CompuNetGroup - Blog CompunetGroup #resilencia

La revolución de la Inteligencia Artificial: La IA como arma

Wed, 15 Apr 2026 09:14:01 -0400

En los últimos años, la inteligencia artificial (IA) ha dejado de ser solo una herramienta de automatización para convertirse en un factor decisivo dentro del ámbito de la ciberseguridad.

El punto de inflexión: IA capaz de vulnerar sistemas

Uno de los casos más representativos es el desarrollo de modelos avanzados de IA como Claude Mythos. Este tipo de sistemas ha demostrado una capacidad sin precedentes para identificar vulnerabilidades en software, incluso aquellas que han permanecido ocultas durante décadas.

Más allá de la detección, lo realmente disruptivo es que estas IA pueden crear exploits funcionales de forma autónoma, reduciendo drásticamente el tiempo y conocimiento necesario para comprometer sistemas.

En pruebas reales, estos modelos han sido capaces de:

Detectar vulnerabilidades “zero-day”

Encadenar fallos para construir ataques complejos

Automatizar procesos que antes requerían equipos especializados

No por nada Claude se sitúa por encima en los rankings de resolución CTF.

Hoy, herramientas basadas en IA permiten que usuarios con poca experiencia puedan generar ataques funcionales en cuestión de horas.

Esto implica una democratización del cibercrimen, donde el conocimiento ya no es la principal limitante.

Un arma de doble filo: defensa vs ataque

A pesar de los riesgos, la IA también representa una de las mejores herramientas defensivas disponibles actualmente.

Modelos como los mencionados están siendo utilizados por grandes organizaciones para:

Detectar vulnerabilidades antes que los atacantes

Automatizar auditorías de seguridad

Reforzar infraestructuras críticas

De hecho, iniciativas colaborativas entre empresas tecnológicas buscan utilizar estas capacidades para parchar sistemas antes de que sean explotados.

Sin embargo, el problema es claro:

La misma tecnología que protege, también puede atacar.

¿Listo para dar el salto? Contáctanos

Leandro Inzunza

Analista de Ciberseguridad

CompunetGroup

Vibe Coding: Cuando crear tecnología es fácil... y los riesgos también.

Wed, 01 Apr 2026 09:07:47 -0300

Hace algunos años, crear software era algo reservado para programadores, ingenieros y especialistas que pasaban horas escribiendo líneas de código complejas.

Hoy eso cambió radicalmente. Basta con abrir una herramienta de inteligencia artificial, escribir una idea en lenguaje natural y, en pocos segundos, aparece una aplicación funcionando. A esta nueva forma de desarrollar se le empezó a llamar vibe coding: crear software siguiendo la intuición, la creatividad y la conversación con una IA más que el conocimiento técnico profundo. Suena increíble, ¿cierto? Pero surge una pregunta inevitable: si ahora cualquiera puede crear tecnología… ¿también cualquiera puede crear riesgos?

Imaginemos a alguien que tiene una excelente idea para automatizar su trabajo diario. Le pide a una IA que genere un sistema para manejar clientes, almacenar contraseñas o enviar correos automáticos. La herramienta responde rápido, el sistema funciona y todos quedan felices. No hubo revisión técnica, no hubo pruebas de seguridad, no hubo análisis de riesgos. ¿Qué podría salir mal si la aplicación simplemente funciona?

El problema es que el software no solo debe funcionar; debe ser seguro. Muchas veces el código generado por IA cumple exactamente lo que se le pide, pero no necesariamente lo que se debería proteger. Puede guardar datos sin cifrado, abrir accesos innecesarios hacia internet o permitir que cualquier usuario externo interactúe con información sensible. Y aquí aparece una realidad incómoda: el entusiasmo por innovar suele avanzar más rápido que la preocupación por proteger.

Entonces aparece otra pregunta interesante: ¿quién revisa la seguridad cuando nadie sabe realmente cómo funciona el código por dentro?

En el mundo tradicional existían revisiones, estándares y equipos especializados. En el mundo del vibe coding, muchas soluciones nacen fuera del área de TI, creadas por usuarios motivados que solo buscan resolver un problema rápido. Sin querer, pueden abrir una puerta invisible dentro de la organización.

Los atacantes lo saben. De hecho, hoy los ciberdelincuentes ya no solo buscan vulnerar grandes servidores; buscan aplicaciones improvisadas, automatizaciones caseras o integraciones rápidas hechas con IA. ¿Por qué? Porque suelen tener menos controles, menos monitoreo y menos conciencia de seguridad. Una pequeña aplicación creada para “ahorrar tiempo” puede terminar exponiendo bases completas de clientes o credenciales corporativas.

Y aquí surge otra reflexión: si crear software ahora es tan fácil, ¿significa que también es más fácil cometer errores críticos? La respuesta corta es sí.

La inteligencia artificial reduce la barrera técnica, pero no elimina la responsabilidad. De hecho, la amplifica. Antes se necesitaba conocimiento avanzado para generar una aplicación vulnerable; hoy basta con no hacer las preguntas correctas a la IA.

Muchas organizaciones ya están viviendo este fenómeno sin darse cuenta. Usuarios creando bots internos, formularios inteligentes, scripts automáticos o integraciones con servicios externos sin pasar por controles formales. Todo parece inofensivo hasta que ocurre un incidente: correos enviados desde cuentas comprometidas, filtración de información, accesos indebidos o sistemas manipulados desde el exterior. En ese momento aparece la gran pregunta: ¿el problema fue la tecnología o la falta de gobernanza?

El vibe coding no es el enemigo. Al contrario, representa una revolución positiva que democratiza la innovación. Permite que las ideas se conviertan en soluciones reales en minutos. El riesgo aparece cuando confundimos rapidez con seguridad. La inteligencia artificial puede escribir código, pero no entiende el contexto completo del negocio, las regulaciones, las políticas internas ni el impacto reputacional de una brecha de seguridad.

Otro punto crítico es la confianza excesiva. Cuando una IA entrega una solución funcional, tendemos a asumir que está bien hecha. Pero la IA aprende de enormes cantidades de información pública, incluyendo prácticas antiguas o inseguras. ¿Cuántas aplicaciones nuevas estarán repitiendo errores de seguridad del pasado sin que nadie lo note?

Además, el vibe coding introduce un fenómeno nuevo: el shadow development. Así como existía el “shadow IT”, ahora existen aplicaciones completas creadas fuera del radar corporativo. Sistemas que manejan datos reales sin respaldo, sin monitoreo y sin protección. Y si un atacante descubre uno de estos sistemas, probablemente encontrará el camino más fácil hacia la organización.

Entonces la pregunta cambia nuevamente: ¿debemos dejar de usar inteligencia artificial para desarrollar? Definitivamente no. La clave no es frenar la innovación, sino acompañarla con ciberseguridad desde el inicio. Igual que usamos cinturón de seguridad al conducir un auto moderno, necesitamos controles cuando usamos herramientas poderosas.

La seguridad en la era del vibe coding implica nuevas prácticas: validar el código generado, revisar permisos, proteger identidades digitales, aplicar autenticación multifactor, monitorear accesos y educar a los usuarios que ahora también se transformaron en creadores tecnológicos. Porque hoy, cualquier colaborador puede convertirse accidentalmente en desarrollador… y también en el punto de entrada de un ataque.

La ciberseguridad dejó de ser un tema exclusivo del área técnica. Se convirtió en un habilitador del negocio. Una organización que adopta IA sin estrategia de seguridad avanza rápido, pero a ciegas. En cambio, una empresa que integra innovación y protección puede aprovechar todo el potencial del vibe coding sin exponerse innecesariamente.

Y quizás la pregunta final sea la más importante: si la inteligencia artificial ya está ayudando a construir el futuro digital de las empresas, ¿quién está asegurando que ese futuro sea seguro?

Ahí es donde contar con especialistas marca la diferencia. En CompuNet, entendemos que la transformación digital no se trata solo de implementar tecnología, sino de hacerlo de forma segura, estratégica y sostenible. Acompañamos a las organizaciones en la adopción de nuevas tecnologías, evaluando riesgos, fortaleciendo controles y creando culturas de ciberseguridad que permiten innovar sin miedo.

Porque el desafío actual no es evitar el cambio. El verdadero desafío es avanzar protegidos. Y en un mundo donde cualquiera puede crear software con solo una idea y una conversación con IA, tener un aliado experto en ciberseguridad ya no es un lujo… es una necesidad. CompuNet está preparado para acompañarte en ese camino.

¿Listo para dar el salto? Contáctanos

Alberto Sanchez

Gerente de Servicios

CompunetGroup

La superficie de ataque que nadie vigila

Wed, 01 Apr 2026 09:07:47 -0300

No tener un inventario de servicios expuestos a internet no es un descuido menor: es dejar la puerta trasera abierta y olvidarse de que existe.

Dato clave: Cuando se publica un CVE crítico, los grupos de ransomware comienzan a escanear internet en busca de versiones afectadas en menos de 24 horas. ¿Sabrías si tu organización tiene esa versión desplegada en algún servidor olvidado?

Pregunta a cualquier equipo de TI cuántos servicios tiene su organización expuestos a internet. La respuesta más honesta, en la mayoría de los casos, será un silencio incómodo seguido de una cifra aproximada: "creemos que son unos veinte... quizás treinta". Esa incertidumbre no es un detalle menor. Es la grieta por la que entran los atacantes.

