Los actores de amenazas han optimizado sus cadenas de suministro y sus filas crecen gracias a servicios preempaquetados que reducen las barreras de entrada para los ciberdelincuentes en "formación". Están utilizando herramientas de IA para mejorar el éxito de la ingeniería social, el reconocimiento, la explotación de vulnerabilidades y otros esfuerzos que, en última instancia, facilitan más que nunca el lanzamiento de campañas por parte de los adversarios. Son más rápidos, más organizados y más difíciles de detener.
Por otro lado, los defensores no dan abasto, ya que la escasez crónica de personal cualificado y la ampliación de las superficies de ataque les dejan en una situación de desventaja. Muchos pueden admitir que las violaciones son, hasta cierto punto, inevitables, pero les resulta imposible reaccionar con la rapidez suficiente para detener a sus adversarios antes de que se produzcan daños. Esto ha llevado a que la detección y respuesta gestionada (Managed Detection and Response, o MDR) encabecen la lista de prioridades de muchos responsables de TI
Cómo y por qué perjudica la interrupción
La revolución digital ha transformado la forma de trabajar de la mayoría de las organizaciones, haciendo más eficientes los procesos, mejorando la colaboración y la toma de decisiones y reduciendo el trabajo y los errores humanos. Y sigue haciéndolo gracias a la IA. Un estudio de 2024 afirma que la IA generativa puede aumentar la productividad de los programadores en un 26%.
Pero una mayor dependencia de las TI conlleva una mayor exposición a los ciberataques. Los más graves, que suelen implicar robo de datos y/o extorsión, pueden causar grandes trastornos. El ransomware es el más obvio: mediante el cifrado de datos críticos, los actores de amenazas efectivamente paralizan las operaciones en la organización objetivo.
Incluso si los adversarios no consiguen cifrarlo todo, el equipo de TI se verá obligado a desconectar el sistema para contener la propagación de la amenaza. Después sigue un largo proceso de limpieza y reconstrucción, pruebas y reintroducción de servicios, que puede durar días, semanas o incluso meses.
En resumen, una violación grave de la seguridad puede interrumpir las ventas en línea y otros servicios de cara al cliente, los procesos de producción en las fábricas, la productividad de los empleados en toda la organización e incluso cadenas de suministro enteras. Según el informe de IBM Cost of a Data Breach Report 2025, el 86% de las organizaciones que sufrieron una violación de datos el año pasado experimentaron este tipo de interrupción operativa.
El impacto del tiempo de inactividad
El robo de datos acapara titulares, pero el tiempo de inactividad operativa también suele infligir heridas profundas y llevar aparejada una factura potencialmente elevada. Hay que tener en cuenta el impacto de la pérdida de ventas y productividad, así como los costes legales y de notificación, y el coste, a menudo importante, de la recuperación. Según el NHS británico, el 78% de los 92 millones de libras (124 millones de dólares) en pérdidas causadas por la campaña del ransomware WannaCry (WannaCryptor) se debió, por ejemplo, al soporte informático para restaurar datos y sistemas. En un ejemplo más reciente, Marks & Spencer puede enfrentarse a un precio de 300 millones de libras (403 millones de dólares) en pérdida de beneficios debido a la interrupción.
Mucho más difícil de cuantificar es el daño a la reputación a largo plazo que puede causar una interrupción prolongada. Si los clientes se cambian a un competidor como resultado, hay dos costes a tener en cuenta: las ventas perdidas de esos clientes y los costes de captación de nuevos clientes.
Se calcula que la brecha de ransomware que afectó al minorista británico Marks & Spencer (M&S) a principios de este año le costó a la empresa 300 millones de libras (403 millones de dólares) en pérdidas de beneficios operativos e interrupción de los servicios en línea. Pero aún no está claro si puede provocar pérdidas prolongadas en las ventas.
MDR a toda velocidad
Todo ello ayuda a explicar por qué la MDR se considera cada vez más una piedra angular de las estrategias modernas de gestión de riesgos, ya que ayuda a proteger los ingresos, la reputación y la capacidad de operar sin interrupciones. La velocidad de detección, contención y respuesta nunca ha sido tan importante. Como señala IBM en su informe, cuanto más corto sea el ciclo de vida de una brecha, menor será el daño que puedan causar los actores de la amenaza (al desplegar ransomware o robar datos) y, por tanto, menor será el coste final.
Construir una resistencia proactiva
Por supuesto, la velocidad no es la única forma de diferenciar los servicios MDR de primer nivel del resto. Otros elementos relacionados que debe buscar incluyen la supervisión 24 horas al día, 7 días a la semana, para garantizar que se detiene a los actores de amenazas en su camino, en cualquier parte del mundo donde se encuentren. A menudo, los adversarios atacan en días festivos o fines de semana para pillar desprevenido al equipo informático interno. Por ejemplo, los ataques a M&S y Co-op comenzaron durante el largo fin de semana festivo de Semana Santa en el Reino Unido.
Como los atacantes siempre están buscando nuevas formas de colarse en las redes de las empresas sin hacer saltar las alarmas, las capacidades de caza de amenazas también son cada vez más importantes. Mediante la búsqueda proactiva de amenazas que pueden no haber activado las alertas, los equipos de MDR pueden asegurarse de que los malos no tengan ventaja.
IBM calcula que la búsqueda de amenazas podría reducir en más de 193.000 dólares el coste típico de una filtración de datos. La inteligencia eficaz sobre amenazas, a menudo utilizada por los equipos de detección de amenazas para comprender mejor el comportamiento de los adversarios, podría ahorrar incluso más (212.000 dólares). La perspectiva de enfrentarse a ransomware y otros programas maliciosos impulsados por inteligencia artificial eleva aún más la apuesta y convierte una estrategia de seguridad proactiva y adaptable en una necesidad absoluta para cualquier organización.
Los servicios MDR de alta calidad también automatizan el seguimiento y la elaboración de informes para mejorar el cumplimiento y la mejora continua de la ciberresiliencia, además de recopilar información que puede utilizarse para evitar una brecha similar en el futuro. Por ejemplo, los datos forenses podrían alimentar una solución de gestión de vulnerabilidades y parches para aumentar la resistencia en el futuro. La velocidad es esencial en este caso, ya que los actores de amenazas a menudo intentan victimizar a la misma organización varias veces.
La seguridad ante todo preventiva empieza aquí
La interrupción del negocio puede ser un problema existencial para algunas organizaciones. Algunas víctimas del ransomware, como la empresa de cambio de divisas Travelex, han tenido que cerrar tras graves incidentes, mientras que otras, como National Public Data y KNP, se han visto obligadas a cerrar por completo. Afortunadamente, estos casos son relativamente raros, pero ponen de manifiesto lo que está en juego. MDR puede ayudar a minimizar las posibilidades de que esto le ocurra a su organización y, de hecho, es mejor considerarla como una inversión en la continuidad del negocio.
En definitiva, su mejor defensa es una estrategia de seguridad holística que incluya las mejores prácticas de medidas defensivas, como la detección y respuesta extendida y en el punto final, la gestión de parches, la gestión de identidades y otras, junto con la experiencia de un equipo de profesionales de la ciberseguridad. No todas las soluciones MDR son iguales, así que vale la pena comparar.
