar la transición desde la intrusión hasta la explotación de un sistema.

Ransomware: del secuestro de datos al secuestro de servicios

Uno de los hallazgos más preocupantes es la evolución del ransomware, que ahora apunta a los servicios en lugar de solo a los datos. En el caso de la industria manufacturera, la más atacada por segundo año consecutivo, los criminales calculan con precisión cuánto daño generaría detener una línea de producción, y utilizan esa información como presión en sus esquemas de extorsión.

La telecomunicación, salud y finanzas tampoco están exentas. Los adversarios han comenzado a desplegar explotaciones específicas por sector, lo que significa que los ataques ya no son genéricos, sino personalizados según las debilidades de cada industria.

La inteligencia artificial: un arma de doble filo

La inteligencia artificial (IA) juega un papel crucial en esta nueva etapa de la cibercriminalidad. Del lado ofensivo, los atacantes recurren a sistemas como FraudGPT y WormGPT para crear correos de phishing extremadamente realistas, automatizar campañas de ingeniería social y mapear superficies de ataque con una rapidez nunca antes vista.

Sin embargo, también se convierte en un aliado para la defensa. Fortinet, por ejemplo, ha integrado IA discriminativa para detectar malware y IA generativa (GenAI) para procesar y priorizar alertas, lo que permite reducir la carga de los analistas y acortar los tiempos de respuesta ante incidentes. En un contexto donde el personal calificado es limitado, la aplicación de IA representa una ventaja significativa para reforzar la resiliencia digital.

El incremento del Internet de las Cosas (IoT) industrial, el despliegue del 5G y el auge de las redes celulares privadas están expandiendo la superficie de ataque en el país. Cada vez más dispositivos conectados elevan la exposición a posibles intrusiones, lo que incrementa la urgencia de contar con estrategias de seguridad modernas y coordinadas.

Estrategias para la defensa en el Perú

Expertos en ciberseguridad coinciden en que la defensa de la infraestructura crítica no puede limitarse a medidas tradicionales. Se requieren tres acciones prioritarias:

1. Cerrar las brechas básicas de seguridad, mediante la adopción de autenticación multifactor, el cambio de credenciales predeterminadas y evaluaciones constantes de la superficie de ataque.
2. Invertir en operaciones de seguridad informadas por inteligencia de amenazas (SecOps), utilizando marcos como MITRE ATT&CK, tecnologías de engaño y análisis en tiempo real.
3. Planear para lo inevitable, con ejercicios periódicos de simulación, entrenamiento en la detección de amenazas de phishing basadas en IA y planes de respuesta robustos en equipos de TI y OT.

Un llamado a la acción

La situación descrita exige que tanto el sector público como privado en el Perú avancen hacia una madurez operativa en seguridad digital. Los expertos advierten que no basta con recopilar datos de inteligencia: es necesario actuar con rapidez, anticipación y conocimiento del contexto.

Fortinet, uno de los líderes globales en este campo, ha reiterado su compromiso de apoyar a las organizaciones locales con herramientas especializadas e información en tiempo real, contribuyendo así a proteger los sistemas que sostienen la economía y la infraestructura crítica del país.

Hacia una cultura de ciberresiliencia

El desafío de los ciberataques en Perú no solo se reduce a la capacidad técnica de las empresas o del Estado, sino también a la creación de una cultura de ciberresiliencia. Esto implica la educación de los trabajadores, la concientización de los usuarios y la integración de protocolos de seguridad en todos los niveles de operación.

La amenaza es real y creciente, y los próximos años serán decisivos para definir si el Perú logra fortalecer sus defensas digitales o si, por el contrario, seguirá siendo un blanco atractivo para los cibercriminales más sofisticados.

Un consejo de la Agencia de Seguridad Nacional de Estados Unidos (NSA) ha llamado la atención de usuarios y expertos en tecnología: apagar el celular al menos una vez a la semana puede ser una barrera eficaz contra amenazas digitales, como robos de datos privados o sumas de dinero.

Esta medida, que puede parecer sencilla, responde a la creciente sofisticación de los ataques cibernéticos y a la necesidad de proteger la información personal y financiera almacenada en estos dispositivos de uso diario.

Asimismo, la práctica de reiniciar el teléfono no solo contribuye a la seguridad, sino que tiene un impacto positivo en el rendimiento del dispositivo. Por esta razón, es una opción útil y libre de riesgos que los usuarios pueden realizar sin miedo a perder información importante.

Qué pasa si un celular nunca se apaga en la semana

Cuando un celular permanece encendido de forma continua, los procesos y aplicaciones se acumulan en la memoria RAM, lo que puede osacionar una disminución de la velocidad, sobrecalentamiento y un mayor consumo de batería.

Apagar el dispositivo semanalmente permite liberar recursos internos, optimizar la duración de la batería y prolongar la vida útil del teléfono. Esta pausa periódica ayuda a evitar problemas de ralentización y sobrecarga, aspectos que suelen pasar desapercibidos para muchos usuarios.

Cuáles riesgos en ciberseguridad pueden presentar los usuarios

La NSA advierte que mantener el celular encendido sin interrupciones incrementa la exposición a riesgos como el phishing, el malware y el spyware. El phishing consiste en intentos de engaño para obtener información sensible, como contraseñas o datos bancarios, y se ve facilitado cuando el dispositivo permanece activo de manera constante.