No puedes proteger lo que no sabes que tienes. Simple hasta parecer trivial, esta frase resume uno de los problemas más persistentes y subestimados en ciberseguridad corporativa: la ausencia de un inventario actualizado de los servicios expuestos a internet.

¿Qué es la superficie de ataque expuesta?

Es el conjunto de todos los puntos de entrada digitales accesibles desde el exterior: servidores web, APIs, paneles de administración, servicios de correo, VPNs, bases de datos con puerto abierto, instancias en la nube mal configuradas... y todo lo que desplegaste "temporalmente" hace dos años y sigue corriendo.

El problema estructural es que esta superficie no es estática. Crece constantemente. Cada proyecto nuevo despliega un servicio. Cada migración deja instancias olvidadas. Cada desarrollador que levanta un entorno de prueba "solo para esta demo" añade un punto de entrada que nadie elimina cuando ya no es necesario.

"Un atacante con un escáner automatizado tiene más visibilidad sobre tu superficie de ataque que tú mismo si no mantienes un inventario."

El ciclo del descuido

El deterioro no ocurre de golpe. Es gradual, casi imperceptible, y sigue siempre el mismo patrón:

Despliegue sin registro: El servicio se lanza para cubrir una necesidad. Nadie lo registra formalmente porque "ya se hará".
Pérdida de dueño: El responsable técnico rota, cambia de proyecto o la empresa se reorganiza. El servicio queda huérfano.
Versión congelada: Sin dueño asignado, nadie aplica parches. La versión instalada envejece mientras el ecosistema de amenazas avanza
CVE publicado, exploit disponible: Se descubre una vulnerabilidad en esa versión. En horas hay un exploit circulando en foros y herramientas automatizadas
Brecha consumada: El atacante lo encuentra antes que tú. El vector inicial es ese servidor que nadie recordaba

El reloj corre desde que se publica el CVE

Los grupos de amenaza —incluidos actores de ransomware— escanean internet de forma masiva en cuanto se publica un CVE crítico. La variable crítica no es si tienes la versión vulnerable instalada: es si sabes que la tienes

Hora 0 — CVE publicado

Se publica la vulnerabilidad con detalles técnicos suficientes para reproducirla.

Horas 1–12 — Escáneres activos

Grupos automatizados comienzan a mapear internet buscando versiones afectadas. Con o sin inventario, ya te están mirando.

Con inventario — Respuesta en horas

Identificas las instancias afectadas, priorizas remediación, aplicas mitigaciones temporales antes de que llegue el atacante.

Sin inventario — Respuesta en días o semanas

Tardas días en saber que el problema te afecta. Semanas en resolverlo. Esa ventana es exactamente lo que explota el atacante.

Shadow IT: lo que ni siquiera sospechas

Un agravante frecuente y raramente reconocido es el shadow IT: servicios desplegados por áreas de negocio o desarrolladores individuales sin pasar por los procesos de TI corporativos.

Instancias en AWS o Azure levantadas con una tarjeta de crédito personal. Herramientas SaaS conectadas a sistemas internos mediante integraciones no auditadas. Entornos de desarrollo accesibles públicamente "solo mientras terminamos la demo" — que siguen activos tres meses después.

Estos activos no aparecen en ningún registro. No tienen propietario formal. No están en los procesos de gestión de parches. Y sin embargo, están ahí, visibles desde internet, esperando ser encontrados. Los atacantes no distinguen entre activos "oficiales" y activos en la sombra. Cualquier puerto abierto es una oportunidad.

Qué herramientas usar para ganar visibilidad

Shodan

Motor de búsqueda de dispositivos conectados. Permite descubrir qué servicios de tu organización son visibles desde internet y con qué versiones.

Censys

Similar a Shodan pero con mayor detalle en certificados TLS y datos de configuración. Muy útil para mapear la huella digital corporativa.

Nmap + scripts NSE

Para escaneos internos y de perímetro. Con los scripts adecuados detecta versiones de servicios y vulnerabilidades conocidas.

Plataformas EASM

Soluciones como Tenable ASM, CyCognito o Axonius automatizan el descubrimiento continuo y mantienen el inventario actualizado en tiempo real.

Un plan de acción concreto

Resolver el problema de visibilidad no es complejo en su concepto —aunque requiere disciplina en su ejecución. Esta es la hoja de ruta básica:

Checklist: del descuido a la visibilidad

Descubrir: Escanea tu organización desde fuera con Shodan o Censys. El ejercicio suele deparar sorpresas desagradables.
Registrar: Cada servicio debe tener propietario, propósito, versión en uso y fecha del último parche. Un inventario vivo, no un documento estático.
Asignar responsables: Sin dueño claro, no hay quien parchee. Cada activo necesita una persona o equipo accountable.
Gestionar el ciclo de vida: Todo servicio que ya no cumple una función debe ser dado de baja. La inercia organizacional es el enemigo silencioso.
Monitorizar continuamente: Cualquier nuevo despliegue activa su registro. Cualquier CVE nuevo dispara una consulta contra el inventario.
Automatizar el descubrimiento: Confiar en procesos manuales garantiza que el inventario quedará desactualizado. Busca integración con tu pipeline de CI/CD.

El impacto regulatorio: cumplimiento en riesgo

Más allá del riesgo técnico, la falta de inventario tiene implicaciones directas en el cumplimiento normativo. Marcos como ISO 27001, el Esquema Nacional de Seguridad (ENS) o la directiva NIS2 exigen explícitamente el mantenimiento de un inventario de activos de información.

Una auditoría que encuentre ausencia de inventario no solo señalará una no conformidad: pondrá en cuestión la madurez del programa completo de seguridad. Y en caso de brecha, la ausencia de inventario agrava significativamente la exposición regulatoria ante la autoridad de protección de datos.

La pregunta que define tu postura de seguridad

No es si algún servicio olvidado en tu red será encontrado por un atacante. Es si lo encontrarás tú antes que él. La visibilidad no es un lujo: es el punto de partida.

¿Listo para dar el salto? Contáctanos

Orlando Navarrete

Consultor de RedTeam

CompunetGroup

El guardián invisible de Internet: Por qué la seguridad DNS importa más de lo que imaginas

Thu, 26 Mar 2026 16:42:20 -0300

Todos usamos Internet todos los días. Revisamos el correo, entramos al banco, vemos noticias, trabajamos en la nube o simplemente buscamos algo en Google.

Es algo tan cotidiano que rara vez nos detenemos a pensar qué ocurre realmente cuando escribimos una dirección web.

Porque la verdad es que Internet no entiende nombres.

Nosotros escribimos www.ejemplo.cl, pero los computadores solo entienden números. Entonces surge una pregunta inevitable:

¿quién hace esa traducción silenciosa entre lo que nosotros escribimos y el lugar real al que nos conectamos?

La respuesta es el DNS.

El DNS, o Domain Name System, funciona como la agenda telefónica de Internet. Cada vez que ingresamos a un sitio web, nuestro equipo consulta a un servidor DNS para preguntarle algo muy simple: “¿Dónde está este sitio?”. El DNS responde con una dirección IP y recién entonces comienza la conexión.

Puede parecer un proceso menor, pero ocurre millones de veces al día dentro de una organización. Antes de abrir un correo, antes de conectarse a una aplicación corporativa, antes incluso de que cargue una página web, siempre existe una consulta DNS.

Y aquí aparece una pregunta incómoda: si alguien pudiera manipular esa respuesta… ¿realmente sabríamos a dónde nos estamos conectando?

Imagina una ciudad donde todas las calles cambian de nombre durante la noche. Las personas creen que van al banco, pero terminan en un edificio falso.

Nadie rompe puertas ni fuerza cerraduras; simplemente cambian los letreros. Eso es exactamente lo que puede ocurrir cuando un DNS no está protegido.

Durante años, muchas empresas centraron su seguridad en antivirus, firewalls o controles de acceso. Todo eso sigue siendo importante, pero existe un punto previo a cualquier conexión que suele pasar desapercibido: el DNS decide el destino antes de que cualquier protección actúe.

Entonces surge otra pregunta clave: ¿cómo se protege algo que casi nadie ve?

La respuesta está en lo que en ciberseguridad llamamos hardenizar el DNS. No es una herramienta específica ni un software milagroso. Es más bien una filosofía: asumir que el DNS es infraestructura crítica y tratarlo como tal.

Un DNS seguro valida que la información no haya sido alterada, responde únicamente a quienes deben utilizarlo, mantiene registros de actividad y se actualiza constantemente para evitar vulnerabilidades conocidas. También separa los servicios internos de los externos y permite detectar comportamientos anómalos antes de que se transformen en incidentes reales.

¿Por qué esto es tan relevante hoy? Porque los atacantes cambiaron su forma de operar. Ya no siempre intentan entrar por la fuerza; muchas veces prefieren engañar al camino.

Un usuario puede escribir correctamente la dirección de su banco y aun así terminar en una página falsa. Un equipo infectado puede comunicarse con servidores maliciosos sin generar alertas visibles. Incluso un ransomware puede comenzar con algo tan pequeño como una consulta DNS aparentemente normal.

