Cuatrocientos setenta y un millones. Esa es la cifra que la Comisión de Regulación de Comunicaciones de Colombia ha documentado como intentos de ataque contra dispositivos conectados en el país durante 2025. Si hacemos el cálculo, estamos hablando de 1,3 millones de intentos cada día.

No son números abstractos ni proyecciones teóricas de algún analista encerrado en una oficina. Son eventos reales, registrados, intentos concretos de entrar, infectar, robar o destruir. El análisis prospectivo de ciberseguridad en Colombia que presenta la CRC no es solo un ejercicio académico, es el mapa de un campo de batalla donde el adversario ya está dentro, probando puertas, buscando grietas, esperando el momento de golpear.

Colombia bajo asedio digital. Lo que dicen los datos

El documento parte de una premisa que cualquier analista de amenazas confirma en su día a día, la superficie de ataque ha crecido de forma exponencial. Más dispositivos, más conectividad, más inteligencia artificial desplegada sin controles adecuados. Sin embargo, lo relevante del análisis prospectivo de ciberseguridad en Colombia está en la granularidad de los datos que lo sustentan.

FortiGuard Labs ha registrado, además de los 471,5 millones de intentos de ataque genéricos, 43,8 millones de ataques coordinados mediante botnets. Redes enteras de equipos comprometidos, controlados de forma remota, lanzando ofensivas automatizadas a una velocidad que ninguna mano humana puede igualar.

A esto se suman 31,3 millones de intentos de infección por malware convencional y un volumen de alertas IPS que alcanza los 14.500 millones.

¿Qué significa esto en términos operativos? Que el adversario no necesita suerte. Tiene margen de error. Puede fallar mil veces, diez mil veces y solo necesita acertar una.

Sectores afectados

Los sectores más golpeados no son casuales. Telecomunicaciones recibe el 51% de los ataques por botnets y un abrumador 84,7% de los intentos de infección por virus. Gobierno, Tecnología y Salud concentran cerca del 75% de las alertas de intrusión. No es difícil entender por qué: son los puntos donde vive la información valiosa, donde se gestiona la infraestructura crítica, donde un ataque exitoso genera efecto cascada sobre toda la sociedad.

El factor humano: la brecha que ninguna herramienta cierra

Pero hay otro dato en este análisis que debería hacer sonar todas las alarmas. Según el informe The 2025 Security Awareness Training Statistics de KeepnetLabs, el 82% de las brechas de datos involucran algún elemento humano. Proofpoint lo corrobora en su estudio Voice of the CISO 2025: el 66% de los CISO consideran a las personas como su mayor riesgo de ciberseguridad, por encima de la inteligencia artificial, por encima del ransomware, por encima de cualquier amenaza técnica.

Esto no significa que la tecnología sea irrelevante. Significa que el adversario ha identificado dónde está el eslabón más débil de la cadena y está explotándolo de forma sistemática.

Desde la perspectiva del atacante el ser humano es un vector predecible. Se puede engañar con phishing, se puede manipular con ingeniería social, se puede presionar con urgencia, se puede distraer. Mientras las organizaciones sigan invirtiendo el 90% de su presupuesto en herramientas técnicas y el 10% en su gente, este desequilibrio seguirá siendo explotable.

El análisis de ciberseguridad en Colombia lo dice sin eufemismos. La ciberseguridad ya no es un asunto exclusivamente tecnológico. Es un desafío estratégico donde la cultura organizacional determina si las personas son defensoras o vulnerabilidades.

Cómo opera el adversario: el mapa de la amenaza

Para entender la magnitud del problema, hay que mirar las técnicas de ataque. Las botnets, por ejemplo, no son un fenómeno nuevo, pero han evolucionado. Lo que antes requería redes de miles de equipos comprometidos manualmente, hoy se gestiona desde plataformas de Malware-as-a-Service (MaaS) que cualquiera puede alquilar por unos cuantos dólares al mes.

El ciclo de ataque típico sigue patrones bien documentados en el framework MITRE ATT&CK:

• Reconocimiento inicial. El adversario identifica objetivos en sectores estratégicos mediante escaneo de vulnerabilidades y recolección de información pública sobre la organización.
• Acceso inicial. Generalmente mediante phishing dirigido o explotación de vulnerabilidades no parchadas en servicios expuestos.
• Establecimiento de persistencia. Una vez dentro, el atacante despliega backdoors y mecanismos de acceso remoto que le permiten mantener el control incluso si se cierra la vía de entrada original.
• Lateral movement. El movimiento lateral hacia otros sistemas de la red, buscando activos de mayor valor.
• Exfiltración o destrucción. El objetivo final: robar datos para extorsión (ransomware) o vender en mercados oscuros, destruir evidencias, interrumpir servicios.

En Colombia, la concentración de ataques en Telecomunicaciones tiene una explicación lógica, este sector es la columna vertebral de la conectividad nacional. Si un atacante compromete un operador de telecomunicaciones, gana acceso potencial a millones de usuarios finales, a empresas de todos los sectores, a infraestructura crítica. Es el efecto multiplicador que cualquier adversario sofisticado busca.

Hacia una defensa que priorice lo que importa

El documento de la CRC no se limita a diagnosticar; propone un cambio de enfoque. Y tiene razón. La inversión en tecnología EDR, XDR, SIEM, firewalls de última generación es necesaria pero insuficiente si el factor humano sigue siendo el talón de Aquiles.

Una estrategia de defensa efectiva en el contexto que describe el análisis prospectivo de ciberseguridad requiere tres pilares:

1ro. Endurecer el perímetro humano. Programas de capacitación que no sean ejercicios formales una vez al año, sino procesos continuos de concienciación. Simulaciones de phishing con retroalimentación inmediata. Cultura de reporte donde el empleado no tema admitir que cometió un error.

2do. Arquitecturas Zero Trust. Asumir que el adversario ya está dentro. Verificar cada acceso, cada dispositivo, cada transacción. Segmentar redes para limitar el lateral movement. Monitoreo continuo de comportamiento anómalo.

3ro. Colaboración público-privada. Los datos del estudio demuestran que el ataque es transversal. Ninguna organización, por grande que sea, puede defenderse sola. Compartir inteligencia de amenazas, reportar incidentes, coordinar respuestas: esto no es opcional, es supervivencia.

El informe también destaca la necesidad de entender el contexto regional. Colombia no es un caso aislado. Los patrones de ataque documentados botnets, malware, intentos de intrusión IPS son consistentes con tendencias globales. Sin embargo, la respuesta debe adaptarse a las capacidades locales, a la madurez regulatoria del país, a la disponibilidad de talento especializado.

¿Y ahora qué?

La Comisionada de la CRC, Claudia Ximena Bustamante, lo plantea con claridad, contar con una lectura actualizada del estado de la ciberseguridad permite fortalecer las defensas y adaptarse a un panorama de amenazas en constante evolución. Pero la lectura por sí sola no cambia nada. Lo que cambia es lo que las organizaciones hacen con esa información.

La pregunta ya no es si Colombia seguirá siendo objetivo. Con 471 millones de intentos de ataque en un año, esa respuesta es evidente. La pregunta estratégica que plantea el análisis prospectivo de ciberseguridad en Colombia es otra: ¿qué tan preparada está tu organización para cuando el adversario finalmente encuentre la grieta que busca?