CompuNetGroup - Blog CompunetGroup , Ciberseguridad

Caso Change Healthcare: Cuando un ciberataque deja de ser "TI" y se convierte en una crisis de negocio

Wed, 13 May 2026 09:22:41 -0400

UN INCIDENTE QUE PARALIZÓ OPERACIONES, AFECTÓ LIQUIDEZ Y EXPUSO LA FRAGILIDAD DIGITAL DE INDUSTRIAS COMPLETAS

Resumen ejecutivo:
El ataque a Change Healthcare en 2024 dejó una de las lecciones más duras para la continuidad operacional moderna: un incidente cibernético ya no afecta únicamente a TI, sino directamente a la liquidez, reputación y capacidad operativa de todo un ecosistema empresarial.

La interrupción generó impactos financieros proyectados de hasta USD 2.45 mil millones para su grupo controlador, afectando hospitales, aseguradoras, farmacias, proveedores y pacientes en todo Estados Unidos. Para directorios y líderes empresariales de Chile, Perú y Colombia, la señal es clara: el riesgo ya no es “si ocurrirá un ataque”, sino cuánto tiempo puede sobrevivir el negocio cuando la infraestructura digital deja de operar.

Nota editorial: este artículo analiza hechos públicos y reportes internacionales relacionados con el incidente de Change Healthcare. Algunas referencias corporativas regionales fueron adaptadas para fines explicativos y editoriales, manteniendo intacto el análisis técnico y estratégico del caso.

INTRODUCCIÓN

Hay incidentes que se sienten como una alerta técnica, y otros que se parecen más a un colapso operativo. El caso de Change Healthcare pertenece claramente a la segunda categoría.

Una sola pieza crítica del ecosistema sanitario estadounidense fue comprometida, y el efecto dominó alcanzó hospitales, clínicas, farmacias, aseguradoras y proveedores a nivel nacional. Lo relevante no fue únicamente el ataque, sino el impacto operacional y financiero que produjo sobre toda la cadena de valor.

Para directorios, inversionistas y líderes empresariales, este caso traduce la ciberseguridad a un lenguaje mucho más tangible: continuidad operacional, flujo de caja, dependencia tecnológica, resiliencia y reputación corporativa.

EL INCIDENTE

En febrero de 2024, Change Healthcare —subsidiaria de un importante conglomerado global del sector salud— sufrió un ataque de ransomware atribuido al grupo ALPHV/BlackCat.

La organización debió desconectar sistemas críticos y suspender servicios durante semanas para contener el incidente. El problema era especialmente grave porque la compañía procesaba cerca de 15 mil millones de transacciones sanitarias anuales y mantenía integración con una enorme parte del ecosistema médico estadounidense.

La interrupción afectó procesos esenciales como:

Verificación de elegibilidad de pacientes
Autorizaciones médicas
Prescripciones
Gestión de pagos
Procesamiento de reclamos

En otras palabras, el ataque no solo afectó sistemas tecnológicos; afectó directamente el flujo que convierte atención médica en operación financiera.

UN ECOSISTEMA ALTAMENTE DEPENDIENTE

El caso se vuelve aún más relevante para Latinoamérica cuando entendemos el nivel de dependencia que existe entre grandes organizaciones y terceros tecnológicos.

Para efectos editoriales, podemos imaginar un escenario equivalente con operaciones regionales ficticias como:

Salud Integral Chile
AndesCare Perú
NovaMed Colombia

Aunque los nombres fueron modificados para fines editoriales, el punto de fondo permanece intacto: industrias completas hoy dependen de plataformas digitales críticas altamente interconectadas.

Cuando uno de esos actores cae, el impacto no queda contenido dentro de una sola empresa; se expande rápidamente hacia clientes, proveedores, socios y operaciones financieras.

EL MODUS OPERANDI DEL RANSOMWARE MODERNO

Desde una perspectiva técnica, el patrón seguido por los atacantes fue consistente con el ransomware moderno:

Acceso inicial al entorno
Movimiento lateral dentro de la infraestructura
Exfiltración de información
Interrupción y cifrado de sistemas críticos
Presión económica y operacional para forzar negociación

La propia organización confirmó que decidió desconectar parte importante de sus plataformas para limitar el daño. Desde la perspectiva de contención, fue una decisión correcta; desde la continuidad operacional, extremadamente costosa.

Y ahí aparece una de las lecciones más importantes del caso:

La resiliencia ya no se mide únicamente por la cantidad de controles de seguridad implementados, sino por la capacidad del negocio para seguir funcionando cuando una parte crítica de su infraestructura deja de operar.

EL VERDADERO DOLOR: LA INTERRUPCIÓN DEL NEGOCIO

El mayor costo no fue únicamente el rescate ni la investigación forense.

El verdadero impacto vino de la paralización operacional.

Hospitales y proveedores quedaron sin acceso a procesos esenciales de validación, pagos y autorizaciones. Muchas organizaciones debieron recurrir a procesos manuales, líneas de financiamiento y reservas internas para mantener continuidad mínima de atención.

Ese es precisamente el cambio de paradigma que hoy preocupa a directorios y comités ejecutivos:

El ransomware ya no secuestra solamente información.
Secuestra liquidez, productividad, continuidad y capacidad de servicio.
En industrias reguladas o críticas, eso puede transformarse rápidamente en una crisis operacional y reputacional de gran escala.

IMPACTO FINANCIERO

Los reportes públicos asociados al caso estimaron costos cercanos a USD 872 millones durante el primer trimestre posterior al ataque.

Posteriormente, las proyecciones elevaron el impacto anual estimado a cifras entre USD 2.3 y USD 2.45 mil millones, posicionándolo como uno de los incidentes cibernéticos más costosos registrados recientemente.

Además, se reportó un pago de rescate cercano a USD 22 millones. Sin embargo, el rescate fue apenas una fracción del problema.

Los costos reales provinieron principalmente de:

Interrupción operacional
Remediación tecnológica
Soporte a terceros afectados
Pérdida de productividad
Procesos manuales de contingencia
Impacto reputacional

La gran lección es que el daño financiero de un ciberataque moderno proviene mucho más de la interrupción del negocio que del incidente técnico en sí mismo.

LA VERDADERA CAUSA RAÍZ

Reducir este caso a una “falta de protección” sería una lectura superficial.

La causa raíz fue una combinación de factores mucho más estructurales:

Alta criticidad del servicio
Dependencia ecosistémica
Concentración operacional
Integración excesiva entre plataformas
Fuerte dependencia de terceros tecnológicos

En otras palabras, una parte crítica de la continuidad operacional del negocio estaba concentrada en una infraestructura digital altamente interdependiente.

Cuando esa pieza fue comprometida, el efecto alcanzó a toda la cadena de valor.

El Foro Económico Mundial ha advertido precisamente este fenómeno en sus reportes recientes: la complejidad de las cadenas de suministro digitales, la sofisticación del cibercrimen y la dependencia de terceros están transformando la resiliencia operacional en un desafío estratégico global.

¿QUÉ SIGNIFICA ESTO PARA CHILE, PERÚ Y COLOMBIA?

La analogía para Latinoamérica es directa.

Sectores como:

Salud
Banca
Retail
Logística
Telecomunicaciones
Minería
Servicios compartidos

Operan hoy con altos niveles de interdependencia tecnológica y dependencia creciente de proveedores críticos.

En mercados donde los márgenes suelen ser más estrechos y la tolerancia a interrupciones es menor, un incidente de este tipo puede escalar rápidamente hacia:

Crisis de caja
Incumplimientos operacionales
Daño reputacional
Impacto regulatorio
Pérdida de confianza de clientes

La pregunta ya no es únicamente cómo evitar ataques, sino cómo asegurar que el negocio continúe operando cuando inevitablemente ocurra una interrupción relevante.

LA MITIGACIÓN CORRECTA: RESILIENCIA ANTES QUE HERRAMIENTAS

La mitigación efectiva no comienza comprando más tecnología.

Comienza diseñando resiliencia.

Las organizaciones necesitan:

Identificar servicios de misión crítica
Mapear dependencias internas y externas
Definir escenarios reales de caída operacional
Probar continuidad manual
Segmentar infraestructura crítica
Reducir privilegios innecesarios
Validar restauración de respaldos
Ejercitar comunicación de crisis

Desde la perspectiva de causa raíz, las capacidades que más diferencia generan hoy son:

Gobierno de terceros
Arquitecturas menos acopladas
Monitoreo continuo
Backups aislados
Autenticación robusta
Ejercicios reales de continuidad operacional

La resiliencia ya no puede entenderse como un proyecto de TI; debe formar parte del diseño del negocio.

LECTURA PARA DIRECTORIOS Y LÍDERES EMPRESARIALES

Este caso no debe interpretarse únicamente como una historia sobre hackers sofisticados.

Debe entenderse como una prueba de estrés al modelo operacional moderno.

Cuando un proveedor crítico cae, el impacto atraviesa todas las capas del negocio:

Operaciones
Atención al cliente
Cobranza
Finanzas
Reputación
Cumplimiento
Continuidad

Por eso, los directorios necesitan comenzar a exigir métricas de resiliencia en lenguaje financiero y operacional, no únicamente técnico.

La conversación correcta ya no es cuántas amenazas se bloquean, sino cuánto tiempo puede sobrevivir el negocio cuando una plataforma crítica deja de funcionar.

CONCLUSIÓN

Change Healthcare demostró que un ciberataque bien ejecutado puede transformarse rápidamente en una crisis empresarial de escala nacional.

Para organizaciones en Chile, Perú y Colombia, la principal lección es clara: la continuidad operacional depende cada vez más de la resiliencia digital.

La verdadera pregunta ya no es si el equipo técnico está preparado para enfrentar un incidente.

La verdadera pregunta es si el negocio está preparado para seguir funcionando cuando su columna digital se rompe.

Y esa diferencia puede definir qué organizaciones sobreviven —y cuáles no— en la próxima gran interrupción.

¿Listo para dar el salto? Contáctanos

CompunetGroup

Las tres preguntas que ningún CISO chileno debe dejar de responder en 2026

Wed, 06 May 2026 11:32:44 -0400

EL CASO RUTIFY Y LA NUEVA GEOGRAFÍA DEL RIESGO VITAL

En 2025, Chile registró 8,8 billones de intentos de ciberataque, según el Reporte sobre el Panorama de Amenazas 2026 de Fortinet. La cifra del año anterior fue de 27.600 millones. No es un crecimiento, es un cambio de escala.

Pero el dato no es lo más relevante de lo que ocurrió el fin de semana del 1 al 3 de mayo. Lo verdaderamente significativo del llamado "caso Rutify" no fue el volumen del incidente, ni siquiera su contenido. Fue dónde se detectó: en canales de Telegram y foros de la dark web, monitoreados por terceros, mientras las instituciones afectadas se enteraban por terceros y el país lo discutía en titulares.