Lo más preocupante es que, desde la perspectiva del usuario, todo parece funcionar bien. No hay pantallas negras ni mensajes alarmantes. Internet sigue funcionando… solo que ya no es confiable.

Por eso, en la ciberseguridad moderna, el DNS dejó de ser visto únicamente como un servicio técnico y pasó a convertirse en una verdadera primera línea de defensa. Muchas organizaciones hoy detectan malware, bloquean ataques de phishing y previenen fugas de información analizando precisamente el tráfico DNS.

Antes de cualquier ataque exitoso, siempre existe una consulta DNS que delata la intención.

Entonces la pregunta final ya no es qué es el DNS, sino algo mucho más estratégico: ¿sabemos realmente quién está guiando nuestras conexiones en Internet?

La seguridad no siempre depende de grandes inversiones o tecnologías complejas. A veces comienza protegiendo aquello que nunca vemos, pero que sostiene todo lo demás.

El DNS es uno de esos pilares invisibles. Cuando funciona bien, nadie lo nota. Pero cuando falla, toda la operación digital puede detenerse.

En CompuNet, entendemos que la ciberseguridad no solo consiste en reaccionar ante incidentes, sino en anticiparlos. Nuestra experiencia en protección de infraestructura crítica, monitoreo de amenazas y fortalecimiento de servicios esenciales permite a las organizaciones transformar componentes silenciosos —como el DNS— en verdaderos mecanismos de defensa.

Porque en un mundo donde cada conexión comienza con una consulta, proteger el DNS no es un detalle técnico.

Es proteger la confianza digital completa de una empresa.

¿Listo para dar el salto? Contáctanos

Ermel Quiroz

Ingeniero de Infraestructuras

CompunetGroup

Ciber-Resiliencia: De conocer el riesgo a sobrevivir el impacto

Wed, 18 Mar 2026 10:17:31 -0300

Reconocer que la ciberseguridad es un riesgo crítico fue el primer paso. Ahora, la pregunta que define la supervivencia organizacional es otra: cuando el ataque llegue —y llegará—, ¿podrá su empresa seguir operando?

El riesgo ya fue diagnosticado. ¿Y ahora qué?

En la primera entrega de esta serie analizábamos cómo la ciberseguridad se ha consolidado como el segundo riesgo más crítico para los directorios chilenos, cómo América Latina enfrenta decenas de miles de millones de intentos de ciberataque al año, y cómo una sola contraseña débil liquidó 158 años de historia empresarial en el caso de KNP Logistics. El diagnóstico fue contundente: la complacencia ya no es opción. Pero diagnóstico sin tratamiento es negligencia.

¿No la leiste? Te tomará solo 5 minutos:

https://www.compunetgroup.net/blogs/post/ciberseguridad-como-riesgo-uno-que-los-directorios-ya-no-pueden-ignorar

Ahora que ya leíste el articulo anterior, sigamos.

El problema es que muchas organizaciones confunden reconocer el riesgo con gestionarlo. Tener la ciberseguridad en el mapa de riesgos corporativos, incluso asignarle presupuesto, no equivale a estar preparados para resistir un incidente. La diferencia entre las empresas que sobreviven a un ciberataque y las que no radica en una capacidad específica que va más allá de la protección perimetral: la ciber-resiliencia.

Esta segunda entrega propone un cambio de paradigma. Ya no se trata de si el ataque ocurrirá, sino de cuánto daño causará cuando ocurra, cuánto tardará la organización en recuperarse y si podrá mantener sus operaciones críticas durante la crisis. Pasamos del “prevenir a toda costa” al “resistir, responder y recuperar”.

Ciberseguridad vs. ciber-resiliencia: una distinción que no es semántica

Existe una confusión persistente que conviene despejar: la ciber-resiliencia no es simplemente “más ciberseguridad” ni un sinónimo elegante para el mismo concepto. La ciberseguridad se enfoca en proteger los activos digitales mediante controles preventivos y detectivos —firewalls, cifrado, gestión de vulnerabilidades, controles de acceso—.

Es la muralla. La ciber-resiliencia, en cambio, parte de una premisa radicalmente distinta: la muralla será vulnerada. La pregunta no es si, sino cuándo.

Bajo esta lógica, la ciber-resiliencia es la capacidad de una organización para anticipar, resistir, recuperarse y adaptarse ante incidentes cibernéticos adversos, manteniendo la continuidad de las operaciones críticas del negocio. Es, en esencia, la diferencia entre una empresa que se paraliza ante un ataque de ransomware y una que logra mantener sus operaciones esenciales mientras contiene y remedia el incidente.

Los marcos normativos internacionales reflejan esta evolución. El NIST Cybersecurity Framework 2.0(CSF 2.0), actualizado en 2024, estructuró sus funciones en seis pilares: Gobernar (Govern), Identificar, Proteger, Detectar, Responder y Recuperar. La incorporación de “Gobernar” como función transversal no fue casual: refleja el reconocimiento de que la ciberseguridad sin gobernanza desde la alta dirección es incompleta. Pero son las funciones de Responder y Recuperar las que marcan el territorio específico de la resiliencia. No basta con detectar una intrusión; la organización debe ser capaz de contenerla, erradicarla y restaurar sus servicios críticos en tiempos que no comprometan su viabilidad.

En paralelo, la norma ISO 22301:2019 (Sistemas de Gestión de Continuidad de Negocio) proporciona el marco para asegurar que las funciones esenciales de la organización puedan mantenerse ante disrupciones. Cuando se integra con ISO/IEC 27001:2022 (Sistema de Gestión de Seguridad de la Información), emerge un modelo robusto: la 27001 define qué proteger y cómo; la 22301 establece cómo seguir operando cuando la protección falla. Es la combinación de ambas —no una u otra— la que construye ciber-resiliencia real.

Para ponerlo en términos ejecutivos: la ciberseguridad protege el castillo; la ciber-resiliencia garantiza que el reino siga funcionando aunque el castillo sea asediado. Y en 2025, los asedios son constantes.

Los números que confirman la urgencia

Si el artículo anterior presentaba datos sobre el volumen de ataques y el costo de la inacción, los datos actualizados de 2025 agregan una dimensión nueva: la brecha entre quienes están construyendo resiliencia y quienes se están quedando atrás se está convirtiendo en un abismo.

La fractura global: el WEF Global Cybersecurity Outlook 2025

El informe del World Economic Forum de enero de 2025, elaborado en colaboración con Accenture, identifica una complejidad sin precedentes en el panorama cibernético. El 72% de las organizaciones encuestadas reporta un aumento en sus riesgos cibernéticos, con el ransomware manteniéndose como la principal preocupación. Pero el hallazgo más revelador es la profundización de la inequidad cibernética: el 35% de las organizaciones pequeñas considera que su ciber-resiliencia es inadecuada, una proporción que se ha multiplicado por siete desde 2022. En contraste, las grandes organizaciones que reportan resiliencia insuficiente se redujeron casi a la mitad.

Esta divergencia tiene implicaciones sistémicas. El 71% de los líderes en ciberseguridad encuestados por el WEF cree que las organizaciones pequeñas ya alcanzaron un punto crítico donde no pueden protegerse adecuadamente por sí solas. Y dado que estas organizaciones forman parte de cadenas de suministro que alimentan a corporaciones mayores, su fragilidad se propaga. No por nada el 54% de las grandes organizaciones identifica las interdependencias en la cadena de suministro como la mayor barrera para alcanzar la ciber-resiliencia.

Para América Latina, la lectura es particularmente inquietante. Mientras que en Europa y Norteamérica solo el 15% de las organizaciones no confía en la capacidad de su país para responder a incidentes cibernéticos mayores, en nuestra región esa cifra se dispara al 42%. No estamos hablando de percepción: estamos hablando de una evaluación realista de capacidades institucionales, regulatorias y técnicas que aún están en construcción.

El costo de la lentitud: IBM Cost of a Data Breach 2025

El reporte anual de IBM, que en 2025 celebra su vigésima edición, trae una noticia en apariencia positiva: el costo promedio global de una brecha de datos bajó un 9% respecto a 2024, ubicándose en 4.44 millones de dólares. El motor de esta reducción fue la detección y contención más rápida, impulsada por herramientas de inteligencia artificial y automatización en operaciones de seguridad. Las organizaciones que utilizan IA de manera extensiva en sus operaciones de seguridad ahorraron en promedio 1.9 millones de dólares y redujeron el ciclo de vida de la brecha en 80 días.

Sin embargo, el dato que debería preocupar a todo directorio está en la recuperación: el 76% de las organizaciones afectadas tardó más de 100 días en recuperarse por completo. Cien días. Más de tres meses en los que la organización opera con capacidades degradadas, confianza erosionada y costos que se acumulan. Y casi dos tercios de las organizaciones estudiadas declararon que aún estaban en proceso de recuperación al momento de la investigación.

El reporte también revela una nueva amenaza que merece atención directiva: el shadow AI —el uso no autorizado de herramientas de inteligencia artificial por parte de empleados sin supervisión de TI— estuvo presente en el 20% de las brechas y agregó 670,000 dólares adicionales al costo promedio. El 63% de las organizaciones afectadas no contaba con políticas de gobernanza de IA, y un inquietante 97% de las que sufrieron una brecha relacionada con IA carecía de controles de acceso adecuados para sus sistemas de inteligencia artificial.

