Dejemos de esperar el golpe: El manifiesto por una ciberseguridad que pasa al ataque
Seamos brutalmente honestos por un momento. Hay una conversación que todo CISO, todo director de seguridad, teme más que a un exploit de día cero: la llamada al CEO después de una brecha masiva.
Es esa conversación donde tienes que explicar cómo, a pesar de un presupuesto de millones y un arsenal de herramientas con acrónimos brillantes, el enemigo se coló por la puerta trasera. O peor aún, por la puerta principal.
Durante años, nos hemos contado una historia reconfortante. La historia de que, si construimos nuestros muros lo suficientemente altos y vigilamos con la suficiente atención, estaremos a salvo. Compramos firewalls, EDRs, SIEMs, y un sinfín de plataformas que prometían una visibilidad sin precedentes.
Y sin embargo, aquí estamos, en pleno 2025, y el modelo de ciberseguridad en el que hemos confiado se desmorona a nuestro alrededor. Las brechas de los últimos 24 meses no son solo advertencias; son la autopsia de una estrategia fallida.
La verdad es que ya no se trata de cuándo nos atacarán. La guerra es perpetua, asimétrica y se libra cada segundo en nuestros sistemas. El adversario solo necesita encontrar un fallo, una vez. Nosotros, los defensores, necesitamos acertar siempre. Es una ecuación insostenible. Por eso, la única forma de cambiar el resultado no es construyendo muros más altos, sino demoliendo nuestra propia filosofía. Es hora de dejar de esperar el golpe y empezar a lanzarlo nosotros mismos, de forma controlada y continua. Es hora de pasar a la ofensiva.
La autopsia de un modelo reactivo: Evidencia A y B
Si necesitas pruebas de que nuestra postura defensiva tradicional es un barco que se hunde, no mires más allá de las noticias. Las cifras por sí solas deberían darnos escalofríos. Proyectar que el cibercrimen nos costará 10.5 billones de dólares anuales es una cifra tan vasta que pierde significado.
Pongámoslo en perspectiva: es más que el PIB combinado de Japón y Alemania. No estamos luchando contra hackers solitarios en sótanos oscuros; estamos luchando contra un conglomerado industrial del crimen, con departamentos de I+D, divisiones de marketing (Ransomware-as-a-Service), y una cadena de suministro de Initial Access Brokers que haría sonrojar a cualquier multinacional.
Y mientras esta economía sumergida florece, nuestro Centro de Operaciones de Seguridad (SOC) tradicional sigue funcionando como un vigilante nocturno en un rascacielos. Mira un mar de monitores parpadeantes, ahogado en un tsunami de alertas, esperando ver la aleta del tiburón cuando este ya está devorando los cimientos del edificio.
Dos incidentes recientes, dos autopsias, lo demuestran con una claridad dolorosa.
1. El desastre de Change Healthcare: Mil millones de dólares por una puerta sin llave.
El colapso de Change Healthcare en febrero de 2024 debería estudiarse en las escuelas de negocio como una parábola de la fragilidad moderna. De la noche a la mañana, el sistema nervioso del sector salud estadounidense fue seccionado. Farmacias sin poder procesar recetas, hospitales sin poder cobrar, pacientes en vilo. El impacto financiero directo superó los 1,600 millones de dólares para su matriz, UnitedHealth Group, una cifra que no incluye las demandas, las multas regulatorias ni el daño reputacional, que es incalculable.
¿Qué arma exótica y futurista usó el grupo BlackCat/ALPHV para causar este caos? Ninguna. Usaron una llave que la propia organización había dejado tirada en el felpudo. Comprometieron una cuenta de Citrix para acceso remoto. Una cuenta que, en una negligencia que roza lo criminal, carecía de Autenticación Multifactor (MFA).
No fue un misil hipersónico. Fue una puerta sin cerrojo. En su desesperación, UnitedHealth admitió haber pagado un rescate de 22 millones de dólares, un acto que alimenta directamente la industria que los puso de rodillas. Este incidente es la encarnación de la gran paradoja de la ciberseguridad moderna: invertimos fortunas en plataformas de IA y Threat Hunting para encontrar la aguja en el pajar, pero fallamos estrepitosamente en verificar si las puertas del granero están cerradas con llave.
