El panorama de ciberseguridad en México es, cuando menos, preocupante. Durante el segundo trimestre del 2025, el País registró un aumento del 204 por ciento en la actividad maliciosa, uno de los más altos registrados, acorde con la tecnológica Cloudflare.
El reporte Global Internet Trends & Insights Report, elaborado por Cloudflare, indicó que, durante ese periodo, 181 millones de ciberataques diarios dirigidos a territorio nacional fueron bloqueados gracias a la efectividad de firewalls y las industrias bajo fuego constante fueron las telecomunicaciones, la banca y los medios de comunicación.
El problema es que ninguna sofisticación tecnológica sirve ante un descuido humano, pues según Mimecast, empresa global de ciberseguridad, el 95 por ciento de los eventos de seguridad nacen de errores cometidos por personas.
Al respecto, David Cárdenas, country manager de Cyberpeace, empresa mexicana de ciberseguridad, enfatizó que sin una administración de riesgo adecuada, la tecnología es insuficiente. Un empleado que anota su contraseña en un papel adhesivo anula la encriptación más costosa, añadió.
O peor aún, el uso de dispositivos USB encontrados en la calle que se conectan a la red corporativa. La cultura de seguridad, o el salario humano, es la primera línea de defensa real.
Para sobrevivir a millones de ataques diarios, la visibilidad debe ser absoluta. Por ello, la estrategia de Cyberpeace divide su vigilancia en dos frentes complementarios: SOC y Ciberinteligencia (CTI).
El SOC (Security Operations Center) funciona como el ojo derecho, mirando hacia las entrañas de la organización. Su tarea es monitorear la infraestructura, detectar intrusiones y gestionar la respuesta interna. Pero en un entorno donde los ataques vienen de todas partes, mirar hacia adentro no basta.
Aquí entra la unidad de Ciberinteligencia (CTI) de la firma, el ojo izquierdo que escanea el exterior. Actúan como una central de inteligencia, un C5, como el de CDMX, rastreando actores de amenaza en red.
CyberPeace realiza este trabajo de inteligencia para identificar quiénes planean campañas contra una marca específica. Esto incluye la detección de sitios de phishing que clonan portales bancarios para robar credenciales. La protección de marca se vuelve vital cuando los criminales usan logotipos oficiales para estafar.
Además, la empresa ofrece servicios de protección para altos ejecutivos, cuidando su huella digital. Saben que la geolocalización o una foto en redes sociales puede ser la puerta de entrada para un ataque dirigido.
Esta dualidad, mirar adentro y afuera, permite pasar de un modelo reactivo a uno proactivo. No se trata de esperar a que el ransomware secuestre los servidores, sino de anticipar el golpe.
Hablamos de 181 millones de ataques en menos de 3 meses. Por ejemplo, entre ellos tenemos una inyección SQL, un engaño digital donde el atacante confunde a una base de datos, como un formulario de acceso, para robar información sensible.
¿Tu empresa podría soportarlo? La respuesta está en atacarse a uno mismo antes de que lo hagan los criminales. El Red Team de CyberPeace se especializa en simular agresiones reales con tácticas de adversarios.
No se limitan al código; realizan ataques de War Driving con simulación de redes WiFi vulnerables. También ejecutan pruebas de ingeniería social, dejando memorias USB infectadas para ver quién las conecta. Son pruebas controladas.
Estos ejercicios ponen a prueba no solo el software, sino los protocolos de respuesta. Si el equipo atacante logra entrar, la firma activa procesos de hardening o endurecimiento de sistemas, o sea, limitar los privilegios para que, si un intruso entra, no pueda escalar a administrador.
En otro tema, Cyberpeace integra agentes de inteligencia artificial (IA) en sus flujos. Aquí, los desarrolladores utilizan modelos avanzados para potenciar el análisis de amenazas.
No buscan reemplazar al analista humano, sino dotarlo de una capacidad de procesamiento masiva. Un análisis de vulnerabilidades que a un ingeniero le tomaría 40 minutos, la IA lo ejecuta en segundos.
El proceso es fascinante: un agente de IA desarrollado por la firma escanea un entorno y detecta puertos abiertos. Luego, otro agente identifica quién está intentando acceder, geolocaliza la IP y evalúa el riesgo.
Imagina tener que revisar manualmente logs (registros) con más de 6 mil 500 eventos de seguridad. El agente de IA digiere esa información y entrega un reporte ejecutivo detallado. Esto permite al equipo humano enfocarse en la toma de decisiones estratégicas, no en la talacha de datos.
Actualmente, estos desarrollos se ejecutan en la nube. Utilizan modelos como los de Anthropic. Sin embargo, la meta de CyberPeace es llevar estos Large Language Models (LLM) a infraestructura propia para mayor seguridad.
Es una carrera contra el tiempo: los atacantes también usan IA para automatizar sus ofensivas. La automatización defensiva es la única respuesta viable ante el volumen de ataques reportado por Cloudflare. La IA actúa como un filtro de ruido indispensable en un ecosistema digital saturado.
Zero Trust
Finalmente, el modelo Zero Trust (Confianza Cero) que implementa CyberPeace dicta una regla de oro: nunca confiar, siempre verificar.
No importa si la conexión viene de la oficina del CEO o de una sucursal remota. La autenticación multifactor (MFA) y el análisis de comportamiento son obligatorios. Si un usuario intenta iniciar sesión 100 veces en un minuto, el sistema se bloquea automáticamente.
Cuando las barreras caen, el análisis forense entra en escena para entender qué sucedió. Los atacantes modernos usan técnicas antiforense para borrar sus huellas y dificultar el rastreo.
Sin embargo, siempre queda un rastro digital, un error humano del criminal que permite reconstruir el hecho. Recientemente, filtraciones masivas como la atribuida al actor Injection Inferno han expuesto la fragilidad de los datos. Hablamos de 700 gigabytes de información sensible de bancos y gobierno circulando en el mercado negro, según Cyberpeace.
Esta información filtrada, usuarios y contraseñas reales, alimenta la siguiente ola de ataques. Permite a los criminales realizar movimientos laterales dentro de las redes corporativas con credenciales válidas.
Por eso, la estrategia de microsegmentación que promueven es clave: dividir la red en compartimentos estancos. Si un atacante entra a finanzas, no debería poder saltar a recursos humanos o ingeniería. La defensa en profundidad es la única estrategia válida ante un enemigo que ya tiene las llaves de la casa.
Mientras el 95 por ciento de los incidentes sigan dependiendo de un clic equivocado, el riesgo persistirá. Podemos blindar los servidores, pero no podemos parchar la curiosidad o el descuido humano.