Cuando la directora subrogante de la ANCI, Michelle Bordachar, declaró que "no hay infraestructuras comprometidas", técnicamente tenía razón. Y precisamente ahí está el problema: el daño ya no requiere comprometer infraestructura. Requiere correlacionar datos antiguos, robar una credencial válida, y publicar.

El CISO chileno que en 2026 sigue evaluando su madurez en términos de firewalls, EDR y parches, está respondiendo las preguntas equivocadas. Hay tres nuevas preguntas que importan, y ninguna se responde mirando hacia adentro.

Pregunta 1: ¿Sé qué estoy exponiendo realmente?

Esta es la pregunta de CTEM (Continuous Threat Exposure Management).

La gestión de vulnerabilidades clásica funciona así: se escanea, se prioriza por CVSS, se parcha, se reporta. El ciclo es trimestral, en el mejor caso mensual. En 2026 ese ciclo es geológico.

CTEM cambia el marco. La pregunta deja de ser "¿qué vulnerabilidades tengo?" y pasa a ser "¿qué de lo que tengo expuesto puede ser realmente explotado, por qué actor, y con qué impacto?". Es un proceso continuo, no un evento. Las cinco etapas que define Gartner —scoping, discovery, prioritization, validation, mobilization— no son una metodología más: son la diferencia entre saber que el CVE-2024-XXXX existe en tu inventario, y saber que ese CVE está siendo explotado activamente contra tu sector, en un servidor que olvidaste apagar el año pasado.

El caso Rutify lo muestra con incomodidad. Cuando el actor publicó la lista de presuntas víctimas —TGR, EFE, Servel, SAG, Registro Civil, telcos, Pullman Bus— ninguna de esas instituciones podía responder "no, eso es imposible" en menos de 48 horas. Tuvieron que verificar. Y verificar contrarreloj, ante la prensa, no es CTEM: es gestión de crisis.

La Ley 21.663 ya exige a operadores de servicios esenciales mantener gestión continua de riesgos. CTEM no es una buena práctica opcional: es la traducción operativa de esa obligación legal.

Pregunta 2: ¿Sé qué saben de mí afuera?

Esta es la pregunta de CTI (Cyber Threat Intelligence).

Y es probablemente la más mal entendida de las tres. CTI no es suscribirse a un feed de IoCs. Es una capacidad de inteligencia que opera en tres niveles: estratégico (qué actores apuntan a mi industria y por qué), táctico (qué TTPs están usando ahora mismo) y operacional (qué credenciales, qué dominios, qué accesos de mi organización están circulando en este momento en la dark web, en pastes, en foros y en canales de Telegram).

Vale detenerse aquí, porque es exactamente lo que ocurrió con Rutify. La ANCI detectó la "actividad maliciosa" porque tiene capacidad de monitoreo en esos espacios. La detección fue posible porque alguien estaba mirando el lugar correcto. La pregunta incómoda para el sector privado chileno es: si el Estado tuvo que enterarse así, ¿quién está monitoreando lo que se publica de tu empresa?

ANCI también confirmó que sí hubo un caso real: a un funcionario público le robaron credenciales y un atacante ingresó haciéndose pasar por él. Esa credencial, casi con certeza, estuvo expuesta antes de ser usada. Una capacidad de CTI operacional bien implementada cierra esa ventana: detecta la credencial filtrada, la rota antes de que el atacante intente usarla, y convierte un incidente en un no-evento.

Hay un detalle final que importa. Cuando ANCI minimizó públicamente el caso, los atacantes reaccionaron publicando datos de salud como represalia. Entender al actor —su motivación, su patrón, su sensibilidad al reconocimiento— habría cambiado la estrategia de comunicación. Eso también es CTI.

Pregunta 3: ¿Sé quién se hace pasar por mí?

Esta es la pregunta de gestión de identidad digital y suplantación de marca, donde DMARC y la vigilancia de dominios son la base.

Más del 70% de los ataques exitosos empiezan por correo electrónico. Y de esos, una fracción enorme usa dominios suplantados, ya sea mediante spoofing directo del dominio legítimo (cuando el dueño no tiene política DMARC en p=reject) o mediante dominios look-alike: typosquatting, homoglyphs, TLDs alternativos. Una variante como c0mpunet.cl o compumetgroup.cl es trivial de registrar y suficiente para engañar a un cliente apurado o a un proveedor distraído.

Sin un sistema de administración de reportes RUA de DMARC, una organización está literalmente ciega frente al uso que se hace de su dominio. No sabe quién envía correos firmados con su nombre. No sabe si sus campañas legítimas están fallando autenticación. No sabe si un atacante está abusando de su marca contra sus clientes.

El caso Rutify ilustra el segundo movimiento de esta cadena. El propio sitio "rutify" se presenta como un agregador de información pública chilena. No es un dominio de phishing en sí: es algo más sutil, una infraestructura aparentemente neutral que normaliza el acceso a datos sensibles y se convierte en materia prima para ataques posteriores. Lo que viene después de filtraciones masivas es predecible: campañas de phishing dirigidas usando esos datos, enviadas desde dominios que imitan a las instituciones afectadas, contra personas confundidas que ya no saben qué correo es legítimo y cuál no.

Si tus clientes reciben mañana un correo desde tesoreria-cl.com o registr0civil.cl, ¿quién lo va a saber primero: tú o ellos?

Las tres preguntas son una sola cadena

El error más común es tratar CTEM, CTI y la protección contra suplantación como tres iniciativas separadas, con tres presupuestos, tres responsables y tres roadmaps.

No lo son. Una credencial filtrada que aparece en un foro (CTI) abre un activo expuesto que nadie estaba monitoreando (CTEM), y los datos extraídos alimentan una campaña de phishing lanzada desde un dominio look-alike contra los clientes de la víctima (suplantación). Es una sola cadena de ataque, ejecutada por actores que la entienden mejor que la mayoría de los defensores.

El caso Rutify mostró los tres eslabones operando en simultáneo. La pregunta para 2026 no es si tu organización tiene firewall, EDR y antivirus. Es si tienes visibilidad fuera del perímetro, antes del incidente, en los lugares donde el ataque empieza meses antes de tocar tu red.

En CompuNet creemos que estas tres preguntas se responden juntas

Por eso construimos un portafolio integrado para responderlas:

Servicio de CTEM, basado en una arquitectura híbrida con Wazuh para inventario continuo y correlación de CVEs, más una capa propietaria de orquestación de parches y scoring de exposición
Servicio de CTI, con monitoreo de dark web, foros, canales de Telegram y feeds especializados, integrado a nuestro pipeline de boletines y alertas operacionales.
SpoofGuard, nuestra plataforma multi-tenant de administración de reportes DMARC RUA y monitoreo de dominios look-alike, diseñada para detectar typosquatting y abuso de marca antes de que se convierta en una campaña activa.

Si quieres saber qué exposición tiene hoy tu organización en los tres frentes, agenda una evaluación inicial sin costo con nuestro equipo. En 60 minutos te mostramos qué se está diciendo de tu marca en la dark web, qué dominios sospechosamente parecidos a los tuyos están registrados, y qué activos críticos tuyos están más expuestos de lo que crees.

¿Listo para dar el salto? Contáctanos

CompunetGroup

Ciberseguridad: no es un problema de TI. Es un problema de negocio.

Tue, 05 May 2026 09:47:51 -0400

Un incidente de ciberseguridad ya no es solo un problema de TI: puede detener ventas, paralizar operaciones, comprometer la continuidad del negocio y destruir valor para socios, inversionistas y clientes. Los casos de MGM Resorts y Change Healthcare muestran que una sola intrusión puede traducirse en pérdidas de decenas, cientos o miles de millones de dólares, además de impacto reputacional, legal y operacional. Para Chile, Perú y Colombia, el Foro Económico Mundial (FEM) advierte que la aceleración de la IA, la fragmentación geopolítica y la debilidad relativa de la preparación cibernética elevan el riesgo de interrupción de servicios, fraude y fallas en cadena de suministro, con América Latina mostrando una confianza en la preparación nacional significativamente menor que otras regiones.

📲 Evaluar mi nivel

Cuando el ciberataque deja de ser “tecnología” y se convierte en dolor de negocio

Hay una idea peligrosa que todavía circula en muchas directorios: que la ciberseguridad es un gasto técnico, importante sí, pero secundario frente a crecimiento, expansión y rentabilidad. Esa idea se rompe el día del incidente. Un ransomware, una filtración de datos o un ataque a la cadena de suministro no golpea primero al firewall; golpea el flujo de caja, la operación, la confianza del cliente y la capacidad de seguir vendiendo mañana.

En organizaciones medianas y grandes, el daño real suele distribuirse en cinco capas: interrupción operacional, pérdida comercial, costos forenses y legales, exposición regulatoria y deterioro reputacional. Lo más duro es que el costo visible suele ser solo una fracción del costo total; el resto aparece después, cuando el negocio sigue pagando en menor productividad, renegociaciones, clientes perdidos y mayor costo de capital.

El panorama de amenazas en 2026

El Foro Económico Mundial define 2026 como un año de aceleración del riesgo cibernético por tres factores: adopción de IA, fragmentación geopolítica y complejidad de las cadenas de suministro. El hallazgo más relevante para directorios es que el riesgo ya no está concentrado solo en malware o ransomware clásico: ahora domina el fraude habilitado por IA, la manipulación de identidad, la exposición de terceros y las interrupciones sistémicas.

Para América Latina, el problema es más delicado. En el informe del FEM, la confianza en la capacidad del país para responder a incidentes graves cae a 13% en América Latina y el Caribe, muy por debajo de otras regiones. Eso importa para Chile, Perú y Colombia porque la economía digital regional depende cada vez más de servicios en la nube, proveedores globales, bancos, salud, retail y telecomunicaciones; si uno de esos eslabones cae, el daño se propaga rápido a clientes, proveedores y caja.

Casos reales que muestran el golpe MGM Resorts: una noche de interrupción que costó caro

MGM Resorts informó un impacto negativo de aproximadamente 100 millones de dólares en septiembre de 2023 por el incidente cibernético, además de menos de 10 millones de dólares en gastos puntuales de remediación, asesoría legal e incident response. El ataque afectó su sitio web principal, reservas online y servicios en casinos, incluyendo terminales de tarjetas, cajeros automáticos y máquinas tragamonedas, lo que traduce un evento digital en pérdida física de ingresos.

