Aquello que no vemos en nuestro entorno, puede costarnos caro: los atacantes confían en nuestra falta de visibilidad. Los líderes y organismos de ciberseguridad, suelen afirmar que los ciberataques no son sólo una cuestión de si ocurren, sino de cuándo ocurren. Por ello, quizá no sea exagerado describir a cada organización como si existiera en un estado previo a la brecha de seguridad, condición en la que las amenazas pueden estar presentes, pero pueden pasar desapercibidas. Vamos a tratar este aspecto con mayor detalle.
En la famosa paradoja del gato de Schrödinger, se trata un dilema donde un gato metido en una caja sellada, puede estar al mismo tiempo vivo y muerto, hasta que se abre la caja para comprobarlo. Dicha analogía puede resultar un tanto forzada, pero en términos de ciberseguridad, cualquier organización vive en un estado similar: está tanto comprometida, como no comprometida. Hasta que se consigue comprobar. Sin conocimiento de amenaza alguna, no se sabe. Pero, cuando se descubre, el daño puede ya estar hecho. Dicha analogía, nos sirve para ilustrar la falta de visibilidad a la que se enfrentan las organizaciones, en materia de ciberseguridad.
Por ello, aceptar dicha realidad, exige un cambio de mentalidad y estrategia. Para las organizaciones que no cuentan con herramientas para la búsqueda interna de amenazas y monitorización de comportamientos maliciosos, se podría argumentar que esta situación representa un estado cuántico de brecha de seguridad, dualidad similar a la que se encuentra en la teoría cuántica.
Dicha idea ya ha sido compartida por otros profesionales, que usaron esta analogía para explicar la nueva realidad y animar a las organizaciones a revisar su estrategia de ciberseguridad. Puede resultar decepcionante desde el punto de vista del ego, pero a la vez resulta reconfortante, ya que marca una línea de pensamiento, expresada ya por algunos profesionales de la ciberseguridad.
Aleatorio o no
El experimento, fue descrito por primera vez por el físico austriaco Erwin Schrödinger hace casi 90 años. Se basaba en el azar de la desintegración radiactiva de un elemento que emitía una partícula que chocaba con un detector, lo que provocaba la liberación de un veneno en el interior de la caja, y por tanto, la muerte del gato. Se trata de un azar determinado por la desintegración cuántica, mientras que el momento de la «explotación» de malware por parte de los ciberdelincuentes dentro de una organización está, en la mayoría de ocasiones, planificado.
Se cree que un grupo de ciberdelincuentes, conocido como Scattered Spider, responsable de una filtración en Marks & Spencer (M&S) en el Reino Unido, llevaba ya semanas moviéndose por los sistemas de la empresa, sin ser detectado. Además, se considera que este mismo grupo está detrás de la brecha de Jaguar Land Rover (JLR), y que se estima ha costado más de 2.000 millones de libras a la economía británica, siendo oficialmente la más costosa de la historia del Reino Unido.
Por ello, se puede suponer que se hayan empleado tácticas similares, aunque los detalles sobre el tiempo que los atacantes estuvieron presentes en los sistemas de JLR son escasos. En el caso de M&S, los autores pasaron demasiado tiempo, desatando con ello el caos en el comienzo del fin de semana, de la pasada Semana Santa. El ataque a JLR, por su parte, se produjo el 31 de agosto de 2025: el día de mayor matriculación de coches nuevos “new plate day”, fue el día 1 de septiembre. Por tanto, se deduce que la fecha fue cuidadosamente planeada para causar el máximo daño, funcionando demasiado bien para los atacantes y ocasionando graves repercusiones para JLR.
Según refleja el informe IBM Cost of a Data Breach Report 2025, sobre el cual ya hblamos en la publicación anterior a esta, el tiempo medio global para identificar y contener una filtración, es decir, todo el ciclo de vida de la brecha es de 241 días, mientras que el tiempo medio para identificar una filtración es de 181 días. La realidad es, que muchas organizaciones sufren una violación mucho antes de darse cuenta. Y cuanto más tiempo transcurre, más perjudicial será la “detonación” del ataque.
