En mayo de 2022, el grupo Conti lanzó un ataque de ransomware contra la Caja Costarricense de Seguro Social. El sistema de salud pública de Costa Rica tardó meses en recuperarse. Durante semanas, los hospitales del país operaron con registros en papel. Los turnos médicos se perdieron. Las recetas no llegaron. Un ataque digital paralizó la medicina de un país entero… porque nadie detectó la intrusión a tiempo. Ese es exactamente el escenario que la gestión de amenazas existe para evitar.

La pregunta ya no es si una organización será atacada. La pregunta es cuándo y, sobre todo, cuánto tardará en saberlo. En el contexto latinoamericano, donde conviven multinacionales con infraestructuras robustas y pymes con un antivirus de 2019 como única defensa, esa brecha en la velocidad de detección marca la diferencia entre una interrupción temporal y una catástrofe financiera con nombre propio en los titulares.

¿Qué implica realmente la gestión de amenazas?

La gestión de amenazas abarca las prácticas y tecnologías utilizadas para identificar, evaluar y mitigar riesgos antes de que se conviertan en incidentes graves. No es un panel de control con luces verdes. Es un proceso continuo que combina análisis de comportamiento, inteligencia de amenazas, respuesta coordinada y aprendizaje posterior a cada evento.

Sus componentes fundamentales son tres, y los tres tienen que funcionar al mismo tiempo:

• Monitoreo continuo: vigilancia activa de todos los activos de la organización: servidores, endpoints, redes, aplicaciones cloud y dispositivos IoT. El objetivo no es acumular logs, sino correlacionar eventos dispersos para detectar patrones antes de que escalen.
• Respuesta a incidentes estructurada: identificación, contención, erradicación, recuperación y análisis posterior. Cada fase con responsables definidos y plazos claros. Cada minuto ganado en contención puede representar miles de dólares ahorrados en daño.
• Análisis de vulnerabilidades: revisiones sistemáticas para descubrir y cerrar debilidades antes de que alguien las explote. No como evento anual, sino como proceso vivo integrado al ciclo operativo.

Ninguno de estos componentes funciona en solitario. Un equipo que monitorea bien pero no tiene protocolos de respuesta solo detecta cómo se profundiza el desastre.

El ecosistema de amenazas que le toca enfrentar

Las amenazas de hoy no son hackers solitarios en una habitación oscura. Son redes criminales organizadas con modelos de negocio, servicios de ransomware como plataforma (RaaS), campañas de phishing potenciadas por inteligencia artificial y cadenas de suministro comprometidas que permiten atacar decenas de objetivos a través de un solo proveedor.

En ese entorno, la superficie de ataque de las empresas creció con el teletrabajo, con la migración a la nube y con la proliferación de dispositivos conectados que acceden a sistemas críticos desde redes domésticas. Una credencial expuesta, una VPN mal configurada o un endpoint sin parche no son descuidos menores: son puertas abiertas que cualquier operador de ransomware sabe encontrar.

El uso de SIEM (Security Information and Event Management) y tecnologías de detección basada en inteligencia artificial permite correlacionar eventos dispersos y descubrir ataques en sus fases iniciales. Detectar un inicio de sesión en horario atípico desde una IP geolocalizada en otro país, o un volumen inusual de transferencias desde una base de datos financiera, puede ser la diferencia entre contener y capitular.

Monitoreo: lo que los datos no dicen por sí solos

El monitoreo efectivo no es instalar una herramienta y olvidarse. Requiere calibración continua: definir qué es "normal" para cada sistema, ajustar los umbrales de alerta para reducir el ruido sin sacrificar sensibilidad, y garantizar que un analista real revise las alertas de alta prioridad en minutos, no en horas.

Un volumen inusual de transferencias desde una base de datos financiera a las 3 a.m., comunicaciones de un endpoint hacia IPs externas que no figuran en el inventario de proveedores, o intentos de acceso repetidos desde ubicaciones que no coinciden con el perfil del usuario: cualquiera de estas anomalías puede ser el rastro inicial de un compromiso. Una auditoría continua de vulnerabilidades integrada al monitoreo permite no solo detectar comportamientos anómalos, sino anticipar las debilidades que los atacantes buscan explotar antes de que lleguen a explotarlas.

El desafío que LATAM no puede seguir ignorando

En nuestra región, la gestión de amenazas enfrenta obstáculos que no existen con la misma intensidad en Europa o Norteamérica. Las pymes de México, Colombia y Chile consideran, en su mayoría, que no son un objetivo atractivo. Y los atacantes, que operan con inteligencia de mercado, saben exactamente que eso las convierte en blancos perfectos: menos defensas, menos talento especializado, menos recursos para responder.

América Latina enfrenta un déficit de decenas de miles de profesionales en ciberseguridad. Ese vacío se traduce en dependencia de herramientas automatizadas que nadie configura bien, de proveedores tercerizados que cubren el mínimo del contrato y de equipos de TI que gestionan seguridad como una tarea secundaria en un calendario ya sobrecargado.

Y cuando ocurre el incidente, como en Costa Rica, como en el ataque a PEMEX en 2019 o en el hackeo al Banco de Chile en 2018, la respuesta llega tarde porque los protocolos no existían o nadie los había practicado jamás.

Hacia una gestión proactiva: los tres pilares que no se negocian

La gestión de amenazas moderna no parte de la pregunta "¿qué hacemos si nos atacan?" sino de "¿cómo operamos asumiendo que ya estamos bajo ataque permanente?". Ese cambio de perspectiva determina todo lo demás.

Los tres pilares que estructuran una estrategia sólida:

1. Visibilidad total: no se puede proteger lo que no se conoce. Un inventario completo y actualizado de activos, incluidos los activos en la nube y los dispositivos de usuarios remotos, es la base de cualquier programa de seguridad que pretenda ser serio.
2. Automatización con criterio: bloquear direcciones IP maliciosas, aislar endpoints comprometidos o escalar alertas de alta severidad deben ejecutarse de forma automática en segundos. El tiempo humano es demasiado valioso para gastarlo en tareas que una regla bien configurada puede resolver sin parpadear.
3. Resiliencia organizacional: la tecnología más sofisticada falla si el equipo no sabe qué hacer cuando suena la alarma. Los simulacros de incidentes, los manuales de actuación y los roles bien definidos son tan críticos como cualquier firewall de próxima generación.

El enemigo evoluciona todos los días, literalmente. La pregunta es si tu organización tiene un programa de gestión de amenazas que evoluciona a la misma velocidad, o si todavía confía en que la próxima vez el ataque llegará con menos precisión que la última.