Connect with us

El Informe de Amenazas Lumen Defender 2026: Por qué la visibilidad en las brechas no es suficiente

Informes

El Informe de Amenazas Lumen Defender 2026: Por qué la visibilidad en las brechas no es suficiente

mm
Published
Updated

El Informe de Amenazas Lumen Defender 2026 de Lumen, impulsado por su brazo de inteligencia de amenazas Black Lotus Labs, entrega un mensaje claro de que la mayoría de las organizaciones todavía luchan contra los ciberataques demasiado tarde. El informe argumenta que para cuando se detecta una brecha dentro de una red, el verdadero trabajo del ataque ya ha sido completado. Lo que parece una intrusión repentina es usualmente el último paso en una operación mucho más larga y cuidadosamente construida.

En lugar de centrarse en lo que sucede después de una comprometición, el informe cambia la atención a lo que sucede antes de ella. Ese cambio lo cambia todo.

Los ciberataques ahora comienzan mucho antes de la brecha

Las operaciones cibernéticas modernas ya no se asemejan a intrusiones oportunísticas. Se parecen más a campañas estructuradas que se ensamblan pieza por pieza con el tiempo. Los actores de amenazas comienzan escaneando continuamente la internet, buscando sistemas expuestos, dispositivos sin parches, y puntos de autenticación débiles. Una vez que encuentran oportunidades, construyen infraestructura alrededor de ellas.

Esta fase de preparación incluye validar credenciales robadas, configurar redes de proxy, probar canales de comunicación y asegurarse de que los sistemas de comando puedan operar sin interrupción. Para cuando una organización detecta actividad sospechosa, el atacante ya ha construido las vías necesarias para moverse a través del entorno.

Lo que hace que esto sea particularmente peligroso es que la mayoría de las organizaciones nunca ven esta fase temprana. Las herramientas de seguridad tradicionales están diseñadas para detectar amenazas conocidas o actividad sospechosa dentro de la red. No están diseñadas para observar cómo se construye un ataque en primer lugar.

La capa de infraestructura es ahora el verdadero campo de batalla

Uno de los hallazgos más importantes del informe es que los ciberataques ya no se definen solo por malware. En cambio, se definen por la infraestructura que los apoya. Los atacantes están invirtiendo más esfuerzo en construir sistemas resilientes y adaptables que puedan sobrevivir a la interrupción y regenerarse rápidamente.

Este cambio es visible en operaciones criminales y campañas de estados nación. Las redes de proxy se han convertido en un componente central de casi todos los ataques. Estas redes permiten a los atacantes enrutear tráfico a través de dispositivos comprometidos, a menudo haciendo que la actividad maliciosa parezca provenir de usuarios legítimos.

Al mismo tiempo, los atacantes se están alejando de los puntos finales y hacia dispositivos de borde como routers, pasarelas VPN y cortafuegos. Estos sistemas se encuentran en puntos críticos de la red, a menudo tienen una visibilidad más débil y proporcionan acceso directo a sistemas internos. También tienden a tener un tiempo de actividad más largo y menos controles de monitoreo, lo que los hace ideales para establecer una base.

La inteligencia artificial está acelerando todo el proceso

El informe destaca cómo la inteligencia artificial generativa está aumentando dramáticamente la velocidad de las operaciones cibernéticas. Tareas que antes requerían coordinación humana ahora pueden automatizarse. Los atacantes están utilizando la IA para escanear vulnerabilidades, generar infraestructura, probar explotaciones y adaptar sus estrategias en tiempo real.

Este cambio comprime el cronograma de un ataque. Lo que antes tomaba días o semanas ahora puede suceder en horas. En algunos casos, los sistemas impulsados por la IA pueden evaluar las condiciones de la red, identificar el camino más efectivo hacia adelante y ajustar las tácticas sin intervención humana.

Para los defensores, esto crea un nuevo desafío. Los equipos de seguridad ya no enfrentan amenazas estáticas. Enfrentan sistemas que evolucionan continuamente, respondiendo a las defensas a medida que las encuentran.

El cibercrimen se ha convertido en una industria profesional

Otro tema impactante en el informe es cómo el cibercrimen ha madurado en un ecosistema estructurado y profesional. Muchas operaciones ahora se asemejan a empresas de tecnología legítimas. Ofrecen servicios, apoyan a los clientes y mejoran continuamente sus productos.

Las plataformas de malware se venden como servicios de suscripción. Las redes de proxy se alquilan a demanda. El acceso a sistemas comprometidos puede comprarse y revenderse a través de mercados. Diferentes actores se especializan en diferentes partes del ciclo de vida del ataque, desde el acceso inicial hasta la exfiltración de datos y la monetización.

Este nivel de organización permite a los cibercriminales escalar sus operaciones de manera eficiente. También los hace más resilientes. Cuando un componente se ve interrumpido, otro puede tomar su lugar rápidamente.

