10,9 billones de intentos de ataque: por qué las cifras de ciberseguridad pueden confundir a las empresas colombianas

Aunque Colombia aparece de forma recurrente entre los países más atacados de América Latina, las cifras que difunden proveedores de ciberseguridad no siempre significan lo mismo. Mientras algunos informes hablan de billones de intentos de ataque, otros contabilizan incidentes confirmados o dispositivos comprometidos. Comprender esa diferencia es clave para que las empresas tomen mejores decisiones de inversión y gestión del riesgo.
Los informes de ciberseguridad utilizan métricas diferentes, por lo que comparar "intentos de ataque" con incidentes confirmados puede llevar a conclusiones erróneas.
Los informes de ciberseguridad utilizan métricas diferentes, por lo que comparar "intentos de ataque" con incidentes confirmados puede llevar a conclusiones erróneas.

Cada año, nuevos informes ubican a Colombia entre los países más golpeados por el cibercrimen. En algunos casos se habla de 10,9 billones de intentos de ataque, mientras que otros estudios muestran miles de incidentes o unas pocas decenas de organizaciones comprometidas en campañas específicas. A primera vista, los datos parecen contradictorios, pero el problema no necesariamente está en las cifras sino en las métricas utilizadas.

En ciberseguridad no es lo mismo contabilizar paquetes maliciosos bloqueados por un firewall, alertas generadas por un sistema de monitoreo, incidentes confirmados por un equipo de respuesta o filtraciones efectivas de información. Sin embargo, con frecuencia estos conceptos terminan mezclándose en informes comerciales o titulares, generando una percepción distorsionada del riesgo.

Intento, alerta, incidente, intrusión y filtración: cinco conceptos diferentes

Uno de los principales errores consiste en utilizar la expresión “intentos de ataque” como sinónimo de empresas vulneradas.

Un intento de ataque puede ser simplemente una conexión automatizada desde Internet hacia un servidor o firewall. Millones de estos eventos ocurren diariamente y la gran mayoría son bloqueados de forma automática sin que exista un compromiso real.

Una alerta corresponde a una notificación generada por herramientas de seguridad como EDR, SIEM o firewalls inteligentes. Muchas alertas terminan siendo falsos positivos y requieren validación.

El incidente de seguridad aparece cuando un equipo especializado confirma que existió una actividad que afectó o pudo afectar la confidencialidad, integridad o disponibilidad de los sistemas.

La intrusión implica que un atacante consiguió acceso no autorizado a la infraestructura tecnológica, mientras que una filtración de datos representa el escenario más grave: información sensible fue efectivamente extraída o publicada.

Esta diferencia explica por qué dos organizaciones pueden analizar el mismo fenómeno utilizando métricas completamente distintas.

Las empresas ya no solo deben impedir los ataques: también necesitan identificar comportamientos anómalos dentro de sus redes antes de que ocurra una filtración de datos.
Las empresas ya no solo deben impedir los ataques: también necesitan identificar comportamientos anómalos dentro de sus redes antes de que ocurra una filtración de datos.

Lo que muestran los datos de ColCERT

Las alertas publicadas por ColCERT, el Equipo de Respuesta a Incidentes de Seguridad Informática de Colombia, permiten observar la diferencia entre exposición e impacto real.

Por ejemplo, la alerta sobre la campaña FortiBleed señala que Colombia fue el séptimo país más afectado por la exposición de dispositivos Fortinet, con 2.436 interfaces administrativas comprometidas dentro de una operación global que alcanzó cerca de 74.000 dispositivos en 194 países. Sin embargo, el documento aclara que la afectación confirmada corresponde a 27 organizaciones colombianas, una cifra muy distinta a la de miles de dispositivos expuestos.
Algo similar ocurre con la reciente campaña de phishing que suplantó a la Registraduría Nacional durante el proceso electoral colombiano. ColCERT detectó una infraestructura altamente sofisticada capaz de superar controles SPF, DKIM y DMARC, utilizar archivos cifrados y descargar un infostealer mediante PowerShell y MSHTA. Sin embargo, la alerta describe una campaña activa y los indicadores de compromiso, no un número determinado de víctimas exitosamente comprometidas.
En ambos casos, la información resulta mucho más útil para medir el riesgo operativo que una simple suma de “intentos de ataque”.