Por su parte, el malware puede infiltrarse a través de aplicaciones o archivos descargados y ejecutarse sin que el usuario lo perciba. Además, el spyware, diseñado para espiar y robar información personal, puede operar en segundo plano si el teléfono no se apaga periódicamente.

La autoridad ha descartado que reiniciar el teléfono puede solucionar vulnerabilidades temporales que los hackers podrían aprovechar. Cada vez que el dispositivo se apaga y enciende, se restablecen funciones internas que pueden bloquear intentos de intrusión.

La acción de apagar el celular interrumpe la actividad de estos programas maliciosos y dificulta el acceso no autorizado a los datos almacenados, así que se convierte así en una herramienta preventiva frente a amenazas que evolucionan constantemente.

Qué otras medidas ayudan a preservar la seguridad del teléfono

La agencia sugiere otras medidas para reforzar la seguridad digital. Entre ellas, mantener el sistema operativo y las aplicaciones actualizadas resulta útil, porque las actualizaciones suelen corregir fallos de seguridad que los atacantes podrían explotar.

Otra medida clave es evitar el uso de redes WiFi públicas, porque estas conexiones abiertas representan un espacio propicio para los ciberdelincuentes. Además, la NSA aconseja desactivar el WiFi cuando no sea necesario y abstenerse de conectarse a redes desconocidas.

El uso de contraseñas robustas es esencial para proteger el acceso al dispositivo. Asimismo, la implementación de autenticación de dos factores añade una capa adicional de seguridad, dificultando el acceso no autorizado incluso si se compromete la contraseña principal.

Por qué no se debe descargar apps fuera de la tienda oficial

La descarga de aplicaciones fuera de las tiendas oficiales tiene un riesgo alto. Algunas de estas apps pueden contener código malicioso que permanece activo si el dispositivo no se reinicia.

Si se realizó esta acción alguna vez, reiniciar el celular periódicamente ayuda a prevenir que estas aplicaciones maliciosas se mantengan operativas durante largos periodos.

La combinación de estas prácticas, sumado al simple acto de apagar el celular una vez a la semana, puede reducir las vulnerabilidades frente a ciberataques.

El especialista aclaró que existe una percepción errónea sobre la posibilidad de sufrir un ciberataque únicamente al responder un número desconocido, cuando en realidad el verdadero riesgo surge al interactuar con archivos adjuntos, enlaces o aplicaciones enviadas por los atacantes.

Iriarte explicó que los ciberdelincuentes suelen aprovechar la curiosidad o la necesidad económica de las personas. “En pandemia, enviaban archivos supuestamente con fotos de fiestas. Uno hacía clic y el dispositivo se infectaba. Muchas víctimas creían que recibirían algún tipo de dinero”, señaló.

Durante la conversación, el periodista compartió un caso reciente en el que un familiar recibió una llamada que simulaba una oferta de trabajo y le sugirieron agregar un nuevo contacto a su lista. Iriarte indicó que, al incorporar números sospechosos, los estafadores pueden enviar mensajes aparentando ser soporte técnico de aplicaciones como WhatsApp o Telegram, incentivando a los usuarios a descargar archivos maliciosos. “No ves el número, solo el nombre con el que guardaste el contacto. Así engañan al usuario. Todo esto son estafas organizadas por bandas internacionales”, precisó.

Recomendaciones

Ante la consulta sobre el riesgo de responder mensajes de números desconocidos, Iriarte remarcó: “El contestar directamente, no causa hackeo. Lo que te vulnera es ejecutar un acto en concreto, como hacer clic en un enlace, instalar un archivo o bajar una aplicación”. Además, destacó la importancia de la cultura de ciberseguridad y advirtió que menores ya manipulan dispositivos y pueden realizar compras no autorizadas mediante juegos u otras aplicaciones.

El experto también recomendó cuidado al descargar aplicaciones, incluso desde tiendas oficiales como Google Play Store, ya que ciberdelincuentes disfrazan programas maliciosos como si estuvieran relacionados con entidades bancarias o de soporte técnico. “Muchas aplicaciones fraudulentas aparentan ser herramientas legítimas y, aunque la tienda de Apple tiene mayor control, ningún sistema es infalible”, puntualizó.

Finalmente, Iriarte subrayó la necesidad de fortalecer la cultura de ciberseguridad en el país, desde la educación escolar hasta la adopción de mejores prácticas por parte de usuarios y empresas, para prevenir incidentes y combatir el avance del cibercrimen.

Mujer asegura que perdió sus ahorros en el BCP tras una llamada

La empresaria Mayra Manrique Mendoza denunció haber sido víctima de un sofisticado fraude digital tras responder una llamada telefónica en la que un supuesto representante de una agencia de viajes mencionó su nombre completo para ganar credibilidad.

Según relató al noticiero 24 Horas, durante la comunicación, su celular quedó bloqueado y comenzaron a registrarse operaciones bancarias no autorizadas, incluyendo un préstamo de S/20 mil desde el Banco de Crédito del Perú (BCP) y retiros en otras entidades, como Falabella, sumando más de S/30 mil.