Estos datos configuran una paradoja peligrosa: la IA está ayudando a detectar y contener brechas más rápido, pero la adopción acelerada de IA sin gobernanza está creando nuevas superficies de ataque que los adversarios ya están explotando. En uno de cada seis incidentes estudiados por IBM, los atacantes utilizaron IA —principalmente para phishing (37%) y suplantación mediante deepfakes (35%)—.

La brecha de talento: el agravante silencioso

Ningún análisis de ciber-resiliencia está completo sin abordar el factor humano en su dimensión más estructural: la escasez de profesionales. Según el WEF, la brecha global de talento en ciberseguridad se amplió un 8% entre 2024 y 2025, con estimaciones que la sitúan entre 2.8 y 4.8 millones de profesionales faltantes. Dos de cada tres organizaciones reportan brechas de habilidades entre moderadas y críticas. El sector público es el más golpeado: el 49% de las organizaciones gubernamentales declara no tener el talento necesario para cumplir sus objetivos de ciberseguridad, un aumento del 33% respecto a 2024.

En Chile, el CSIRT ha identificado una brecha de 28,000 especialistas en ciberseguridad, cifra que podría crecer hasta 63,500 para 2026 si se mantiene el ritmo actual de adopción tecnológica. Esta carencia no es solo un problema de recursos humanos: es un multiplicador de riesgo que debilita la capacidad de detección, respuesta y recuperación. Una organización puede tener las mejores herramientas del mercado, pero sin el talento para operarlas, configurarlas y responder ante alertas, la inversión tecnológica pierde gran parte de su valor.

Lo que viene: de la teoría a la acción

Los datos son elocuentes: la brecha entre las organizaciones que están construyendo resiliencia y las que se limitan a reconocer el riesgo se profundiza cada trimestre. La inequidad cibernética es real, la adopción de IA sin gobernanza es una bomba de tiempo, y la escasez de talento agrava todo lo anterior.

Pero el diagnóstico, por sí solo, no salva empresas. En la segunda entrega de este análisis abordaremos el terreno práctico: cómo Chile se está posicionando con la Ley Marco de Ciberseguridad (Ley 21.663) y la creación de la Agencia Nacional de Ciberseguridad como el marco regulatorio más ambicioso de América Latina, cuáles son los pilares concretos que una organización necesita para construir ciber-resiliencia real, y por qué la resiliencia no es un proyecto con fecha de término sino una disciplina permanente.

La pregunta que queda abierta para cada líder de negocio: si mañana su organización sufre un ciberataque mayor, ¿tiene un plan probado para seguir operando? Si la respuesta no es un “sí” contundente, la segunda entrega les interesa.

¿Listo para dar el salto? Contáctanos

César Millavil

Chief Executive Officer

CompunetGroup

La primera ciberguerra total: Irán, EEUU e Israel redefinen las reglas del conflicto moderno

Wed, 18 Mar 2026 09:11:46 -0300

El 28 de febrero de 2026, el mundo ingresó en una nueva era del conflicto armado. Por primera vez en la historia, una operación militar de gran escala fue precedida, acompañada y amplificada por ciberataques sincronizados que colapsaron las comunicaciones de un Estado, aislaron a su liderazgo y habilitaron bombardeos de precisión quirúrgica. Lo que múltiples analistas ya califican como 'el mayor ciberataque de la historia' no fue un incidente aislado: fue la culminación de 16 años de ciberguerra silenciosa entre Israel e Irán. Este informe analiza ese conflicto en profundidad y extrae las lecciones estratégicas que toda organización en Chile y América Latina debe trasladar a sus decisiones de seguridad hoy.

CIFRAS CLAVE DEL CONFLICTO CIBER-FÍSICO (28 FEB – 10 MAR 2026)

60+ grupos hacktivistas activos simultáneamente (Semana 1)

368 incidentes cibernéticos documentados en la primera semana

~96% caída de conectividad a internet en Irán (28 feb, 07:06 GMT)

77 incidentes cibernéticos en el día más complejo(2 de marzo)

12+ países afectados directa o indirectamente por ataques

~50% de los ejecutivos latinoamericanos desconfían de la capacidad de su país para responder

1. De Stuxnet a la Operación Epic Fury: 16 años de ciberguerra silenciosa

Lo que ocurrió el 28 de febrero de 2026 no fue una sorpresa para quienes seguían de cerca la rivalidad tecnológica entre Israel e Irán. Fue la fase más visible de una guerra que se libra en el ciberespacio desde 2010 y que escaló de forma sostenida hasta convertirse en el mayor conflicto híbrido de la historia.

Para comprenderlo y extraer las lecciones correctas es imprescindible conocer esta historia.

El nacimiento de la ciberguerra: Stuxnet (2010)

En junio de 2010, inspectores de la AIEA detectaron que las centrifugadoras de la planta nuclear de Natanz fallaban sin explicación aparente. La causa era Stuxnet: un virus desarrollado conjuntamente por la Unidad 8200 de inteligencia de señales de Israel y la NSA estadounidense como parte del programa encubierto 'Operation Olympic Games'. El Mossad convenció a un agente infiltrado para conectar un USB infectado en los sistemas de la planta, permitiendo tomar el control de 1.000 centrifugadoras y ordenarles autodestruirse mientras los monitores mostraban datos normales a los técnicos iraníes.

Stuxnet destruyó entre 900 y 1.000 centrifugadoras (aproximadamente el 10% de la capacidad operativa de Natanz) y fue descrito por Eugene Kaspersky como 'el primer ciberarma de la historia'. Su importancia estratégica fue doble: demostró que un ciberataque podía generar daño físico real sobre infraestructura crítica y estableció el precedente que guiaría 16 años de escalada entre ambas potencias.

La guerra se extiende al dominio físico (2010–2024)

La respuesta iraní a Stuxnet no fue solo cibernética. Entre 2010 y 2022, al menos 14 científicos nucleares iraníes fueron asesinados en ataques atribuidos al Mossad, combinando operaciones físicas con inteligencia digital. Israel desarrolló una doctrina de 'ciberataque preventivo' integrada con operaciones convencionales: la misma lógica que aplicó en 1981 cuando destruyó el reactor Osirak iraquí, ahora trasladada al quinto dominio.

En 2020, la guerra cruzó una nueva línea: hackers iraníes intentaron envenenar el suministro de agua potable de Israel alterando los niveles de cloro en plantas de tratamiento. El Director Nacional de Ciberseguridad israelí declaró que 'se cruzaron todas las líneas rojas'. En respuesta, Israel atacó el puerto de Shahid Rajaee, paralizando el tráfico marítimo iraní durante días. Era la primera vez que un ciberataque generaba represalia kinética directa.

La preparación del gran asalto (Enero–Febrero 2026)

Lo que el mundo conoció el 28 de febrero de 2026 fue, en realidad, el acto final de una operación de inteligencia que llevaba años en marcha. Según el Financial Times (confirmado por múltiples fuentes internacionales), el Mossad y la Unidad 8200 habían convertido Teherán en un 'parque virtual' de operaciones de contrainteligencia:

La extensa red de cámaras de vigilancia del régimen instalada para monitorear y reprimir a la propia población iraní fue comprometida y reutilizada para proveer inteligencia visual en tiempo real al cuartel general del Mossad en Tel Aviv, con transmisiones de alta resolución de miles de intersecciones de Teherán.

Los sistemas de telefonía móvil fueron intervenidos para rastrear los movimientos del liderazgo iraní. El análisis matemático de redes sociales permitió identificar nodos de decisión y potenciales blancos con una precisión sin precedentes.

Desde enero de 2026, las transmisiones satelitales iraníes fueron intervenidas, transmitiendo a millones de hogares contenido que instaba al derrocamiento del régimen una operación de influencia psicológica que preparó el terreno para el conflicto.

El plan militar original estaba programado para la noche del 27 de febrero, pero los sistemas de cibervigilancia indicaron que al día siguiente se reuniría un grupo más numeroso de líderes. Se retrasó 24 horas para maximizar el impacto.

2. 28 de febrero de 2026: anatomía del mayor ciberataque de la historia

A las 07:06 GMT del 28 de febrero de 2026, se registró la primera señal de lo que vendría: una caída abrupta de la conectividad a internet en Irán que en minutos redujo el acceso al 1-4% de sus niveles normales. Era la señal de que el componente cibernético de la Operación Epic Fury había comenzado, coordinado al segundo con los primeros bombardeos convencionales.