La lección de negocio es clara: cuando la infraestructura de identidad, reservas o pagos cae, no solo se pierde disponibilidad; se destruye la capacidad de monetizar la demanda en tiempo real. En términos de continuidad, la empresa no sufrió únicamente un “corte de sistema”, sino una interrupción de experiencia de cliente, de operación y de ingreso.

Change Healthcare: el costo de tocar una columna vertebral

El caso de Change Healthcare es todavía más crítico porque afectó una pieza estructural del ecosistema de salud estadounidense. UnitedHealth Group elevó su estimación de impacto total a 2,87 mil millones de dólares en 2024, después de reportar que el ataque ya había generado más de 870 millones en un trimestre y que el efecto de negocio incluía pérdida de ingresos y el costo de mantener capacidades listas para operar.

Además, la empresa informó que había brindado más de 9 mil millones de dólares en financiamiento e intereses cero a proveedores que no podían facturar por la caída de los sistemas, lo que muestra cómo un ciberincidente puede expandirse desde la víctima principal hacia todo un ecosistema económico. Este no es solo un problema técnico: es una crisis de continuidad nacional en un sector crítico.

Sony Pictures: reputación, secretos y destrucción de valor

El ataque a Sony Pictures reveló otra dimensión del daño: la exposición de información sensible, planes comerciales y daños difíciles de monetizar. Reuters reportó estimaciones de costo de hasta 100 millones de dólares, mientras otras referencias citan al menos 35 millones en reparación de TI y remediación, sin contar efectos indirectos como pérdida de secretos comerciales y daño reputacional.

Sony demuestra que el impacto no siempre se expresa en un solo número. A veces el mayor costo está en la estrategia: ventajas competitivas filtradas, negociación debilitada, presión pública y daño en la confianza interna.

Modus técnico del ataque

Aunque cada incidente tiene matices, los ataques de alto impacto de los últimos años comparten un patrón: acceso inicial, movimiento lateral, escalamiento de privilegios, exfiltración y sabotaje operativo. En ransomware moderno, el cifrado muchas veces llega al final; antes ya hubo robo de credenciales, persistencia en la red y preparación para doble o triple extorsión.

En los casos de MGM y Change Healthcare, el efecto visible fue una interrupción de servicios críticos; detrás suele haber fallas en controles de identidad, segmentación insuficiente, monitoreo débil de anomalías y tiempos de detección demasiado largos. El atacante no “rompe” toda la organización de golpe: encuentra una puerta, se mueve con paciencia y convierte una debilidad técnica en una crisis de negocio.

Dolor financiero para el negocio

La evidencia es consistente: las pérdidas por interrupción de negocio son el componente más caro del incidente, más que la respuesta técnica inicial. Para MGM el impacto inmediato fue de unos 100 millones de dólares; para Change Healthcare, el costo escaló a miles de millones por su rol sistémico; para Sony, el efecto combinó gasto técnico, legal y pérdida estratégica.

En términos gerenciales, esto significa que el verdadero costo de un incidente incluye:

Pérdida de ventas por indisponibilidad;
Retraso en facturación y cobro;
Horas improductivas del personal;
Sanciones, litigios y consultoría;
Recuperación técnica y reinversión acelerada;
Pérdida de clientes o aumento de churn.

Para una empresa en Chile, Perú o Colombia, incluso sin cifras de esa escala, un incidente bien ejecutado puede deteriorar el EBITDA del trimestre, tensionar convenios con clientes corporativos y activar cláusulas contractuales, penalidades y obligaciones regulatorias.

Riesgo regional para Chile, Perú y Colombia

El FEM insiste en que la ciberseguridad en 2026 está marcada por una brecha de capacidad: los riesgos crecen más rápido que la madurez de defensa. En América Latina, esa brecha se amplifica por dependencia de terceros, adopción acelerada de nube, heterogeneidad regulatoria y menor confianza en la capacidad nacional de respuesta ante incidentes graves.

Para Chile, Perú y Colombia, el riesgo empresarial más relevante no es solo el ransomware; es la interrupción de servicios digitales que sostienen ventas, atención al cliente, logística, pagos, identidad y operación remota. En otras palabras: el incidente ya no amenaza solo la información, amenaza la continuidad comercial.

⚡ Validar si puedo responder en menos de 3 horas

Causa raíz típica

En la mayoría de los incidentes graves, la causa raíz rara vez es “falta de un antivirus”. La causa real suele ser una combinación de debilidad de gobernanza, exceso de privilegios, visibilidad insuficiente, mala higiene de identidades, dependencia de terceros y respuesta lenta.

Un análisis de causa raíz serio debería responder, como mínimo:

¿Cómo entró el atacante?
¿Qué control falló primero?
¿Qué permitió el movimiento lateral?
¿Por qué no se detectó antes?
¿Qué decisión de negocio amplificó el impacto?
¿Qué dependencia externa convirtió un incidente local en una crisis sistémica?

Ese enfoque cambia la conversación de “qué herramienta compramos” a “qué riesgo operacional y estratégico aceptamos”. Y ahí está el punto que importa al directorio.

Mitigación prioritaria

Las medidas de mitigación más efectivas no son decorativas; reducen tiempo de detección, frenan propagación y protegen la continuidad. Para una toda organización, el enfoque correcto debería unir ciberseguridad, continuidad y gobierno, no tratarlos como silos separados.

Prioridades de control:

Gestión fuerte de identidades y privilegios;
Segmentación de red y separación de activos críticos;
Respaldo inmutable y probado;
Monitoreo 24/7 con respuesta basada en playbooks;
Control de terceros y supply chain;
Simulacros de crisis con negocio, legal, comunicaciones y TI;
Pruebas de continuidad para procesos críticos y no solo para infraestructura.

Si el negocio no puede soportar una hora de caída en facturación, atención o logística, la arquitectura de resiliencia debe diseñarse para ese nivel de exigencia. La ciberresiliencia no se compra; se gobierna, se prueba y se financia.

Qué debe exigir el directorio

El directorio no debe preguntar solo “¿estamos protegidos?”, sino “¿cuánto tiempo puede sobrevivir la empresa si el sistema crítico cae mañana?” Esa pregunta conecta seguridad con continuidad, reputación, caja y valuación.

Tres preguntas mínimas para gobierno corporativo:

¿Cuáles son nuestros procesos críticos y cuánto cuesta una hora de indisponibilidad?
¿Qué terceros podrían derribarnos aunque nosotros estemos bien protegidos?
¿Cuánto tarda la organización en recuperar operación si perdemos identidad, correo, ERP o CRM?

En una empresa que opera con ecosistemas mixtos —como Apple para uso personal, Microsoft 365 para empresa y Zoho One para relación comercial— la exposición de identidades, integraciones y terceros debe considerarse parte central del riesgo operativo. La superficie de ataque hoy vive en los accesos, en las integraciones y en la dependencia de proveedores, no solo en el perímetro.

Cierre

La lección es brutal pero útil: un ciberincidente serio no se mide por la cantidad de malware encontrado, sino por el daño que produce al negocio, a la continuidad y a la confianza. MGM, Change Healthcare y Sony muestran que el impacto real aparece en caja, operación, reputación y poder de negociación.

Para un directorio, la respuesta correcta no es “evitar todos los ataques”, sino construir capacidad para resistir, responder y recuperar antes de que el evento se convierta en crisis corporativa. En 2026, la ventaja competitiva no la tendrá quien más software compre, sino quien mejor alinee riesgo, negocio y continuidad.

🎯 Necesito hablar con un experto ahora

¿Listo para dar el salto? Contáctanos

CompunetGroup

El amanecer de una nueva era en ciberseguridad: Conoce a Claude Mythos y el Proyecto Glasswing

Wed, 22 Apr 2026 17:44:12 -0400

Imagina por un momento todo el software del que dependemos diariamente: los sistemas que hacen funcionar nuestros bancos, los registros médicos en los hospitales, las redes eléctricas y hasta la logística global. Todos estos sistemas, por muy avanzados que parezcan, siempre han contenido errores.

Muchos de estos fallos son menores, pero otros son grietas críticas de seguridad que los piratas informáticos utilizan para robar datos, secuestrar sistemas o detener operaciones enteras. Históricamente, encontrar y solucionar estos errores requería de expertos en ciberseguridad altamente especializados, un proceso humano, lento y costoso.

Pero las reglas del juego acaban de cambiar drásticamente.

La llegada de Claude Mythos Preview

La empresa de inteligencia artificial Anthropic ha anunciado Claude Mythos Preview, un modelo de IA en fase de prueba que posee una habilidad sin precedentes: puede leer, razonar y comprender el código informático a un nivel que supera a casi cualquier experto humano en la búsqueda de vulnerabilidades.

Para entender la magnitud de su poder, basta con mirar sus primeros logros de forma autónoma:

Descubrió miles de vulnerabilidades críticas y desconocidas en todos los sistemas operativos y navegadores web principales.

Encontró un error de seguridad en el sistema OpenBSD que llevaba 27 años oculto a los ojos humanos.

Detectó una falla de hace 16 años en FFmpeg (un software usado mundialmente para videos), un error que las herramientas automáticas de seguridad habían revisado cinco millones de veces sin notarlo.

Una carrera contra el tiempo

Esta capacidad es una espada de doble filo. Si una tecnología con esta habilidad cae en manos de delincuentes cibernéticos o de actores maliciosos, las consecuencias para la economía y la seguridad pública podrían ser catastróficas. Hoy en día, los ciberataques ya cuestan alrededor de 500.000 millones de dólares anuales a nivel mundial. Además, con la IA, el tiempo que transcurre entre el descubrimiento de un error y un ataque ha pasado de meses a tan solo minutos.

El Proyecto Glasswing: La mejor defensa es una buena IA

Para evitar que esta tecnología se use como un arma, Anthropic ha lanzado el Proyecto Glasswing. Se trata de una alianza histórica y de emergencia en la que participan gigantes tecnológicos como Amazon Web Services, Apple, Google, Microsoft, Cisco, NVIDIA, entre muchos otros.

En lugar de esperar a que los atacantes usen la IA, estas empresas están utilizando a Claude Mythos como un "defensor". El objetivo es escanear la infraestructura digital más crítica del mundo, encontrar los errores y solucionarlos antes de que puedan ser explotados. Es un paso crucial para darle a los defensores una ventaja duradera en esta nueva era de la ciberseguridad.

Protegiendo a todos, no solo a los gigantes

Lo más interesante de esta iniciativa es que no solo busca proteger a las grandes corporaciones. Gran parte del internet funciona gracias al software de "código abierto" (gratuito y mantenido por comunidades), que históricamente no ha tenido el presupuesto para grandes equipos de seguridad.

