Por Patrick Rinski, líder para América Latina de Unit 42, Palo Alto Networks
Hoy, en ciberseguridad, el tiempo se ha convertido en el factor decisivo. Unit 42 presentó
recientemente el Global Incident Response Report, elaborado a partir de más de 750
investigaciones, que demuestra cómo los atacantes han reducido drásticamente el tiempo entre
el acceso inicial y el robo de información a poco más de una hora. Esta aceleración está
impulsada, en gran medida, por el uso creciente de inteligencia artificial, que les permite operar
con mayor precisión y rapidez.
Para América Latina, esta realidad transforma por completo la conversación. Ya no se trata de
preguntarnos si ocurrirá un incidente, sino cuánto tiempo tardará en escalar y si las
organizaciones están preparadas para reaccionar en esos primeros minutos críticos.
La identidad se ha convertido en la vía más efectiva para los atacantes, porque les permite
ingresar como si fueran usuarios legítimos. Esto ocurre en organizaciones que, con el tiempo,
acumulan accesos, permisos y conexiones difíciles de controlar de manera consistente. De
acuerdo con el reporte, 87% de las intrusiones analizadas se movieron entre múltiples áreas
internas y casi la mitad comenzó desde el navegador, precisamente el entorno donde los
colaboradores realizan la mayor parte de su trabajo diario. Muchos ataques no requieren
técnicas extraordinarias, basta con una brecha de visibilidad, un permiso excesivo o un control
aplicado de forma desigual.
La extorsión cambió de rostro
Actualmente los ciberdelincuentes ya no necesitan cifrar sistemas para presionar a una
organización. Basta con robar información sensible y amenazar con hacerla pública. Es un
cambio profundo, incluso si la operación continúa, el daño reputacional, la pérdida de confianza
y las implicaciones legales pueden ser igual de graves.
A ello se suma el aprovechamiento creciente de las conexiones tecnológicas que habilitan el
funcionamiento de las empresas, es decir, aplicaciones en la nube, herramientas externas que
automatizan procesos y soluciones que intercambian datos entre sí. Cuando estas conexiones
no están bien gestionadas, pueden convertirse en accesos silenciosos que pasan
desapercibidos. Casi una cuarta parte de los casos investigados por Unit 42 incluyó este tipo de
accesos que se mezclan con el flujo normal del negocio y dificultan su detección.
Por su parte, la actividad de ciberespionaje también se ha intensificado. Investigaciones
recientes revelaron cómo grupos alineados con Estados comprometieron organizaciones
gubernamentales e infraestructura crítica en decenas de países en cuestión de semanas,
realizando reconocimiento sobre sistemas alrededor del mundo. Para América Latina, donde
gobiernos, instituciones financieras y empresas estratégicas manejan información altamente
sensible, esta tendencia confirma que la amenaza no proviene solo del crimen organizado, sino
también de actores con objetivos geopolíticos y recursos significativos.
Además, el impacto económico tampoco es menor. La mediana de los montos iniciales exigidos
en casos de extorsión aumentó de 1.25 a 1.5 millones de dólares, mientras que los pagos
medianos crecieron de 267,500 a 500,000 dólares. Sin embargo, cuando hubo negociación, las

Confidential – Not for public consumption or distribution

organizaciones lograron reducir estos montos hasta en 61%. Casi la mitad pudo recuperarse
mediante respaldos sin pagar rescate, aunque una cuarta parte enfrentó el compromiso de sus
copias de seguridad. Estos datos son especialmente relevantes para directores financieros,
aseguradoras y responsables de continuidad operativa, ya que evidencian que el impacto no
depende solo del ataque, sino del nivel de preparación previa.
Otro hallazgo crítico proviene del análisis de más de 680,000 identidades en la nube, de las
cuales 99% tenía privilegios excesivos. Esto significa que una sola credencial comprometida,
sea humana o automatizada, puede abrir una ruta de impacto mucho mayor. Además, 39% de
los métodos de control observados utilizaron herramientas legítimas de acceso remoto, lo que
permite a los atacantes camuflarse dentro de la operación real. De manera que, el riesgo
actualmente no reside únicamente en las vulnerabilidades tecnológicas, sino en la complejidad
misma de cómo operan las organizaciones modernas.
En un reciente ataque de grandes proporciones, la startup israelí Gambit Security informó que
un hacker desconocido orquestó un ciberataque de un mes de duración contra agencias
gubernamentales mexicanas a partir de diciembre, atribuyendo la actividad al uso de Claude de
Anthropic PBC. El atacante utilizó indicaciones en español para identificar vulnerabilidades de
red, desarrollar scripts de explotación y automatizar el robo de datos. Unit 42 de Palo Alto
Networks ha corroborado independientemente la brecha en sí.
En cuanto al componente de IA, la evidencia que se ha revisado hasta ahora sugiere
fuertemente que se utilizó IA durante el ataque; sin embargo, Unit 42 aún no ha analizado el
conjunto de datos completo para verificar de manera concluyente la afirmación de Gambit de
que Claude fue el chatbot específico utilizado. Esta sofisticada operación resultó en la
exfiltración de 150 gigabytes de datos sensibles, incluyendo 195 millones de registros de
contribuyentes, información de votantes, credenciales de empleados gubernamentales y
archivos del registro civil.
Qué debe hacer hoy un líder en América Latina
El primer paso es proteger el navegador, el entorno donde ocurre la mayor parte del trabajo
diario. Controlar descargas, aislar sesiones y monitorear el movimiento de información reduce
de forma significativa la superficie de ataque.
El segundo paso es tratar la identidad como un activo estratégico. Esto implica implementar
mecanismos de autenticación más robustos, sesiones de corta duración para accesos
sensibles, eliminación de permisos persistentes y rotación frecuente de cuentas de servicio y
usuarios automatizados que suelen pasar desapercibidos.
El tercer paso es ordenar las conexiones que habilitan al negocio. Toda organización debería
tener claridad sobre qué aplicaciones externas están conectadas, quién las administra, qué
nivel de acceso tienen y si siguen siendo necesarias. Uno de los vectores iniciales de intrusión
más relevantes observados por Unit 42 en la región es la explotación de vulnerabilidades de
día cero o de N días en aplicaciones expuestas al público. Contar con un plan de desconexión
inmediata ante el compromiso de un proveedor externo es hoy tan importante como disponer
de un plan de continuidad operativa.
Finalmente, unificar señales de identidad, red, endpoint, nube y aplicaciones en una sola vista
permite responder en minutos. En un entorno donde la inteligencia artificial acelera a los

Confidential – Not for public consumption or distribution

atacantes, la automatización defensiva deja de ser opcional y se vuelve indispensable.
La oportunidad está en adelantarse. Reducir la confianza implícita, recortar privilegios, ordenar
integraciones y acelerar la contención permite a las organizaciones restar velocidad a los
criminales. La seguridad sigue siendo alcanzable, pero exige coherencia, visibilidad y
velocidad. Si un ataque puede llegar a la exfiltración de datos en minutos, la defensa también
debe actuar en ese mismo lapso. En esa ventana se define la diferencia entre un incidente
controlado y una crisis que escala.