¿Ya no se sostiene el modelo defensivo?

Con el inicio de 2026, cabe plantearse una pregunta crucial: ¿está roto el paradigma de la ciberseguridad y necesita un cambio radical? Puede parecer una pregunta audaz, sobre todo viniendo del blog de una empresa de ciberseguridad, pero escúchenme.

Aunque las medidas defensivas siguen evolucionando y la concienciación sobre las ciberamenazas mejora, las estadísticas de víctimas siguen aumentando. Peor aún, las actividades estatales o patrocinadas por el estado que antes se consideraban un límite —ataques a infraestructuras críticas y espionaje para obtener ventajas económicas— han desaparecido hace tiempo sin repercusiones significativas.

De incidentes aislados a un patrón estratégico

Lo que presenciamos no es una serie de intrusiones inconexas ni campañas oportunistas, sino la maduración de un modelo operativo estratégico. Los siguientes casos ilustran cómo funciona este modelo en la práctica y por qué las suposiciones defensivas tradicionales se desvían cada vez más de la realidad.

• Hay informes periódicos de ciberdelincuentes que atacan o persisten en telecomunicaciones e infraestructuras críticas, siendo los grupos chinos especialmente hábiles. APTs como Salt Typhoon han dado la voz de alarma por persistir en la infraestructura de telecomunicaciones de EE. UU., han pirateado teléfonos en el Reino Unido "justo en el corazón de Downing Street" y han vulnerado las cuatro mayores empresas de telecomunicaciones de Singapur.

• Corea del Norte ha sido persistente y ha tenido un éxito notable en el robo de dinero y el uso de falsos trabajadores de TI para evadir sanciones internacionales y financiar sus programas nucleares y de misiles.

• Grupos rusos patrocinados por el estado, como Sandworm, han tenido influencia en muchos asuntos durante años.

Estados nacionales adversarios de las democracias occidentales han establecido y mantenido relaciones con operadores de ransomware criminal durante algún tiempo. Como se describe en el documento de Recorded Future "Dark Covenant 3.0: Controlled Impunity and Russia’s Cybercriminals", la confianza varía (en el caso de Rusia) desde la asociación directa hasta el acuerdo tácito. Esto les otorga una mayor reserva de talento para apoyar las operaciones cibernéticas nacionales, así como una negación plausible de dichas operaciones.

Un giro hacia la ofensiva

Para empeorar las cosas, la amenaza está creciendo con el uso de la IA para mejorar los ataques de phishing y otros problemas. Quizás las potencias occidentales estén en desventaja y necesiten un nuevo enfoque. Algunos países están considerando alternativas:

• Japón está modificando sus reglas de combate para permitir que las amenazas se aborden mediante actividades cibernéticas ofensivas.

• El gobierno del Reino Unido, en su reciente plan de acción, afirma que "debemos transformar nuestra forma de abordar la ciberseguridad", y sus líderes instan a que "debe haber un elemento esencialmente ofensivo para la disuasión, así como un elemento simplemente defensivo" para ayudar a defenderse de los ciberataques.

• Estados Unidos está considerando un enfoque aún más inusual: podría implicar que las empresas privadas asuman un papel más importante en las operaciones cibernéticas, incluyendo la participación en ciberataques ofensivos, una actividad actualmente prohibida por ley. Permitir que las empresas privadas pasen a la ofensiva parece un enfoque obvio y satisfactorio. Hace unos años, el grupo de ransomware Lockbit sufrió un ataque DDoS, aparentemente perpetrado por una víctima, aunque esto nunca se confirmó. En los círculos de ciberseguridad se aplaudió silenciosamente la decisión de cambiar la situación y convertir al atacante en víctima.

Los riesgos que no podemos ignorar

Internet ha relegado al olvido lo que solía ser un comportamiento aceptado y esperado durante la Guerra Fría, junto con los monitores CRT y los disquetes. Y por mucho que nos guste la idea del karma instantáneo, la perspectiva de una justicia por mano propia plantea serias cuestiones legales, morales y éticas. Si empleamos las tácticas de nuestros adversarios económicos e ideológicos, ¿cuáles son los riesgos que pueden surgir? ¿Cuáles son los riesgos de las operaciones ofensivas del sector privado? ¿Podemos anticipar las consecuencias imprevistas que pueden derivar?

• Riesgo legal y jurisdiccional. El acceso no autorizado a ordenadores es ilegal en la mayoría de las jurisdicciones, según el derecho nacional (como en EE. UU.) e internacional (según el Convenio del Consejo de Europa sobre Ciberdelincuencia, firmado por 81 países). Con estas herramientas, la ciberactividad delictiva cometida por personas en jurisdicciones que no cooperan en materia de ciberseguridad sigue siendo objeto de procesamiento. Si (cuando) la persona viaja, por trabajo o placer, corre el riesgo de ser capturada bajo una orden de arresto internacional. Si las jurisdicciones occidentales permiten que las operaciones cibernéticas ofensivas sean aprobadas para empresas privadas, ¿se enfrentarán los responsables de la respuesta cibernética a un riesgo similar?

  
  

• Riesgo de atribución. Identificar con precisión quién está detrás de un ciberataque no es fácil, y los actores de amenazas suelen hacer todo lo posible por ocultar sus identidades. La posibilidad de respuestas ofensivas hace que la labor de atribución sea más importante que nunca. Si las empresas o los países responden a un ataque, ¿qué sucede cuando se ataca y perjudica al objetivo equivocado? ¿Es procedente una indemnización o un enjuiciamiento?

  
  

• Riesgo de represalias. Los ciberataques ofensivos pueden agravar el problema, dando lugar a respuestas aún más agresivas. Quizás se ataquen objetivos que antes se consideraban "prohibidos". Imaginen si hospitales e infraestructuras críticas sufrieran ataques más agresivos que amenazaran con causar disrupciones masivas o incluso la pérdida de vidas. Los sistemas legales existen precisamente para abordar los problemas inherentes a la justicia por mano propia.

La verdadera pregunta no es "¿Podemos?", sino "¿Qué sucede si lo hacemos?".

¿Son estos riesgos elevados plausibles o simplemente alarmismo? Como documentamos en nuestro reciente informe de fin de año, el número de víctimas reportadas aumenta sin cesar. Y aunque la idea de permitir y habilitar respuestas más agresivas y visibles a los ciberataques pueda parecer satisfactoria, se deben considerar adecuadamente las posibles consecuencias imprevistas antes de proceder con cambios significativos de postura. En otras palabras, tengan cuidado con lo que desean.