¿Cuál es el nivel de riesgo cibernético en Colombia 2026?
- Rubén Silva
- hace 23 horas
- 11 min de lectura
Los datos oficiales consolidados en los reportes emitidos por COLCERT hasta el 10 de junio de 2026 confirman la necesidad de un cambio estructural urgente en los modelos de ciberdefensa en Colombia.
La telemetría del Equipo de Respuesta a Emergencias Cibernéticas (ColCERT) evidencia que los atacantes han dejado de priorizar la intrusión mediante fuerza bruta compleja, enfocando sus recursos en el compromiso de la identidad digital y la explotación automatizada de la deuda técnica corporativa.
Este escenario exige a los responsables el rediseño inmediato de las políticas de acceso y la reasignación estratégica de los presupuestos de inversión hacia arquitecturas de resiliencia operativa.
El colapso del MFA convencional profundiza el riesgo cibernético
La interceptación de credenciales mediante infraestructuras automatizadas invalida el uso de segundos factores de autenticación basados en mensajería estática o códigos push. Este fallo de control permite a los atacantes iniciar sesiones legítimas que anulan la visibilidad de las herramientas de monitoreo perimetral.
Plataformas PhaaS (Tycoon 2FA, EvilProxy) y el secuestro de tokens de sesión mediante ataques de Adversario en el Medio (AiTM)
Los reportes de inteligencia de amenazas emitidos por ColCERT en 2026 confirman que el uso de plataformas de Phishing-as-a-Service (PhaaS) representa el método de explotación con mayor crecimiento en el entorno empresarial nacional. La telemetría específica del sector detalla que el kit de suplantación avanzada Tycoon 2FA incrementó su actividad semanal de 732 a 2,704 eventos, consolidando una tendencia ascendente que alcanzó las 3,336 detecciones en mediciones posteriores.
Este comportamiento responde a la implementación de ataques del tipo Adversario en el Medio (AiTM). Las herramientas como EvilProxy y Sneaky 2FA no intentan descifrar contraseñas mediante algoritmos de diccionario. Actúan como proxies inversos que se interponen entre el empleado y el servidor de identidad legítimo de la organización.
El sistema captura las credenciales en tránsito y, tras la aprobación del segundo factor por parte del usuario, extrae el token de sesión y la cookie de autenticación. Con este artefacto, el atacante clona el estado de autenticación en un dispositivo ajeno, evadiendo las protecciones multifactor estándar que no posean validación criptográfica de hardware.
Ingeniería social híbrida: Quishing y Vishing corporativo mediante clonación de voz (DeepVoice) con IA
La automatización del fraude financiero ha escalado mediante el despliegue de cadenas de infección híbridas dirigidas a las áreas de tesorería y contabilidad. Datos consolidados del Centro Cibernético Policial exponen un incremento del 4% en el delito de hurto por medios informáticos, acumulando 38,946 casos reportados en zonas de alta densidad empresarial como Bogotá, Medellín y Cali.
Un ejemplo de esta evolución es la denominada Operación Resident, donde estructuras criminales coordinaron llamadas telefónicas que empleaban algoritmos de Inteligencia Artificial para clonar la voz de altos directivos y funcionarios públicos, induciendo un estado de urgencia bajo pretextos de bloqueos de firmas digitales o sanciones financieras inminentes.
La presión telefónica interactúa directamente con el vector de Quishing (Phishing por código QR) aumentando la complejidad del riesgo cibernético. Los atacantes envían comunicaciones electrónicas que contienen un código QR incrustado como una imagen. Los componentes de los Secure Email Gateways (SEG) tradicionales fallan al analizar estas imágenes, permitiendo que el mensaje llegue directamente al buzón del empleado.
Al escanear el código desde un dispositivo corporativo, el navegador es redirigido a servidores controlados que descargan cargadores de malware de tipo fileless. Estos scripts inyectan el código malicioso de forma directa en la memoria RAM del sistema operativo utilizando procesos legítimos, evitando la escritura de archivos en el disco y anulando la capacidad de detección de los antivirus basados en firmas estáticas.
Ransomware e Industrias Estratégicas son la cima del riesgo cibernético en Colombia.
Las bandas de extorsión digital han perfeccionado sus herramientas para atacar infraestructuras críticas y entornos virtualizados multi-plataforma. El desvío de los esquemas de descifrado hacia la exfiltración pura prioriza la destrucción de la reputación institucional para forzar el pago.
Cifrado nativo multiplataforma (Rust y Go) y la técnica BYOVD (Bring Your Own Vulnerable Driver) para la evasión de soluciones EDR
El análisis forense de incidentes en la región de Latinoamérica demuestra que los grupos de ransomware han completado la transición hacia lenguajes de programación de bajo nivel y alta eficiencia como Rust y Go.
