Un director de inteligencia de amenazas de FortiGuard Labs para América Latina y el Caribe revela la estrategia del ciberatacante: desde el reconocimiento y la infiltración silenciosa hasta la búsqueda de datos de alto valor.
Panamá: El país registró $2.4$ mil millones de intentos de ciberataques en el primer semestre
• El protocolo de defensa más efectivo integra preparación, detección, contención, erradicación y recuperación, con el objetivo de anticiparse a las amenazas y no solo responder a ellas.
(31/Oct/2025 – web – Panama24Horas.com.pa) Ciudad de Panamá, Panamá.- La ciberdelincuencia ha escalado a una situación crítica que afecta a empresas de todos los tamaños y sectores a nivel mundial. En el contexto regional, las cifras obtenidas por FortiGuard Labs, la unidad de inteligencia y análisis de amenazas de Fortinet, evidencian la magnitud del riesgo. Durante la primera mitad del año, Panamá se convirtió en el foco de $2.4$ mil millones de intentos de ciberataques, lo que lo posiciona como el tercer objetivo más atacado en una región que, en su conjunto, concentró el $25$% de todas las detecciones de amenazas a nivel global.
Esta escalada subraya una evolución sofisticada en la estrategia de los ciberdelincuentes. Para comprender su modus operandi desde la fase inicial, Arturo Torres, director de inteligencia contra amenazas de FortiGuard Labs para América Latina y Caribe, ofrece una visión clave de su estrategia.
La mecánica de la infiltración: del reconocimiento al primer golpe
El proceso de un ciberataque comienza con la observación. Antes de ejecutar cualquier código malicioso, el atacante prioriza la fase de reconocimiento. Su meta es crear un mapa detallado del objetivo, identificando los elementos expuestos en internet, las posibles vulnerabilidades en servicios y los sistemas utilizados por la organización.
La planeación y la primera acción de ataque
Con este panorama, el ciberdelincuente planea su asalto y determina la vía de acceso. La herramienta predilecta sigue siendo el phishing, que explota el eslabón más vulnerable: la confianza humana.
De forma simultánea, los atacantes recurren a los Initial Access Brokers (mayoristas del acceso ilícito). En lugar de forzar la entrada, pueden adquirir paquetes de credenciales robadas y capturadas días antes a través de malware. Adicionalmente, se enfocan en encontrar fallas en sistemas expuestos a internet, tales como aplicaciones web, VPNs, firewalls o dispositivos IoT. Una vez localizada una vulnerabilidad, lanzan ataques masivos, a veces pocas horas después de su publicación.
El movimiento silencioso y la búsqueda de valor
Una vez dentro del sistema, el ciberdelincuente se mueve de forma sigilosa. El objetivo pasa de la intrusión a la persistencia y al movimiento lateral para localizar la información más valiosa. Para tomar control, evitan instalar software sospechoso. En su lugar, utilizan las propias herramientas del sistema en su contra, ganando privilegios gradualmente, como si encontraran las «llaves maestras» de la red.
El atacante puede moverse libremente entre equipos, simulando ser un usuario legítimo. Tienen la capacidad de robar credenciales directamente de los sistemas comprometidos, permitiéndoles navegar por la red sin levantar alarmas. Toda su actividad se camufla como tráfico de internet normal. La paciencia es clave, pudiendo pasar semanas explorando de manera invisible. El peligro, que antes era externo, se consolida y crece en silencio desde el interior de la infraestructura.
El objetivo final: información de alto valor
Los ciberdelincuentes persiguen información con valor comercial, operativo o estratégico. Sus intereses varían:
• Credenciales y datos personales: Son buscados para ser vendidos o utilizados en fraudes.
• Datos críticos para la operación: Son el objetivo principal de los grupos de ransomware, utilizados para extorsionar a las víctimas.
• Metadatos internos: Son un tesoro para atacantes más sofisticados, ya que proporcionan un mapa detallado para planificar asaltos más profundos y devastadores desde dentro del sistema.
Una vez que han penetrado la red, se centran en extraer la información o cifrar/borrar los datos. La táctica principal es pasar desapercibido, ocultando la fuga de información dentro de canales cifrados. Para lograrlo, aprovechan herramientas del propio sistema para comprimir los datos, dividirlos en partes y extraerlos lentamente, evitando ser detectados por los sistemas de seguridad. También utilizan software especializado para transferir la información a servidores remotos, mezclando su actividad con el tráfico normal de la organización.
¿Es posible la detección temprana?
Aunque los ataques están diseñados para la invisibilidad, existen señales que pueden delatar su presencia. Estas suelen ser sutiles, como la aparición de escaneos internos, accesos sospechosos desde ubicaciones o en horarios inusuales, la creación de nuevas cuentas de usuario o cambios inexplicables en los sistemas. Los propios empleados suelen ser los primeros en notar la actividad anómala, al experimentar lentitud, errores extraños o la desaparición de archivos.
Protocolo de respuesta: de la contención a la recuperación
El protocolo ideal ante un ataque debe ser rápido, estructurado y multidisciplinario. Inicia con una preparación sólida que incluye políticas claras, roles definidos y simulacros periódicos. Tras la intrusión, se activan fases específicas:
• Detección y análisis: Para una rápida identificación.
• Contención: Para aislar los sistemas afectados.
• Erradicación: Para eliminar la amenaza de raíz.
• Recuperación: Para restablecer las operaciones de manera segura.
La estrategia de seguridad más efectiva se basa en la integración de sistemas que operan como un ecosistema unificado. Construir esta arquitectura tecnológica que permite que cada componente se comunique y enriquezca al otro es fundamental, por lo que es esencial asesorarse con expertos en ciberseguridad, como Fortinet, para diseñar plataformas robustas que no solo respondan a las amenazas, sino que se adelanten a ellas.
Deja un comentario
Su dirección de correo electrónico no será publicada. Los campos requeridos estan marcados con *