Análisis revela que la velocidad del cibercrimen rebasa por miles de veces la capacidad de reacción del gobierno mexicano

febrero 26, 2026

Análisis revela que la velocidad del cibercrimen rebasa por miles de veces la capacidad de reacción del gobierno mexicano

Imagen: Andrejzt | https://www.deviantart.com/andrejzt

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst, Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro y Líder del Capítulo Querétaro de la Fundación OWASP.

Un informe reciente de la unidad de investigación de SILIKN advierte sobre un cambio inquietante en el panorama de amenazas: los ciberdelincuentes se desplazan dentro de redes comprometidas con una rapidez nunca antes vista. El tiempo entre el acceso inicial y la propagación interna — lo que en ciberseguridad se conoce como breakout — se ha comprimido drásticamente.

Durante 2025, los atacantes tardaron en promedio apenas 25 minutos en moverse lateralmente dentro de las infraestructuras vulneradas. En lo que va de 2026, ya se observan incursiones en las que ese recorrido se completa en tan solo 10 a 12 minutos. En escenarios extremos, la velocidad roza lo instantáneo: el breakout más veloz registrado tomó 15 segundos, mientras que en otro incidente la exfiltración de datos comenzó apenas tres minutos después de la intrusión.

La velocidad se ha convertido en un arma estratégica. Cuanto menos tiempo permanece el atacante dentro del radar defensivo, menores son las probabilidades de detección y respuesta efectiva. Para los equipos de seguridad, cada minuto perdido amplifica el impacto potencial.

Entre los factores que explican esta aceleración destacan tres tendencias clave. Primero, el uso de credenciales legítimas: en numerosos incidentes, los atacantes prescinden de malware tradicional y operan mediante cuentas válidas, lo que les permite desplazarse sin activar alertas convencionales. Segundo, las intrusiones sin malware: en 2025, el 78.9 % de las detecciones de amenazas no involucró software malicioso identificable, sino movimientos limpios sobre sistemas confiables. Tercero, el abuso de esquemas de inicio de sesión único (SSO), particularmente en la nube, donde una sola identidad comprometida facilita el acceso y el pivoteo entre múltiples servicios.

El problema se agrava con la existencia de dispositivos sin controles robustos de detección y respuesta: VPN mal configuradas, equipos personales de empleados, cámaras web, aplicaciones de terceros o máquinas virtuales desatendidas. Estos puntos ciegos han sido explotados incluso por grupos vinculados a estados-nación, incluidos actores asociados a China y Corea del Norte, que han perfeccionado técnicas para identificar y aprovechar vulnerabilidades en entornos híbridos.

La inteligencia artificial añade una nueva capa de complejidad. No solo permite automatizar tareas como reconocimiento, generación de campañas de phishing o evasión de defensas, sino que también se integra directamente en las herramientas ofensivas. Al mismo tiempo, emergen intentos por explotar fallas en plataformas y flujos de trabajo basados en IA. El resultado es una carrera tecnológica en la que atacantes y defensores compiten por dominar los mismos sistemas.

En este contexto, México no parte de cero. A inicios de diciembre de 2025, la Agencia de Transformación Digital y Telecomunicaciones (ATDT) presentó el Plan Nacional de Ciberseguridad 2025–2030, concebido como la hoja de ruta para fortalecer la protección de los activos digitales del gobierno federal.

El plan se estructura en fases progresivas: 2025 como etapa de fundamento, centrada en diagnóstico y bases estructurales; 2026 como fase de expansión, enfocada en la renovación de la Estrategia Nacional de Ciberseguridad y el fortalecimiento operativo; seguida por consolidación, maduración, liderazgo regional y transformación hacia capacidades avanzadas, incluida la IA predictiva.

Sin embargo, la realidad operativa parece avanzar a un ritmo distinto al de los documentos estratégicos. Mientras el cibercrimen se mide en segundos y minutos, la respuesta institucional continúa moviéndose en escalas de meses e incluso años. La brecha entre ambas velocidades ya no es técnica: es estructural.