Manrique afirma que nunca compartió contraseñas ni información sensible, y que la manipulación ocurrió mientras no podía colgar la llamada. La afectada retiró su chip y acudió a un técnico, quien le confirmó el acceso ilegal a sus aplicaciones bancarias.

El BCP sostuvo que las operaciones se realizaron a través de canales digitales con claves correctas, algo que la víctima rechaza, señalando que estuvo en la llamada todo el tiempo. Falabella, por su parte, responsabilizó a la usuaria por responder el teléfono.

La Policía Nacional investiga el incidente, en el marco de otros casos similares detectados en Lima Norte, donde clientes ven comprometidas sus cuentas tras llamadas fraudulentas. Mientras espera una solución, Manrique pide a las entidades bancarias fortalecer sus sistemas de seguridad y atención.

¿Qué hago si tengo un consumo no reconocido en mi Tarjeta de Crédito?

Si detectas un consumo no reconocido en tu tarjeta de crédito BCP, lo primero que debes hacer es ponerte en contacto con la agencia bancaria de inmediato. Puedes llamar al Centro de Atención al cliente al (01) 311-9898 o visitar una de las Agencias BCP para recibir asistencia personalizada.

Esto puede suceder por:

• Fraude 
• Clonación de tu tarjeta 
• Robo de identidad 
• Pérdida de tu tarjeta 
• Entre otros. 

Recuerda:

• Es importante que revises regularmente tus estados de cuenta para detectar cualquier consumo no autorizado lo antes posible.  
• Al momento de hacer el reclamo, ten a la mano todos tus datos personales y bancarios para agilizar el proceso. 

Te recomendamos:

• No perder de vista tu tarjeta de crédito cuando pagues. 
• Proteger tu clave cuando la ingreses en un cajero automático. 
• Romper en varios pedazos tu tarjeta vencida para evitar que personas inescrupulosas obtengan tu información bancaria. 

Alex Wang, CEO y cofundador de Scale AI, se convirtió en una voz determinante sobre el impacto de la inteligencia artificial en la seguridad global. Al frente de una de las plataformas de datos más influyentes para el desarrollo de IA, Wang advirtió que la humanidad se encuentra en una encrucijada: “Tenemos que hacerlo bien, de lo contrario, las cosas se pondrán realmente peligrosas”, afirmó en una entrevista con Shawn Ryan Show.

Durante ese diálogo, abordó los desafíos éticos, geopolíticos y de defensa asociados con el crecimiento acelerado de la IA, en particular en la competencia que enfrentan Estados Unidos y China.

Criado en Los Álamos, Nuevo México, en un ambiente de científicos y proyectos militares, Wang fundó Scale AI en 2016 tras dejar el MIT. La compañía alcanzó una valuación superior a USD 13.000 millones y se posicionó como pilar de la infraestructura de datos para los modelos de IA más avanzados.

Entre sus clientes están OpenAI, Microsoft y el Departamento de Defensa de Estados Unidos, así como grandes empresas del sector bancario, farmacéutico y de telecomunicaciones.

Su empresa se especializa en la producción de conjuntos de datos de alta calidad, indispensables para el entrenamiento de IA, y facilita el despliegue de sistemas que transforman procesos empresariales y gubernamentales a través de la automatización.

Fue reconocido por Forbes y TIME como uno de los líderes jóvenes más influyentes en tecnología y sostiene la ética y seguridad como ejes fundamentales: “Abogo por el desarrollo responsable de la IA y por políticas que garanticen avances éticos y seguros”, declaró.

IA y defensa: automatización y el futuro de la guerra

La integración de la IA en la defensa y la seguridad nacional constituye uno de los ejes principales para Wang. Scale AI trabajó con el Departamento de Defensa de Estados Unidos, primero en problemas de datos para sistemas de reconocimiento de imágenes satelitales y, más recientemente, en proyectos como Thunder Forge, destinados a la planificación militar automatizada.

Explicó que los agentes de IA pueden transformar la toma de decisiones militares: desde el análisis de datos hasta la simulación de escenarios y la presentación de recomendaciones a los comandantes.

“La idea es pasar de procesos donde los humanos están en el centro de cada decisión, a sistemas donde los agentes de IA realizan gran parte del trabajo y los humanos supervisan y validan”, precisó Wang.

Este salto permite acelerar la planificación de operaciones de días a horas, multiplicando la velocidad de respuesta. No obstante, advirtió que esa ventaja será temporal: “Si solo Estados Unidos tiene esta capacidad, será una ventaja asimétrica. Pero cuando otros actores la desarrollen, la competencia se trasladará a la velocidad, la calidad de los datos y la cantidad de recursos computacionales”.

Riesgos emergentes: interfaces cerebro-computadora, manipulación y control

El joven de 28 años identificó riesgos futuros ligados al desarrollo de interfaces cerebro-computadora, impulsadas por empresas como Neuralink. “Si tienes un enlace directo al cerebro, podrías leer recuerdos, controlar pensamientos o manipular emociones. Es un riesgo enorme”, advirtió.

La tecnología, aún en fase inicial, ya demostró en animales la capacidad de proyectar estímulos visuales y modificar comportamientos. A largo plazo, anticipa la posibilidad de manipular sentidos y recuerdos, abriendo sujetos a dilemas éticos y de seguridad sin precedentes.

