Incidentes Asociados
Desde hace años, el sector de la seguridad utiliza comúnmente la frase «no es cuestión de si ocurrirá, sino de cuándo». Ejemplos recientes demuestran que esta afirmación nunca ha estado tan cerca de la verdad. A pesar de las inversiones en tecnologías de prevención, la probabilidad de que las organizaciones sufran una brecha de seguridad importante ha alcanzado niveles sin precedentes. Durante décadas, el modelo fue sencillo: construir mejores barreras, detectar más rápido y bloquear más. La premisa subyacente era que, invirtiendo lo suficiente en prevención, se podría mantener la situación bajo control. Esta premisa se ha roto estructuralmente, y la IA es una de las principales razones. Las empresas actuales exigen resiliencia: resiliencia para adoptar y transformarse rápidamente mediante tecnología potente y la capacidad de recuperarse con confianza de cualquier desastre, cibernético o de otro tipo, sin un impacto significativo. Analicemos dos ejemplos para ilustrar la nueva normalidad que impulsa la necesidad de pasar de centrarse en la prevención a potenciar la resiliencia digital. En primer lugar, una de las brechas de seguridad más importantes jamás registradas en infraestructuras críticas, lograda gracias al poder de la IA; y en segundo lugar, cómo incluso las mayores empresas del planeta, con una experiencia sin igual, están experimentando interrupciones importantes debido a la innovación basada en IA.
La brecha se está ampliando.
Los atacantes crecen exponencialmente. Los defensores crecen linealmente. Debemos garantizar el avance seguro de nuestras capacidades para proteger nuestro negocio, no para interrumpirlo. Los atacantes tienen poco que perder y mucho que ganar.
La IA otorga a un individuo motivado la capacidad operativa de un Estado-nación. Automatiza el reconocimiento, crea exploits, se adapta a las defensas en tiempo real y trabaja sin descanso. Reduce el costo de la sofisticación a casi cero. Los aspirantes a ciberdelincuentes causan daños en cuestión de segundos, mientras que los ciberdelincuentes experimentados amplifican sus capacidades de la noche a la mañana para lograr rápidamente algunos de los resultados maliciosos más impactantes jamás registrados.
Lo hemos visto de primera mano.
Gambit analizó recientemente la ruta de ataque detrás del compromiso de la autoridad tributaria mexicana y al menos otras 8 organizaciones gubernamentales mexicanas, una de las mayores brechas de seguridad gubernamentales registradas. En el plazo de un mes desde la intrusión inicial, nueve instituciones gubernamentales se vieron afectadas. Se extrajeron 195 millones de identidades y registros fiscales detallados, 15,5 millones de registros de vehículos (matrículas, nombres, números de identificación fiscal, direcciones), 295 registros civiles (nacimientos, defunciones, matrimonios, etc.), 3,6 millones de registros de propietarios, 2,28 millones de registros de propiedades adicionales y otra información sensible. El atacante no era un Estado. Se trataba de un pequeño grupo de individuos que dirigían una IA como equipo operativo para encontrar y explotar vulnerabilidades, crear herramientas de exfiltración, sortear defensas, elevar privilegios, establecer puertas traseras e incluso analizar datos para obtener el control administrativo de más sistemas y extraer aún más información.
La operación se llevó a cabo mediante más de 1000 comandos de IA, que transmitían información a una segunda plataforma de IA para su análisis. Inicialmente, los sistemas de seguridad se negaron a ejecutar completamente las solicitudes del atacante, pero en aproximadamente 40 minutos lograron sortearlos y hacerse pasar por un probador de penetración legítimo. No se trataba de un Estado nación. Era un pequeño grupo de individuos con acceso a las mismas potentes herramientas de IA que todos usamos a diario.
Recuperarse de este ataque llevará semanas o meses; reconstruir la confianza probablemente llevará años. En este caso, los atacantes podrían haberse centrado en identidades gubernamentales y puertas traseras para crear identidades fraudulentas, pero, considerando el nivel de vulneración alcanzado, esto podría haber resultado fácilmente en la eliminación de todos los datos y la inutilización de los sistemas.
Ninguna inversión en prevención habría evitado este ataque. La complejidad del entorno objetivo, como en cualquier entorno empresarial, creó una superficie de ataque suficiente para establecer una base que la IA pudo usar como plataforma de lanzamiento para sortear los controles, encontrar y explotar una serie de vulnerabilidades y lograr una vulneración y exfiltración generalizadas. Esto no es un fallo de ningún equipo o herramienta en particular. Es la naturaleza del problema y por eso la resiliencia es fundamental.