2. La crisis de Snowflake: Cuando tu perímetro es una ilusión.
Si el caso de Change Healthcare fue una lección sobre los fundamentos, la serie de brechas en clientes de Snowflake en mayo de 2024 fue una lección sobre los límites. Gigantes como Ticketmaster y Santander vieron cómo terabytes de sus datos eran exfiltrados y puestos a la venta. De nuevo, la causa raíz no fue un fallo en la robusta plataforma de Snowflake. El culpable fue mucho más mundano.
El grupo de atacantes, identificado como Scattered Spider (o UNC5537), utilizó una de las tácticas más antiguas y efectivas: el credential stuffing. Es el equivalente digital a un ladrón que consigue una copia de miles de llaves robadas y las prueba pacientemente en cada puerta de un vecindario de lujo. Los atacantes usaron credenciales de clientes de Snowflake que habían sido robadas en brechas anteriores (a través de infostealers) y que estaban a la venta en la web oscura. Una vez más, el punto de fallo crítico fue la falta de MFA en las cuentas de los clientes afectados.
Este incidente destroza por completo la noción del “perímetro defendible”. La seguridad de AT&T ya no residía en sus firewalls, sino en la configuración de una cuenta en una plataforma de un tercero. En la era de la nube, las APIs y las cadenas de suministro interconectadas, la identidad se ha convertido en el nuevo y definitivo campo de batalla. Un SOC tradicional, optimizado para monitorear el tráfico de red Norte-Sur, es funcionalmente ciego ante un adversario que simplemente “inicia sesión” con credenciales válidas en un servicio en la nube.
Atrapado en la rueda del hámster: La insostenible realidad del CISO
Si sos un CISO, nada de esto te sorprende. Vivis esta realidad cada día. Lideras un equipo que se ahoga en una avalancha de alertas, donde más del 50% son falsos positivos.
Tus analistas, si tienes la suerte de encontrarlos y retenerlos en medio de una escasez global de 3.5 millones de profesionales, sufren una “fatiga de alertas” crónica que, irónicamente, les hace pasar por alto las amenazas reales.
Te enfrentas a un “tool sprawl” (proliferación de herramientas) paralizante. Has comprado las mejores soluciones de su clase, pero no se comunican entre sí, creando silos de datos y una complejidad que juega a favor del atacante.
Y luego está la junta directiva. Vas a ellos a justificar presupuestos cada vez mayores, y te miran con una mezcla de confusión y escepticismo. El CEO te pregunta: “Gastamos 5 millones en esa plataforma de ‘Ciber-Defensa 3000’ el año pasado.
¿Por qué ha vuelto a pasar esto?”. Y tú te ves forzado a dar una explicación técnica y compleja que no logra responder a una pregunta de negocio muy simple.
La dura verdad es que estar “a la derecha del golpe” —operar en modo reactivo— es una receta para el fracaso y el agotamiento. Es cederle la iniciativa, el tiempo y el terreno al adversario. Para recuperar el control, el cambio no puede ser incremental. Tiene que ser fundamental.
El cambio de paradigma: Anatomía del Centro de Operaciones de Seguridad Ofensivo
Frente a este fracaso sistémico, emerge una nueva doctrina: el SOC Ofensivo. Y no, no es simplemente un cambio de nombre para el mismo equipo. Es una reinvención radical de su propósito, su filosofía y su flujo de trabajo. Es la transición de ser un centinela pasivo a ser un sparring partner activo y constante.
El SOC tradicional pregunta: “¿Nos están atacando?” El SOC Ofensivo pregunta: “¿Son nuestras defensas tan buenas como creemos? Demostrémoslo.”
Su misión no es la gestión de incidentes, sino la validación continua de la postura de seguridad. En lugar de ser un equipo de bomberos que espera la alarma, es un equipo de “control de calidad” implacable que busca activamente los defectos de fabricación en el proceso de seguridad, antes de que el adversario —el “cliente” final— los descubra en “producción”.
Esta filosofía se basa en un principio clave: la validación no es un informe puntual, es una práctica persistente. Una prueba de penetración anual o semestral en un entorno que cambia a diario es como hacerle una foto a un río y pretender conocer su caudal. El SOC Ofensivo integra la mentalidad y las tácticas de un atacante en las operaciones diarias. Piensa y actúa como el enemigo, para superarlo.
Este cambio de paradigma es la llave para que el CISO salga de la trampa reactiva. Transforma la conversación con el directorio, pasando de un lenguaje de miedo e incertidumbre (“necesitamos esto para que no nos pase algo malo”) a uno de calidad, eficiencia y retorno de inversión medible (“nuestros controles actuales detienen el 65% de las tácticas de este grupo de ransomware; con estos ajustes, podemos llegar al 90%, optimizando la inversión ya realizada”). Una brecha de seguridad deja de ser un evento inevitable y se convierte en lo que realmente es: un “defecto de calidad” en nuestro proceso que pudimos y debimos haber encontrado y corregido primero.