“La capacidad de insertar pensamientos o emociones, o de crear realidades falsas, otorga un poder extremo que nunca antes ha existido”, subrayó Wang en el pódcast. Frente a esto, propuso que las democracias lideren el desarrollo para evitar que regímenes autoritarios utilicen la IA para el control social.

Amenazas futuras: ciberataques, biotecnología y desinformación

Wang alertó sobre la vulnerabilidad de infraestructuras críticas ante ciberataques, en especial en el sector energético. “La red eléctrica de Estados Unidos es extremadamente susceptible a ataques, y muchos sistemas ni siquiera cambiaron las contraseñas por defecto”, indicó.

Un ataque coordinado podría dejar sin energía a ciudades enteras, paralizar centros de datos y bases militares, y causar pérdidas estratégicas y humanas. En el plano biotecnológico, advirtió sobre la posibilidad de crear patógenos que ataquen segmentos específicos del ADN, riesgo que la IA acelerará.

Aunque existen avances en tecnologías de detección y contención, el equilibrio entre capacidades defensivas y ofensivas se mantiene delicado. La manipulación de información mediante deepfakes y simulaciones hiperrealistas representa otro desafío: “La IA hará indistinguibles las pruebas reales de las fabricadas, y los sistemas legales no están preparados para ello”, enfatizó.

Regulación, ética y la urgencia de la cooperación internacional

Wang fue claro sobre la urgencia de mecanismos de gobernanza y regulación internacional capaces de responder a tecnologías poderosas: “Ningún país está preparado para gobernar tecnologías tan poderosas como las que estamos desarrollando”, afirmó en Shawn Ryan Show.

Resaltó la necesidad de mantener la “soberanía humana” en los sistemas críticos, evitando delegar el control completo a la IA y asegurando la vigilancia humana en decisiones militares, políticas y económicas.

Insistió en que la cooperación internacional será indispensable para evitar una carrera armamentista fuera de control y para gestionar los riesgos de la biotecnología y la ciberseguridad.

En el cierre de la entrevista, Wang sostuvo que la carrera tecnológica definirá el equilibrio de poder de los próximos años. “El peor escenario para Estados Unidos es que China logre una ventaja decisiva en IA y utilice ese poder para imponer su modelo al mundo”, advirtió.

Solo una acción urgente y coordinada permitirá a las democracias mantener el liderazgo tecnológico, evitando que la IA se transforme en herramienta de dominación o destrucción. “La cooperación internacional y la regulación son esenciales para asegurar que la IA impulse el progreso, la seguridad y la oportunidad, y no la catástrofe”, concluyó Wang.

Según un comunicado difundido este viernes por el Centro Nacional de Respuesta a Emergencias de Internet de China, dependiente del Ministerio de Industria y Tecnología de la Información, se han detectado ataques dirigidos contra universidades, institutos de investigación y compañías del complejo militar industrial.

El texto asegura que estas acciones habrían tenido como objetivo obtener información clasificada relacionada con el diseño, desarrollo y producción de tecnología militar.

El centro dio a conocer dos casos ocurridos en los últimos tres años como ejemplos representativos.

El primero de ellos habría tenido lugar entre julio de 2022 y julio de 2023, cuando un grupo presuntamente vinculado a servicios de inteligencia estadounidenses habría explotado una vulnerabilidad no revelada del sistema de correo electrónico Microsoft Exchange para acceder a la red interna de una empresa de la industria de defensa.

Los atacantes habrían tomado el control de más de medio centenar de dispositivos clave y plantado herramientas diseñadas para mantener el acceso a largo plazo mediante canales de comunicación encriptados. También se habría empleado una red de servidores de paso ubicados en países como Alemania, Finlandia, Corea del Sur y Singapur.

El segundo caso, sucedido entre julio y noviembre de 2024, involucraría a una compañía china del sector de las telecomunicaciones.

De acuerdo con los datos presentados por CNCERT, los atacantes habrían aprovechado vulnerabilidades en el sistema de archivos electrónicos para insertar puertas traseras en memoria y cargar programas maliciosos, dejando a más de 300 dispositivos vulnerables.

La institución señaló que, en 2024, más de 600 incidentes atribuidos a grupos de amenazas persistentes avanzadas (APT) vinculados a estados extranjeros fueron detectados contra entidades chinas consideradas "clave", siendo el sector de defensa el más afectado.

Paralelamente al deterioro de las relaciones entre China y Estados Unidos en los últimos años, las dos potencias han vertido acusaciones mutuas de ciberataques. EFE

Frente al incremento sostenido de la criminalidad digital en el país, el Ministerio de Justicia de la Nación avanza en una reforma integral del Código Penal que incorpora nuevas figuras vinculadas al ciberdelito. Dicho anteproyecto, actualmente en revisión en la cartera encabezada por Mariano Cúneo Libarona, fue desarrollado por una comisión especial creada por resolución ministerial en febrero de 2024, en un contexto en el que la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) reportó un récord de 34.468 denuncias por delitos informáticos durante el último año, lo que reflejó un aumento interanual del 21,1 %.