Actores con actividad verificada en Colombia y países vecinos, tales como Qilin, TheGentlemen y Tengu, emplean estos lenguajes para compilar binarios capaces de ejecutarse de manera nativa tanto en arquitecturas de servidores Windows como en sistemas Linux y entornos hipervisores de virtualización empresarial como VMware ESXi.
Para neutralizar las herramientas avanzadas de detección en el endpoint, estas estructuras ejecutan la táctica de BYOVD (Bring Your Own Vulnerable Driver). El flujo de este ataque se compone de tres pasos operativos:
El atacante obtiene privilegios locales mínimos e instala en el sistema un controlador de kernel legítimo, firmado digitalmente por un fabricante de software válido pero obsoleto.
Debido a que el controlador posee una firma válida, las políticas de control de aplicaciones permiten su carga en el espacio de memoria del sistema operativo.
El malware explota una vulnerabilidad conocida dentro de ese controlador legítimo para obtener acceso directo al espacio de memoria del kernel, utilizando esta posición para terminar los hilos de ejecución de los agentes de EDR (Endpoint Detection and Response) y herramientas de monitoreo local. Una vez que las defensas han sido desactivadas desde el nivel del kernel, el binario inicia el cifrado masivo de los volúmenes de datos sin generar alertas heurísticas.
La evolución del fraude de identidad a través de captura biométrica dinámica y su impacto en procesos de validación KYC
Según ColCERT, el riesgo cibernético asociado a la recolección estática de datos de identidad ha sido superada por campañas orientadas al secuestro de telemetría biométrica en tiempo real. La alerta técnica AL-20260203-092 de la entidad detalla la aparición de artefactos maliciosos basados en código JavaScript que integran la librería de código abierto face-api.js.
Cuando un empleado accede a un portal de autenticación suplantado bajo un dominio gubernamental o corporativo falso, el servidor malicioso activa la cámara web del dispositivo e inicia la descarga de modelos de redes neuronales directamente en el navegador del usuario (Edge Computing).
El script ejecuta un algoritmo de detección de prueba de vida (Liveness Detection) que rastrea 68 puntos de referencia faciales. La interfaz maliciosa condiciona el avance del proceso a que el usuario realice gesticulaciones físicas concretas, como parpadear, sonreír o rotar el rostro. Solo cuando la Inteligencia Artificial local valida que los movimientos corresponden a una persona real en vivo, genera un archivo de video de alta compresión en formato rostro.webm.
La exfiltración de este archivo no utiliza canales web comunes; abusa de funciones de automatización legítimas como los Webhooks de plataformas de mensajería empresarial y comunitaria, permitiendo que el tráfico de datos pesados se camufle dentro del tráfico normal de la red interna de la organización.
Los delincuentes utilizan este registro de video dinámico para suplantar la identidad en procesos de validación de conocimiento del cliente (KYC), autorizando la apertura de cuentas bancarias a nombre de la organización o realizando trámites notariales y de contratación no aprobados.
Deuda Técnica y explotación masiva de vulnerabilidades en entornos ofimáticos
Las deficiencias en los procesos institucionales de actualización de software permiten la persistencia de fallos explotables con un costo técnico mínimo para el atacante. El inventario desatendido de aplicaciones web expuestas a internet es el principal catalizador de incidentes de exfiltración masiva.
El impacto empresarial del Security Feature Bypass en herramientas de productividad estándar
La acumulación de actualizaciones pendientes en las herramientas de productividad de los puestos de trabajo constituye uno de los mayores factores de riesgo operativo para las organizaciones públicas y privadas.
El catálogo global de vulnerabilidades registra fallos críticos como el CVE-2026-21509, tipificado con una severidad alta mediante una puntuación CVSS de 7.8, el cual afecta directamente a los motores de procesamiento de archivos ofimáticos en formatos enriquecidos (RTF/DOC) de las suites de productividad estándar de la industria.
La explotación de esta deficiencia técnica se basa en un manejo inseguro de las directivas de contenido externo al renderizar estructuras de objetos vinculados (OLE). Cuando un usuario abre un documento especialmente manipulado, la aplicación vulnerada establece conexiones salientes de forma automática a través de protocolos de red comunes (WebDAV/HTTP) hacia repositorios externos bajo el control de los atacantes.
Este mecanismo no requiere el uso de macros maliciosas ni la aceptación de alertas por parte del empleado; la simple ejecución del archivo activa la descarga remota de código en la memoria RAM del sistema de la víctima. Bandas de ciberespionaje con persistencia avanzada, como APT28, desplegaron la campaña masiva Operación Neusploit explotando esta falla apenas tres días después de su divulgación pública, utilizándola como vector de acceso inicial para inyectar implantes y recolectar bases de datos de correos electrónicos corporativos.