Para solucionar esto, Anthropic está comprometiendo hasta 100 millones de dólares en créditos para que las organizaciones puedan usar el modelo Mythos Preview. Además, donarán 4 millones de dólares directamente a fundaciones de código abierto (como la Fundación Linux y Apache) para que ellos también puedan defender sus sistemas usando esta poderosa inteligencia artificial.

¿Qué nos depara el futuro?

Por el momento, debido a los inmensos riesgos que representa, Claude Mythos Preview no estará disponible para el público general. Se mantendrá como una herramienta exclusiva para los defensores de nuestra infraestructura digital.

Estamos entrando en una fase donde la ciberseguridad ya no está limitada por la capacidad humana. Con iniciativas como el Proyecto Glasswing, la inteligencia artificial no solo representa un nuevo reto, sino también nuestra mayor esperanza para construir un mundo digital mucho más seguro para todos nosotros.

¿Listo para dar el salto? Contáctanos

CompunetGroup

La revolución de la Inteligencia Artificial: La IA como arma

Wed, 15 Apr 2026 09:14:01 -0400

En los últimos años, la inteligencia artificial (IA) ha dejado de ser solo una herramienta de automatización para convertirse en un factor decisivo dentro del ámbito de la ciberseguridad.

El punto de inflexión: IA capaz de vulnerar sistemas

Uno de los casos más representativos es el desarrollo de modelos avanzados de IA como Claude Mythos. Este tipo de sistemas ha demostrado una capacidad sin precedentes para identificar vulnerabilidades en software, incluso aquellas que han permanecido ocultas durante décadas.

Más allá de la detección, lo realmente disruptivo es que estas IA pueden crear exploits funcionales de forma autónoma, reduciendo drásticamente el tiempo y conocimiento necesario para comprometer sistemas.

En pruebas reales, estos modelos han sido capaces de:

Detectar vulnerabilidades “zero-day”

Encadenar fallos para construir ataques complejos

Automatizar procesos que antes requerían equipos especializados

No por nada Claude se sitúa por encima en los rankings de resolución CTF.

Hoy, herramientas basadas en IA permiten que usuarios con poca experiencia puedan generar ataques funcionales en cuestión de horas.

Esto implica una democratización del cibercrimen, donde el conocimiento ya no es la principal limitante.

Un arma de doble filo: defensa vs ataque

A pesar de los riesgos, la IA también representa una de las mejores herramientas defensivas disponibles actualmente.

Modelos como los mencionados están siendo utilizados por grandes organizaciones para:

Detectar vulnerabilidades antes que los atacantes

Automatizar auditorías de seguridad

Reforzar infraestructuras críticas

De hecho, iniciativas colaborativas entre empresas tecnológicas buscan utilizar estas capacidades para parchar sistemas antes de que sean explotados.

Sin embargo, el problema es claro:

La misma tecnología que protege, también puede atacar.

¿Listo para dar el salto? Contáctanos

Leandro Inzunza

Analista de Ciberseguridad

CompunetGroup

Vibe Coding: Cuando crear tecnología es fácil... y los riesgos también.

Wed, 01 Apr 2026 09:07:47 -0300

Hace algunos años, crear software era algo reservado para programadores, ingenieros y especialistas que pasaban horas escribiendo líneas de código complejas.

Hoy eso cambió radicalmente. Basta con abrir una herramienta de inteligencia artificial, escribir una idea en lenguaje natural y, en pocos segundos, aparece una aplicación funcionando. A esta nueva forma de desarrollar se le empezó a llamar vibe coding: crear software siguiendo la intuición, la creatividad y la conversación con una IA más que el conocimiento técnico profundo. Suena increíble, ¿cierto? Pero surge una pregunta inevitable: si ahora cualquiera puede crear tecnología… ¿también cualquiera puede crear riesgos?

Imaginemos a alguien que tiene una excelente idea para automatizar su trabajo diario. Le pide a una IA que genere un sistema para manejar clientes, almacenar contraseñas o enviar correos automáticos. La herramienta responde rápido, el sistema funciona y todos quedan felices. No hubo revisión técnica, no hubo pruebas de seguridad, no hubo análisis de riesgos. ¿Qué podría salir mal si la aplicación simplemente funciona?

El problema es que el software no solo debe funcionar; debe ser seguro. Muchas veces el código generado por IA cumple exactamente lo que se le pide, pero no necesariamente lo que se debería proteger. Puede guardar datos sin cifrado, abrir accesos innecesarios hacia internet o permitir que cualquier usuario externo interactúe con información sensible. Y aquí aparece una realidad incómoda: el entusiasmo por innovar suele avanzar más rápido que la preocupación por proteger.

Entonces aparece otra pregunta interesante: ¿quién revisa la seguridad cuando nadie sabe realmente cómo funciona el código por dentro?

En el mundo tradicional existían revisiones, estándares y equipos especializados. En el mundo del vibe coding, muchas soluciones nacen fuera del área de TI, creadas por usuarios motivados que solo buscan resolver un problema rápido. Sin querer, pueden abrir una puerta invisible dentro de la organización.

Los atacantes lo saben. De hecho, hoy los ciberdelincuentes ya no solo buscan vulnerar grandes servidores; buscan aplicaciones improvisadas, automatizaciones caseras o integraciones rápidas hechas con IA. ¿Por qué? Porque suelen tener menos controles, menos monitoreo y menos conciencia de seguridad. Una pequeña aplicación creada para “ahorrar tiempo” puede terminar exponiendo bases completas de clientes o credenciales corporativas.

Y aquí surge otra reflexión: si crear software ahora es tan fácil, ¿significa que también es más fácil cometer errores críticos? La respuesta corta es sí.

La inteligencia artificial reduce la barrera técnica, pero no elimina la responsabilidad. De hecho, la amplifica. Antes se necesitaba conocimiento avanzado para generar una aplicación vulnerable; hoy basta con no hacer las preguntas correctas a la IA.

Muchas organizaciones ya están viviendo este fenómeno sin darse cuenta. Usuarios creando bots internos, formularios inteligentes, scripts automáticos o integraciones con servicios externos sin pasar por controles formales. Todo parece inofensivo hasta que ocurre un incidente: correos enviados desde cuentas comprometidas, filtración de información, accesos indebidos o sistemas manipulados desde el exterior. En ese momento aparece la gran pregunta: ¿el problema fue la tecnología o la falta de gobernanza?

El vibe coding no es el enemigo. Al contrario, representa una revolución positiva que democratiza la innovación. Permite que las ideas se conviertan en soluciones reales en minutos. El riesgo aparece cuando confundimos rapidez con seguridad. La inteligencia artificial puede escribir código, pero no entiende el contexto completo del negocio, las regulaciones, las políticas internas ni el impacto reputacional de una brecha de seguridad.

Otro punto crítico es la confianza excesiva. Cuando una IA entrega una solución funcional, tendemos a asumir que está bien hecha. Pero la IA aprende de enormes cantidades de información pública, incluyendo prácticas antiguas o inseguras. ¿Cuántas aplicaciones nuevas estarán repitiendo errores de seguridad del pasado sin que nadie lo note?

Además, el vibe coding introduce un fenómeno nuevo: el shadow development. Así como existía el “shadow IT”, ahora existen aplicaciones completas creadas fuera del radar corporativo. Sistemas que manejan datos reales sin respaldo, sin monitoreo y sin protección. Y si un atacante descubre uno de estos sistemas, probablemente encontrará el camino más fácil hacia la organización.

Entonces la pregunta cambia nuevamente: ¿debemos dejar de usar inteligencia artificial para desarrollar? Definitivamente no. La clave no es frenar la innovación, sino acompañarla con ciberseguridad desde el inicio. Igual que usamos cinturón de seguridad al conducir un auto moderno, necesitamos controles cuando usamos herramientas poderosas.

La seguridad en la era del vibe coding implica nuevas prácticas: validar el código generado, revisar permisos, proteger identidades digitales, aplicar autenticación multifactor, monitorear accesos y educar a los usuarios que ahora también se transformaron en creadores tecnológicos. Porque hoy, cualquier colaborador puede convertirse accidentalmente en desarrollador… y también en el punto de entrada de un ataque.

La ciberseguridad dejó de ser un tema exclusivo del área técnica. Se convirtió en un habilitador del negocio. Una organización que adopta IA sin estrategia de seguridad avanza rápido, pero a ciegas. En cambio, una empresa que integra innovación y protección puede aprovechar todo el potencial del vibe coding sin exponerse innecesariamente.

Y quizás la pregunta final sea la más importante: si la inteligencia artificial ya está ayudando a construir el futuro digital de las empresas, ¿quién está asegurando que ese futuro sea seguro?

Ahí es donde contar con especialistas marca la diferencia. En CompuNet, entendemos que la transformación digital no se trata solo de implementar tecnología, sino de hacerlo de forma segura, estratégica y sostenible. Acompañamos a las organizaciones en la adopción de nuevas tecnologías, evaluando riesgos, fortaleciendo controles y creando culturas de ciberseguridad que permiten innovar sin miedo.

Porque el desafío actual no es evitar el cambio. El verdadero desafío es avanzar protegidos. Y en un mundo donde cualquiera puede crear software con solo una idea y una conversación con IA, tener un aliado experto en ciberseguridad ya no es un lujo… es una necesidad. CompuNet está preparado para acompañarte en ese camino.

¿Listo para dar el salto? Contáctanos

Alberto Sanchez

Gerente de Servicios

CompunetGroup

La superficie de ataque que nadie vigila

Wed, 01 Apr 2026 09:07:47 -0300

No tener un inventario de servicios expuestos a internet no es un descuido menor: es dejar la puerta trasera abierta y olvidarse de que existe.

Dato clave: Cuando se publica un CVE crítico, los grupos de ransomware comienzan a escanear internet en busca de versiones afectadas en menos de 24 horas. ¿Sabrías si tu organización tiene esa versión desplegada en algún servidor olvidado?

Pregunta a cualquier equipo de TI cuántos servicios tiene su organización expuestos a internet. La respuesta más honesta, en la mayoría de los casos, será un silencio incómodo seguido de una cifra aproximada: "creemos que son unos veinte... quizás treinta". Esa incertidumbre no es un detalle menor. Es la grieta por la que entran los atacantes.

No puedes proteger lo que no sabes que tienes. Simple hasta parecer trivial, esta frase resume uno de los problemas más persistentes y subestimados en ciberseguridad corporativa: la ausencia de un inventario actualizado de los servicios expuestos a internet.

¿Qué es la superficie de ataque expuesta?

Es el conjunto de todos los puntos de entrada digitales accesibles desde el exterior: servidores web, APIs, paneles de administración, servicios de correo, VPNs, bases de datos con puerto abierto, instancias en la nube mal configuradas... y todo lo que desplegaste "temporalmente" hace dos años y sigue corriendo.