Los sectores que realmente concentran el impacto

El Lumu Compromise Report 2026 aporta otra perspectiva. En lugar de medir únicamente ataques bloqueados, analiza compromisos detectados dentro de las redes corporativas.

Para Sudamérica, el informe identifica que los sectores más afectados por infostealers son telecomunicaciones (22,1%), gobierno (17,5%), educación (15,3%) y servicios financieros (14,5%). En ransomware, los ataques exitosos se concentran principalmente en telecomunicaciones, educación, gobierno y entidades financieras.

El estudio también destaca que Colombia aparece entre los principales objetivos regionales junto con Brasil y Argentina, especialmente en campañas orientadas al robo de credenciales bancarias y extorsión mediante ransomware.
La diferencia respecto de otros informes es significativa: aquí no se contabilizan simples conexiones bloqueadas sino evidencias de compromiso observadas dentro de las organizaciones.

El verdadero desafío: detectar la intrusión antes del ransomware

Los especialistas coinciden en que el problema ya no consiste únicamente en impedir el ingreso del atacante.

El informe de Lumu sostiene que las organizaciones deben asumir que el adversario ya logró ingresar y concentrarse en detectar comportamientos anómalos dentro de la red. Entre las principales señales aparecen el uso de túneles DNS, conexiones hacia infraestructura de comando y control, dominios recién registrados y patrones de comportamiento imposibles de identificar mediante firmas tradicionales.

En este contexto cobra importancia el Mean Time to Detect (MTTD), indicador que mide cuánto tarda una empresa en descubrir una intrusión.

Aunque el informe no publica un promedio de días, sí advierte que los atacantes actuales privilegian operaciones silenciosas, utilizando herramientas legítimas, credenciales robadas y tráfico cifrado para permanecer ocultos durante largos períodos antes de desplegar ransomware o exfiltrar información.
Mientras más tiempo permanezca un atacante dentro de la red, mayor será el impacto económico y operativo.

Las alertas de ColCERT muestran que una campaña puede afectar miles de dispositivos expuestos, pero comprometer efectivamente a un número mucho menor de organizaciones.
Las alertas de ColCERT muestran que una campaña puede afectar miles de dispositivos expuestos, pero comprometer efectivamente a un número mucho menor de organizaciones.

Las métricas que un CIO debería exigir

Para los responsables de tecnología, la conclusión es clara: no basta con recibir un reporte que indique millones o billones de ataques bloqueados.

Las métricas realmente útiles para evaluar la postura de seguridad incluyen:

  • Número de incidentes confirmados.
  • Tiempo medio de detección (MTTD).
  • Tiempo medio de respuesta y contención (MTTR).
  • Cantidad de activos comprometidos.
  • Casos de movimiento lateral detectados.
  • Volumen de credenciales expuestas.
  • Eventos de exfiltración de información.
  • Porcentaje de falsos positivos.
  • Cobertura real de monitoreo sobre endpoints, nube y red.

Estas métricas permiten medir la efectividad del programa de ciberseguridad mucho mejor que el volumen bruto de eventos bloqueados.

Más contexto, menos alarmismo

Las cifras gigantescas seguirán apareciendo porque reflejan la enorme actividad automatizada que existe diariamente en Internet. Sin embargo, interpretar correctamente esos números resulta fundamental para evitar decisiones basadas en el miedo.

Colombia enfrenta una superficie de ataque creciente y campañas cada vez más sofisticadas, como demuestran las alertas recientes de ColCERT y los análisis de Lumu. No obstante, la pregunta que deberían hacerse las organizaciones no es cuántos intentos reciben cada día, sino cuántos terminan convirtiéndose en incidentes reales y cuánto tardan en descubrirlos.

En ciberseguridad, comprender las métricas es tan importante como contar con la tecnología adecuada. Solo así los CIO podrán separar el ruido estadístico del riesgo que verdaderamente amenaza la continuidad del negocio.

Leer más

Publicaciones Relacionadas

Scroll to Top