Análisis revela que la velocidad del cibercrimen rebasa por miles de veces la capacidad de reacción del gobierno mexicano. Un informe reciente de la unidad de investigación de SILIKN advierte sobre un cambio inquietante en el panorama de amenazas: los ciberdelincuentes se desplazan dentro de redes comprometidas con una rapidez nunca antes vista.
El tiempo entre el acceso inicial y la propagación interna —lo que en ciberseguridad se conoce como breakout— se ha comprimido drásticamente. Durante 2025, los atacantes tardaron en promedio apenas 25 minutos en moverse lateralmente dentro de las infraestructuras vulneradas. En lo que va de 2026, ya se observan incursiones en las que ese recorrido se completa en tan solo 10 a 12 minutos.
La aceleración del ataque y las nuevas tácticas ofensivas
En escenarios extremos, la velocidad roza lo instantáneo: el breakout más veloz registrado tomó 15 segundos, mientras que en otro incidente la exfiltración de datos comenzó apenas tres minutos después de la intrusión. La velocidad se ha convertido en un arma estratégica. Cuanto menos tiempo permanece el atacante dentro del radar defensivo, menores son las probabilidades de detección y respuesta efectiva.
Para los equipos de seguridad, cada minuto perdido amplifica el impacto potencial. Entre los factores que explican esta aceleración destacan tres tendencias clave. Primero, el uso de credenciales legítimas: los atacantes operan mediante cuentas válidas para no activar alertas. Segundo, las intrusiones sin malware: en 2025, el 78.9% de las detecciones no involucró software malicioso identificable. Tercero, el abuso de esquemas de inicio de sesión único (SSO) en la nube.
La brecha estructural frente al Plan Nacional de Ciberseguridad
La inteligencia artificial añade una nueva capa de complejidad, permitiendo automatizar tareas como el reconocimiento y la evasión de defensas. En este contexto, México presentó el Plan Nacional de Ciberseguridad 2025–2030, estructurado en fases: 2025 como fundamento y 2026 como fase de expansión para el fortalecimiento operativo.
Sin embargo, la realidad operativa avanza a un ritmo distinto. Mientras el cibercrimen se mide en segundos, la respuesta institucional se mueve en escalas de meses e incluso años. La brecha es estructural: el gobierno no ha publicado métricas oficiales estandarizadas sobre tiempos de respuesta, pero se sabe que ataques modernos comprometen sistemas en menos de 25 minutos.
Incidentes críticos y la urgencia de una respuesta técnica
Autoridades de la ATDT han reconocido retrasos en la detección que pueden extenderse entre ocho y nueve meses. En contraste, el atacante completa su objetivo en menos de media hora. Los primeros meses de 2026 han mostrado megafiltraciones que comprometieron a 25 entidades federales y la extracción de 2.3 TB de datos sensibles.
La prioridad inmediata es acelerar la implementación de la Política General de Ciberseguridad, designando al Responsable Institucional de Ciberseguridad (RIC) y desplegar monitoreo continuo 24/7. Urge realizar auditorías críticas, aplicar parches en sistemas legacy y adoptar modelos de Zero Trust para limitar los movimientos laterales de los atacantes.
Por Víctor Ruiz, fundador de SILIKN