28 Feb 07:06	Primera caída masiva de conectividad en Irán. Internet cae al 4%. La agencia estatal IRNA queda offline. El medio vinculado al CGRI, Tasnim, es hackeado y emite mensajes anti-Khamenei.
28 Feb 11:47	Segunda caída abrupta de conectividad. Los sistemas de comunicaciones militares del CGRI quedan sin funcionamiento, cortando la cadena de mando. Se neutraliza la capacidad de coordinar drones y misiles balísticos.
28 Feb Tarde	EEUU e Israel confirman la muerte del Ayatollah Ali Khamenei, el Ministro de Defensa, el comandante del CGRI y el jefe del estado mayor. Israel también destruye la sede del comando de guerra cibernética del CGRI en el este de Teherán.
1 Mar	Irán lanza represalias con misiles contra Israel y 27 bases militares de EEUU en la región. Hezbolá abre un segundo frente desde el Líbano. Se activan más de 60 grupos hacktivistas proiraníes con operaciones coordinadas.
2 Mar	Drones iraníes alcanzan instalaciones de AWS en EAU y Baréin, causando daños físicos e interrupciones de servicios globales. Pico de 77 incidentes cibernéticos documentados en un solo día. Hackers prorrusos se unen formalmente al conflicto.
3–6 Mar	368 incidentes cibernéticos documentados en la primera semana. Grupos como Cyber Islamic Resistance publican capturas de sistemas SCADA/ICS comprometidos. Jordan confirma ataque thwarted a su sistema de gestión de silos de trigo.
8–9 Mar	Mojtaba Khamenei, hijo del líder supremo asesinado, es elegido nuevo Líder Supremo con fuerte influencia del CGRI. Expertos anticipan escalada de operaciones cibernéticas estatales en las próximas semanas.

El arsenal técnico utilizado

Las operaciones ofensivas no se limitaron a DDoS convencionales. El análisis de SOCRadar, Flashpoint, BeyondTrust y el advisory de Sophos X-Ops CTU documenta un arsenal sofisticado y multivector:

DISRUPCIÓN

Apagón de internet coordinado con strikes físicos
DDoS masivo contra medios, gobierno y finanzas
Defacement de sitios institucionales
Bloqueo de sistemas de comunicación del CGRI

DESTRUCCIÓN

Wiper malware (T1485): borrado irreversible de datos
Ransomware como vector de extorsión y destrucción
Inhibición de recuperación del sistema (T1490)
Ataques a sistemas de control industrial (ICS/SCADA)

ESPIONAJE

Backdoors preposicionados en infraestructura crítica
Phishing selectivo con IA (spear-phishing)
Exfiltración y publicación de datos sensibles
Hack-and-leak para presión reputacional

DATO CRÍTICO: MuddyWater, grupo patrocinado por el Ministerio de Inteligencia iraní, ya había plantado backdoors en un banco estadounidense, un aeropuerto, una empresa de software de defensa y varias ONGs de EEUU y Canadá ANTES del primer ataque del 28 de febrero. El posicionamiento previo es parte estándar de la doctrina iraní.

3. El ecosistema de amenaza iraní: actores, capacidades y objetivos

Irán opera su capacidad cibernética ofensiva a través de dos estructuras principales, rodeadas por un ecosistema de grupos proxy y hacktivistas que proveen negación plausible al Estado:

IRGC-CEC (Comando Cibernético-Electrónico de la Guardia Revolucionaria)

Especializado en operaciones de impacto físico sobre infraestructura crítica (ICS/OT). CyberAv3ngers —su grupo proxy más prominente— fue sancionado por el Tesoro de EEUU, que identificó a seis oficiales del IRGC-CEC controlando directamente sus operaciones. Ha comprometido sistemas de control industrial en Israel, incluyendo redes eléctricas, bombas de agua e instalaciones de manufactura.

MOIS (Ministerio de Inteligencia y Seguridad)

Gestor de grupos de espionaje y operaciones de hack-and-leak. Sus principales proxies son Handala Hack y HomeLand Justice. Handala opera comprometiendo sistemas de baja seguridad via footholds en proveedores IT, exfiltrando datos y publicando en el momento de mayor impacto psicológico. HomeLand Justice ejecutó operaciones de wiper contra entidades gubernamentales albanesas desde 2022.

ACTORES HACKTIVISTAS ACTIVOS — PRIMERA SEMANA DEL CONFLICTO

DieNet — Lideró en volumen con 59 operaciones reclamadas. Provee tooling DDoS utilizado por grupos más pequeños. Objetivos: infraestructura de gobiernos del Golfo, aeropuertos y servicios públicos.

Keymous Plus — 51 operaciones. Especializado en defacement de sitios institucionales y campañas de desinformación coordinadas.

313 Team — 42 operaciones. Combina DDoS con exfiltración de datos de organizaciones financieras y de defensa.

Cyber Islamic Resistance — Publicó screenshots de múltiples sistemas SCADA/ICS comprometidos simultáneamente: paneles de gestión de edificios, esquemas de tuberías y dashboards de automatización de procesos industriales. Los denominaron 'primera oleada'.

NoName057(16) — Prorrusos — Se unieron formalmente el 3 de marzo. Reclamaron acceso a un HMI de control de bombas de agua industrial israelí en hebreo, incluyendo control en tiempo real de bombas, válvulas y alarmas. Las capturas de pantalla son consistentes en múltiples días y grupos, sugiriendo sondeo sistemático coordinado de activos ICS israelíes.

FSociety (10 marzo) — Emitió un ultimátum de 42 horas amenazando infraestructura crítica no especificada. La situación continúa escalando.

Un patrón que no es nuevo, pero sí más peligroso

Lo que hace particularmente peligroso al ecosistema iraní en 2026 no es solo su escala, sino su sofisticación táctica acumulada. Irán lleva 16 años aprendiendo, adaptando y pre-posicionando activos en infraestructura crítica global. El backdoor en el banco estadounidense no fue instalado el 28 de febrero: llevaba semanas o meses ahí. Esta doctrina de 'posicionamiento silencioso' es quizás la amenaza más subestimada del conflicto para las organizaciones fuera de la región.

4. Por qué este conflicto afecta directamente a Chile y América Latina

La pregunta que todo directivo latinoamericano tiene derecho a hacerse es: ¿qué tiene que ver una guerra en Medio Oriente con nuestra empresa en Chile, Colombia o Perú? La respuesta tiene cuatro dimensiones que se refuerzan mutuamente.

4.1 La geografía ya no protege en el ciberespacio

Los grupos hacktivistas no operan por proximidad geográfica sino por afinidad ideológica, oportunismo y cadenas de suministro digitales. SOCRadar y Flashpoint advierten explícitamente: 'Cualquier país percibido como cómplice o que apoya la Operación Epic Fury debe considerarse un potencial objetivo cibernético.' Chile y Latinoamérica mantienen relaciones diplomáticas, comerciales y tecnológicas activas con EEUU e Israel. Muchas empresas locales operan sobre infraestructura, software y proveedores de origen estadounidense, convirtiéndolas en vectores indirectos.

4.2 La cadena de suministro digital no tiene fronteras

Cuando AWS reportó daños estructurales en sus instalaciones del Golfo, clientes en decenas de países (incluyendo Latinoamérica) experimentaron interrupciones de servicios. El modelo de 'ataque a la cadena de suministro' es hoy el vector de mayor crecimiento global: no necesitas ser el objetivo principal para ser afectado. El informe WEF–Accenture Global Cybersecurity Outlook 2026 señala que un 64% de las organizaciones a nivel mundial ya está considerando ajustes en su cadena de suministro por razones de geopolítica cibernética.

4.3 América Latina parte con una brecha de preparación severa

El mismo informe WEF–Accenture revela un dato alarmante: los ejecutivos de América Latina son, a nivel global, los que menos confianza tienen en la capacidad de sus países para proteger la infraestructura crítica ante un ciberataque de gran escala. Casi la mitad reconoce abiertamente esa debilidad. Según Kaspersky, en 2025 el 20.4% de los sistemas industriales en LATAM sufrió intentos de infección (en algunos países del 25%). Solo 7 de 32 países de la región tienen planes formales de protección de infraestructuras críticas.

4.4 El contexto regulatorio chileno exige acción, no solo preocupación

Chile atraviesa simultáneamente dos marcos regulatorios de alto impacto: la nueva Ley de Protección de Datos Personales y la Ley Marco de Ciberseguridad e Infraestructura Crítica. Ambas elevan significativamente las obligaciones de gobernanza, detección, respuesta y evidencia de controles. En este contexto, una brecha de seguridad vinculada a amenazas geopolíticas no solo genera daño operacional: genera exposición legal, regulatoria y reputacional directa para los directorios.

CONCLUSIÓN ESTRATÉGICA: La ciberguerra en Irán no es un evento geográficamente contenido. Es un conflicto con tentáculos globales que se expande a través de cadenas de suministro digitales, infraestructura de nube compartida y grupos hacktivistas que operan desde cualquier parte del mundo. La distancia física ya no es un factor de protección.

5. Las capacidades que su organización necesita en este entorno

El advisory de Sophos X-Ops CTU, emitido el 1 de marzo de 2026 con nivel de amenaza ELEVADO, es explícito en sus recomendaciones. No plantea comprar más herramientas: plantea construir capacidades. Existe una diferencia fundamental entre tener software de seguridad y tener una postura de seguridad operativa. A continuación, las tres capacidades críticas que este entorno exige:

CAPACIDAD 1 — THREAT INTELLIGENCE: VER ANTES DE SER GOLPEADO

La operación que culminó el 28 de febrero llevaba años preparándose en silencio. MuddyWater plantó backdoors en infraestructura estadounidense semanas antes del primer misil. La inteligencia de amenazas (Threat Intelligence) es la única capacidad que permite detectar esa actividad preparatoria antes de que se concrete. Un equipo de TI activo monitorea en tiempo real indicadores de compromiso (IoCs), TTPs de grupos relevantes y dominios maliciosos asociados a actores conocidos (como los del repositorio GitHub público de Sophos X-Ops CTU).