El problema estructural es que esta superficie no es estática. Crece constantemente. Cada proyecto nuevo despliega un servicio. Cada migración deja instancias olvidadas. Cada desarrollador que levanta un entorno de prueba "solo para esta demo" añade un punto de entrada que nadie elimina cuando ya no es necesario.

"Un atacante con un escáner automatizado tiene más visibilidad sobre tu superficie de ataque que tú mismo si no mantienes un inventario."

El ciclo del descuido

El deterioro no ocurre de golpe. Es gradual, casi imperceptible, y sigue siempre el mismo patrón:

Despliegue sin registro: El servicio se lanza para cubrir una necesidad. Nadie lo registra formalmente porque "ya se hará".
Pérdida de dueño: El responsable técnico rota, cambia de proyecto o la empresa se reorganiza. El servicio queda huérfano.
Versión congelada: Sin dueño asignado, nadie aplica parches. La versión instalada envejece mientras el ecosistema de amenazas avanza
CVE publicado, exploit disponible: Se descubre una vulnerabilidad en esa versión. En horas hay un exploit circulando en foros y herramientas automatizadas
Brecha consumada: El atacante lo encuentra antes que tú. El vector inicial es ese servidor que nadie recordaba

El reloj corre desde que se publica el CVE

Los grupos de amenaza —incluidos actores de ransomware— escanean internet de forma masiva en cuanto se publica un CVE crítico. La variable crítica no es si tienes la versión vulnerable instalada: es si sabes que la tienes

Hora 0 — CVE publicado

Se publica la vulnerabilidad con detalles técnicos suficientes para reproducirla.

Horas 1–12 — Escáneres activos

Grupos automatizados comienzan a mapear internet buscando versiones afectadas. Con o sin inventario, ya te están mirando.

Con inventario — Respuesta en horas

Identificas las instancias afectadas, priorizas remediación, aplicas mitigaciones temporales antes de que llegue el atacante.

Sin inventario — Respuesta en días o semanas

Tardas días en saber que el problema te afecta. Semanas en resolverlo. Esa ventana es exactamente lo que explota el atacante.

Shadow IT: lo que ni siquiera sospechas

Un agravante frecuente y raramente reconocido es el shadow IT: servicios desplegados por áreas de negocio o desarrolladores individuales sin pasar por los procesos de TI corporativos.

Instancias en AWS o Azure levantadas con una tarjeta de crédito personal. Herramientas SaaS conectadas a sistemas internos mediante integraciones no auditadas. Entornos de desarrollo accesibles públicamente "solo mientras terminamos la demo" — que siguen activos tres meses después.

Estos activos no aparecen en ningún registro. No tienen propietario formal. No están en los procesos de gestión de parches. Y sin embargo, están ahí, visibles desde internet, esperando ser encontrados. Los atacantes no distinguen entre activos "oficiales" y activos en la sombra. Cualquier puerto abierto es una oportunidad.

Qué herramientas usar para ganar visibilidad

Shodan

Motor de búsqueda de dispositivos conectados. Permite descubrir qué servicios de tu organización son visibles desde internet y con qué versiones.

Censys

Similar a Shodan pero con mayor detalle en certificados TLS y datos de configuración. Muy útil para mapear la huella digital corporativa.

Nmap + scripts NSE

Para escaneos internos y de perímetro. Con los scripts adecuados detecta versiones de servicios y vulnerabilidades conocidas.

Plataformas EASM

Soluciones como Tenable ASM, CyCognito o Axonius automatizan el descubrimiento continuo y mantienen el inventario actualizado en tiempo real.

Un plan de acción concreto

Resolver el problema de visibilidad no es complejo en su concepto —aunque requiere disciplina en su ejecución. Esta es la hoja de ruta básica:

Checklist: del descuido a la visibilidad

Descubrir: Escanea tu organización desde fuera con Shodan o Censys. El ejercicio suele deparar sorpresas desagradables.
Registrar: Cada servicio debe tener propietario, propósito, versión en uso y fecha del último parche. Un inventario vivo, no un documento estático.
Asignar responsables: Sin dueño claro, no hay quien parchee. Cada activo necesita una persona o equipo accountable.
Gestionar el ciclo de vida: Todo servicio que ya no cumple una función debe ser dado de baja. La inercia organizacional es el enemigo silencioso.
Monitorizar continuamente: Cualquier nuevo despliegue activa su registro. Cualquier CVE nuevo dispara una consulta contra el inventario.
Automatizar el descubrimiento: Confiar en procesos manuales garantiza que el inventario quedará desactualizado. Busca integración con tu pipeline de CI/CD.

El impacto regulatorio: cumplimiento en riesgo

Más allá del riesgo técnico, la falta de inventario tiene implicaciones directas en el cumplimiento normativo. Marcos como ISO 27001, el Esquema Nacional de Seguridad (ENS) o la directiva NIS2 exigen explícitamente el mantenimiento de un inventario de activos de información.

Una auditoría que encuentre ausencia de inventario no solo señalará una no conformidad: pondrá en cuestión la madurez del programa completo de seguridad. Y en caso de brecha, la ausencia de inventario agrava significativamente la exposición regulatoria ante la autoridad de protección de datos.

La pregunta que define tu postura de seguridad

No es si algún servicio olvidado en tu red será encontrado por un atacante. Es si lo encontrarás tú antes que él. La visibilidad no es un lujo: es el punto de partida.

¿Listo para dar el salto? Contáctanos

Orlando Navarrete

Consultor de RedTeam

CompunetGroup

El guardián invisible de Internet: Por qué la seguridad DNS importa más de lo que imaginas

Thu, 26 Mar 2026 16:42:20 -0300

Todos usamos Internet todos los días. Revisamos el correo, entramos al banco, vemos noticias, trabajamos en la nube o simplemente buscamos algo en Google.

Es algo tan cotidiano que rara vez nos detenemos a pensar qué ocurre realmente cuando escribimos una dirección web.

Porque la verdad es que Internet no entiende nombres.

Nosotros escribimos www.ejemplo.cl, pero los computadores solo entienden números. Entonces surge una pregunta inevitable:

¿quién hace esa traducción silenciosa entre lo que nosotros escribimos y el lugar real al que nos conectamos?

La respuesta es el DNS.

El DNS, o Domain Name System, funciona como la agenda telefónica de Internet. Cada vez que ingresamos a un sitio web, nuestro equipo consulta a un servidor DNS para preguntarle algo muy simple: “¿Dónde está este sitio?”. El DNS responde con una dirección IP y recién entonces comienza la conexión.

Puede parecer un proceso menor, pero ocurre millones de veces al día dentro de una organización. Antes de abrir un correo, antes de conectarse a una aplicación corporativa, antes incluso de que cargue una página web, siempre existe una consulta DNS.

Y aquí aparece una pregunta incómoda: si alguien pudiera manipular esa respuesta… ¿realmente sabríamos a dónde nos estamos conectando?

Imagina una ciudad donde todas las calles cambian de nombre durante la noche. Las personas creen que van al banco, pero terminan en un edificio falso.

Nadie rompe puertas ni fuerza cerraduras; simplemente cambian los letreros. Eso es exactamente lo que puede ocurrir cuando un DNS no está protegido.

Durante años, muchas empresas centraron su seguridad en antivirus, firewalls o controles de acceso. Todo eso sigue siendo importante, pero existe un punto previo a cualquier conexión que suele pasar desapercibido: el DNS decide el destino antes de que cualquier protección actúe.

Entonces surge otra pregunta clave: ¿cómo se protege algo que casi nadie ve?

La respuesta está en lo que en ciberseguridad llamamos hardenizar el DNS. No es una herramienta específica ni un software milagroso. Es más bien una filosofía: asumir que el DNS es infraestructura crítica y tratarlo como tal.

Un DNS seguro valida que la información no haya sido alterada, responde únicamente a quienes deben utilizarlo, mantiene registros de actividad y se actualiza constantemente para evitar vulnerabilidades conocidas. También separa los servicios internos de los externos y permite detectar comportamientos anómalos antes de que se transformen en incidentes reales.

¿Por qué esto es tan relevante hoy? Porque los atacantes cambiaron su forma de operar. Ya no siempre intentan entrar por la fuerza; muchas veces prefieren engañar al camino.

Un usuario puede escribir correctamente la dirección de su banco y aun así terminar en una página falsa. Un equipo infectado puede comunicarse con servidores maliciosos sin generar alertas visibles. Incluso un ransomware puede comenzar con algo tan pequeño como una consulta DNS aparentemente normal.

Lo más preocupante es que, desde la perspectiva del usuario, todo parece funcionar bien. No hay pantallas negras ni mensajes alarmantes. Internet sigue funcionando… solo que ya no es confiable.

Por eso, en la ciberseguridad moderna, el DNS dejó de ser visto únicamente como un servicio técnico y pasó a convertirse en una verdadera primera línea de defensa. Muchas organizaciones hoy detectan malware, bloquean ataques de phishing y previenen fugas de información analizando precisamente el tráfico DNS.

Antes de cualquier ataque exitoso, siempre existe una consulta DNS que delata la intención.

Entonces la pregunta final ya no es qué es el DNS, sino algo mucho más estratégico: ¿sabemos realmente quién está guiando nuestras conexiones en Internet?

La seguridad no siempre depende de grandes inversiones o tecnologías complejas. A veces comienza protegiendo aquello que nunca vemos, pero que sostiene todo lo demás.

El DNS es uno de esos pilares invisibles. Cuando funciona bien, nadie lo nota. Pero cuando falla, toda la operación digital puede detenerse.

En CompuNet, entendemos que la ciberseguridad no solo consiste en reaccionar ante incidentes, sino en anticiparlos. Nuestra experiencia en protección de infraestructura crítica, monitoreo de amenazas y fortalecimiento de servicios esenciales permite a las organizaciones transformar componentes silenciosos —como el DNS— en verdaderos mecanismos de defensa.

Porque en un mundo donde cada conexión comienza con una consulta, proteger el DNS no es un detalle técnico.

Es proteger la confianza digital completa de una empresa.

¿Listo para dar el salto? Contáctanos

Ermel Quiroz

Ingeniero de Infraestructuras

CompunetGroup

Ciber-Resiliencia: De conocer el riesgo a sobrevivir el impacto

Wed, 18 Mar 2026 10:17:31 -0300

Reconocer que la ciberseguridad es un riesgo crítico fue el primer paso. Ahora, la pregunta que define la supervivencia organizacional es otra: cuando el ataque llegue —y llegará—, ¿podrá su empresa seguir operando?

El riesgo ya fue diagnosticado. ¿Y ahora qué?