En rigor, el informe de la UFECI, a cargo del fiscal general Horacio Azzolin, consignó un total de 34.468 reportes recibidos entre enero y diciembre del año pasado y los comparó con años anteriores. Entre abril de 2019 y marzo de 2020, la sede especializada había registrado 2.581 reportes; en 2021 la cifra ascendió a 22.364; en 2022 se contabilizaron 32.395 y en 2023, un total de 28.456 casos.

De las 34.468 denuncias registradas durante al año pasado, el “fraude en línea” se mantuvo como la modalidad delictiva más frecuente, con 21.729 casos (63 %), según detalló la publicación anual de la sede especializada. Le siguieron la “usurpación de identidad”, con 4.637 causas (13,5 %); el “acceso ilegítimo” a cuentas, con 2.877 reportes (8,3 %); el “phishing” o captación engañosa de datos personales, con 1.563 registros (4,5 %); y el “acoso digital”, con 1.458 situaciones denunciadas (4,2 %), de las cuales 340 estuvieron vinculadas a la difusión no consentida de imágenes íntimas. El resto de las conductas, que representaron el 6,4 %, correspondieron a modalidades menos recurrentes y no representativas.

La fiscalía precisó también que dentro del fenómeno del “fraude en línea”, el 56 % estuvo vinculado a operaciones de compra-venta por Internet de bienes o servicios, el 18 % correspondió a maniobras realizadas a través de plataformas de homebanking y el 10 % se relacionó con estafas piramidales o esquemas ponzi.

En ese escenario, desde el Ministerio de Justicia informaron que se encuentran “revisando y ampliando” el anteproyecto preparado por la “Comisión para la Reforma del Código Penal de la Nación”, creada con el fin de desarrollar una actualización integral “que concentre toda la legislación penal en un único cuerpo normativo”, según estableció el ministro Cúneo Libarona en la Resolución 25/2024 de febrero de 2024.

“Internet no puede ser una zona gris. La ley debe proteger la privacidad, la identidad y la dignidad de las personas también en el mundo digital, donde los delitos dejan marcas imborrables. Este proyecto es un paso esencial para reconstruir la confianza. Se terminó la impunidad. El que las hace, las paga”, expresó el titular de la cartera de Justicia al comunicar que “por primera vez, se incorporará un capítulo específico dedicado a los delitos informáticos” en la reforma penal.

En efecto, según explicaron desde esa cartera, el texto en estudio contempla la incorporación de nuevos “tipos” referidos a delitos virtuales. Entre ellos se incluye la manipulación digital de imágenes o videos mediante inteligencia artificial con fines denigratorios, difamatorios o extorsivos (deepfakes); la difusión no permitida de contenido íntimo, incluso si fue compartido previamente; la suplantación de identidad digital mediante la creación de perfiles falsos o el uso indebido de datos personales; y el hostigamiento sistemático a través de mensajes o plataformas digitales (conocido como ciberacoso o cybermobbing).

Además, se prevén conductas como el hurto informático, el sabotaje de sistemas, la difusión no autorizada de datos personales sensibles y la obstrucción de plataformas digitales, con un esquema de sanciones que se gradúa en función del daño causado en el caso concreto. También se evalúa la posibilidad de sumar agravantes específicos cuando las víctimas son menores de edad, cuando hay ánimo de lucro o si el hecho genera consecuencias graves en la integridad psíquica o reputación de la persona afectada.

El Código Penal fue sancionado en 1921 y desde entonces recibió más de 900 reformas parciales. Sin embargo, nunca resultó actualizado de forma sistemática. La comisión encargada de redactar la propuesta a tal efecto, hoy en evaluación dentro de la sede de la calle Sarmiento 329, quedó integrada por especialistas del ámbito académico y judicial como Jorge Buompadre, Horacio Romero Villanueva, Julio Báez, Ricardo Basílico. También por el juez de la Cámara Federal de Casación Mariano Borinsky, la jueza María Eugenia Capuchetti y referentes como Carlos Manfroni, Fernando Oscar Soto, Valeria Onetto y Mercedes Rodríguez Goyena.

Un 30% de los expertos en tecnologías de la información (IT) españoles se muestran preocupados por la seguridad de los datos, cifra que aumenta al 35% entre aquellos que trabajan en el sector sanitario nacional. Su inquietud está más que justificada: el 51% de las organizaciones sanitarias del país, tanto públicas como privadas, han sufrido brechas de datos externas, según el informe Healthcare’s Digital Dilemma: Calculated Risks and Hidden Challenges Exposed, publicado por SOTI, una compañía especializada en soluciones de movilidad empresarial.

Las brechas de seguridad en la salud española un 3% más que el promedio global (47%) y son un 11% más frecuentes que en países vecinos, como Francia o Italia (39%). Estos incidentes suponen, además el 15% de las notificaciones que recibe la Agencia Española de Protección de Datos (AEPD), según datos de 2021. Ese año, la AEPD recibió de media una brecha sanitaria al mes, afectando cada una a más de 200.000 personas. “Las brechas de datos personales se producen en tratamientos del sector salud con más frecuencia de la deseada y tienen un alto impacto personal y social", confiesa en un comunicado.