La pregunta correcta no es '¿tenemos firewall?'. Es '¿sabemos, en este momento, si algún indicador de los grupos activos en el conflicto iraní está intentando contactar sistemas de nuestra red?'. Si la respuesta no es un sí inmediato, existe una brecha de visibilidad que debe cerrarse.

Servicios CompuNet aplicables:

Threat Intelligence con feeds de Sophos X-Ops CTU e integración con plataformas XDR
Monitoreo continuo de IoCs geopolíticamente relevantes
Alertas proactivas ante nuevas campañas documentadas

CAPACIDAD 2 — SOC + BLUE TEAM: DETECTAR Y CONTENER EN TIEMPO REAL

Sophos X-Ops CTU es explícito: las organizaciones deben asegurarse de que sus soluciones EDR/XDR estén 'completamente operativas y monitoreadas', incrementar la sensibilidad de triage para campañas de phishing y abuso de credenciales, y revisar la cobertura de logging y telemetría en todos los entornos. Esto requiere un Centro de Operaciones de Seguridad (SOC) operativo las 24/7 (los actores de amenaza no respetan zonas horarias) y un Blue Team que ejecute Threat Hunting activo para detectar comportamientos de movimiento lateral, dumping de credenciales e inhibición de recuperación del sistema (T1098, T1003, T1490), las técnicas más documentadas en el conflicto actual.

El advisory de Sophos también señala algo que las organizaciones frecuentemente omiten: proveer a los empleados un mecanismo claro para reportar solicitudes sospechosas por cualquier canal (email, teléfono, mensajería). El spear-phishing selectivo —potenciado con IA generativa— sigue siendo el vector de acceso inicial más efectivo para todos los grupos documentados en este conflicto.

Servicios CompuNet aplicables:

SOC gestionado con cobertura 24/7 y capacidad de respuesta a incidentes
Blue Team con Threat Hunting proactivo orientado a TTPs geopolíticamente relevantes
Security Awareness y simulación de phishing (plataforma KnowBe4)

CAPACIDAD 3 — VULNERABILITY ASSESSMENT Y REDUCCIÓN DE SUPERFICIE DE ATAQUE

El advisory de Sophos X-Ops CTU establece tres medidas de reducción de exposición que son exactamente los vectores que los grupos iraníes usan como punto de entrada inicial: (1) parchear sistemas expuestos a internet contra vulnerabilidades conocidas; (2) realizar revisiones de superficie de ataque externa minimizando servicios expuestos; (3) validar configuraciones de VPN y acceso remoto. Los grupos como Handala operan comprometiendo 'sistemas de baja seguridad a través de footholds en proveedores IT'. No necesitan exploits de día cero cuando la mayoría de las organizaciones tiene vulnerabilidades conocidas sin parchear hace más de 90 días.

Un programa de Vulnerability Assessment bajo el modelo CTEM (Continuous Threat Exposure Management) permite identificar y priorizar esas exposiciones antes de que sean aprovechadas. El Ethical Hacking complementa con simulación real del comportamiento de un atacante, validando que los controles en producción (el firewall, el EDR, el SOC) realmente funcionan cuando importa.

Servicios CompuNet aplicables:

Vulnerability Assessment periódico y continuo (CTEM) — interno y de superficie externa
Ethical Hacking / Red Team con modelado de amenazas geopolíticas
Revisión y hardening de configuraciones VPN y acceso remoto

6. Las seis preguntas que su directorio debe poder responder hoy

Las amenazas geopolíticas activas requieren decisiones ejecutivas, no solo técnicas. Un CISO que no puede responder estas preguntas ante su directorio no está en posición de gestionar el riesgo actual:

01 ¿Sabemos, en este momento, si algún indicador de compromiso asociado a grupos activos en el conflicto iraní —Handala, MuddyWater, HomeLand Justice, CyberAv3ngers— está presente en nuestra red?

02 ¿Cuándo fue la última revisión exhaustiva de nuestra superficie de ataque externa? ¿Tenemos visibilidad de todos los servicios expuestos a internet, incluidos los de proveedores y filiales?

03 ¿Nuestros proveedores de tecnología crítica (nube, ERP, comunicaciones) han comunicado su postura ante el contexto de amenaza actual? ¿Hemos evaluado el riesgo de nuestra cadena de suministro digital de tercer nivel?

04 ¿Nuestro plan de continuidad de negocio contempla un escenario de wiper malware —donde los datos no son secuestrados sino destruidos irreversiblemente— incluyendo backups offline o inmutables validados?

05 ¿MFA está implementado en todos los accesos remotos y cuentas privilegiadas? ¿Monitoreamos activamente intentos de password spraying y autenticación anómala?

06 ¿Cumplimos con los requisitos de la Ley Marco de Ciberseguridad y la Ley de Protección de Datos? ¿Podemos demostrarlo ante un regulador ante un incidente vinculado a amenazas geopolíticas?

Conclusión: el conflicto cibernético no termina cuando terminan los misiles

El mayor error estratégico que puede cometer una organización ante un conflicto geopolítico de esta magnitud es asumir que, cuando las noticias pasen, el riesgo también habrá pasado. SOCRadar lo advierte con precisión: 'El conflicto que comenzó el 28 de febrero de 2026 no tiene un punto final claro, y la campaña cibernética sobrevivirá a la kinética. Los grupos APT iraníes no se detienen cuando dejan de volar los misiles. Se reequipan y regresan.'

Los grupos hacktivistas ya están movilizados. Las campañas de recolección de credenciales corren en paralelo con cada ciclo de noticias. Las organizaciones que serán comprometidas en las próximas semanas serán en gran medida aquellas que esperaron actuar. La amenaza es estructurada, tiene dirección estatal y ya está en movimiento.

En CompuNet llevamos años construyendo con nuestros clientes en Chile, Perú y Colombia exactamente las capacidades que este entorno demanda: visibilidad continua, inteligencia de amenazas aplicada y una postura de seguridad que responde a la realidad del riesgo —no a un checklist de cumplimiento. Si no tiene respuestas claras a las seis preguntas de la sección anterior, este es el momento de iniciar esa conversación.

¡Asegura el futuro digital de tu empresa hoy!

Consúltanos si tienes dudas en CompuNet estamos para apoyarte y guiarte en el camino, #JuntosMasLejos

¿Listo para dar el salto? Contáctanos

Rodrigo Gonzalez

Director de Investigación y Desarrollo

CompunetGroup

El riesgo invisible de la IA: Por qué la Ley 21.719 ya no permite errores en tu software

Wed, 04 Mar 2026 11:44:00 -0300

La inteligencia artificial llegó para quedarse, y en el mundo del desarrollo de software eso se nota fuerte. Hoy crear una aplicación, integrar una API o automatizar un proceso es más rápido que nunca gracias a herramientas de codificación asistida por IA. El problema es que, mientras el desarrollo avanza a toda velocidad, la protección de los datos personales muchas veces queda corriendo detrás.

Y no es por mala intención. Simplemente, cuando el foco está en “que funcione”, es fácil pasar por alto qué datos se están usando, dónde terminan y quién más puede verlos.

El riesgo invisible: datos que se filtran sin que nadie lo note

Uno de los errores más comunes (y costosos) ocurre cuando datos sensibles terminan donde no deberían:
logs, archivos temporales, integraciones de terceros o incluso servicios de IA externos.

Un simple descuido —como imprimir información completa de un usuario para depurar un error— puede exponer nombres, correos, RUT, tokens de acceso o datos financieros. En equipos pequeños es más fácil detectarlo, pero cuando el desarrollo crece, estos detalles se multiplican y se vuelven difíciles de rastrear.

El resultado: riesgos de seguridad, pérdida de control de la información y posibles incumplimientos legales.

IA sin supervisión: cuando la innovación se adelanta a las reglas

Muchas organizaciones tienen políticas que restringen el uso de inteligencia artificial, pero en la práctica es común que aparezcan librerías o SDK de IA “colados” en los proyectos. No porque la IA sea mala, sino porque nadie está mirando el flujo completo de los datos.

¿Se están enviando datos personales a servicios externos?
¿Eso está informado al usuario?
¿Existe una base legal para hacerlo?

Cuando estas preguntas se responden después, ya es tarde. La corrección suele ser lenta, costosa y, en algunos casos, imposible de revertir.

De reaccionar a prevenir: el verdadero cambio de enfoque

Tradicionalmente, la seguridad y la privacidad se revisan cuando la aplicación ya está en producción. El problema es que ahí los datos ya están circulando.

El enfoque moderno apunta a algo distinto:
prevenir los riesgos desde el desarrollo utilizando SDLC O SSDLC, entendiendo cómo fluye la información en el código antes de que llegue a producción.

Esto permite:

Detectar fugas de datos antes de que ocurran
Mantener mapas de datos actualizados
Tener claridad real sobre integraciones de terceros e IA
Reducir incidentes y retrabajos

Ley 21.719: El fin de la improvisación en la gestión de datos y la IA

Aquí es donde todo esto deja de ser solo una “buena práctica” y pasa a ser una obligación legal.

La Ley 21.719, publicada en diciembre de 2024 y con vigencia plena desde el 1 de diciembre de 2026, moderniza la protección de datos personales en Chile y nos alinea con estándares internacionales como el GDPR.

