Las claves para entender la nueva era del cibercrimen

La ciberdelincuencia afecta a empresas de todos los sectores. 

La ciberdelincuencia ya no es solo una amenaza latente: se trata de una crisis real que impacta a empresas de todos los tamaños y sectores. Las cifras lo confirman. Solo en la primera mitad de 2025, Argentina registró más de 1.600 millones de intentos de ciberataques, según datos de FortiGuard Labs, el área de inteligencia sobre amenazas de Fortinet.

En ese mismo período, América Latina concentró el 25% de las detecciones globales, lo que evidencia la creciente actividad y sofisticación de los ciberdelincuentes en la región. Pero más allá de los números, surge una pregunta clave: ¿cómo piensan y actúan los atacantes desde el momento en que logran infiltrarse en un sistema? Para entender sus estrategias, Arturo Torres, director de inteligencia contra amenazas de FortiGuard Labs, explicó las claves detrás del modo de operar del cibercrimen actual.

Para el especialista en ciberseguridad, el verdadero comienzo de un ciberataque no es el golpe, sino la observación. “El primer paso del cibercriminal no es atacar, sino observar”, señaló. Antes de mover una pieza, el atacante estudia al objetivo, analiza los sistemas expuestos y detecta posibles accesos. Esa fase de reconocimiento es la base de toda su estrategia: construir un mapa completo de debilidades que le permita entrar sin ser visto.

El phishing continúa siendo su arma predilecta, aunque hoy se ha perfeccionado gracias a la inteligencia artificial. Ya no se trata de correos mal escritos o burdos engaños, sino de mensajes personalizados que imitan con precisión la comunicación interna de las empresas. Según Torres, los delincuentes aprovechan la confianza humana, “el eslabón más débil”, para obtener el primer acceso. En paralelo, muchos recurren a los Initial Access Brokers, intermediarios del delito que venden credenciales robadas y accesos ilícitos, lo que les permite saltarse las barreras iniciales sin necesidad de vulnerar nada.

Además, los ciberdelincuentes rastrean permanentemente vulnerabilidades en servicios conectados a internet: aplicaciones web, VPN, firewalls o dispositivos. Cuando detectan una brecha, la explotan de inmediato, a veces apenas horas después de que se haya hecho pública.

Una vez dentro, la táctica cambia por completo. Empieza la “invasión silenciosa”. Torres describió esta etapa como un movimiento sigiloso en el que el atacante evita instalar software sospechoso y, en cambio, utiliza herramientas legítimas del sistema para elevar privilegios y moverse dentro de la red. Este uso de recursos nativos hace que sus acciones parezcan rutinas normales de mantenimiento. “El atacante se disfraza de empleado más”, advirtió el especialista, y puede pasar semanas explorando sin ser detectado.

Las señales de un ciberataque

El objetivo, dijo, es siempre el mismo: la información. Dependiendo del tipo de grupo, algunos buscan datos personales o financieros para vender o estafar, mientras que los más sofisticados se enfocan en información estratégica o metadatos internos para planear ataques más devastadores. Los grupos de ransomware, en cambio, cifran los datos y extorsionan a la víctima. En todos los casos, el proceso de extracción es lento y cuidadoso: los delincuentes comprimen y fragmentan los archivos antes de transferirlos, mimetizando su tráfico con el normal.

Torres también subrayó que, aunque estos ataques están diseñados para pasar inadvertidos, existen señales tempranas que pueden delatarlos. Entre ellas, mencionó escaneos internos, accesos en horarios inusuales, creación de cuentas nuevas o modificaciones inesperadas en los sistemas. Los empleados, incluso sin conocimientos técnicos, suelen ser los primeros en advertir comportamientos extraños, como errores, lentitud o desaparición de archivos.

A nivel técnico, las herramientas de seguridad pueden detectar patrones anómalos en el tráfico de red o en los comandos ejecutados. Sin embargo, cuando aparece la señal más evidente —como un mensaje de ransomware— el daño ya está hecho. Por eso, Torres enfatizó la importancia de la detección temprana y la coordinación entre sistemas. “La clave está en una telemetría unificada, que permita a las herramientas de seguridad compartir información y anticiparse al ataque”, concluyó. En resumen, el desafío no es solo contener las amenazas, sino aprender de ellas.

Qué hacer ante un ciberataque

Ante un ciberataque, la respuesta debe ser rápida y coordinada, con protocolos claros que incluyan detección, contención, eliminación y recuperación, sostuvo el especialista. La clave está en la preparación previa, con políticas definidas, simulacros y colaboración entre distintas áreas respaldadas por inteligencia en tiempo real. Hoy, para Torres, la estrategia más efectiva es integrar los sistemas de seguridad en un ecosistema unificado, capaz de anticiparse a las amenazas. Para lograrlo, resulta esencial el asesoramiento de especialistas en ciberseguridad, que permitan fortalecer la defensa y prevenir futuros incidentes.