El minuto después del ciberataque: qué debe hacer una empresa para no improvisar y no caer en errores

En El País conocemos el problema de primera mano. En noviembre de 2025, nuestro sitio sufrió interrupciones por un ataque de denegación de servicio distribuído (DDoS) que afectó el acceso de los lectores a las noticias. Lo contamos en ese momento porque, en seguridad, comunicar también forma parte de la respuesta.

Ese episodio no fue una excepción. Se conozcan públicamente o no, todas las empresas están siendo atacadas. Algunas lo detectan rápido, otras lo descubren tarde y muchas nunca llegan a dimensionar cuántos intentos reciben. La diferencia ya no está solo en evitar el golpe, sino en cómo se responde cuando ocurre.

El contexto local vuelve esa pregunta cada vez más urgente. Según el Centro Nacional de Respuestas a Incidentes de Seguridad Informática (CERTuy) de la Agencia de Gobierno Electrónico y Sociedad de la Información y el Conocimiento (Agesic), durante 2025 se detectaron y respondieron 42.768 incidentes de seguridad de la información en Uruguay. En 2024 habían sido 14.264, por lo que el salto fue de 199,83% en un año.

Pero el dato requiere una lectura cuidadosa. Para Ignacio Pérez, CEO de QDC by Domus Global, ese aumento no necesariamente significa que haya tres veces más ataques efectivos, sino también que se está reportando más. “Muchas veces los aumentos estadísticos se dan por el aumento de reportes, afortunadamente”, señaló. El matiz importa: una mayor cantidad de reportes también puede ser señal de más conciencia, mejores canales de denuncia y mayor madurez del ecosistema.

A ese crecimiento se suma otro factor, la inteligencia artificial (IA) está elevando la calidad de los ataques. Ya no se trata solo de correos mal escritos o enlaces torpes. Las herramientas de IA permiten redactar mensajes más creíbles, adaptar el lenguaje al país, al rol de la víctima y al contexto de cada empresa. Este vertical ya lo había abordado en la nota sobre Mythos, el caso de Anthropic que encendió alertas sobre el uso ofensivo de IA, y luego en el análisis sobre cómo estas herramientas están acelerando ataques que desafían las defensas tradicionales de las empresas.

En ese escenario, un caso reciente del ecosistema empresarial uruguayo permite mirar un incidente real desde una perspectiva poco frecuente: no solo qué hizo el atacante, sino cómo una organización puede responder de manera ordenada, transparente y éticamente responsable.

El incidente analizado fue clasificado como phishing / credential harvesting, con severidad alta, y tuvo como objetivo comprometer una cuenta de Office 365. El ataque no llegó como un archivo ejecutable evidente ni como un correo burdo: usó una organización externa de confianza, un recurso legítimo para compartir archivos y un documento ".docx" sin virus visibles ni macros maliciosas.

El punto más engañoso del ataque era que el documento no parecía peligroso. Era un archivo de Word aparentemente normal, pero incluía enlaces. La mayoría eran legítimos, lo que ayudaba a generar confianza; uno de ellos llevaba al usuario a una página falsa para robarle sus credenciales.

Ese detalle cambia la discusión. Los atacantes ya no necesitan romper todas las barreras técnicas si logran explotar algo más poderoso: la confianza previa entre personas y organizaciones.

Esteban Sandoval, Head of Cybersecurity de Pyxis, explicó que hoy los ataques de phishing ganan realismo apoyados en IA: usan lenguaje natural, entienden mejor el contexto de una organización y pueden parecer comunicaciones completamente legítimas. En este caso, el ataque llegó desde una organización confiable, en un contexto donde se esperaba recibir información y a través de un recurso que, por sí mismo, era legítimo.

En un ataque de phishing avanzado, la detección rara vez depende de una única alerta. Suele construirse a partir de varias señales: usuarios que reportan correos sospechosos, tráfico hacia dominios inusuales, envíos repetidos desde una cuenta corporativa, movimientos anómalos en plataformas de colaboración o volúmenes de intercambio de archivos que no coinciden con el comportamiento habitual.

Para Sandoval, uno de los momentos críticos es identificar cuándo una actividad deja de ser un evento aislado y pasa a ser un posible incidente. Por ejemplo, el reenvío inusual de un documento compartido a múltiples usuarios puede ser una señal suficiente para activar una evaluación inicial: entender el alcance, estimar el riesgo y decidir si corresponde iniciar el proceso formal de gestión de incidentes.

La palabra central es triage. En ciberseguridad, como en una emergencia médica, no todas las alertas pueden tratarse igual. Hay que priorizar, entender el riesgo y decidir qué se atiende primero. La IA puede ayudar a clasificar y discernir señales, pero no reemplaza el proceso: lo potencia cuando hay criterio, roles claros y capacidad de decisión.

Cuando ocurre un incidente de seguridad, la primera reacción puede definir el resto de la crisis. Por eso, responder bien no depende solo de tener buenas herramientas técnicas, sino de saber quién decide, qué se comunica, qué se contiene primero y cómo se coordina a toda la organización.

En un ataque de este tipo, las acciones suelen incluir el bloqueo de cuentas comprometidas, la revocación de sesiones activas, el restablecimiento de credenciales, la revisión de actividad sospechosa, el análisis de otros usuarios potencialmente afectados y la incorporación de indicadores de compromiso en las plataformas de seguridad. Pero si esas decisiones se toman por primera vez en medio de la presión, el margen de error aumenta.

Para Sandoval, muchas malas decisiones nacen justamente de no tener claro el proceso antes del incidente. La respuesta no debería depender de la improvisación ni de la intuición del momento, sino de roles definidos, criterios de priorización y una coordinación clara entre áreas técnicas y no técnicas.