Esta ley:

Refuerza los derechos de las personas sobre sus datos (acceso, rectificación, supresión, portabilidad)
Exige que las empresas justifiquen y aseguren el tratamiento de datos personales
Obliga a implementar medidas de seguridad adecuadas
Establece el deber de reportar vulneraciones de datos
Introduce sanciones relevantes en caso de incumplimiento
Crea la Agencia de Protección de Datos Personales

En este contexto, no saber qué hace tu propio código con los datos ya no es una excusa válida.

IA, desarrollo y cumplimiento: el nuevo estándar.

El uso de inteligencia artificial en el desarrollo no es el problema. El problema es usarla sin control, sin visibilidad y sin gobernanza.

Con la Ley 21.719 en el horizonte, las organizaciones deberán demostrar que:

Saben qué datos recopilan
Cómo los procesan
Dónde se almacenan
Con quién se comparten
Y cómo se protegen desde el origen

La privacidad deja de ser un documento y pasa a ser parte del diseño del software.

La pregunta ya no es si tu empresa usa IA o no.

La verdadera pregunta es: ¿estás cuidando los datos mientras la usas?

¡Asegura el futuro digital de tu empresa hoy!

Consúltanos si tienes dudas en CompuNet estamos para apoyarte y guiarte en el camino, #JuntosMasLejos

¿Listo para dar el salto? Contáctanos

Giovanni Díaz

Consultor de BlueTeam

CompunetGroup

De un edificio a otro: El arte de la migración virtual

Wed, 04 Mar 2026 11:44:00 -0300

Hablar de "migración de virtualización" puede sonar a ciencia espacial. Sin embargo, imagina que tu empresa es un gran edificio y tus aplicaciones son las oficinas. Migrar es mudarse al edificio de nuestra elección, más moderno, más seguro o más económico.

Escribimos esta guía para ayudarte a planificar la mudanza, escrita para humanos, sobre cómo cambiar de "casa virtual" sin morir en el intento.

DE UN EDIFICIO A OTRO: EL ARTE DE LA MIGRACIÓN VIRTUAL

¿Por qué nos mudamos?

En el mundo digital, las plataformas de virtualización (como VMware, Hyper-V, Proxmox o Nutanix) son el suelo donde pisa tu empresa. A veces, ese suelo se vuelve caro o el edificio se queda viejo. Migrar es el proceso de mover tus servidores de un sistema a otro para ganar velocidad y eficiencia.

Pero cuidado: no se trata de "copiar y pegar". Es una mudanza logística de alta precisión.

El paso a paso: Tu mapa de ruta

1. El Gran Inventario (Fase de Descubrimiento)

Antes de guardar cosas en cajas, hay que saber qué tenemos.

Identifica lo vital: Realiza inventario de máquinas virtuales (VMs), aplicaciones y configuraciones actuales ¿Cuáles son el corazón de tu negocio?

Limpia el clóset: Es el momento ideal para eliminar servidores que ya nadie usa.

Elección de nueva solución: Revisa siempre la documentación oficial de las soluciones de virtualización, elige correctamente la que mejor cumple con tus requisitos y presupuesto.

2. Elegir el "Camión de Mudanza" (Estrategia)

¿Moveremos todo de golpe o por partes?

Migración en Frío: Apagamos el servidor, lo movemos y lo encendemos. Es lo más seguro, pero hay un tiempo de inactividad.

Migración en Caliente: Intentamos mover todo mientras sigue funcionando. Es genial, pero requiere herramientas especializadas y una red muy rápida.

Consulta a expertos: Sitios como Gartner ofrecen comparativas sobre qué herramientas son mejores para cada caso.

3. Preparar el Terreno (Configuración del Destino)

No puedes llegar a una casa nueva si no hay luz ni agua.

Configura las redes, el almacenamiento y la seguridad en la nueva plataforma antes de mover la primera máquina.

Foros de ayuda: Si usas soluciones de código abierto o populares, foros como Spiceworks o Reddit (r/sysadmin) son minas de oro para saber qué problemas tuvieron otros ingenieros antes que tú.

4. El Piloto (La Prueba de Fuego)

Nunca mudes toda la empresa el lunes por la mañana. Elige una aplicación pequeña, muévela y observa cómo se comporta durante 48 horas. Si sobrevive, vas por buen camino.

Lista de Chequeo detallada (Checklist)

Para que no se te escape ni un tornillo, marca estos puntos:

Fase 1: Pre-Migración (Preparativos)

[ ] Inventario: ¿Identificaste máquinas virtuales (VMs), aplicaciones y configuraciones actuales a migrar? (Si no, no sigas).

[ ] Backup Total: ¿Tienes una copia de seguridad externa y verificada? (Si no, no sigas).

[ ] Compatibilidad de Hardware: ¿El nuevo servidor soporta los sistemas operativos viejos?

[ ] Análisis de Red: ¿Las IPs cambiarán o se mantendrán?

[ ] Limpieza de "Snapshots": Elimina puntos de restauración antiguos para que el archivo sea más ligero.

[ ] Licenciamiento: Verifica si tus licencias de Windows o bases de datos son válidas en el nuevo entorno.

Fase 2: Ejecución (El Movimiento)

[ ] Configuración de redes: Asegúrate de tener configurada las redes correctamente en la nueva plataforma.

[ ] Instalación de Drivers: Asegúrate de tener las herramientas de invitado (Guest Tools) listas para el nuevo sistema.

[ ] Sincronización de Datos: Si es una migración larga, asegúrate de que los datos no hayan cambiado desde que empezaste.

[ ] Apagado Ordenado: Si es migración en frío, avisa a los usuarios con antelación.

Fase 3: Post-Migración (Acomodarse)

[ ] Prueba de Conectividad: ¿El servidor llega a internet? ¿Los usuarios pueden entrar?

[ ] Rendimiento: ¿Va más rápido o más lento que antes? (Consulta la documentación oficial para optimizar).

[ ] Eliminar el rastro: Una vez que todo funcione bien por una semana, borra las máquinas del servidor viejo para liberar espacio.

La tecnología puede fallar, pero la planificación no. Migrar es una oportunidad para modernizar tu empresa y dormir más tranquilo por las noches, sabiendo que tus datos están en el mejor lugar posible.

¿Necesitas que alguien tome el volante por ti?

Sabemos que la infraestructura de tu empresa es tu activo más valioso. Un error en la migración puede costar horas de trabajo y dinero perdido. Por eso, no lo dejes al azar.

CompuNet: Expertos en transformar tu infraestructura

En CompuNet, no solo movemos datos; aseguramos la continuidad de tu negocio. Como líderes en el mercado de soluciones informáticas, contamos con un equipo de ingenieros consultores certificados listos para diseñar y ejecutar tu migración con riesgo cero.

Desde la planificación hasta el soporte post-migración, somos el aliado que tu empresa necesita para dar el siguiente salto tecnológico.

🚀 Haz que tu mudanza digital sea un éxito total, visítanos:

🌐 https://www.compunetgroup.net/

CompuNet: Liderazgo y Confianza en cada Byte.

¡Asegura el futuro digital de tu empresa hoy!

Consúltanos si tienes dudas en CompuNet estamos para apoyarte y guiarte en el camino, #JuntosMasLejos

¿Listo para dar el salto? Contáctanos

Jasiel Licor

Líder técnico de Servicios

CompunetGroup

Inicio 2026: "Tu salud cibernética" no se mide por herramientas, se mide por preparación

Wed, 04 Mar 2026 11:44:00 -0300

Soy Alexis Peña, Consultor de Seguridad y Redes, y este artículo tiene un objetivo simple: ayudarte a iniciar el 2026 con una auditoría interna rápida para responder dos preguntas clave:

¿Cómo está realmente nuestra seguridad hoy, después de todo lo que pasó en 2025?
¿Cuáles serán nuestras metas de ciberseguridad para este año?

El 2025 ya fue. El 2026 debería ser el año en que ordenamos, optimizamos y hacemos sostenible nuestra salud cibernética: menos improvisación, más control real, menos “ruido” y mejor capacidad de respuesta.

Antes del checklist: cómo usar estos 11 puntos

No se trata de “marcar todo perfecto”. Se trata de identificar brechas reales y convertirlas en un plan para Q1 2026.

Mi recomendación es simple:

Reúne a Seguridad + Infraestructura + Redes (30–45 min).
Marca cada punto como: OK / Parcial / No.
Quédate con 3 prioridades y define un responsable + fecha objetivo.
Con eso ya tienes una auditoría inicial y, lo más importante, metas accionables.

Checklist de salud cibernética 2026 (11 puntos)

1) Identidad como perímetro

¿Tus accesos se controlan por identidad + contexto o todavía dependen de “estar dentro”?

¿Tienes MFA obligatorio y revisiones periódicas de permisos (mínimo privilegio)?

2) Endpoints endurecidos (hardening real)

¿Los equipos están configurados por rol, con reducción de privilegios y controles que frenen movimiento lateral?

¿Han realizado ejercicios controlados (simulación de ataque/infección) para medir detección y contención?

3) Wi-Fi como punto de entrada, no como comodidad

¿Evitas claves compartidas y segmentas por rol/dispositivo (corporativo vs invitados)?

¿Detectas APs no autorizados y equipos desconocidos conectándose?

4) Switching de acceso con controles L2

¿Puertos no usados deshabilitados, port-security/BPDU guard y VLAN por rol?