En la primera entrega de esta serie analizábamos cómo la ciberseguridad se ha consolidado como el segundo riesgo más crítico para los directorios chilenos, cómo América Latina enfrenta decenas de miles de millones de intentos de ciberataque al año, y cómo una sola contraseña débil liquidó 158 años de historia empresarial en el caso de KNP Logistics. El diagnóstico fue contundente: la complacencia ya no es opción. Pero diagnóstico sin tratamiento es negligencia.

¿No la leiste? Te tomará solo 5 minutos:

https://www.compunetgroup.net/blogs/post/ciberseguridad-como-riesgo-uno-que-los-directorios-ya-no-pueden-ignorar

Ahora que ya leíste el articulo anterior, sigamos.

El problema es que muchas organizaciones confunden reconocer el riesgo con gestionarlo. Tener la ciberseguridad en el mapa de riesgos corporativos, incluso asignarle presupuesto, no equivale a estar preparados para resistir un incidente. La diferencia entre las empresas que sobreviven a un ciberataque y las que no radica en una capacidad específica que va más allá de la protección perimetral: la ciber-resiliencia.

Esta segunda entrega propone un cambio de paradigma. Ya no se trata de si el ataque ocurrirá, sino de cuánto daño causará cuando ocurra, cuánto tardará la organización en recuperarse y si podrá mantener sus operaciones críticas durante la crisis. Pasamos del “prevenir a toda costa” al “resistir, responder y recuperar”.

Ciberseguridad vs. ciber-resiliencia: una distinción que no es semántica

Existe una confusión persistente que conviene despejar: la ciber-resiliencia no es simplemente “más ciberseguridad” ni un sinónimo elegante para el mismo concepto. La ciberseguridad se enfoca en proteger los activos digitales mediante controles preventivos y detectivos —firewalls, cifrado, gestión de vulnerabilidades, controles de acceso—.

Es la muralla. La ciber-resiliencia, en cambio, parte de una premisa radicalmente distinta: la muralla será vulnerada. La pregunta no es si, sino cuándo.

Bajo esta lógica, la ciber-resiliencia es la capacidad de una organización para anticipar, resistir, recuperarse y adaptarse ante incidentes cibernéticos adversos, manteniendo la continuidad de las operaciones críticas del negocio. Es, en esencia, la diferencia entre una empresa que se paraliza ante un ataque de ransomware y una que logra mantener sus operaciones esenciales mientras contiene y remedia el incidente.

Los marcos normativos internacionales reflejan esta evolución. El NIST Cybersecurity Framework 2.0(CSF 2.0), actualizado en 2024, estructuró sus funciones en seis pilares: Gobernar (Govern), Identificar, Proteger, Detectar, Responder y Recuperar. La incorporación de “Gobernar” como función transversal no fue casual: refleja el reconocimiento de que la ciberseguridad sin gobernanza desde la alta dirección es incompleta. Pero son las funciones de Responder y Recuperar las que marcan el territorio específico de la resiliencia. No basta con detectar una intrusión; la organización debe ser capaz de contenerla, erradicarla y restaurar sus servicios críticos en tiempos que no comprometan su viabilidad.

En paralelo, la norma ISO 22301:2019 (Sistemas de Gestión de Continuidad de Negocio) proporciona el marco para asegurar que las funciones esenciales de la organización puedan mantenerse ante disrupciones. Cuando se integra con ISO/IEC 27001:2022 (Sistema de Gestión de Seguridad de la Información), emerge un modelo robusto: la 27001 define qué proteger y cómo; la 22301 establece cómo seguir operando cuando la protección falla. Es la combinación de ambas —no una u otra— la que construye ciber-resiliencia real.

Para ponerlo en términos ejecutivos: la ciberseguridad protege el castillo; la ciber-resiliencia garantiza que el reino siga funcionando aunque el castillo sea asediado. Y en 2025, los asedios son constantes.

Los números que confirman la urgencia

Si el artículo anterior presentaba datos sobre el volumen de ataques y el costo de la inacción, los datos actualizados de 2025 agregan una dimensión nueva: la brecha entre quienes están construyendo resiliencia y quienes se están quedando atrás se está convirtiendo en un abismo.

La fractura global: el WEF Global Cybersecurity Outlook 2025

El informe del World Economic Forum de enero de 2025, elaborado en colaboración con Accenture, identifica una complejidad sin precedentes en el panorama cibernético. El 72% de las organizaciones encuestadas reporta un aumento en sus riesgos cibernéticos, con el ransomware manteniéndose como la principal preocupación. Pero el hallazgo más revelador es la profundización de la inequidad cibernética: el 35% de las organizaciones pequeñas considera que su ciber-resiliencia es inadecuada, una proporción que se ha multiplicado por siete desde 2022. En contraste, las grandes organizaciones que reportan resiliencia insuficiente se redujeron casi a la mitad.

Esta divergencia tiene implicaciones sistémicas. El 71% de los líderes en ciberseguridad encuestados por el WEF cree que las organizaciones pequeñas ya alcanzaron un punto crítico donde no pueden protegerse adecuadamente por sí solas. Y dado que estas organizaciones forman parte de cadenas de suministro que alimentan a corporaciones mayores, su fragilidad se propaga. No por nada el 54% de las grandes organizaciones identifica las interdependencias en la cadena de suministro como la mayor barrera para alcanzar la ciber-resiliencia.

Para América Latina, la lectura es particularmente inquietante. Mientras que en Europa y Norteamérica solo el 15% de las organizaciones no confía en la capacidad de su país para responder a incidentes cibernéticos mayores, en nuestra región esa cifra se dispara al 42%. No estamos hablando de percepción: estamos hablando de una evaluación realista de capacidades institucionales, regulatorias y técnicas que aún están en construcción.

El costo de la lentitud: IBM Cost of a Data Breach 2025

El reporte anual de IBM, que en 2025 celebra su vigésima edición, trae una noticia en apariencia positiva: el costo promedio global de una brecha de datos bajó un 9% respecto a 2024, ubicándose en 4.44 millones de dólares. El motor de esta reducción fue la detección y contención más rápida, impulsada por herramientas de inteligencia artificial y automatización en operaciones de seguridad. Las organizaciones que utilizan IA de manera extensiva en sus operaciones de seguridad ahorraron en promedio 1.9 millones de dólares y redujeron el ciclo de vida de la brecha en 80 días.

Sin embargo, el dato que debería preocupar a todo directorio está en la recuperación: el 76% de las organizaciones afectadas tardó más de 100 días en recuperarse por completo. Cien días. Más de tres meses en los que la organización opera con capacidades degradadas, confianza erosionada y costos que se acumulan. Y casi dos tercios de las organizaciones estudiadas declararon que aún estaban en proceso de recuperación al momento de la investigación.

El reporte también revela una nueva amenaza que merece atención directiva: el shadow AI —el uso no autorizado de herramientas de inteligencia artificial por parte de empleados sin supervisión de TI— estuvo presente en el 20% de las brechas y agregó 670,000 dólares adicionales al costo promedio. El 63% de las organizaciones afectadas no contaba con políticas de gobernanza de IA, y un inquietante 97% de las que sufrieron una brecha relacionada con IA carecía de controles de acceso adecuados para sus sistemas de inteligencia artificial.

Estos datos configuran una paradoja peligrosa: la IA está ayudando a detectar y contener brechas más rápido, pero la adopción acelerada de IA sin gobernanza está creando nuevas superficies de ataque que los adversarios ya están explotando. En uno de cada seis incidentes estudiados por IBM, los atacantes utilizaron IA —principalmente para phishing (37%) y suplantación mediante deepfakes (35%)—.

La brecha de talento: el agravante silencioso

Ningún análisis de ciber-resiliencia está completo sin abordar el factor humano en su dimensión más estructural: la escasez de profesionales. Según el WEF, la brecha global de talento en ciberseguridad se amplió un 8% entre 2024 y 2025, con estimaciones que la sitúan entre 2.8 y 4.8 millones de profesionales faltantes. Dos de cada tres organizaciones reportan brechas de habilidades entre moderadas y críticas. El sector público es el más golpeado: el 49% de las organizaciones gubernamentales declara no tener el talento necesario para cumplir sus objetivos de ciberseguridad, un aumento del 33% respecto a 2024.

En Chile, el CSIRT ha identificado una brecha de 28,000 especialistas en ciberseguridad, cifra que podría crecer hasta 63,500 para 2026 si se mantiene el ritmo actual de adopción tecnológica. Esta carencia no es solo un problema de recursos humanos: es un multiplicador de riesgo que debilita la capacidad de detección, respuesta y recuperación. Una organización puede tener las mejores herramientas del mercado, pero sin el talento para operarlas, configurarlas y responder ante alertas, la inversión tecnológica pierde gran parte de su valor.

Lo que viene: de la teoría a la acción

Los datos son elocuentes: la brecha entre las organizaciones que están construyendo resiliencia y las que se limitan a reconocer el riesgo se profundiza cada trimestre. La inequidad cibernética es real, la adopción de IA sin gobernanza es una bomba de tiempo, y la escasez de talento agrava todo lo anterior.

Pero el diagnóstico, por sí solo, no salva empresas. En la segunda entrega de este análisis abordaremos el terreno práctico: cómo Chile se está posicionando con la Ley Marco de Ciberseguridad (Ley 21.663) y la creación de la Agencia Nacional de Ciberseguridad como el marco regulatorio más ambicioso de América Latina, cuáles son los pilares concretos que una organización necesita para construir ciber-resiliencia real, y por qué la resiliencia no es un proyecto con fecha de término sino una disciplina permanente.

La pregunta que queda abierta para cada líder de negocio: si mañana su organización sufre un ciberataque mayor, ¿tiene un plan probado para seguir operando? Si la respuesta no es un “sí” contundente, la segunda entrega les interesa.

¿Listo para dar el salto? Contáctanos

César Millavil

Chief Executive Officer

CompunetGroup

La primera ciberguerra total: Irán, EEUU e Israel redefinen las reglas del conflicto moderno

Wed, 18 Mar 2026 09:11:46 -0300

El 28 de febrero de 2026, el mundo ingresó en una nueva era del conflicto armado. Por primera vez en la historia, una operación militar de gran escala fue precedida, acompañada y amplificada por ciberataques sincronizados que colapsaron las comunicaciones de un Estado, aislaron a su liderazgo y habilitaron bombardeos de precisión quirúrgica. Lo que múltiples analistas ya califican como 'el mayor ciberataque de la historia' no fue un incidente aislado: fue la culminación de 16 años de ciberguerra silenciosa entre Israel e Irán. Este informe analiza ese conflicto en profundidad y extrae las lecciones estratégicas que toda organización en Chile y América Latina debe trasladar a sus decisiones de seguridad hoy.