Soluciones ante el problema
La opción más habitual, pasa por adquirir o mejorar la seguridad, es decir, poner un lock mayor o mejor aún, actualizar las herramientas EDR o XDR para comenzar la caza de amenazas. Lo último, sería el equivalente a «abrir la caja y observar como se encuentra el gato».
Optar por lo primero (bigger locks) o fortalecimiento de las capas de protección, no ayuda necesariamente si se tenemos en cuenta la amenaza interna, la ingeniería social y otras estrategias empleadas por grupos de ciberdelincuentes. Por grande que sea el lock, el robo de contraseñas de acceso, o bien, el hecho de que se entreguen al hacer clic en un enlace malicioso, le resta fiabilidad.
Para que funcione, primero se debería crear un SOC y dotarlo de analistas de seguridad. Lo cual, puede llevar meses y suponer un alto coste económico para la organización. Eso, si se logra contratar suficiente personal, algo complicado, por la escasez global de profesionales cualificados en ciberseguridad.
La opción de gestionar dicho cometido la propia organización, debe valorarse con mucha cautela, ya que no hay que subestimar la habilidad necesaria para manejar las potentes herramientas y, cuando se activan, muchas organizaciones, se encuentran con que el volumen de métricas, alertas y alarmas, resulta tan abrumador, que acaban desactivando muchas de ellas sólo para «reducir el ruido».
Por lo tanto, aunque el “estado cuántico” de la brecha ya esté resuelto, es decir, ahora ya se observan los sistemas propios, puede generar una falsa sensación de seguridad. Es decir, considerar que está todo controlado, cuando potencialmente no lo está, por no tener los conocimientos o medios necesarios, para analizar adecuadamente los sistemas.
Además, se puede comprobar un número creciente de pólizas de ciberseguros, que insisten en la necesidad de contar con soluciones EDR para poder contar con ciertas coberturas, algo que puede enfrentar a los profesionales a un verdadero dilema, obligados a utilizar herramientas que requieren una alta cualificación, sin contar con la capacidad para usarlas correctamente, de forma que la póliza siga siendo aplicable en caso de una inevitable brecha. El estrés, puede ser una de las palabras más utilizadas en los equipos de ciberseguridad de todo el mundo, para describir su día a día.
Por ello, existe una tercera vía. Pedir ayuda a los proveedores que crean determinadas herramientas y ofrecen servicios, controlar, supervisar y remediar estas amenazas, es cada vez más frecuente en organizaciones de todo tipo. Los servicios de detección y respuesta (MDR), resuelven el dilema: expertos que gestionan las herramientas, supervisan los sistemas permanentemente, realizan la búsqueda proactiva de amenazas, detección rápida y corrección, entre otras tareas. Ello reduce el estrés, resuelve el “estado de brecha cuántica” y desactiva el ciberataque, contribuyendo a cumplir los requisitos de los seguros y la conformidad, mitigando los daños causados por grupos de ciberdelincuencia, que llevan tiempo activos.
Verificación real
Por lo tanto, para conocer las necesidades reales, se debe tener en cuenta lo siguiente:
- No se conoce si se ha sufrido una brecha de seguridad, hasta que se observa la realidad y estado de los sistemas.
- Salvo que se cuenten con las habilidades necesarias para buscar amenazas y remediarlas, las herramientas que se intente usar por cuenta propia, pueden ser contraproducentes y generar mayor ruido, permitiendo ocultarse mejor a los ciberatacantes.
- Si se cuenta con personal interno capaz de desplegar soluciones EDR/XDR, el tiempo medio para detectar y responder (MTTD y MTTR), será mucho mayor que el que puede lograr un proveedor externo.
- Contar con el SOC necesario, que ofrezca monitorización 24/7 es altamente costoso; para la mayoría de empresas, resulta prohibitivo.
- Los servicios MDR, a través de MSPs (proveedores de servicios gestionados) y MSSPs (proveedores de servicios de seguridad gestionados), pueden activarse para organizaciones de cualquier tamaño, incluso desde un solo puesto o empleado.
STI 2020 ® 
Deja un comentario