¿Monitoreas eventos/cambios de configuración y tienes respaldo de configuración (backup)?

5) Firewall con “higiene de reglas” y foco en riesgo real

¿Tienes reglas justificadas, sin ANY-ANY permanentes, con segmentación real?

¿Revisas y depuras reglas sin uso/excepciones antiguas con una frecuencia definida?

6) Observabilidad mínima viable

¿Tienes logs/eventos/métricas suficientes para investigar sin depender del payload (cifrado)?

¿Tienes casos de uso de detección + retención adecuada para responder incidentes (30/90 días según criticidad)?

7) Automatización (respuesta que escala)

¿Tienes playbooks para triage, enriquecimiento, contención reversible y tickets con evidencia?

¿Mediste cuánto reduce el “ruido” (falsos positivos/tiempo de respuesta) vs 2025?

8) Gestión continua de exposición

¿Tu seguridad se mide de forma continua (exposición, prioridades, validación) o solo por revisiones puntuales?

¿Los hallazgos 2025 (pentest/auditorías) están cerrados con evidencia o siguen como backlog?

9) Shadow IT bajo control

¿Sabes qué herramientas no autorizadas están moviendo datos/credenciales fuera de TI?

¿Tienes un proceso rápido para “regularizar” herramientas (evaluación + aprobación) sin que negocio se salte TI?

10) Preparación ante “menos visibilidad de red”

¿Tu detección depende más de identidad/endpoint/comportamiento que de inspección profunda de tráfico?

¿Tienes segmentación y controles para limitar movimiento lateral si un equipo/usuario cae?

Este es el check que separa un 2026 reactivo de uno resiliente.

11) Madurez de Partners y Terceros (riesgo de cadena)

¿Tienes medido el nivel real de tus partners (proveedores críticos, integradores, telcos, SaaS, cloud, MSP/MSSP)?

Inventario y criticidad: ¿tienes listado de terceros + clasificación por impacto (alto/medio/bajo)?
Requisitos mínimos: ¿pides MFA, cifrado, logging, gestión de vulnerabilidades y control de accesos para integraciones?
Accesos de terceros: ¿los accesos son just-in-time, con mínimo privilegio y trazabilidad (quién, cuándo, qué hizo)?
SLA de seguridad: ¿hay tiempos acordados para parches, incidentes, respuesta y notificación?
Evidencia anual: ¿revisas reportes/controles tipo ISO 27001, SOC 2 o equivalentes (o al menos un cuestionario + validación técnica)?
Plan de salida: ¿puedes revocar accesos y reemplazar al proveedor sin quedar “amarrado” (vendor lock-in operativo)?

Si tuviera que resumirlo en una frase: 2026 no se trata de sumar herramientas, se trata de subir el nivel de preparación ya que la salud cibernética se construye con hábitos: controles base sólidos, visibilidad accionable, ejercicios reales, corrección de hallazgos y respuesta que escala. Si quieres iniciar el año con el pie derecho, haz este ejercicio hoy, marca tus 11 checks, elige 3 prioridades y conviértelas en metas medibles para Q1.

¡Asegura el futuro digital de tu empresa hoy!

Consúltanos si tienes dudas en CompuNet estamos para apoyarte y guiarte en el camino, #JuntosMasLejos

¿Listo para dar el salto? Contáctanos

Alexis Peña

Consultor de Redes

CompunetGroup

Movimientos laterales: Cuando el atacante ya está dentro y nadie se da cuenta

Wed, 04 Mar 2026 11:44:00 -0300

Imagina que llegas a tu casa después de un día largo. Cierras la puerta, pones llave, activas la alarma y te vas a dormir tranquilo. Todo parece seguro… salvo por un pequeño detalle: alguien ya estaba adentro antes de que cerraras.

No rompió la puerta, no hizo ruido, no dejó huellas visibles. Simplemente entró cuando nadie miraba. En ciberseguridad, ese “alguien” existe, y una de sus tácticas favoritas se llama movimiento lateral.

Para muchos usuarios, la ciberseguridad sigue siendo sinónimo de antivirus, contraseñas fuertes y “no hacer clic en correos raros”. Y sí, todo eso importa. Pero el problema real, el que más duele a las empresas, casi nunca ocurre en el primer clic. Ocurre después, cuando el atacante ya logró un acceso inicial y comienza a moverse silenciosamente por dentro de la red, explorando, aprendiendo y avanzando paso a paso como si fuera un usuario más.

Aquí es donde empieza la verdadera historia.

Un movimiento lateral es, básicamente, el arte de moverse dentro de una red sin levantar sospechas. El atacante no corre, no rompe nada, no hace ruido. Observa. Usa credenciales válidas, aprovecha permisos mal configurados, reutiliza contraseñas, se conecta a otros equipos y servidores como lo haría cualquier trabajador un lunes por la mañana. Desde fuera, todo parece normal. Desde dentro, el atacante está ganando terreno.

Lo interesante —y peligroso— es que este tipo de ataques no buscan velocidad, buscan permanencia. No quieren robarlo todo en cinco minutos. Quieren quedarse días, semanas o incluso meses. Durante ese tiempo, van identificando dónde está la información más valiosa, qué usuarios tienen más privilegios y qué sistemas son críticos para la operación. Cuando finalmente atacan, ya saben exactamente dónde golpear.

Muchas veces el punto de entrada es algo tan simple que nadie le presta atención. Un correo de phishing bien hecho, una contraseña reutilizada, un equipo sin parches o una VPN mal configurada. El acceso inicial puede ser casi irrelevante, pero una vez dentro, el movimiento lateral convierte un incidente pequeño en una crisis mayor. Es la diferencia entre que alguien mire tu jardín desde la reja y que recorra toda tu casa con libertad.

Desde la perspectiva del usuario, esto es especialmente peligroso porque no hay señales claras. El computador no se pone lento, no aparecen ventanas extrañas, no suena ninguna alarma. Todo sigue funcionando. El correo llega, los sistemas responden, el trabajo continúa. Y mientras tanto, alguien está usando esa misma normalidad como camuflaje.

Por eso los movimientos laterales son tan difíciles de detectar. No se basan en malware ruidoso ni en ataques evidentes. Se apoyan en el abuso de la confianza: confianza en usuarios, en credenciales, en accesos que “siempre han estado ahí”. En muchos casos, el atacante ni siquiera necesita herramientas sofisticadas; basta con conocer cómo funciona la red y tener paciencia.

Ahora bien, ¿por qué esto debería importarle a alguien que no es técnico? Porque los daños finales casi siempre afectan a todos. Cuando un atacante logra moverse lateralmente, las consecuencias suelen ser robo de información, interrupciones de servicio, secuestro de sistemas mediante ransomware o incluso la paralización completa de una organización. Y eso se traduce en correos caídos, sistemas que no responden, datos expuestos y una confianza que cuesta años recuperar.

La buena noticia es que este tipo de amenazas se puede mitigar. No se trata de vivir con miedo, sino de entender que la seguridad no termina en la puerta de entrada. Monitorear comportamientos, segmentar redes, limitar privilegios, revisar accesos y detectar actividades inusuales es clave. En otras palabras, no basta con saber quién entra; hay que saber qué hace una vez que está dentro.

Aquí es donde la ciberseguridad moderna cambia el enfoque. Ya no se pregunta solo “¿alguien externo intenta atacarnos?”, sino “¿todo lo que ocurre dentro de mi red tiene sentido?”. Si un usuario se conecta a un servidor que nunca usa, a una hora extraña y desde un equipo distinto, eso debería levantar una ceja. Y si no la levanta, el problema no es el usuario, es la falta de visibilidad.

Los movimientos laterales nos enseñan una lección incómoda pero necesaria: el enemigo no siempre viene desde afuera, ni actúa de forma evidente. A veces ya está adentro, caminando despacio, aprovechando descuidos que parecían pequeños e inofensivos. Entender esto es el primer paso para tomarse la ciberseguridad en serio, no como un gasto, sino como una inversión en continuidad, confianza y tranquilidad.

Porque al final del día, no se trata solo de tecnología. Se trata de proteger el trabajo de las personas, la información de los clientes y la operación completa de una organización. Y eso no es algo que se pueda dejar al azar.

En CompuNet entendemos que las amenazas actuales ya no son simples ni evidentes. Sabemos que los ataques modernos se mueven en silencio, aprovechan la confianza y buscan pasar desapercibidos el mayor tiempo posible. Por eso, más que vender herramientas, trabajamos como un partner tecnológico en ciberseguridad, acompañando a las organizaciones en la prevención, detección y respuesta frente a amenazas reales, como los movimientos laterales.

Nuestro enfoque combina monitoreo continuo, análisis inteligente, buenas prácticas y experiencia operativa para ayudarte a ver lo que otros no ven y reaccionar antes de que un incidente pequeño se transforme en una crisis mayor. Porque la seguridad no termina cuando alguien entra… empieza justamente ahí.

CompuNet. Ciberseguridad pensada para el mundo real.

¡Asegura el futuro digital de tu empresa hoy!

Consúltanos si tienes dudas en CompuNet estamos para apoyarte y guiarte en el camino, #JuntosMasLejos

¿Listo para dar el salto? Contáctanos

Alberto Sánchez

Gerente de Servicios

CompunetGroup