Cien años de vulnerabilidad

Colombia, marzo 19 de 2026 – Todo parecía funcionar con normalidad. Los sistemas estaban encendidos, los procesos corrían como todos los días y no había señales de alerta. Pero dentro de esa aparente calma, un error invisible ya estaba haciendo su trabajo. Se trataba de una empresa latinoamericana que, como muchas otras, había invertido en tecnología de ciberseguridad avanzada. Contaba con herramientas robustas, licencias vigentes y protocolos establecidos. Sin embargo, algo estaba mal configurado, y eso, fue suficiente.

“Un solo fallo de configuración (silencioso, imperceptible) puede ser capaz de obligar a una empresa a apagarlo todo y comenzar desde cero” explica Estuardo Alegría, Gerente de Servicios Profesionales de SISAP. No genera ruido, no dispara alarmas y, muchas veces, pasa desapercibido durante meses. Cuando finalmente se descubre, el daño ya está hecho.

Pero esta vez, no se trataba de un ataque real. Era una simulación controlada, autorizada por la propia empresa para poner a prueba sus sistemas antes de que un atacante real pudiera hacerlo. “El ejercicio fue diseñado bajo un esquema de simulación controlada, con autorización formal de la alta dirección y un alcance previamente definido. El equipo técnico de la organización sabía que sería evaluado, pero no conocía el momento ni la metodología específica, replicando así un escenario realista.”, señala Alegría.

No se trató de reaccionar ante el ataque, sino de razonar como quien ataca, haciendo un ejercicio de ethical hacking autorizado, diseñado precisamente para anticiparse a ese escenario. En este punto entra una figura clave: el red team (simuladores de amenaza), un especialista en ciberseguridad que simula ataques contra una organización con el objetivo de identificar vulnerabilidades. No es un hacker criminal, es un profesional que pone a prueba los sistemas desde la perspectiva del atacante para fortalecerlos.

El factor humano: la brecha invisible

El equipo de SISAP explicó cómo validaron la capacidad de acceso privilegiado dentro del entorno controlado “la empresa sí tenía un sistema de seguridad implementado, pero estaba mal configurado. Eso fue lo que permitió vulnerarlo, no fue una falla del producto en sí, sino de su implementación” detalla Darlin Danilo Duarte pentester senior de SISAP. La conclusión fue contundente: no importa si tienes el sistema más avanzado y costoso del mercado; una mala configuración puede derribarlo todo.

Este escenario no es aislado. El Data Breach Investigations Report 2025 (DBIR) confirma que el riesgo no proviene únicamente de actores externos: aproximadamente el 60% de las brechas involucran el factor humano, incluyendo errores operativos y configuraciones inadecuadas. Es decir, la tecnología puede ser sólida, pero si la gestión interna falla, la puerta queda abierta.

Ese ejercicio dejó en evidencia un problema más profundo: el falso sentido de seguridad. Durante años, muchas organizaciones han confiado en una idea que hoy ya no es suficiente: “tenemos antimalware de última generación, estamos protegidos”. La realidad es distinta. Las amenazas actuales no se comportan como amenazas tradicionales. Actúan como usuarios legítimos: ingresan, avanzan dentro del sistema, observan sin limitaciones de tiempo, esperan el momento adecuado y actúan sin levantar sospechas.

De acuerdo con Rafael Velásquez, Team Leader de Seguridad Ofensiva de SISAP, este tipo de escenarios no son excepcionales. Son parte de una nueva realidad digital en la que la ciberseguridad ya no puede entenderse como un producto instalado, sino como un proceso continuo de evaluación, monitoreo y anticipación. Pensar como el atacante implica identificar vulnerabilidades antes de que alguien más lo haga y cuestionar constantemente aquello que “parece estar funcionando bien”.

Porque cuando el ataque se concreta, el impacto va mucho más allá de lo técnico. Las consecuencias se sienten en todo el negocio y uno de los impactos más críticos es el financiero: días o incluso semanas sin operar, decisiones críticas tomadas bajo presión, costos ocultos que aparecen con el tiempo y una pérdida de confianza que afecta tanto al interior de la organización como a su entorno.

“Cuando el ´cerebro´ digital de una empresa es comprometido, no solo se pone en riesgo la tecnología. Se pone en juego la continuidad del negocio, la reputación y la capacidad de seguir adelante” concluye Ramón Gaztelupe pentester senior de sisap. En un entorno donde las amenazas evolucionan constantemente, anticiparse ya no es una ventaja competitiva: es una necesidad estratégica.