Hasta ahora, el gobierno mexicano no ha publicado métricas oficiales estandarizadas y sistemáticas sobre tiempos promedio de detección y respuesta ante incidentes. No obstante, análisis independientes y declaraciones públicas permiten dimensionar el desafío.

La Política General de Ciberseguridad para la Administración Pública Federal establece que las dependencias deben notificar incidentes graves al CSIRT Nacional en un máximo de 24 horas tras su detección, con comunicación inmediata en casos críticos. El problema es evidente: un ataque moderno puede comprometer sistemas, cifrar información o iniciar la exfiltración en menos de 25 minutos. En términos prácticos, el daño puede haberse materializado decenas de veces antes de que exista una notificación formal.

Autoridades de la ATDT han reconocido públicamente limitaciones en la capacidad de detección oportuna, con retrasos que, en incidentes complejos, pueden extenderse entre ocho y nueve meses. En contraste, el atacante completa su objetivo en menos de media hora. La asimetría es brutal: miles de veces más rápida la ofensiva que la identificación del incidente. Para cuando se “descubre” la intrusión, el impacto suele ser ya irreversible.

Los primeros meses de 2026 han ofrecido ejemplos contundentes. La megafiltración comprometió a 25 entidades federales, estatales y municipales, incluidas instituciones clave, con la extracción de aproximadamente 2.3 TB de datos sensibles de millones de personas, posteriormente difundidos en la dark web. A ello se sumaron ataques de ransomware como el adjudicado a LockBit contra la Sociedad Hipotecaria Federal; amenazas de filtración asociadas al actor “Tengu” contra la Junta Local de Conciliación y Arbitraje de la Ciudad de México, y la exposición de información vinculada a la CNSF. También trascendió la publicación de más de mil credenciales asociadas a gob.mx y a dominios gubernamentales.

Estos episodios no solo reflejan la agresividad de los atacantes, sino debilidades persistentes: sistemas heredados desactualizados, higiene digital deficiente y gestión vulnerable de identidades y accesos.

Durante el 2º Foro Nacional de Ciberseguridad, Heidy Karla Rocha Ruiz, directora de Ciberseguridad de la ATDT, reconoció la falta de capacidad operativa suficiente para detectar y responder oportunamente, permitiendo que intrusiones sofisticadas permanezcan ocultas durante meses. El diagnóstico apunta a una madurez técnica desigual entre dependencias, ausencia de métricas homogéneas y escasos mecanismos federados de intercambio de inteligencia.

El desafío ya no admite respuestas retóricas. La prioridad inmediata pasa por acelerar la implementación efectiva de la Política General de Ciberseguridad. Esto implica designar sin demora al Responsable Institucional de Ciberseguridad (RIC), desplegar monitoreo continuo 24/7 mediante soluciones EDR/XDR y SIEM interoperables con el CSIRT Nacional y adoptar modelos de Zero Trust que limiten movimientos laterales.

Paralelamente, urge realizar auditorías críticas de vulnerabilidades, aplicar parches en sistemas legacy, rotar credenciales comprometidas y capacitar masivamente al personal frente a phishing e ingeniería social. La mayoría de las brechas sigue comenzando por identidades débiles o expuestas.

En el plano federal, la ATDT debe acelerar la fase de expansión 2026: fortalecer el Centro de Operaciones de Seguridad Cibernética (CSOC) con capacidades de detección automatizada basadas en IA, consolidar una red federada de CSIRTs con alertas en tiempo real y exigir pruebas de penetración periódicas en infraestructuras críticas. A ello se suma la necesidad de establecer incentivos y sanciones claras ante incumplimientos, respaldadas por auditorías transparentes.

La protección de datos sensibles — CURP, RFC, biométricos — debe convertirse en eje transversal mediante cifrado robusto y segmentación de redes. La experiencia reciente demuestra que un único punto de compromiso puede escalar hacia filtraciones masivas.

La ecuación es simple, aunque incómoda: en ciberseguridad, el tiempo es daño. Mientras los atacantes operan en minutos, México no puede permitirse defenderse en meses. La ventana para corregir la brecha sigue abierta, pero se estrecha con cada segundo que pasa.

Para mayor información, visite: https://www.silikn.net/