EDUARDO TAMBIÉN ESTÁ EN:

Los ciberataques ya no son genéricos. Ahora están hechos a la medida

Cada vez es más evidente que la ciberseguridad no puede depender únicamente de soluciones técnicas. Es necesario incorporar un enfoque más amplio que considere el comportamiento humano como parte central del riesgo.

28 de enero, 2026

Jose Luis Garcia

Durante años, la ciberseguridad fue tratada como un tema técnico, casi exclusivo de áreas de sistemas. Para muchas empresas e instituciones públicas, el enfoque se limitaba a “tener antivirus” o “cumplir con un checklist”. Hoy, esa visión quedó rebasada.

En 2026, los ciberataques más dañinos ya no se caracterizan por su volumen, sino por su precisión. Los atacantes dejaron de lanzar amenazas indiscriminadas y comenzaron a diseñar ataques a la medida de cada organización, considerando su sector, su operación y, sobre todo, a las personas que trabajan en ella.

Este cambio explica por qué los incidentes recientes tienen un impacto cada vez mayor en la economía, la operación de servicios críticos y la confianza pública.

Ataques diseñados para causar daño real

Una parte creciente de los incidentes relevantes no utiliza software malicioso genérico, sino códigos maliciosos personalizados, conocidos como payloads. A diferencia de los ataques tradicionales, estos no buscan infectar miles de equipos, sino afectar puntos clave: sistemas críticos, procesos sensibles o áreas estratégicas.

El atacante ya no actúa al azar. Observa, analiza y entiende cómo funciona la organización antes de ejecutar el ataque. El resultado es un incidente más silencioso, más difícil de detectar y con consecuencias mucho más costosas.

Desde una perspectiva de negocio y de país, esto es relevante porque el daño ya no se limita al ámbito digital. Se traduce en interrupciones operativas, pérdidas económicas, afectaciones a la reputación y, en algunos casos, impactos directos a ciudadanos y consumidores.

El tiempo como el principal aliado del atacante

Uno de los elementos más preocupantes de estos ataques es el tiempo. Los códigos maliciosos personalizados suelen permanecer activos dentro de las organizaciones durante días o semanas sin ser detectados. No generan alertas inmediatas y evitan afectar sistemas secundarios para no levantar sospechas.

Desde el punto de vista del negocio, esto significa que el atacante:

· Permanece más tiempo dentro de la organización.

· Identifica con precisión los sistemas más críticos.

· Ejecuta el ataque cuando el impacto será mayor.

Cuando el incidente finalmente se hace visible, las decisiones ya no se toman con calma, sino bajo presión, con información incompleta y con consecuencias inmediatas.

Un patrón que afecta a sectores estratégicos

Este tipo de ataques no distingue entre sectores públicos o privados. En Salud, puede afectar la disponibilidad de sistemas médicos y datos sensibles. En Manufactura, puede detener líneas de producción y romper cadenas de suministro. En Retail y Finanzas, puede derivar en fraudes silenciosos y pérdida de confianza de clientes.

En todos los casos, el ataque no es improvisado. Es el resultado de paciencia, observación y entendimiento del funcionamiento interno de la organización.

El inicio suele ser simple

A pesar de su sofisticación final, estos ataques suelen comenzar de manera sencilla: un correo convincente, un archivo aparentemente legítimo o un enlace enviado en el momento adecuado.

Después de ese primer paso, entra en acción un pequeño componente malicioso —conocido como loader— cuyo objetivo no es causar daño inmediato, sino establecer presencia dentro del sistema y preparar el ataque con calma.

Cuando el daño ocurre, el problema no empezó ese día. Empezó mucho antes.

El error de pensar que es solo un problema tecnológico

Aquí es donde muchas estrategias fallan. Estos ataques no prosperan únicamente por fallas técnicas, sino porque aprovechan decisiones humanas normales, tomadas bajo presión, urgencia o confianza.

Desde una perspectiva de riesgo, el problema ya no es solo qué tipo de malware entra, sino qué decisiones cotidianas permiten que el atacante tenga el tiempo suficiente para entender la organización y diseñar un ataque a su medida.

Por eso, incluso organizaciones con inversiones importantes en tecnología siguen enfrentando incidentes graves. No es falta de herramientas; es una superficie de riesgo humano que no se está gestionando de forma sistemática.

Un cambio necesario en la prevención

La Gestión del Riesgo Humano busca precisamente eso: identificar patrones de comportamiento, reducir errores recurrentes y fortalecer la toma de decisiones antes de que el ataque avance. No se trata de culpar a las personas, sino de reconocer que el factor humano es un componente estructural del riesgo digital.

Existen plataformas, como KnowBe4, que permiten llevar este enfoque a la práctica, ayudando a las organizaciones a medir y reducir este tipo de riesgos de forma continua y objetiva.

Una reflexión final

Los ciberataques modernos no rompen sistemas por la fuerza. Aprovechan el tiempo que las organizaciones les conceden sin notarlo. El daño final puede ser sofisticado, pero la oportunidad se construye mucho antes, a partir de decisiones humanas comunes.

En un entorno donde la economía, los servicios públicos y la confianza social dependen cada vez más de lo digital, gestionar el riesgo humano ya no es un tema opcional. Es una condición necesaria para proteger la operación, la reputación y la estabilidad de las organizaciones en México.

Comentarios

Jose Luis Garcia

BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.

See Full Bio