Los ataques cibernéticos son invasiones silenciosas que pueden paralizar a una organización entera. Conozca cómo un adversario se infiltra, se mueve durante semanas sin ser detectado y las claves para anticipar su golpe. La ciber-delincuencia ya no es solo una amenaza, sino una crisis real que afecta a empresas de todos los tamaños y sectores.

Las estadísticas son alarmantes: en la primera mitad de 2025, Argentina fue el epicentro de 1.600 millones de intentos de ciberataques, según FortiGuard Labs, el área de inteligencia y análisis de amenazas de Fortinet. Como región, Latinoamérica representó el 25% del total de las detecciones globales.

Estas cifras reflejan la creciente sofisticación de los ciberdelincuentes. ¿Cómo piensan y actúan desde el momento en que se infiltran? Arturo Torres, director de inteligencia contra amenazas de FortiGuard Labs para América Latina y el Caribe, explica las claves de su estrategia.

Reconocimiento, planeación y primer movimiento

El primer paso del cibercriminal no es atacar, sino observar. Antes de ejecutar cualquier acción, dedica tiempo a estudiar al objetivo. Su misión es crear un mapa detallado: qué servicios están expuestos, qué sistemas se utilizan y qué puertas están abiertas.

Con esta información, el atacante traza su plan. El phishing es la primera línea de acción. Es la herramienta preferida de los criminales por ser la que explota al eslabón más débil: la confianza humana. Gracias a la inteligencia artificial, ya no envían correos masivos con errores evidentes. Ahora, diseñan ataques personalizados, casi perfectos, como solicitudes de pagos o alertas de seguridad internas, esperando solo un clic equivocado.

A la par, el atacante recurre a los Initial Access Brokers, quienes venden accesos ilícitos ya obtenidos mediante malware. En vez de forzar la entrada, compra credenciales robadas y puede comenzar a moverse dentro de la red de forma inmediata.

Los ciberdelincuentes también buscan vulnerabilidades en sistemas expuestos a internet, como aplicaciones web, VPNs, firewalls y dispositivos IoT. Cuando encuentran una brecha, no dudan en lanzar ataques masivos, incluso horas después de que la vulnerabilidad haya sido descubierta.

La invasión silenciosa

Una vez dentro, el cibercriminal actúa en silencio. Ya no busca abrir más puertas, sino moverse sigilosamente por la red y tomar control de la información más valiosa. Para tomar el control, no instala programas sospechosos, si no que utiliza las herramientas legítimas del sistema para incrementar su poder de forma gradual, como si estuviera encontrando las llaves maestras.

Se desplaza de un equipo a otro, casi como un empleado más, y puede robar contraseñas para moverse libremente sin levantar sospechas. Su actividad se disfraza como tráfico normal y puede pasar semanas explorando sin ser detectado. La organización no sabe que el peligro ya está dentro, creciendo en silencio.

La búsqueda del tesoro

¿Qué buscan los ciberdelincuentes? Información valiosa, que puede ser comercial, operativa o estratégica. Dependiendo del objetivo, algunos se centran en credenciales y datos personales para venderlos o cometer fraudes, mientras que otros grupos de ransomware buscan datos críticos para extorsionar a las víctimas. Los atacantes más sofisticados también se enfocan en los metadatos internos, que les permiten planificar ataques más profundos y devastadores.

Una vez dentro, su objetivo es extraer la información sigilosamente o cifrarla y borrarla. Para ello, utilizan herramientas del sistema para comprimir, dividir y transferir los datos lentamente, sin ser detectados. Los atacantes incluso pueden usar software especializado para enviar la información a servidores remotos, mezclando su actividad con el tráfico normal.

¿Se puede identificar un ataque en sus inicios?

Aunque los ataques están diseñados para ser invisibles, existen señales que pueden alertar sobre su presencia. Estas señales son sutiles, como escaneos internos, accesos sospechosos en horarios o ubicaciones inusuales, creación de nuevas cuentas de usuario o cambios inexplicables en los sistemas.

Los empleados suelen ser los primeros en notar algo raro, como lentitud, errores o archivos desaparecidos. Otras alertas son más técnicas: tráfico de red anómalo, picos de transferencia de archivos o detección de comandos sospechosos por herramientas de seguridad (EDR o SIEM). La señal más evidente, como los mensajes de ransomware, indica que el ataque ya está en fase de impacto. La clave para la detección temprana está en contar con una telemetría unificada que permita a las herramientas de seguridad compartir información y detectar la amenaza antes de que cause daño.

¿Qué hacer en caso de ataque?

La respuesta a un ciberataque debe ser rápida, estructurada y multidisciplinaria, no solo para contener el daño, sino para aprender y fortalecer la organización. Esto comienza mucho antes de que ocurra el ataque, con una preparación sólida que incluya políticas claras, roles definidos y simulacros regulares.

Una vez que se detecta la intrusión, se activa un protocolo en varias fases: detección y análisis para identificar el ataque rápidamente; contención para aislar los sistemas afectados; erradicación para eliminar la amenaza; y, finalmente, recuperación de las operaciones.

El éxito de esta respuesta depende de factores clave, como la automatización de procesos, la visibilidad completa de la red y la colaboración entre áreas, no solo IT. Todo esto debe estar respaldado por inteligencia de amenazas en tiempo real para actuar con precisión. De esta manera, el incidente deja de ser solo una crisis y se convierte en una oportunidad de fortalecimiento.

La estrategia de seguridad más efectiva hoy en día es integrar sistemas que operen como un ecosistema unificado. Crear esta arquitectura tecnológica, donde cada componente se comunica y fortalece al otro, es complejo y requiere de un conocimiento profundo. Por ello, es fundamental contar con el asesoramiento de expertos en ciberseguridad, como Fortinet, para diseñar plataformas robustas que no solo respondan a las amenazas, sino que las anticipen. (Ivana Gramigni – Corporate Affairs Consultant – LLYC)