Inversiones escuetas y tecnología obsoleta

La falta de inversión en innovación tecnológica es la primera barrera que enfrentan los hospitales españoles a la hora de defenderse de ataques externos, según David Parras, ingeniero y director regional de SOTI en España. “La inversión para pasar de los sistemas antiguos a los nuevos falta bastante, hay muchas empresas que todavía no lo han hecho y muchos de esos nuevos sistemas no están bien integrados”, explica en una entrevista con Infobae España. “Entre ellas, no hay todavía una integración y eso lo hace vulnerable. Si no se hace una buena integración entre ellas, al final existen huecos donde un hacker se puede meter”, señala.

Además, los hospitales españoles cuentan con “infraestructuras algo anticuadas comparadas con otros”, apunta el experto. Parras reconoce que hay centros que “sí que están mejorando, pero todavía tienen equipos bastante antiguos”. Según el informe de SOTI, el 29% de los líderes tecnológicos españoles afirma que la gestión de estos sistemas obsoletos consume gran parte de su tiempo, en comparación con el 22% global. A su vez, el 42% de las organizaciones sanitarias en España reporta problemas técnicos frecuentes con dispositivos de IoT y telesalud, lo que afecta negativamente al desempeño del personal sanitario. El 17% afirma que estos sistemas son demasiado complejos de utilizar.

Parras destaca que estas brechas de seguridad se dan con información especialmente sensible. “Son históricos de pacientes donde pueden salir datos en cuanto a qué operaciones has tenido, qué enfermedades has tenido, cuántas veces has estado en un hospital, qué tratamientos has tenido...”, enumera. En los historiales, puede incluirse también información racial, de vida u orientación sexual, geolocalización...

Esta falta de protección a unos datos tan importantes puede suponer “grandes penalizaciones para las organizaciones, en este caso para el hospital, si no se hace una gestión adecuada”, advierte. En España y en Europa, el Reglamento General de Protección de Datos establece la obligación de notificar brechas en la autoridad de control y a las personas afectadas, en caso de que supongan un alto riesgo para ellas, además de la responsabilidad de implementar las medidas apropiadas para garantizar la seguridad de los datos con los que trata.

“Cualquier dispositivo conectado a la red es ‘hackeable’”

Para Parras, es importante que la sociedad española se conciencie ante los problemas que suponen estas brechas de datos y lo sencillo que es que se produzcan. “Cualquier dispositivo que esté conectado en la red es un dispositivo que potencialmente es hackeable“, incide, incluso una impresora. De hecho, estos dispositivos electrónicos provocan el 64% de los ataques informáticos, pero continúan pasando desapercibidos.

Dentro del sector sanitario, Parras destaca la importancia de restringir los accesos a la información de los pacientes, evitando “por ejemplo, que un doctor pueda tener acceso a los datos del paciente de otro”. Pero, sobre todo, es necesario “seguir invirtiendo” en innovación sanitaria.

“En la sanidad española se está trabajando muy bien en la inversión, tanto a nivel de equipamiento como para todo lo que son soluciones a enfermedades, pero parece que muchas veces, a la parte de la IT no se le da tanta importancia”, expone. “Un nuevo escáner que nos va a detectar anticipadamente un problema de salud es maravilloso, pero todo el sistema IT, las comunicaciones, las conexiones que tenga ese hospital con otros hospitales, el acceso a sus datos que tienen los ordenadores... todo lo que esté conectado a la red tiene que estar bien protegido”, reclama.

La Unión Europea (UE) reafirmó este viernes su “enérgica condena” frente a las campañas híbridas que Rusia desarrolla contra el bloque comunitario, sus Estados miembros y los países aliados.

En un comunicado oficial, la jefa de la diplomacia europea, Kaja Kallas, aseguró que “la Unión Europea se mantiene firme e inequívoca en su enérgica condena de las persistentes actividades maliciosas de Rusia”. Según Kallas, estas acciones forman parte de “campañas híbridas más amplias, coordinadas y de larga duración, destinadas a amenazar y socavar la seguridad, la resiliencia y los fundamentos democráticos de la UE, sus Estados miembros y sus socios”.

La responsable europea señaló que en los últimos años se ha detectado “un patrón deliberado y sistemático de comportamiento malicioso atribuido a Rusia, incluido a su servicio de inteligencia militar, el Directorio Principal de Inteligencia del Alto Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU)“.

Kallas añadió que “Rusia ha librado campañas híbridas contra la UE y sus Estados miembros durante años, con actividades maliciosas que se han intensificado aún más desde el inicio de la guerra de agresión contra Ucrania y es muy probable que persistan en el futuro previsible".

En este contexto, recordó que en 2024 la UE atribuyó a APT28, un actor controlado por Rusia, los ciberataques dirigidos contra instituciones democráticas en Alemania y la República Checa.

“En 2025, Francia ha atribuido al GRU ciberataques dirigidos contra el proceso electoral, los medios de comunicación y otras entidades críticas públicas y privadas. Esto ilustra claramente la continuidad de las intenciones maliciosas y representa un flagrante desprecio por el Derecho Internacional y el marco de las Naciones Unidas sobre la conducta responsable de los Estados en el ciberespacio”, subrayó.

La jefa de la diplomacia comunitaria destacó que las campañas híbridas rusas “no se limitan al ámbito cibernético, sino que también incluyen actos de sabotaje, disrupción de infraestructuras críticas, ataques físicos, manipulación e interferencia de información y otras acciones encubiertas o coercitivas”.

