¿Ya no se sostiene el modelo defensivo?

Con el inicio de 2026, surge una pregunta crucial: ¿está roto el paradigma de la ciberseguridad y necesita un cambio radical? Puede parecer audaz, sobre todo viniendo del blog de una empresa de ciberseguridad, pero escúchenme.

A pesar de que las medidas defensivas siguen evolucionando y la concienciación sobre las ciberamenazas mejora, las estadísticas de víctimas siguen aumentando. Peor aún, las actividades estatales o patrocinadas por el estado que antes se consideraban un límite —como ataques a infraestructuras críticas y espionaje para obtener ventajas económicas— han desaparecido sin repercusiones significativas.

De incidentes aislados a un patrón estratégico

Lo que presenciamos no son intrusiones inconexas ni campañas oportunistas. Es la maduración de un modelo operativo estratégico. A continuación, algunos casos que ilustran cómo funciona este modelo y por qué las suposiciones defensivas tradicionales se desvían de la realidad.

• Hay informes periódicos de ciberdelincuentes que atacan telecomunicaciones e infraestructuras críticas. Los grupos chinos son especialmente hábiles. APTs como Salt Typhoon han dado la voz de alarma por persistir en la infraestructura de telecomunicaciones de EE. UU. Han pirateado teléfonos en el Reino Unido "justo en el corazón de Downing Street" y han vulnerado las cuatro mayores empresas de telecomunicaciones de Singapur.

• Corea del Norte ha sido persistente y ha tenido un éxito notable en el robo de dinero y el uso de falsos trabajadores de TI para evadir sanciones internacionales y financiar sus programas nucleares y de misiles.

• Grupos rusos patrocinados por el estado, como Sandworm, han tenido influencia en muchos asuntos durante años.

  
  

Los estados nacionales adversarios de las democracias occidentales han establecido relaciones con operadores de ransomware criminal. Como se describe en el documento de Recorded Future "Dark Covenant 3.0: Controlled Impunity and Russia’s Cybercriminals", la confianza varía desde la asociación directa hasta el acuerdo tácito. Esto les otorga una mayor reserva de talento para apoyar las operaciones cibernéticas nacionales.

Un giro hacia la ofensiva

La amenaza está creciendo con el uso de la IA para mejorar los ataques de phishing y otros problemas. Quizás las potencias occidentales estén en desventaja y necesiten un nuevo enfoque. Algunos países están considerando alternativas:

• Japón está modificando sus reglas de combate para permitir que las amenazas se aborden mediante actividades cibernéticas ofensivas.

• El gobierno del Reino Unido, en su reciente plan de acción, afirma que "debemos transformar nuestra forma de abordar la ciberseguridad". Sus líderes instan a que "debe haber un elemento esencialmente ofensivo para la disuasión, así como un elemento simplemente defensivo".

• Estados Unidos está considerando un enfoque aún más inusual: podría implicar que las empresas privadas asuman un papel más importante en las operaciones cibernéticas, incluyendo la participación en ciberataques ofensivos. Permitir que las empresas privadas pasen a la ofensiva parece un enfoque obvio. Hace unos años, el grupo de ransomware Lockbit sufrió un ataque DDoS, aparentemente perpetrado por una víctima, aunque esto nunca se confirmó.

  
  

Los riesgos que no podemos ignorar

Internet ha relegado al olvido lo que solía ser un comportamiento aceptado durante la Guerra Fría. La perspectiva de una justicia por mano propia plantea serias cuestiones legales, morales y éticas. Si empleamos las tácticas de nuestros adversarios, ¿cuáles son los riesgos que pueden surgir? ¿Cuáles son los riesgos de las operaciones ofensivas del sector privado?

• Riesgo legal y jurisdiccional. El acceso no autorizado a ordenadores es ilegal en la mayoría de las jurisdicciones. La ciberactividad delictiva cometida por personas en jurisdicciones que no cooperan sigue siendo objeto de procesamiento. Si (cuando) la persona viaja, por trabajo o placer, corre el riesgo de ser capturada bajo una orden de arresto internacional. Si las jurisdicciones occidentales permiten operaciones cibernéticas ofensivas, ¿se enfrentarán los responsables de la respuesta cibernética a un riesgo similar?

  
  

• Riesgo de atribución. Identificar quién está detrás de un ciberataque no es fácil. La posibilidad de respuestas ofensivas hace que la labor de atribución sea más importante que nunca. Si las empresas o los países responden a un ataque, ¿qué sucede cuando se ataca al objetivo equivocado? ¿Es procedente una indemnización?

  
  

• Riesgo de represalias. Los ciberataques ofensivos pueden agravar el problema, dando lugar a respuestas más agresivas. Imaginen si hospitales e infraestructuras críticas sufrieran ataques que amenazaran con causar disrupciones masivas o incluso la pérdida de vidas. Los sistemas legales existen para abordar los problemas inherentes a la justicia por mano propia.

  
  

La verdadera pregunta no es "¿Podemos?", sino "¿Qué sucede si lo hacemos?".

¿Son estos riesgos elevados plausibles o simplemente alarmismo? Como documentamos en nuestro reciente informe de fin de año, el número de víctimas reportadas aumenta sin cesar. Aunque permitir respuestas más agresivas a los ciberataques pueda parecer satisfactorio, se deben considerar las posibles consecuencias imprevistas antes de proceder con cambios significativos. En otras palabras, tengan cuidado con lo que desean.

Conclusión

La ciberseguridad está en un punto de inflexión. Necesitamos evaluar cuidadosamente nuestras estrategias. La defensa tradicional ya no es suficiente. Es hora de considerar un enfoque más proactivo y ofensivo. Sin embargo, debemos hacerlo con precaución. Los riesgos son reales y deben ser gestionados adecuadamente. La clave está en encontrar un equilibrio entre la defensa y la ofensiva. Solo así podremos enfrentar los desafíos del futuro.

---wix---