La amenaza no proviene solo del exterior.
Lo que diferencia este momento de todas las anteriores oleadas de urgencia en materia de seguridad es que las grandes disrupciones no provienen únicamente de atacantes experimentados; están directamente ligadas a la necesidad de las organizaciones de acelerar la innovación para seguir siendo competitivas y rentables.
Las organizaciones están integrando la IA en entornos que ya eran complejos: infraestructura en la nube por capas, sistemas heredados, mainframes, IoT, OT, SaaS moderno, todo ello altamente integrado; lo antiguo, lo nuevo y todo lo demás, todo entrelazado. La innovación se acelera más rápido de lo que los equipos pueden evaluar y minimizar completamente el impacto de cada cambio. Esta complejidad genera fragilidad.
Los fallos de la IA ocurren. Los agentes automatizados realizan eliminaciones accidentales. Se desencadenan fallos en cascada por procesos que nadie ha mapeado completamente o cuyas posibles ramificaciones no se comprenden del todo. No se trata de casos excepcionales, sino del resultado previsible de moverse rápidamente en sistemas altamente conectados e interdependientes.
Incluso AWS está experimentando disrupciones impulsadas por la innovación basada en IA a nivel de infraestructura. A partir de febrero de 2026, sabemos que esto ocurrió en diciembre de 2025. Si le puede pasar a la infraestructura principal de internet, la probabilidad de que le ocurra a todos los demás es casi segura.
¿Qué es lo que realmente falla?
Hoy en día, la mayoría de las organizaciones no pueden responder con seguridad a una pregunta que debería ser sencilla: si una capacidad empresarial crítica fallara esta noche, ¿podría recuperarse sin consecuencias significativas?
No se trata de una respuesta teórica basada en suposiciones. Ni de la respuesta de un plan de recuperación redactado hace entre 12 y 36 meses. Se trata de una respuesta real, basada en un programa de resiliencia proactivo y alineado con el negocio, que evalúa y optimiza continuamente la capacidad de recuperar las capacidades digitales de las que más depende la empresa.
En nuestro análisis de la infraestructura empresarial, las cifras son contundentes: si bien la mayoría de las organizaciones cuentan con una amplia cobertura de respaldo y herramientas de seguridad, solo alrededor del 5 % de las capacidades de negocio digitales son realmente resilientes ante el impacto de un ataque de ransomware, por no hablar de otros ciberataques importantes (como los sufridos por el gobierno mexicano), errores humanos o de IA, o fallos de infraestructura. El resto opera con base en suposiciones que nunca se han validado.
Las suposiciones son válidas hasta que se necesitan bajo presión. Una interrupción importante, dependiendo de su duración y visibilidad, puede causar daños a la marca, pérdida de clientes e impacto en los ingresos de los que una empresa podría no recuperarse por completo.
Las interrupciones destruyen negocios cuando la respuesta se basa en suposiciones. Las interrupciones son inevitables, pero con un enfoque en la resiliencia, su impacto en el negocio no lo es.
Resiliencia de mando
Considerando las prioridades empresariales de disponibilidad e innovación, y que una entra en conflicto con la otra, la resiliencia debe ser la prioridad. La gestión de riesgos digitales debe extenderse a la resiliencia como prioridad, no como un aspecto secundario una vez que la prevención esté totalmente financiada.
Esto implica medir y optimizar continuamente su capacidad real para recuperar las funcionalidades clave del negocio a la velocidad necesaria para evitar un impacto significativo. No durante las auditorías. No en simulacros. De forma continua, en producción, evaluando y gestionando los riesgos de resiliencia digital que más importan a la empresa.
Significa saber —no creer— qué sistemas resistirán, cuáles no y dónde están las vulnerabilidades. Cerrar esas vulnerabilidades de forma proactiva, en lugar de descubrirlas durante un incidente o desastre.
El mundo ha aceptado en gran medida que las filtraciones de datos son inevitables. Lo que ya no se tolera es la indisponibilidad prolongada y la paralización de la innovación. Las organizaciones que se mantengan competitivas en la próxima década no serán las que bloqueen la mayor cantidad de ataques, sino las que hayan seguido operando a pesar de ellos.
La prevención es importante, pero la resiliencia es lo que realmente protege y potencia el negocio.
*Se publicará un informe técnico completo sobre la ruta y la metodología del ataque tras su divulgación responsable. Para obtener más información sobre la filtración, consulte la cobertura de Bloomberg sobre el ataque: https://www.bloomberg.com/news/articles/2026-02-25/hacker-used-anthropic-s-claude-to-steal-sensitive-mexican-data.