Entre los hechos más recientes, mencionó que Rumanía atribuyó a Rusia un “sofisticado ataque híbrido que afectó significativamente su proceso electoral”, mientras que Alemania responsabilizó a Moscú por “las actividades de manipulación de información de la plataforma mediática ‘RED‘“. Estas acciones, añadió, se producen tras sanciones previas de la UE contra dicha entidad y “demuestran un comportamiento deliberado e inaceptable”.

Finalmente, Kallas expresó la solidaridad de la Unión Europea con el Reino Unido, tras el anuncio de Londres de “nuevas medidas restrictivas en respuesta a las operaciones lideradas por el GRU“. En este sentido, enfatizó que el comportamiento “malicioso” de Rusia no logrará “socavar el firme y continuo apoyo a Ucrania”.

“La UE mantiene su determinación de exponer y contrarrestar las actividades híbridas de Rusia dirigidas contra la UE y sus Estados miembros, y, junto con sus socios internacionales, de apoyar a su vecindad inmediata, en particular a Ucrania y la República de Moldavia“, concluyó.

(Con información de EFE)

El Centro Nacional de Seguridad Digital de Perú (CNSD) ha emitido una alerta para que las entidades y empresas peruanas tengan en consideración medidas de seguridad mayores, para evitar un ciberataque financiero como el que se produjo en Brasil hace unas semanas.

“Brasil experimentó el ciberataque más grave de su historia bancaria. En apenas dos horas y media, un grupo de ciberdelincuentes obtuvo acceso a los sistemas vinculados al Banco Central de Brasil y sustrajo aproximadamente US$ 148 millones”.

Así, el Gobierno peruano pide “a todas las empresas que operan con datos sensibles, especialmente en el sector financiero, que adopten estándares internacionales de seguridad de la información”, para poder evitar eventos catastróficos como el de Brasil.

Ciberataque a Brasil

¿Qué pasó en Brasil? Diversos portales informaron de un ciberataque de tal magnitud donde ciberdelincuentes lograron robarse US$ 148 millones de sistemas vinculados al Banco Central del país.

“El punto de entrada fue sorprendentemente sencillo: la compra de credenciales legítimas pertenecientes a un empleado de C&M Software, un proveedor de servicios clave que conecta a las instituciones con el banco central de Brasil y su sistema PIX”, explica el gobierno peruano.

Se trata de un empleado que fue sobornado con US$ 2 mil 700 para que revelara sus credenciales corporativas con la cual pudieron ingresar comandos en el sistema C&M, y US$ 1.800 más que se le dio por explicar cómo entrar a este sistema.

A raíz de esto, y con esta entrada asegurada, seis instituciones financieras experimentaron accesos no autorizados a sus cuentas de reserva. “C&M Software actúa como intermediario tecnológico en la llamada cadena de suministro financiera”, acota la alerta.

Asimismo, se pudo conocer que “los delincuentes informáticos ya lavaron entre U$S 30 y 40 millones de los más de 140 millones robados del proveedor de servicios del Banco Central de Brasil, utilizando cripto a través del uso de exchanges OTC latinoamericanos”.

Rastrearán los fondos robados

“Tras el descubrimiento, el Banco Central de Brasil instruyó rápidamente a C&M a reducir sus conexiones, aislando efectivamente al proveedor de los sistemas bancarios. La violación condujo a la suspensión temporal de los servicios relacionados con la billetera PIX”, informó el CNSD.

Así, se trató de un ataque clasificado como un ataque a la cadena de suministro, el cual consiste en no atacar directamente al objetivo principal, en este caso, el Banco Central, sino a un eslabón más débil de la cadena, como una empresa tercera que presta servicios o tiene acceso al sistema del objetivo.

Luego de esto, “ZachXBT, una figura principal en Blockchain Forensics, informó que ha estado colaborando activamente con la policía brasileña para rastrear los fondos robados y evitar un mayor lavado. Las declaraciones públicas de ZachXBT indican que planea ayudar a las autoridades a congelar activos criptográficos adicionales”.

Las recomendaciones para Perú

De igual manera, la alerta del Centro Nacional de Seguridad Digital ha recomendado una serie de acciones con el motivo de evitar que esto pueda ocurrir en el país. Estas involucran lo siguiente:

• Actualizar y aplicar con rigor las estrategias nacionales en Seguridad Cibernética, fortaleciendo factores como gobernanza y regulación
• Exigir a todas las empresas que operan con datos sensibles, especialmente en el sector financiero, que adopten estándares internacionales de seguridad de la información
• Invertir en tecnología e infraestructura, utilizando la autenticación multifactorial (MFA), el cifrado de extremo a extremo, el privilegio mínimo, la segmentación de redes, la supervisión continua de los accesos y las transacciones, y la promoción de una cultura de la seguridad
• Reforzar los centros de respuesta a incidentes y la cooperación internacional, con capacidades para detectar, contener y responder rápidamente a los ataques, compartiendo información con otras instituciones y con el Gobierno.

La reciente operación internacional que logró desmantelar la infraestructura de la red prorrusa NoName057(16) ha puesto de relieve la magnitud y el alcance de las amenazas cibernéticas que enfrentan tanto Ucrania como los países europeos aliados de Kiev, muchos de ellos miembros de la OTAN.