La misma infraestructura a menudo se comparte entre múltiples grupos, difuminando la línea entre la actividad criminal y las operaciones de estado nación. Esto hace que la atribución sea más difícil y aumenta el riesgo de malinterpretar la verdadera naturaleza de un ataque.

Las redes de proxy están redefiniendo la confianza en la internet

Uno de los desarrollos más importantes descritos en el informe es el surgimiento de redes de proxy construidas a partir de dispositivos comprometidos. Estas redes permiten a los atacantes operar desde lo que parecen direcciones IP residenciales o comerciales normales.

Desde la perspectiva de un defensor, esto es un gran problema. Los modelos de seguridad tradicionales dependen en gran medida de señales de confianza como la ubicación, la reputación de la IP y la propiedad de la red. Las redes de proxy socavan todas estas señales.

Un atacante puede parecer un usuario legítimo conectándose desde una red residencial. Pueden evitar controles de geolocalización, evadir sistemas de detección y mezclarse perfectamente con patrones de tráfico normales.

Esto significa que lo que parece limpio no necesariamente es seguro. La internet misma se ha convertido en un disfraz.

Even los ataques simples han sido reinventados

El informe también muestra que técnicas antiguas como ataques de fuerza bruta están lejos de ser obsoletas. En cambio, han sido transformadas por la escala y la automatización.

Los atacantes ahora tienen acceso a conjuntos de datos masivos de credenciales robadas. Combinan esto con infraestructura distribuida y herramientas impulsadas por la IA para probar sistemas de autenticación en miles de objetivos simultáneamente. Estos ataques ya no son aleatorios. Son dirigidos, persistentes y altamente eficientes.

Lo que los hace particularmente peligrosos es que a menudo sirven como el primer paso en una operación más grande. Una vez que se gana acceso, los atacantes pueden moverse más profundamente en la red, desplegar herramientas adicionales y establecer control a largo plazo.

Las operaciones de estado nación se están convirtiendo en plataformas de infraestructura

El informe destaca cómo los actores de estado nación están construyendo infraestructura a largo plazo que apoya múltiples campañas con el tiempo. Estas operaciones están diseñadas para ser flexibles. Pueden usarse para reconocimiento, explotación o interrupción dependiendo del objetivo.

En lugar de centrarse en un objetivo único, estos sistemas crean una base que puede reutilizarse en diferentes operaciones. Están diseñados para escalar, adaptarse y persistir incluso bajo presión.

En algunos casos, los atacantes no construyen su propia infraestructura. Toman el control de sistemas ya controlados por otros grupos, utilizandolos como un terreno de lanzamiento para sus propias operaciones. Esto agrega otra capa de complejidad y hace que sea aún más difícil entender quién está detrás de un ataque.

El futuro de la ciberseguridad estará definido por la visibilidad

Mirando hacia adelante, el informe identifica varios cambios que darán forma al panorama de amenazas en 2026 y más allá. El más importante de estos es la idea de que el riesgo estará definido por la exposición.

Los atacantes están escaneando la internet continuamente. Cualquier sistema que sea visible y vulnerable eventualmente será objetivo. No importa a qué industria pertenece. La oportunidad es el factor impulsor.

Al mismo tiempo, las señales más importantes no provendrán de dispositivos individuales. Provenirán de patrones en la red. La forma en que los sistemas se comunican, la forma en que la infraestructura se construye y abandona, y la forma en que el tráfico fluye a través de la internet revelarán ataques antes de que alcancen sus objetivos.

Esto requiere un enfoque diferente de la seguridad. En lugar de centrarse solo en los puntos finales y las alertas, las organizaciones necesitan entender el entorno más amplio en el que se están formando los ataques.

Un nuevo enfoque para la defensa

El informe deja claro que las estrategias defensivas tradicionales ya no son suficientes. Las organizaciones necesitan moverse más temprano en el ciclo de vida del ataque. Necesitan centrarse en detectar y disruptar la infraestructura que permite los ataques, no solo los ataques en sí.

Esto significa tratar a los dispositivos de borde como activos críticos. Significa monitorear cómo el tráfico entra y sale de la red. Significa entender las relaciones entre los sistemas en lugar de confiar en indicadores estáticos.

También significa aceptar que la línea entre la actividad criminal y las operaciones patrocinadas por el estado se está volviendo cada vez más difusa. Cada intrusión debe tratarse como potencialmente estratégica.

La lección real del informe

La lección más importante del Informe de Amenazas Lumen Defender 2026 es que los ciberataques ya no son eventos aislados. Son sistemas construidos. Están planificados, probados y refinados mucho antes de ser ejecutados.

Para cuando se dispara una alerta, el atacante ya está dentro del entorno en alguna forma. Los cimientos ya han sido establecidos.

Las organizaciones que tengan éxito en este nuevo entorno serán aquellas que cambien su enfoque. Mirarán más allá del punto final. Mirarán más allá de la brecha. Se centrarán en la infraestructura que hace posible estos ataques.

Al hacerlo, ganarán la única ventaja que importa en la ciberseguridad moderna. Verán el ataque antes de que comience.

Related Topics:
mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.