27 segundos. Ese no es el tiempo que tarda tu equipo en reunirse para una llamada de emergencia. No es el tiempo que tarda un analista en validar una alerta. Es el nuevo récord de breakout time: el intervalo entre el acceso inicial de un atacante y su primer movimiento lateral dentro de una red comprometida. Este dato, revelado en el Informe Global de Amenazas 2026 de CrowdStrike, no es una anomalía. Es el resultado directo de los ataques acelerados por IA que están convirtiendo los procesos de respuesta a incidentes en un ejercicio de futilidad. La ventana para detectar y contener ha dejado de ser una ventana. Es una grieta.

Qué es el "breakout time" y por qué se ha evaporado

Durante años, el breakout time ha sido la métrica de oro para los defensores. Representaba el tiempo de gracia: la oportunidad que tenía un Security Operations Center (SOC) para identificar una intrusión, aislar el endpoint afectado y detener la hemorragia antes de que el atacante se atrincherara en la red. Hace apenas unos años, esa ventana era de horas. En 2022 era de 84 minutos. En 2025, el promedio se desplomó a 29 minutos.

Pero el promedio oculta una realidad mucho más brutal. El actor más rápido lo logró en 27 segundos.

Esta compresión no es una mejora incremental. Es un cambio de paradigma impulsado por la automatización y la inteligencia artificial. Los atacantes han industrializado su kill chain, convirtiendo secuencias que antes requerían intervención humana en flujos de trabajo completamente automatizados. Mientras un analista todavía correlaciona logs, el script del adversario ya cosechó credenciales, escaló privilegios y avanza hacia el controlador de dominio. La ventaja del defensor, construida durante décadas sobre la noción de que los humanos son más rápidos que el tiempo de respuesta del atacante, ha desaparecido.

La anatomía de los ataques acelerados por IA

La velocidad no surge de la nada. Es el producto de una nueva caja de herramientas donde la IA actúa como multiplicador de fuerza en cada fase del ataque. Los adversarios integran modelos de lenguaje y sistemas de automatización para optimizar sus TTPs siguiendo una lógica que se alinea directamente con el framework MITRE ATT&CK, pero ejecutada a velocidad máquina.

• Reconocimiento y selección de objetivos (TA0043, TA0042): Los modelos de IA escanean la superficie de ataque expuesta a internet, identifican vulnerabilidades sin parchear y correlacionan esa información con datos de empleados obtenidos de filtraciones para construir perfiles de víctimas de alto valor en cuestión de minutos, sin intervención humana.

• Acceso inicial, ejecución y movimiento lateral (TA0001, TA0002, TA0008): La generación de correos de spear phishing hiperrealistas es trivial con los LLM actuales. Más allá del phishing, la IA genera payloads polimórficos que mutan su código entre cada infección para evadir firmas en tiempo real, y ejecuta el movimiento lateral interpretando el entorno de red de forma autónoma para identificar el siguiente activo crítico antes de que el SOC detecte el primero.

Un dato que define la era: el 82% de las intrusiones documentadas por CrowdStrike fueron completamente malware-free, apoyándose exclusivamente en el abuso de identidades y credenciales legítimas. Esto no es una estadística secundaria. Es la declaración de que las defensas basadas en detección de firmas han sido superadas como estrategia principal del adversario.

Los actores que ya operan así

La inteligencia de amenazas confirma que no se trata de un escenario teórico. Grupos APT y actores de eCrime ya despliegan estas capacidades en campañas activas documentadas con nombres propios.

FANCY BEAR (APT28), vinculado a la inteligencia militar rusa, ha sido observado utilizando malware con capacidades de LLM, denominado LAMEHUG, para automatizar la recolección de documentos y el reconocimiento dentro de las redes comprometidas. El grupo no solo automatiza el movimiento lateral, sino también la exfiltración selectiva: el modelo de IA prioriza documentos según su relevancia estratégica antes de extraerlos, reduciendo el ruido de red y el riesgo de activar alertas de volumen.

FAMOUS CHOLLIMA, vinculado a Corea del Norte, opera en otro nivel. Este grupo utiliza IA para generar identidades falsas a escala industrial, facilitando operaciones de ingeniería social donde sus operativos se infiltran como empleados o contratistas en empresas tecnológicas objetivo. Una vez dentro, el acceso privilegiado se convierte en puerta trasera permanente que puede activarse semanas o meses después, cuando la vigilancia inicial se ha relajado.

En el ámbito del cibercrimen, PUNK SPIDER ha empleado scripts generados por IA para acelerar el robo de credenciales y, de forma crítica, para borrar evidencias forenses antes de la activación del ransomware. El adversario no solo es más rápido para entrar, sino también para desaparecer. Esta automatización de la "limpieza post-intrusión" reduce aún más el tiempo disponible para que los equipos de IR comprendan el alcance real del compromiso.

La identidad como campo de batalla principal

El dato del 82% malware-free no es accidental. Es una respuesta deliberada a la maduración de los EDR. Si las plataformas de detección en endpoints han mejorado lo suficiente para dificultar el uso de binarios maliciosos, la solución del adversario es simple: no usarlos. En cambio, se abusan credenciales legítimas, se explotan tokens de acceso activos y se usa el propio software de la organización para el movimiento lateral, la táctica conocida como Living off the Land (LOTL).

Frente a este vector, el modelo de firewall perimetral no tiene respuesta. Un usuario legítimo con credenciales válidas conectándose a un servidor interno desde una IP conocida es invisible para la mayoría de las herramientas tradicionales. La defensa efectiva requiere analizar comportamiento, no firma: ¿este usuario habitualmente accede al servidor de backup a las 3 AM? ¿Descargó 80 GB en los últimos 12 minutos? Son preguntas que solo un sistema de análisis de comportamiento de usuario (UEBA) puede responder en el margen de tiempo que queda.

La defensa en la era de la autonomía

Un SOC exclusivamente humano no puede competir contra un ataque operado a 27 segundos de breakout time. Añadir analistas no resuelve un problema de velocidad. Solo lo parchea temporalmente mientras el adversario acelera.

La respuesta operativa pasa por tres capas integradas. Primero, plataformas XDR que correlacionen telemetría de endpoints, identidad y nube en tiempo real, con un MTTD medido en segundos. Segundo, SOAR con playbooks de contención automática que ejecuten sin validación humana cuando detecten patrones de movimiento lateral que coincidan con TTPs conocidos: aislar el host, revocar la sesión, bloquear la IP de origen. Tercero, un modelo Zero Trust centrado en la identidad que verifique continuamente cada sesión de acceso, detecte anomalías de comportamiento y revoque credenciales comprometidas de forma autónoma, antes de que el script del adversario llegue al siguiente activo en su lista.

La arquitectura correcta no intenta igualar la velocidad del atacante. Le elimina el margen de maniobra antes de que lo necesite.

La pregunta ya no es si tu equipo puede responder en 30 minutos. La pregunta es: ¿qué puede hacer tu sistema de defensa en los próximos 30 segundos?