Esa mirada también es compartida por Ignacio Pérez, CEO de QDC, quien destaca el valor de los ejercicios de table top: simulaciones donde una empresa ensaya cómo respondería ante un incidente, no desde el punto de vista técnico de recuperación de sistemas, sino desde la coordinación organizacional. Es decir: quién toma decisiones, quién informa al directorio, quién habla con clientes, qué se comunica hacia afuera y en qué momento.

La respuesta madura, entonces, no es la de una empresa que nunca recibe un ataque, sino la de una organización que ya practicó cómo actuar cuando el ataque ocurre.

La dimensión ética aparece cuando el ataque puede alcanzar a terceros. Si una cuenta comprometida envía mensajes maliciosos a contactos internos o externos, la comunicación deja de ser un problema reputacional y pasa a ser una medida de protección.

Sandoval plantea que, en ciberseguridad, ya no es una novedad decir que una organización será atacada: la incertidumbre está en cuándo y por quién. Ese enfoque se alinea con marcos como Zero Trust, que parten de una premisa incómoda pero realista: asumir la brecha, no confiar por defecto y verificar siempre.

En la región, sin embargo, todavía pesa el temor a hablar. Pablo Brum, especialista en ciberseguridad y referente de Polo Cyber, advierte que “en mercados latinoamericanos todavía existe resistencia a comunicar incidentes por miedo a las consecuencias reputacionales”. Ese reflejo es comprensible, pero también riesgoso: cuando el ataque se apoya en vínculos de confianza, el silencio puede permitir que siga circulando.

Por eso este tipo de casos también rompe una tendencia. Hablar de un incidente, aunque sea de forma anonimizada y cuidando los detalles sensibles, ayuda a que otras empresas reconozcan señales, revisen sus procesos y preparen mejor su respuesta.

El equilibrio no es publicar todo. Comunicar bien no significa entregar información útil a futuros atacantes. Significa explicar qué ocurrió, qué medidas se tomaron, en qué etapa está la respuesta y qué deben hacer los posibles afectados.

El análisis técnico del caso muestra una cadena más compleja que el phishing tradicional. El documento no ejecutaba malware ni usaba macros, pero contenía enlaces externos. Uno de ellos redirigía a una página que imitaba el flujo de autenticación de Microsoft 365.

El ataque incluyó técnicas de evasión anti-bot, fingerprinting para distinguir navegadores reales de entornos automatizados, captura de cookies de sesión, parámetros falsificados e intentos de exfiltración de credenciales. También fue mapeado contra técnicas del marco MITRE ATT&CK, incluyendo spearphishing link, captura de credenciales en portal web, adversary-in-the-middle, robo de cookies de sesión y spearphishing interno.

La conclusión es clara: los controles tradicionales ya no alcanzan si solo buscan archivos peligrosos, macros o adjuntos evidentes. El ataque moderno puede viajar dentro de un documento limpio, alojado en una plataforma confiable y escrito con lenguaje perfectamente razonable.

El caso deja aprendizajes que van más allá de la organización afectada. El primero es que la ingeniería social ya no depende de mensajes torpes o errores evidentes: puede apoyarse en plataformas legítimas, remitentes confiables y documentos que no activan alarmas tradicionales.

La segunda enseñanza es que la confianza también es una superficie de ataque. El informe del caso marca que los usuarios tienden a bajar la guardia cuando el mensaje parece provenir de colegas, proveedores o instituciones conocidas. Por eso no alcanza con capacitar para detectar “correos raros”: hay que preparar a los equipos para cuestionar comunicaciones aparentemente normales cuando piden credenciales, accesos o acciones sensibles.

La tercera lección es organizacional. Un incidente no se resuelve solo con herramientas. Requiere roles definidos, comunicación interna, contacto con clientes o interesados, análisis forense, recuperación e informe final. En palabras de Sandoval, decidir quién actúa y en qué orden no puede resolverse en medio de la crisis.

La cuarta es ética: comunicar rápido puede evitar que el ataque se propague. Cuando un ataque se apoya en vínculos de confianza, compartir información no es solo una decisión de imagen; también es una forma de proteger al ecosistema.

La quinta enseñanza es técnica, pero con impacto práctico. Después del incidente se reforzaron medidas como Conditional Access, ATP, Safe Links, Safe Attachments, sandboxing de adjuntos Office, verificación estricta de DMARC/SPF/DKIM, monitoreo en XDR, detección de actividad anómala en Graph API y alertas por envíos masivos desde cuentas internas.

La certeza incómoda es que todas las organizaciones van a recibir ciberataques. La diferencia estará en cuánto demoran en detectarlos, cómo los contienen y qué hacen después.

Prepararse no significa solo comprar más herramientas. Implica tener protocolos claros, roles definidos, ejercicios de práctica y criterios de comunicación antes de que ocurra la crisis.

También empieza a cambiar el marco local. El Decreto N.º 66/025 refuerza obligaciones de ciberseguridad para organismos públicos y ciertas organizaciones privadas vinculadas a servicios o sectores críticos, incluyendo el reporte de incidentes y la colaboración con CERTuy cuando corresponda.

Pero la normativa es solo una parte. El cambio más difícil es cultural: dejar de ver la comunicación de incidentes como una debilidad y empezar a verla como una forma de reducir daños. En un ataque que se propaga por confianza, el silencio puede jugar a favor del atacante.

La madurez en ciberseguridad no se mide solo por evitar ataques. Se mide por la capacidad de detectar, contener, investigar, comunicar, corregir y aprender. Reportar más, ensayar la respuesta y comunicar con criterio son señales de fortaleza, no de fragilidad.