El riesgo estructural del software en estado End-of-Life (EOL) y el escaneo masivo automatizado en servidores expuestos
El análisis integral de la campaña de exfiltración de datos documentada por el ColCERT expone una brecha crítica en el mantenimiento de la infraestructura web expuesta a internet. El 96% de las entidades comprometidas en sectores de salud, educación superior y gobierno territorial presentaba una postura de seguridad desatendida, caracterizada por mantener en producción aplicaciones en estado de fin de ciclo de vida (End-of-Life - EOL) que carecen de soporte de parches por parte de sus fabricantes.
Plataforma EOL | Periodo desde Fin de Soporte | Vector Explotado / CVE Relacionado |
Plataformas de Colaboración Portal 2013 | Superior a 3 años. | Acceso sin credenciales a APIs expuestas (_api/Web/Lists/Items), exfiltrando datos de registro ciudadano. |
Servidores Web Apache 2.2.x | Superior a 8 años. | Fallo de desbordamiento de búfer (CVE-2017-7679) con ejecución remota de código. |
Motores de Desarrollo PHP 5.6.x | Superior a 7 años. | Corrupción de memoria interna sin posibilidad de mitigación por parches oficiales. |
Componentes de Registro Java (Log4j < 2.17.1) | Superior a 4 años. | Ejecución remota de código automatizada mediante vulnerabilidad Log4Shell. |
Los actores de amenaza oportunistas, como el grupo emergente NyxarGroup, no realizan análisis complejos de los objetivos individuales. Emplean scripts automatizados en Python conectados a motores de búsqueda de infraestructura expuesta (como Shodan o Censys) para barrer rangos de direcciones IP en Colombia en menos de 60 minutos.
Una vez que identifican las cabeceras HTTP que revelan versiones obsoletas de servidores web o sistemas de gestión de aprendizaje (LMS) desactualizados (como plataformas de capacitación con fallos conocidos de inyección de código), los scripts lanzan módulos automatizados de explotación pública. En el sector educativo superior, esta metodología permitió el compromiso de 11 instituciones en un lapso de cinco días, resultando en el robo y comercialización en foros clandestinos de miles de registros confidenciales de estudiantes e investigadores.
Análisis de Riesgo y Priorización de Controles Técnicos
La toma de decisiones de inversión tecnológica en el nivel directivo debe sustentarse en la correlación entre las métricas de telemetría de amenazas y el impacto financiero real sobre la continuidad del negocio. El siguiente mapa de riesgos estructura las prioridades de control bajo metodologías globales de defensa activa:
Métrica de Telemetría | Impacto Operativo y Financiero | Benchmark de la Industria (Mitigación) |
+9,081 detecciones mensuales acumuladas en herramientas avanzadas de evasión de segundos factores estáticos. | Pérdida de control de identidades administrativas; acceso descontrolado a repositorios de almacenamiento corporativo en la nube. | Transición hacia modelos de Autenticación Zero Trust basados en el estándar NIST SP 800-207, exigiendo el uso de llaves físicas criptográficas FIDO2. |
2,800 ataques informáticos semanales promedio por organización registrados en la región geográfica de América Latina. | Saturación de los equipos de respuesta locales, costos elevados por remediación forense y multas por incumplimiento de protección de datos personales. | Automatización del ciclo de gestión de vulnerabilidades priorizado por riesgo real e integración de hilos de telemetría de amenazas OSINT. |
Exposición continua de sistemas EOL con soluciones publicadas desde hace más de 24 meses en portales públicos corporativos. | Exfiltración masiva de bases de datos operativas; parálisis de servicios de atención ciudadana y daño severo a la reputación de la marca. | Implementación de GPOs para restricción de acceso a interfaces críticas, despliegue estricto de parches en ventanas de 24 a 72 horas para severidad crítica y aislamiento de servidores huérfanos. |
Consejos para mitigar el riesgo cibernético en las organizaciones públicas y privadas en Colombia
La gestión de la ciberseguridad es el pilar estratégico de la resiliencia financiera de la organización. Los incidentes analizados en el territorio nacional demuestran que el costo derivado de la contención, remediación e investigación forense de una brecha de datos masiva supera entre 10 y 100 veces el presupuesto requerido para la implementación de controles preventivos básicos.
Como responsable estratégico de la tecnología y el riesgo en su organización, la recomendación es ordenar la ejecución de las siguientes directrices operativas de forma prioritaria:
Bloqueo del vector de suplantación de identidad en el endpoint: Restringir de manera inmediata los accesos basados en autenticación multifactor estática o push para cuentas con privilegios administrativos o acceso a datos financieros. Configurar directivas de grupo (GPO) para forzar la denegación de permisos de acceso a periféricos de video y audio en navegadores web para dominios externos no incluidos en listas blancas institucionales, mitigando así el éxito de las fases de captura biométrica dinámica.