CIFRAS CLAVE DEL CONFLICTO CIBER-FÍSICO (28 FEB – 10 MAR 2026)

60+ grupos hacktivistas activos simultáneamente (Semana 1)

368 incidentes cibernéticos documentados en la primera semana

~96% caída de conectividad a internet en Irán (28 feb, 07:06 GMT)

77 incidentes cibernéticos en el día más complejo(2 de marzo)

12+ países afectados directa o indirectamente por ataques

~50% de los ejecutivos latinoamericanos desconfían de la capacidad de su país para responder

1. De Stuxnet a la Operación Epic Fury: 16 años de ciberguerra silenciosa

Lo que ocurrió el 28 de febrero de 2026 no fue una sorpresa para quienes seguían de cerca la rivalidad tecnológica entre Israel e Irán. Fue la fase más visible de una guerra que se libra en el ciberespacio desde 2010 y que escaló de forma sostenida hasta convertirse en el mayor conflicto híbrido de la historia.

Para comprenderlo y extraer las lecciones correctas es imprescindible conocer esta historia.

El nacimiento de la ciberguerra: Stuxnet (2010)

En junio de 2010, inspectores de la AIEA detectaron que las centrifugadoras de la planta nuclear de Natanz fallaban sin explicación aparente. La causa era Stuxnet: un virus desarrollado conjuntamente por la Unidad 8200 de inteligencia de señales de Israel y la NSA estadounidense como parte del programa encubierto 'Operation Olympic Games'. El Mossad convenció a un agente infiltrado para conectar un USB infectado en los sistemas de la planta, permitiendo tomar el control de 1.000 centrifugadoras y ordenarles autodestruirse mientras los monitores mostraban datos normales a los técnicos iraníes.

Stuxnet destruyó entre 900 y 1.000 centrifugadoras (aproximadamente el 10% de la capacidad operativa de Natanz) y fue descrito por Eugene Kaspersky como 'el primer ciberarma de la historia'. Su importancia estratégica fue doble: demostró que un ciberataque podía generar daño físico real sobre infraestructura crítica y estableció el precedente que guiaría 16 años de escalada entre ambas potencias.

La guerra se extiende al dominio físico (2010–2024)

La respuesta iraní a Stuxnet no fue solo cibernética. Entre 2010 y 2022, al menos 14 científicos nucleares iraníes fueron asesinados en ataques atribuidos al Mossad, combinando operaciones físicas con inteligencia digital. Israel desarrolló una doctrina de 'ciberataque preventivo' integrada con operaciones convencionales: la misma lógica que aplicó en 1981 cuando destruyó el reactor Osirak iraquí, ahora trasladada al quinto dominio.

En 2020, la guerra cruzó una nueva línea: hackers iraníes intentaron envenenar el suministro de agua potable de Israel alterando los niveles de cloro en plantas de tratamiento. El Director Nacional de Ciberseguridad israelí declaró que 'se cruzaron todas las líneas rojas'. En respuesta, Israel atacó el puerto de Shahid Rajaee, paralizando el tráfico marítimo iraní durante días. Era la primera vez que un ciberataque generaba represalia kinética directa.

La preparación del gran asalto (Enero–Febrero 2026)

Lo que el mundo conoció el 28 de febrero de 2026 fue, en realidad, el acto final de una operación de inteligencia que llevaba años en marcha. Según el Financial Times (confirmado por múltiples fuentes internacionales), el Mossad y la Unidad 8200 habían convertido Teherán en un 'parque virtual' de operaciones de contrainteligencia:

La extensa red de cámaras de vigilancia del régimen instalada para monitorear y reprimir a la propia población iraní fue comprometida y reutilizada para proveer inteligencia visual en tiempo real al cuartel general del Mossad en Tel Aviv, con transmisiones de alta resolución de miles de intersecciones de Teherán.

Los sistemas de telefonía móvil fueron intervenidos para rastrear los movimientos del liderazgo iraní. El análisis matemático de redes sociales permitió identificar nodos de decisión y potenciales blancos con una precisión sin precedentes.

Desde enero de 2026, las transmisiones satelitales iraníes fueron intervenidas, transmitiendo a millones de hogares contenido que instaba al derrocamiento del régimen una operación de influencia psicológica que preparó el terreno para el conflicto.

El plan militar original estaba programado para la noche del 27 de febrero, pero los sistemas de cibervigilancia indicaron que al día siguiente se reuniría un grupo más numeroso de líderes. Se retrasó 24 horas para maximizar el impacto.

2. 28 de febrero de 2026: anatomía del mayor ciberataque de la historia

A las 07:06 GMT del 28 de febrero de 2026, se registró la primera señal de lo que vendría: una caída abrupta de la conectividad a internet en Irán que en minutos redujo el acceso al 1-4% de sus niveles normales. Era la señal de que el componente cibernético de la Operación Epic Fury había comenzado, coordinado al segundo con los primeros bombardeos convencionales.

28 Feb 07:06	Primera caída masiva de conectividad en Irán. Internet cae al 4%. La agencia estatal IRNA queda offline. El medio vinculado al CGRI, Tasnim, es hackeado y emite mensajes anti-Khamenei.
28 Feb 11:47	Segunda caída abrupta de conectividad. Los sistemas de comunicaciones militares del CGRI quedan sin funcionamiento, cortando la cadena de mando. Se neutraliza la capacidad de coordinar drones y misiles balísticos.
28 Feb Tarde	EEUU e Israel confirman la muerte del Ayatollah Ali Khamenei, el Ministro de Defensa, el comandante del CGRI y el jefe del estado mayor. Israel también destruye la sede del comando de guerra cibernética del CGRI en el este de Teherán.
1 Mar	Irán lanza represalias con misiles contra Israel y 27 bases militares de EEUU en la región. Hezbolá abre un segundo frente desde el Líbano. Se activan más de 60 grupos hacktivistas proiraníes con operaciones coordinadas.
2 Mar	Drones iraníes alcanzan instalaciones de AWS en EAU y Baréin, causando daños físicos e interrupciones de servicios globales. Pico de 77 incidentes cibernéticos documentados en un solo día. Hackers prorrusos se unen formalmente al conflicto.
3–6 Mar	368 incidentes cibernéticos documentados en la primera semana. Grupos como Cyber Islamic Resistance publican capturas de sistemas SCADA/ICS comprometidos. Jordan confirma ataque thwarted a su sistema de gestión de silos de trigo.
8–9 Mar	Mojtaba Khamenei, hijo del líder supremo asesinado, es elegido nuevo Líder Supremo con fuerte influencia del CGRI. Expertos anticipan escalada de operaciones cibernéticas estatales en las próximas semanas.

El arsenal técnico utilizado

Las operaciones ofensivas no se limitaron a DDoS convencionales. El análisis de SOCRadar, Flashpoint, BeyondTrust y el advisory de Sophos X-Ops CTU documenta un arsenal sofisticado y multivector:

DISRUPCIÓN

Apagón de internet coordinado con strikes físicos
DDoS masivo contra medios, gobierno y finanzas
Defacement de sitios institucionales
Bloqueo de sistemas de comunicación del CGRI

DESTRUCCIÓN

Wiper malware (T1485): borrado irreversible de datos
Ransomware como vector de extorsión y destrucción
Inhibición de recuperación del sistema (T1490)
Ataques a sistemas de control industrial (ICS/SCADA)

ESPIONAJE

Backdoors preposicionados en infraestructura crítica
Phishing selectivo con IA (spear-phishing)
Exfiltración y publicación de datos sensibles
Hack-and-leak para presión reputacional

DATO CRÍTICO: MuddyWater, grupo patrocinado por el Ministerio de Inteligencia iraní, ya había plantado backdoors en un banco estadounidense, un aeropuerto, una empresa de software de defensa y varias ONGs de EEUU y Canadá ANTES del primer ataque del 28 de febrero. El posicionamiento previo es parte estándar de la doctrina iraní.

3. El ecosistema de amenaza iraní: actores, capacidades y objetivos

Irán opera su capacidad cibernética ofensiva a través de dos estructuras principales, rodeadas por un ecosistema de grupos proxy y hacktivistas que proveen negación plausible al Estado:

IRGC-CEC (Comando Cibernético-Electrónico de la Guardia Revolucionaria)

Especializado en operaciones de impacto físico sobre infraestructura crítica (ICS/OT). CyberAv3ngers —su grupo proxy más prominente— fue sancionado por el Tesoro de EEUU, que identificó a seis oficiales del IRGC-CEC controlando directamente sus operaciones. Ha comprometido sistemas de control industrial en Israel, incluyendo redes eléctricas, bombas de agua e instalaciones de manufactura.

MOIS (Ministerio de Inteligencia y Seguridad)

Gestor de grupos de espionaje y operaciones de hack-and-leak. Sus principales proxies son Handala Hack y HomeLand Justice. Handala opera comprometiendo sistemas de baja seguridad via footholds en proveedores IT, exfiltrando datos y publicando en el momento de mayor impacto psicológico. HomeLand Justice ejecutó operaciones de wiper contra entidades gubernamentales albanesas desde 2022.

ACTORES HACKTIVISTAS ACTIVOS — PRIMERA SEMANA DEL CONFLICTO

DieNet — Lideró en volumen con 59 operaciones reclamadas. Provee tooling DDoS utilizado por grupos más pequeños. Objetivos: infraestructura de gobiernos del Golfo, aeropuertos y servicios públicos.

Keymous Plus — 51 operaciones. Especializado en defacement de sitios institucionales y campañas de desinformación coordinadas.

313 Team — 42 operaciones. Combina DDoS con exfiltración de datos de organizaciones financieras y de defensa.

Cyber Islamic Resistance — Publicó screenshots de múltiples sistemas SCADA/ICS comprometidos simultáneamente: paneles de gestión de edificios, esquemas de tuberías y dashboards de automatización de procesos industriales. Los denominaron 'primera oleada'.

NoName057(16) — Prorrusos — Se unieron formalmente el 3 de marzo. Reclamaron acceso a un HMI de control de bombas de agua industrial israelí en hebreo, incluyendo control en tiempo real de bombas, válvulas y alarmas. Las capturas de pantalla son consistentes en múltiples días y grupos, sugiriendo sondeo sistemático coordinado de activos ICS israelíes.

FSociety (10 marzo) — Emitió un ultimátum de 42 horas amenazando infraestructura crítica no especificada. La situación continúa escalando.