Los 4 pilares de la doctrina ofensiva: Tácticas y tecnología para pensar como el adversario
La implementación de un SOC Ofensivo no es un concepto abstracto. Se sustenta en cuatro pilares operativos interconectados, cada uno habilitado por tecnologías específicas y diseñado para imitar las fases de un ataque real.
1. Reconocimiento Continuo: Mapeando un campo de batalla en constante expansión. La primera regla de cualquier conflicto es conocer el terreno. Para un adversario, esto significa un reconocimiento exhaustivo. Para un SOC Ofensivo, también. El principio es simple y brutal: “no se puede validar lo que no se ha encontrado”. Las auditorías trimestrales son reliquias. La superficie de ataque moderna es un ente dinámico y caótico, plagado de cargas de trabajo efímeras en la nube, “Shadow IT” que crece en las sombras, registros DNS obsoletos y buckets de S3 configurados como públicos por error.
Un SOC Ofensivo utiliza herramientas de Gestión de la Superficie de Ataque Externa (EASM) que actúan como un adversario, escaneando continuamente Internet para descubrir todos los activos expuestos. Al mismo tiempo, aplica técnicas de OSINT (Inteligencia de Fuentes Abiertas), buscando en LinkedIn, foros y repositorios de código cualquier información que pueda revelar detalles de la infraestructura o credenciales expuestas, exactamente como lo haría un atacante.
2. Simulación del Enemigo: El sparring diario con el arsenal de BAS. Una vez que conoces el terreno, pruebas las defensas. Aquí es donde el SOC Ofensivo se aleja radicalmente del modelo tradicional. Despliega plataformas de Simulación de Brechas y Ataques (BAS) para atacar de forma controlada, segura y continua. BAS no es un escáner de vulnerabilidades; es un emulador de adversarios. Su función es responder a las preguntas que mantienen despiertos a los CISOs: ¿Mi carísimo EDR realmente bloqueará una variante de ransomware antes de que cifre los archivos? ¿Mi Web Application Firewall (WAF) es capaz de detener un ataque crítico como Log4j, o es simplemente una casilla de verificación de cumplimiento?
Las plataformas BAS ejecutan miles de simulaciones seguras que imitan las Tácticas, Técnicas y Procedimientos (TTPs) de ciberdelincuentes reales. Estas simulaciones, mapeadas al framework MITRE ATT&CK —la enciclopedia global de tácticas de ataque—, permiten medir objetivamente la eficacia de los controles. Esto transforma la defensa, pasando de una actividad reactiva a una estrategia informada por la amenaza, donde los recursos se alinean para contrarrestar las TTPs más peligrosas y relevantes.
3. Automatización de la Brecha: Encadenando exploits para revelar las rutas críticas. Los atacantes más peligrosos rara vez tienen éxito debido a una única vulnerabilidad. Su verdadero arte reside en el “encadenamiento de exploits”: combinar múltiples fallos de baja o media gravedad para construir una ruta de ataque desde un punto de acceso de bajo privilegio hasta las “joyas de la corona”. Aquí es donde entra en juego el tercer pilar: las Pruebas de Penetración Automatizadas.
A diferencia de BAS, que a menudo se centra en pruebas atómicas, el pentesting automatizado simula una brecha completa. Asumiendo un punto de entrada, como un portátil comprometido, la plataforma intenta descubrir y validar las rutas de ataque más cortas y sigilosas hacia recursos críticos, como los privilegios de Administrador de Dominio. Combina técnicas como el robo de credenciales, el movimiento lateral y la escalada de privilegios en una secuencia lógica, revelando a menudo cómo un atacante puede tomar el control total de la red sin que salte una sola alerta. Este enfoque automatizado ofrece la frecuencia y la escala que las pruebas manuales, valiosas pero puntuales y costosas, nunca podrán proporcionar.
4. La Deriva Silenciosa: Detectando la erosión de la postura de seguridad. El pilar final aborda uno de los enemigos más 
insidiosos: la “deriva” o “entropía de la seguridad”. La seguridad no es un estado estático; es un proceso que se degrada silenciosamente. La deriva de configuración ocurre cuando los sistemas se desvían de su estado base seguro debido a cambios de emergencia, actualizaciones de software o errores humanos. Una regla de firewall modificada temporalmente, una política de EDR desactivada para una prueba, una configuración de nube incorrecta durante un despliegue rápido… son las pequeñas grietas que causan las grandes inundaciones.
