TOP MENSUALES
ÁNDATE CON OJO
No hubo malware. Solo entraron.
El 1 de julio, en San José, reunimos a CrowdStrike, Darktrace y Netskope para hablar de gobernanza de IA y ciberdefensa. Una de las cifras que abrió el debate fue esta: el 82% de las detecciones registradas en 2025 no implicaron el uso de malware. Los atacantes no rompieron nada. Se autenticaron con credenciales robadas, se movieron lateralmente sin levantar alertas y salieron con los datos antes de que nadie lo notara.
Junio lo confirma punto por punto.
ShinyHunters no cifró nada. Entró, robó y amenazó con publicar. La NAIC -la asociación que coordina la regulación de seguros en los 50 estados de EEUU- tuvo que suspender operaciones críticas sin que hubiera un solo archivo cifrado en juego. Novo Nordisk fue comprometida meses antes de que nadie lo detectara, a través de credenciales de desarrollador abandonadas en un repositorio de código. La campaña FortiBleed llevaba activa desde febrero: 86.644 firewalls Fortinet expuestos en 194 países, credenciales válidas ya en manos de un grupo de habla rusa. Tiempo de detección: meses.
El backup resuelve la disponibilidad. No resuelve la exposición.
Ahí está la trampa en la que caen muchas organizaciones: confunden resiliencia operativa con seguridad real. Si los atacantes ya tienen los datos, recuperar los sistemas no detiene la extorsión. Y lo que discutimos en Costa Rica va exactamente en esa dirección: la pregunta que importa ya no es "¿cuánto tardamos en restaurar?" sino "¿cuánto tiempo llevaban dentro antes de que lo supiéramos?".
La IA lo agrava. Con ataques asistidos por IA, el tiempo mínimo de ruptura está en 27 segundos y el volumen de amenazas ha crecido un 89% en el último año. Los agentes autónomos son multiplicadores, como señaló nuestro COO Juan Carlos García en el evento: pero lo son para los dos lados. Un atacante con IA puede recorrer en segundos el camino que antes requería horas. La defensa tiene que operar en el mismo orden de magnitud, o el daño ya está hecho cuando salta la primera alerta.
La conclusión del debate en San José fue clara: gobernanza de IA y velocidad de detección no son dos conversaciones distintas.
NOTICIAS DESTACADAS

Nace el Cyber Clúster de República Dominicana
La iniciativa del Cyber Cluster de Costa Rica ha constituido su capítulo en República Dominicana para fortalecer la colaboración y el desarrollo de capacidades en ciberseguridad en América Latina y el Caribe, del que forma parte, Sofistic como uno de los miembros fundadores.

Filtración de seguridad afecta a la aplicación de chat del gobierno francés
Una brecha de seguridad ha afectado a Tchap, la plataforma de mensajería cifrada del gobierno francés ampliamente utilizada por funcionarios públicos tras la restricción del país a aplicaciones extranjeras como WhatsApp y Signal para la comunicación oficial.
CONSEJO DEL MES

Antes de desplegar IA en tu organización, audita su superficie de ataque.
JadePuffer entró por Langflow, un framework de código abierto para construir aplicaciones con IA, ampliamente utilizado en entornos de desarrollo. La vulnerabilidad explotada era conocida y tenía parche disponible. Nadie la había aplicado.
Cada herramienta de IA conectada al entorno corporativo introduce nuevos vectores: dependencias de terceros, APIs expuestas, modelos con acceso a datos sensibles, credenciales embebidas en configuraciones. La mayoría de organizaciones despliegan estas herramientas a una velocidad que supera la capacidad de los equipos de seguridad para evaluarlas.
Antes de que un agente autónomo lo descubra por ti, hazte tres preguntas: ¿qué accesos tiene cada herramienta de IA activa en tu entorno? ¿Qué vulnerabilidades acumula? ¿Quién es responsable de mantenerla parcheada?
Si no tienes respuesta clara a las tres, es el momento de hacer la evaluación.
ME RÍO POR NO LLORAR
Los Knicks ganaron las NBA Finals el 5 de junio, su primer campeonato en 53 años. Ese mismo día, ShinyHunters entró en los sistemas de Madison Square Garden Sports. El 15 de junio venció el plazo del rescate. MSG no pagó. El 16 de junio, 45 GB de datos internos aterrizaron en un foro de ciberdelincuentes: correspondencia de clientes, archivos de "talent" con campos como claim to fame, coste del personaje y nivel de riesgo asignado, y los registros del sistema de reconocimiento facial que MSG utiliza para vetar la entrada a visitantes no deseados (incluidos abogados de despachos que tienen demandas activas contra la compañía).
La organización que lleva años vigilando quién entra por sus puertas, con sus archivos de vigilancia en manos de ShinyHunters.
Al menos los Knicks ya tienen el anillo...