Un patrón que no es nuevo, pero sí más peligroso

Lo que hace particularmente peligroso al ecosistema iraní en 2026 no es solo su escala, sino su sofisticación táctica acumulada. Irán lleva 16 años aprendiendo, adaptando y pre-posicionando activos en infraestructura crítica global. El backdoor en el banco estadounidense no fue instalado el 28 de febrero: llevaba semanas o meses ahí. Esta doctrina de 'posicionamiento silencioso' es quizás la amenaza más subestimada del conflicto para las organizaciones fuera de la región.

4. Por qué este conflicto afecta directamente a Chile y América Latina

La pregunta que todo directivo latinoamericano tiene derecho a hacerse es: ¿qué tiene que ver una guerra en Medio Oriente con nuestra empresa en Chile, Colombia o Perú? La respuesta tiene cuatro dimensiones que se refuerzan mutuamente.

4.1 La geografía ya no protege en el ciberespacio

Los grupos hacktivistas no operan por proximidad geográfica sino por afinidad ideológica, oportunismo y cadenas de suministro digitales. SOCRadar y Flashpoint advierten explícitamente: 'Cualquier país percibido como cómplice o que apoya la Operación Epic Fury debe considerarse un potencial objetivo cibernético.' Chile y Latinoamérica mantienen relaciones diplomáticas, comerciales y tecnológicas activas con EEUU e Israel. Muchas empresas locales operan sobre infraestructura, software y proveedores de origen estadounidense, convirtiéndolas en vectores indirectos.

4.2 La cadena de suministro digital no tiene fronteras

Cuando AWS reportó daños estructurales en sus instalaciones del Golfo, clientes en decenas de países (incluyendo Latinoamérica) experimentaron interrupciones de servicios. El modelo de 'ataque a la cadena de suministro' es hoy el vector de mayor crecimiento global: no necesitas ser el objetivo principal para ser afectado. El informe WEF–Accenture Global Cybersecurity Outlook 2026 señala que un 64% de las organizaciones a nivel mundial ya está considerando ajustes en su cadena de suministro por razones de geopolítica cibernética.

4.3 América Latina parte con una brecha de preparación severa

El mismo informe WEF–Accenture revela un dato alarmante: los ejecutivos de América Latina son, a nivel global, los que menos confianza tienen en la capacidad de sus países para proteger la infraestructura crítica ante un ciberataque de gran escala. Casi la mitad reconoce abiertamente esa debilidad. Según Kaspersky, en 2025 el 20.4% de los sistemas industriales en LATAM sufrió intentos de infección (en algunos países del 25%). Solo 7 de 32 países de la región tienen planes formales de protección de infraestructuras críticas.

4.4 El contexto regulatorio chileno exige acción, no solo preocupación

Chile atraviesa simultáneamente dos marcos regulatorios de alto impacto: la nueva Ley de Protección de Datos Personales y la Ley Marco de Ciberseguridad e Infraestructura Crítica. Ambas elevan significativamente las obligaciones de gobernanza, detección, respuesta y evidencia de controles. En este contexto, una brecha de seguridad vinculada a amenazas geopolíticas no solo genera daño operacional: genera exposición legal, regulatoria y reputacional directa para los directorios.

CONCLUSIÓN ESTRATÉGICA: La ciberguerra en Irán no es un evento geográficamente contenido. Es un conflicto con tentáculos globales que se expande a través de cadenas de suministro digitales, infraestructura de nube compartida y grupos hacktivistas que operan desde cualquier parte del mundo. La distancia física ya no es un factor de protección.

5. Las capacidades que su organización necesita en este entorno

El advisory de Sophos X-Ops CTU, emitido el 1 de marzo de 2026 con nivel de amenaza ELEVADO, es explícito en sus recomendaciones. No plantea comprar más herramientas: plantea construir capacidades. Existe una diferencia fundamental entre tener software de seguridad y tener una postura de seguridad operativa. A continuación, las tres capacidades críticas que este entorno exige:

CAPACIDAD 1 — THREAT INTELLIGENCE: VER ANTES DE SER GOLPEADO

La operación que culminó el 28 de febrero llevaba años preparándose en silencio. MuddyWater plantó backdoors en infraestructura estadounidense semanas antes del primer misil. La inteligencia de amenazas (Threat Intelligence) es la única capacidad que permite detectar esa actividad preparatoria antes de que se concrete. Un equipo de TI activo monitorea en tiempo real indicadores de compromiso (IoCs), TTPs de grupos relevantes y dominios maliciosos asociados a actores conocidos (como los del repositorio GitHub público de Sophos X-Ops CTU).

La pregunta correcta no es '¿tenemos firewall?'. Es '¿sabemos, en este momento, si algún indicador de los grupos activos en el conflicto iraní está intentando contactar sistemas de nuestra red?'. Si la respuesta no es un sí inmediato, existe una brecha de visibilidad que debe cerrarse.

Servicios CompuNet aplicables:

Threat Intelligence con feeds de Sophos X-Ops CTU e integración con plataformas XDR
Monitoreo continuo de IoCs geopolíticamente relevantes
Alertas proactivas ante nuevas campañas documentadas

CAPACIDAD 2 — SOC + BLUE TEAM: DETECTAR Y CONTENER EN TIEMPO REAL

Sophos X-Ops CTU es explícito: las organizaciones deben asegurarse de que sus soluciones EDR/XDR estén 'completamente operativas y monitoreadas', incrementar la sensibilidad de triage para campañas de phishing y abuso de credenciales, y revisar la cobertura de logging y telemetría en todos los entornos. Esto requiere un Centro de Operaciones de Seguridad (SOC) operativo las 24/7 (los actores de amenaza no respetan zonas horarias) y un Blue Team que ejecute Threat Hunting activo para detectar comportamientos de movimiento lateral, dumping de credenciales e inhibición de recuperación del sistema (T1098, T1003, T1490), las técnicas más documentadas en el conflicto actual.

El advisory de Sophos también señala algo que las organizaciones frecuentemente omiten: proveer a los empleados un mecanismo claro para reportar solicitudes sospechosas por cualquier canal (email, teléfono, mensajería). El spear-phishing selectivo —potenciado con IA generativa— sigue siendo el vector de acceso inicial más efectivo para todos los grupos documentados en este conflicto.

Servicios CompuNet aplicables:

SOC gestionado con cobertura 24/7 y capacidad de respuesta a incidentes
Blue Team con Threat Hunting proactivo orientado a TTPs geopolíticamente relevantes
Security Awareness y simulación de phishing (plataforma KnowBe4)

CAPACIDAD 3 — VULNERABILITY ASSESSMENT Y REDUCCIÓN DE SUPERFICIE DE ATAQUE

El advisory de Sophos X-Ops CTU establece tres medidas de reducción de exposición que son exactamente los vectores que los grupos iraníes usan como punto de entrada inicial: (1) parchear sistemas expuestos a internet contra vulnerabilidades conocidas; (2) realizar revisiones de superficie de ataque externa minimizando servicios expuestos; (3) validar configuraciones de VPN y acceso remoto. Los grupos como Handala operan comprometiendo 'sistemas de baja seguridad a través de footholds en proveedores IT'. No necesitan exploits de día cero cuando la mayoría de las organizaciones tiene vulnerabilidades conocidas sin parchear hace más de 90 días.

Un programa de Vulnerability Assessment bajo el modelo CTEM (Continuous Threat Exposure Management) permite identificar y priorizar esas exposiciones antes de que sean aprovechadas. El Ethical Hacking complementa con simulación real del comportamiento de un atacante, validando que los controles en producción (el firewall, el EDR, el SOC) realmente funcionan cuando importa.

Servicios CompuNet aplicables:

Vulnerability Assessment periódico y continuo (CTEM) — interno y de superficie externa
Ethical Hacking / Red Team con modelado de amenazas geopolíticas
Revisión y hardening de configuraciones VPN y acceso remoto

6. Las seis preguntas que su directorio debe poder responder hoy

Las amenazas geopolíticas activas requieren decisiones ejecutivas, no solo técnicas. Un CISO que no puede responder estas preguntas ante su directorio no está en posición de gestionar el riesgo actual:

01 ¿Sabemos, en este momento, si algún indicador de compromiso asociado a grupos activos en el conflicto iraní —Handala, MuddyWater, HomeLand Justice, CyberAv3ngers— está presente en nuestra red?

02 ¿Cuándo fue la última revisión exhaustiva de nuestra superficie de ataque externa? ¿Tenemos visibilidad de todos los servicios expuestos a internet, incluidos los de proveedores y filiales?

03 ¿Nuestros proveedores de tecnología crítica (nube, ERP, comunicaciones) han comunicado su postura ante el contexto de amenaza actual? ¿Hemos evaluado el riesgo de nuestra cadena de suministro digital de tercer nivel?

04 ¿Nuestro plan de continuidad de negocio contempla un escenario de wiper malware —donde los datos no son secuestrados sino destruidos irreversiblemente— incluyendo backups offline o inmutables validados?

05 ¿MFA está implementado en todos los accesos remotos y cuentas privilegiadas? ¿Monitoreamos activamente intentos de password spraying y autenticación anómala?

06 ¿Cumplimos con los requisitos de la Ley Marco de Ciberseguridad y la Ley de Protección de Datos? ¿Podemos demostrarlo ante un regulador ante un incidente vinculado a amenazas geopolíticas?

Conclusión: el conflicto cibernético no termina cuando terminan los misiles

El mayor error estratégico que puede cometer una organización ante un conflicto geopolítico de esta magnitud es asumir que, cuando las noticias pasen, el riesgo también habrá pasado. SOCRadar lo advierte con precisión: 'El conflicto que comenzó el 28 de febrero de 2026 no tiene un punto final claro, y la campaña cibernética sobrevivirá a la kinética. Los grupos APT iraníes no se detienen cuando dejan de volar los misiles. Se reequipan y regresan.'

Los grupos hacktivistas ya están movilizados. Las campañas de recolección de credenciales corren en paralelo con cada ciclo de noticias. Las organizaciones que serán comprometidas en las próximas semanas serán en gran medida aquellas que esperaron actuar. La amenaza es estructurada, tiene dirección estatal y ya está en movimiento.

En CompuNet llevamos años construyendo con nuestros clientes en Chile, Perú y Colombia exactamente las capacidades que este entorno demanda: visibilidad continua, inteligencia de amenazas aplicada y una postura de seguridad que responde a la realidad del riesgo —no a un checklist de cumplimiento. Si no tiene respuestas claras a las seis preguntas de la sección anterior, este es el momento de iniciar esa conversación.

¡Asegura el futuro digital de tu empresa hoy!

Consúltanos si tienes dudas en CompuNet estamos para apoyarte y guiarte en el camino, #JuntosMasLejos

¿Listo para dar el salto? Contáctanos

Rodrigo Gonzalez

Director de Investigación y Desarrollo

CompunetGroup