29 minutos: lo que tarda un ciberataque en tomar el control de tu red

Veintinueve minutos para tomar el control

En el tiempo que te toma preparar un café, un atacante ya comprometió tus credenciales, escaló privilegios y comenzó a moverse dentro de tu red. No es una exageración: según el Informe Global de Amenazas 2026 de CrowdStrike, publicado en febrero de 2026, el tiempo promedio de propagación de un ciberataque (desde el acceso inicial hasta el movimiento lateral hacia otros sistemas) se redujo a 29 minutos. El caso más rápido documentado: 27 segundos.

Esa cifra no es un dato abstracto. Para las empresas latinoamericanas, que en el primer semestre de 2025 enfrentaron más de 40,600 millones de intentos de ciberataque solo en México, significa que la ventana para detectar y contener una intrusión ya no se mide en horas. Se mide en el tiempo que dura una llamada telefónica.

La aceleración que nadie anticipó

En 2024, el tiempo promedio de propagación de ataques de cibercrimen se medía en horas. Para 2025, colapsó a 29 minutos: una aceleración del 65% en un solo año. Y no fue solo la velocidad lo que cambió, sino la naturaleza misma de los ataques.

Los adversarios potenciados por inteligencia artificial incrementaron sus operaciones un 89% respecto al año anterior. El grupo ruso FANCY BEAR desplegó malware generado con modelos de lenguaje (llamado LAMEHUG) para automatizar reconocimiento y recolección de documentos. El actor criminal PUNK SPIDER usó scripts generados por IA para acelerar el volcado de credenciales y borrar evidencia forense. Estos no son escenarios hipotéticos: son incidentes documentados de 2025.

La realidad incómoda es esta: los atacantes ya no necesitan operadores humanos en cada fase de una intrusión. La IA se encarga del trabajo pesado, desde escanear vulnerabilidades hasta crear señuelos de phishing, a una velocidad que ningún analista de seguridad humano puede igualar.

Tu equipo de seguridad sigue en reuniones (si es que tienes uno)

Aquí es donde la matemática se vuelve letal. Un informe de preparación de febrero de 2026 reveló que el 63% de los líderes de seguridad reconoce que la actividad de amenazas aumentó, pero solo el 30% afirma que su organización está realmente preparada para manejar los tipos de ataque actuales. Esa brecha de 33 puntos entre saber que el fuego viene y tener un extintor a la mano no es solo una estadística: representa a cada empresa que ve venir el golpe pero no puede reaccionar a tiempo.

En América Latina, la situación es aún más crítica. La región enfrenta en promedio 2,640 ciberataques semanales por organización, muy por encima del promedio mundial de 1,955. México lidera los casos de robo de identidad en la región, con pérdidas por fraudes financieros que alcanzaron los 14,500 millones de pesos en 2024 y se proyectan en 17,400 millones para 2025. Mientras tanto, el país apenas prepara su primer Plan Nacional de Ciberseguridad para 2026, pero los ataques ya van un paso adelante.

La unidad de respuesta a incidentes Unit 42 de Palo Alto Networks, que respondió a más de 750 incidentes graves en 2025, pintó un panorama aún más crudo. En el 25% más rápido de las intrusiones que investigaron, los atacantes pasaron del acceso inicial a la extracción de datos en apenas 72 minutos. Cuatro veces más rápido que el año anterior. Y en el 87% de los ataques, la intrusión se desplegó simultáneamente en múltiples superficies: endpoints, infraestructura en la nube, aplicaciones SaaS y sistemas de identidad, todo a la vez.

El problema de identidad que probablemente estás ignorando

Si todavía piensas que los firewalls y la detección de endpoints son tu defensa principal, los datos sugieren lo contrario. Los ataques basados en identidad (robo de credenciales, tokens de sesión comprometidos, cuentas de servicio secuestradas) ahora representan el 65% del acceso inicial, según Unit 42.

En casi el 90% de las investigaciones de Unit 42, las debilidades de identidad jugaron un papel determinante. No exploits sofisticados de día cero. No malware novedoso. Contraseñas robadas y controles de acceso mal configurados.

Para América Latina, este dato es especialmente alarmante. El robo de credenciales corporativas aumentó un 160% en la región durante 2025, y los intentos de phishing crecieron un 85%, impulsados por técnicas de deepfake y automatización con IA. En México, donde plataformas como Mercado Pago, Rappi y Nu manejan millones de transacciones diarias, cada credencial comprometida es una puerta abierta al ecosistema financiero digital.

Los datos de CrowdStrike amplifican este punto: los adversarios inyectaron comandos maliciosos en herramientas legítimas de IA generativa en más de 90 organizaciones durante 2025. No solo están robando tus credenciales: están secuestrando las herramientas de IA en las que tus equipos ya confían.

Lo que realmente cuesta esa brecha de respuesta

La matemática financiera es brutal. Cuando los atacantes se mueven en 29 minutos y tu ciclo de detección toma horas, cada minuto de esa brecha amplifica el radio de daño. Más sistemas comprometidos. Más datos extraídos. Costos de remediación más altos.

Unit 42 observó que los actores de ransomware están cambiando de estrategia. La extorsión basada en cifrado (bloquear tus archivos y pedir rescate) disminuyó un 15% en 2025, porque los atacantes descubrieron que no necesitan cifrar tus datos para extorsionarte. Simplemente robarlos es más rápido, más silencioso e igualmente rentable. Cuando la extracción de datos comienza minutos después del acceso inicial, cifrar se convierte en un paso innecesario.

Y en más del 90% de los incidentes que Unit 42 respondió, la causa raíz no fue algo exótico. Fueron brechas prevenibles: controles de seguridad aplicados de manera inconsistente, sistemas sin parches, políticas de acceso demasiado permisivas. Los mismos problemas que los equipos de seguridad conocen desde hace años, ahora explotados a velocidad de máquina.

Cerrar la brecha de 29 minutos

Los datos apuntan a tres cambios innegociables.

Primero, la identidad debe convertirse en tu perímetro principal de seguridad. Si el 65% de las brechas comienzan con credenciales comprometidas, invertir en firewalls de red mientras descuidas la gestión de identidades es como reforzar las paredes y dejar la puerta principal abierta. Implementa autenticación multifactor resistente al phishing (como passkeys), aplica el principio de mínimo privilegio y monitorea en tiempo real cualquier comportamiento anómalo de identidad.

Segundo, automatiza tu detección y respuesta. Analistas humanos revisando alertas en cola no pueden ganarle a un reloj de 29 minutos. Las organizaciones que integraron capacidades de investigación directamente en sus herramientas de detección redujeron el tiempo de contención en un 38%, según una encuesta de SOC de 2025. El objetivo no es reemplazar analistas, sino darles velocidad de máquina en el triaje para que se enfoquen en decisiones, no en recolectar datos.

Tercero, asume que la brecha ya ocurrió y actúa en consecuencia. Si el 87% de los ataques abarcan múltiples superficies simultáneamente, equipos de seguridad trabajando en silos y revisando tableros separados siempre van a perder. Visibilidad unificada de endpoints, nube, identidad y SaaS no es un lujo: es supervivencia.

El reloj de 29 minutos ya está corriendo. La pregunta no es si tu organización enfrentará un ataque acelerado por IA. La pregunta es si tu respuesta podrá mantener el ritmo cuando ocurra.