También conocidas como Advanced Persistent Threat (APT, por sus siglas en inglés). No son el típico ataque masivo buscando una vulnerabilidad. Es más bien un “juego” de espionaje a largo plazo que afecta a las infraestructuras críticas de los países.

A diferencia de los ataques oportunistas o campañas maliciosas. las APT utilizan herramientas sofisticadas, código personalizados y vulnerabilidades Zero-Day. El objetivo no es entrar y salir. sino perdurar en el sistema por el mayor tiempo posible sin ser detectado.

La mayoría de los malware están diseñados para una propagación masiva a cualquier usuario. Mientras que una APT cuenta con una pieza de código única o más sofisticada para infectar blancos específicos.

De esta manera, pasan inadvertidas por más tiempo porque no son muestras masivas y están diseñadas para parecer legítimas. Teniendo un nivel de sofisticación que requiere herramientas especializadas para su detección.

“A diferencia del malware común de propagación masiva, se trata de ataques pensados, meticulosos y dirigidos. No son aislados ni al azar. Ya que van tras una organización específica por motivos políticos, económicos o militares. Se mueven lateralmente por la red, con una fase previa basada en el reconocimiento. Donde estudian a la víctima para explotar las brechas”. Explica André Goujon, CEO de Lockbits.

Consolidando su estancia en la red sin detección, instalan “puertas traseras” para entrar y salir como Pedro por su casa. Y es gracias al movimiento lateral, que van desplazándose para encontrar servidores que almacenen datos valiosos. Así, van robando información poco a poco para no levantar alerta en el tráfico.

“Normalmente no son individuos. Sino grupos financiados o grandes corporaciones criminales. Y aunque las motivaciones pueden variar, el espionaje y sabotaje de infraestructuras críticas son las principales. Algo que vuelve a estar en el centro de la conversación pública cuando se discuten temas de conectividad estratégica. Lamentablemente, no basta con tener antivirus. Se requieren sistemas de monitoreo avanzado, análisis de comportamiento de red y colaboradores capacitados”. precisa Goujon.

¿Medidas básicas de protección?

Lamentablemente, no basta con un kit básico. El panorama de las APT en 2025 y lo que va de 2026 muestra un cambio importante. Ahora no solo buscan espionaje. Sino que utilizan Inteligencia Artificial. Para automatizar sus ataques y se enfocan agresivamente en la cadena de suministro (atacar a un proveedor para llegar a miles de clientes).

A continuación, cinco recomendaciones de protección:

1. Zero Trust. No hay que confiar en nadie, esa es la premisa. Hay que aplicar segmentación de redes para que, en caso de un incidente. El cibercriminal no salte de un lugar a otro fácilmente. Asimismo, la doble autenticación es la defensa número uno. Incluso si roban una contraseña. No pueden entrar sin el segundo factor.

2. Detección avanzada. El antivirus por sí solo no alcanza. En ataques dirigidos se mezclan herramientas legítimas y malware modificado o a medida. Lo que exige detección por comportamiento, monitoreo continuo y visibilidad de red. Los XDR/EDR son soluciones que analizan comportamientos y aplican bloqueos. Además, utilizar inteligencia artificial es un estándar cada vez más consolidado. Los agentes autónomos pueden detectar anomalías y ejecutar acciones de protección.

3. Blindar a las personas. Este tipo de malware suele entrar por un correo electrónico convincente. Por lo que es cada vez más crítico capacitar a los colaboradores con simulaciones. Para que aprendan a sospechar de archivos adjuntos o enlaces peligrosos. Asimismo, es bastante útil ejecutar controles de privilegios. Es decir, un usuario solo debe tener acceso a lo estrictamente necesario para su trabajo.

4. Gestión de la cadena de suministro. Se puede invertir en equipo humano, tecnología e infraestructura. Pero si no gestiona a los proveedores. El riesgo de incidentes se complejiza. Las APT aprovechan vulnerabilidades conocidas que las empresas olvidan actualizar. Con lo cual, mantener el software al día es vital. Asimismo, es crucial exigir certificaciones de seguridad a los proveedores.

5. Caza de amenazas. En lugar de esperar a que suene la alarma. Los equipos de seguridad modernos dedican tiempo a buscar activamente rastros de intrusos. Que podrían estar escondidos en la red sin hacer ruido. En esta línea, el mercado ofrece servicios como ESET MDR (Managed Detection Response). Para empresas e instituciones que no cuentan con la posibilidad de tener un equipo de ciberseguridad de forma interna.