El SOC Ofensivo combate esta erosión mediante la repetición. Al ejecutar las mismas simulaciones de forma continua, establece una línea base del rendimiento de los controles. Cuando una simulación que antes era bloqueada de repente tiene éxito, el sistema no solo identifica qué control falló, sino que también puede señalar cuándo comenzó a fallar. Es la diferencia fundamental entre una instantánea puntual de la seguridad y una película continua de la resiliencia organizacional.
Operacionalizando la ofensiva: Del concepto a la realidad en el campo de batalla
La transición a un modelo ofensivo es un desafío, pero el mercado ha madurado para facilitarla.
Tomemos como ejemplo los hallazgos, basado en millones de simulaciones realizado por una consultora de renombre. Reveló que en el 40% de los entornos probados, existían rutas de ataque directas para escalar a Administrador de Dominio. Pero también demostró el poder de la validación: las organizaciones que usaban la plataforma lograron duplicar la efectividad de sus controles de prevención en 90 días, simplemente ajustando y optimizando las herramientas que ya poseían.
La verdadera potencia reside en la integración.
El flujo de trabajo moderno se ve así:
- Simulación: Una plataforma BAS ejecuta un TTP de ransomware.
- Validación: La simulación tiene éxito. El EDR no la bloqueó y el SIEM no generó una alerta. Se ha identificado una brecha.
- Remediación: En lugar de un informe estático, la plataforma ofrece una recomendación de mitigación específica: una regla de detección para Splunk, una firma para el IPS, etc.
- Implementación: El analista implementa la nueva regla.
- Re-validación: La plataforma vuelve a ejecutar la misma simulación. Esta vez, el SIEM genera una alerta. La brecha se ha cerrado y, lo más importante, se ha verificado.
Este ciclo virtuoso convierte la seguridad en un proceso de mejora continua y, fundamentalmente, convierte el gasto en seguridad en una inversión medible y optimizable.
El nuevo manual del CISO: Liderando desde la vanguardia
La adopción del modelo de SOC Ofensivo es, en última instancia, una evolución en el liderazgo. Es la encarnación de una estrategia de Defensa Informada por la Amenaza (Threat-Informed Defense). Ya no te proteges contra todo de manera uniforme; enfocas tus recursos en contrarrestar las tácticas que los adversarios reales están usando contra tu sector.
Esto cambia radicalmente la conversación con el directorio. Puedes presentar paneles que visualizan:
- La Eficacia Real de los Controles: Gráficos que muestran el porcentaje de TTPs de adversarios que bloqueas y detectas.
- La Cobertura de MITRE ATT&CK: Un mapa de calor que muestra dónde eres fuerte y dónde tienes brechas críticas.
- El Progreso Medible: Métricas que demuestran cómo la postura de seguridad mejora, vinculando la actividad del equipo a una reducción real del riesgo.
Este modelo es el antídoto para la “deuda de seguridad” —la acumulación de controles mal configurados, políticas obsoletas y parches no aplicados—. Un SOC Ofensivo “paga” esta deuda de forma constante, evitando que se acumule hasta un nivel catastrófico.
Mirando hacia el futuro, hacia la seguridad de la IA, el Edge Computing y los entornos multi-nube, un enfoque reactivo es un suicidio. Estos desafíos requieren un sistema que pueda descubrir, simular y validar defensas contra vectores de ataque en constante evolución.
La era de la defensa pasiva ha terminado. Construir un SOC Ofensivo no se trata de añadir más ruido, sino de buscar la verdad empírica. Es la diferencia entre esperar a ser una víctima y entrenar cada día para ser un defensor resiliente. Para los líderes de seguridad que buscan navegar el panorama de amenazas de 2025 y más allá, el camino es claro. La ofensiva persistente, a través de la validación continua, es la única estrategia viable para lograr una resiliencia cibernética que sea, por fin, duradera y demostrable.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en:
Biometría 2025: futuro eficaz de la identidad para Latam
Cisco Unified Communications Manager: alerta de seguridad peligrosidad 10 (ACTUALIZADO)
C&M Software 2025: cuando los CISO brasileños se hicieron PIX oficial
Active Listening 2025: ¿hay seguridad en tu teléfono?
Ciberseguridad es esencial en la Era de la IA 2025
SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo, SOC ofensivo,