Mitigación contractual de los riesgos en la cadena de suministro: Las auditorías técnicas confirman que el uso de proveedores tecnológicos de terceros que gestionan infraestructuras compartidas funciona como un punto único de falla multiplicador. Todo contrato de desarrollo de software o soporte de infraestructura debe incluir anexos de seguridad digital obligatorios que definan acuerdos de nivel de servicio (SLA) estrictos para la remediación de vulnerabilidades (máximo 72 horas para fallas con puntaje CVSS crítico), la notificación obligatoria de sospechas de incidentes en un plazo menor a 24 horas y la prohibición explícita de emplear credenciales administrativas compartidas entre diferentes entornos de clientes.
Erradicación y aislamiento de la deuda técnica expuesta: Instruir a los directores de TI a levantar un inventario de activos de software actualizado en tiempo real, identificando de manera específica los componentes de servidores, frameworks de desarrollo y bibliotecas que se encuentren en estado de fin de vida útil o soporte (EOL). Aquellas plataformas críticas cuya migración inmediata no sea viable financieramente deben ser aisladas de la red pública mediante zonas desmilitarizadas restringidas y acceso condicionado exclusivamente por conexiones VPN empresariales con autenticación fuerte.
La falacia del cumplimiento y el costo de no hacer nada frente a la información.
El análisis de la telemetría histórica de ColCERT revela un riesgo cibernético en el cual la mayoría de los compromisos corporativos exitosos ocurren por la incapacidad de ejecutar acciones correctivas oportunas. Las organizaciones gastan recursos en auditorías anuales para obtener certificaciones de cumplimiento, pero mantienen servidores web obsoletos y servicios en la nube con configuraciones predeterminadas en sus entornos de producción diarios.
Esta desconexión entre el cumplimiento documental y la realidad operativa crea una falsa sensación de seguridad que los atacantes oportunistas explotan mediante scripts automatizados de bajo costo. Mantener activa una aplicación huérfana de soporte porque la migración resulta "costosa" o "compleja" transfiere el riesgo directamente al balance financiero de la compañía.
Además, la velocidad con la que los actores de amenaza integran la Inteligencia Artificial para automatizar el descubrimiento de vulnerabilidades rompe el ciclo tradicional de gestión de parches de las áreas de TI. Una ventana de exposición de más de seis meses para una falla crítica es insostenible cuando los scripts de escaneo tardan menos de una hora en indexar toda la superficie expuesta a internet en el territorio nacional.
En eSoft sabemos que la resiliencia financiera y operativa de las organizaciones privadas y gubernamentales en Colombia no se logrará adquiriendo más herramientas de software aisladas, sino ejecutando un control estricto sobre la identidad digital y la deuda técnica latente. Los tomadores de decisiones deben asumir que la infraestructura ya está bajo observación constante.
La viabilidad del negocio depende exclusivamente de la capacidad técnica para implementar arquitecturas Zero Trust y de la determinación institucional para erradicar la obsolescencia antes de que el adversario la convierta en su próximo punto de acceso inicial.
Referencias Bibliográficas:
[1] Equipo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT), "Reportes Semanales y Alertas Técnicas de Inteligencia de Amenazas (Enero - Junio 2026)," Gobierno de Colombia, Bogotá, Colombia, Rep. AL-20260123-090, AL-20260130-091, AL-20260203-092, AL-20260205-093, IN-20260325-029, Jun. 2026.
[2] National Institute of Standards and Technology (NIST), "Zero Trust Architecture," U.S. Department of Commerce, Gaithersburg, MD, USA, Special Publication (SP) 800-207, Ago. 2020.
[3] Zscaler Security Research, "APT28 Leverages CVE-2026-21509 in Operation Neusploit," Zscaler Blog, Feb. 3, 2026. [En línea]. Disponible: https://www.zscaler.com/blogs/security-research/apt28-leverages-cve-2026-21509-operation-neusploit. [Accedido: 17-Jun-2026].
[4] Centro Cibernético Policial - Dirección de Investigación Criminal e INTERPOL (DIJIN), "Balance Anual Estadístico de Hurto por Medios Informáticos y Operación Resident," Policía Nacional de Colombia, Bogotá, Colombia, Informe de Gestión, Ene. 2026.
[5] Cybersecurity and Infrastructure Security Agency (CISA), "Known Exploited Vulnerabilities Catalog," U.S. Department of Homeland Security, Washington, D.C., USA, Actualización de Catálogo Técnico, Feb. 2026. [En línea]. Disponible: https://www.cisa.gov/known-exploited-vulnerabilities-catalog. [Accedido: 17-Jun-2026].