“Desde el inicio de la guerra de agresión contra Ucrania (2022), NoName057(16) ha mostrado abiertamente su apoyo a Rusia y ha ejecutado múltiples ataques DDoS contra infraestructuras críticas durante eventos políticos de alto nivel. El grupo también ha difundido una fuerte retórica anti-OTAN y antiestadounidense”, explicó la agencia de coordinación judicial Eurojust.

El operativo, en el que participaron doce países, incluidos España, Alemania, Italia y Estados Unidos, culminó con el arresto de dos personas —una en Francia y otra en España— y la emisión de siete órdenes de arresto adicionales, seis por parte de las autoridades alemanas y una por las españolas.

Además, las autoridades identificaron a los principales instigadores, quienes residen en Rusia. Según informó EFE, la acción coordinada fue anunciada este miércoles por las agencias Europol y Eurojust, que detallaron la magnitud de la intervención: más de 100 servidores en todo el mundo quedaron desconectados, incluido gran parte del servidor central de la red, y se realizaron 24 registros en países como Alemania, España, Italia, Chequia, Polonia y Francia para recoger pruebas.

La red NoName057(16), que llegó a contar con más de 4.000 simpatizantes, se especializaba en ataques de denegación de servicio distribuido (DDoS) dirigidos contra infraestructuras críticas. Según Eurojust, estos ataques afectaron a proveedores de energía, sistemas de transporte público y páginas institucionales en toda Europa.

“La red es responsable de múltiples ataques de denegación de servicio distribuido (DDoS) dirigidos contra infraestructuras críticas”, señaló la agencia europea, subrayando la gravedad de las acciones perpetradas por el grupo.

El grupo prorruso se distinguió no solo por la cantidad de ataques, sino también por su capacidad para coordinar acciones durante eventos políticos de alto perfil. Entre sus víctimas más recientes figura Países Bajos, que fue atacado durante la cumbre de la OTAN a finales de junio. Aunque el ataque no causó interrupciones importantes, evidenció la persistencia y el alcance de la amenaza.

Además, NoName057(16) ya había lanzado ataques en toda Europa durante las elecciones europeas, lo que demuestra su interés en influir o desestabilizar procesos democráticos clave.

En el caso de Alemania, el impacto de la red fue especialmente notorio.

En los últimos años, se registraron 14 ciberataques atribuidos a NoName057(16), algunos de los cuales se prolongaron durante varios días y afectaron a unas 230 organizaciones. Entre los objetivos se encontraban fábricas de armas, proveedores eléctricos y entidades gubernamentales.

De acuerdo con la publicación, estos ataques pusieron en jaque la seguridad de infraestructuras esenciales y evidenciaron la vulnerabilidad de los sistemas ante amenazas coordinadas desde el extranjero.

La actividad de NoName057(16) no se limitó a Alemania. En Suecia, las páginas web de autoridades y bancos se convirtieron en blanco de los ataques, mientras que en Suiza, los ciberataques coincidieron con momentos de alta relevancia política.

Uno de los episodios más destacados ocurrió en junio de 2023, cuando el presidente de Ucrania, Volodimir Zelenski, dirigió un mensaje en video ante el Parlamento suizo. Un año después, durante la Cumbre por la Paz de Ucrania en junio de 2024, la red volvió a actuar, demostrando su capacidad para sincronizar sus acciones con eventos internacionales de gran visibilidad.

La estructura operativa de NoName057(16) se basaba en la movilización de simpatizantes a través de aplicaciones de mensajería. Según Eurojust, la red logró reclutar a unos 4.000 usuarios que descargaron un programa maligno, lo que les permitía participar activamente en los ataques DDoS.

Además, el grupo construyó su propia botnet, es decir, una red de robots informáticos, con “cientos de servidores en todo el mundo para aumentar el poder destructivo de sus ataques”, subrayó Eurojust. Esta infraestructura descentralizada y robusta permitió a la organización multiplicar el alcance y la intensidad de sus ofensivas digitales.

Las autoridades nacionales de los países involucrados en la operación no solo se centraron en desmantelar la infraestructura técnica, sino también en advertir a los seguidores del grupo sobre las consecuencias legales de su participación.

En total, contactaron a unos 1.100 seguidores, incluidos 17 administradores, enviándoles mensajes a través de una aplicación popular para informarles de las posibles sanciones que enfrentan según la legislación de cada país. Esta estrategia buscó disuadir la participación futura y subrayar la seriedad de los delitos cibernéticos.

El perfil de los participantes en NoName057(16) revela una composición mayoritariamente de simpatizantes de habla rusa, quienes utilizaban herramientas automatizadas para llevar a cabo los ataques.

Según la información proporcionada por EFE, estos individuos actuaban sin una jerarquía formal ni grandes habilidades técnicas, guiados principalmente por la ideología y la posibilidad de obtener recompensas. Esta característica distingue a NoName057(16) de otras organizaciones cibercriminales más estructuradas y profesionalizadas, y plantea desafíos particulares para las autoridades encargadas de la persecución y prevención de estos delitos.

La operación internacional que permitió el desmantelamiento de la infraestructura de NoName057(16) representa un hito en la cooperación policial y judicial transfronteriza.