7 señales sutiles de una brecha de seguridad que la mayoría de los equipos de TI pasan por alto

La mayoría de las organizaciones no descubren una filtración de datos por sí solas. Uno de los mayores riesgos para cualquier empresa hoy en día es sufrir una brecha de seguridad. En promedio, las organizaciones tardan 241 días en identificar y contener una filtración de datos, según el Informe de IBM sobre el Costo de una Filtración de Datos de 2025. Eso equivale a ocho meses de acceso no detectado. Durante ese tiempo, un ciberdelincuente copia archivos y lee correos electrónicos. Además, accede a cuentas y crea un mapa de todo su entorno sin que la organización se dé cuenta.

Ante el aumento de las amenazas cibernéticas a nivel global, el Estado dominicano dispuso mediante el Decreto 685-22 que todas las instituciones gubernamentales deben notificar al CSIRT-RD, organismo adscrito al Centro Nacional de Ciberseguridad (CNCS), cualquier incidente de ciberseguridad registrado en sus infraestructuras tecnológicas. De este modo, se busca fortalecer la capacidad de respuesta, monitoreo y protección digital frente a posibles ciberataques.

A continuación, los expertos de ManageEngine, la división de gestión de TI empresarial de la multinacional de la India Zoho Corp, comparten su visión respecto a ciertos  indicadores  que pueden indicar una brecha de seguridad. 

1. La cuenta de un antiguo empleado sigue activa.

Según el Informe de Investigaciones de Violaciones de Datos (DBIR) de Verizon de 2025, las credenciales robadas o comprometidas son ahora el punto de acceso inicial en el 22% de todas las filtraciones de datos. Además, las cuentas de exempleados se encuentran entre los objetivos más fáciles. Estas cuentas tienen permisos reales, un historial de actividad legítimo y no reciben supervisión constante por parte de un equipo que ya ha pasado página. 

Qué verificar: Compare cada cuenta activa con su lista de empleados actual. Cualquier cuenta que no coincida debe desactivarse de inmediato. Configure un flujo de trabajo automático que desactive todas las cuentas y permisos de acceso en cuanto un empleado complete todos los trámites de salida.

2. El servicio de asistencia técnica ha tenido que restablecer la misma contraseña varias veces, pero el empleado nunca lo solicitó.

El equipo de asistencia técnica está capacitado para ser útil, pero paradójicamente los delincuentes están preparados para explotar esa debilidad. Diez minutos de investigación en LinkedIn, detalles como un nombre, un gerente y un departamento, son suficientes para suplantar la identidad de un empleado de forma convincente por teléfono. Por otra parte, el informe DBIR de Verizon de 2025 reveló que el factor humano estuvo involucrado en el 60 % de todas las filtraciones. La ingeniería social a través de los canales de soporte es una de las vías de acceso más frecuentes.

Qué comprobar: Marcar cualquier cuenta con tres o más restablecimientos de contraseña en 30 días y exigir la verificación del administrador antes de aprobar el siguiente.

3. Un proveedor del que dependías sufrió una brecha de seguridad y fuiste el último en enterarte.

Según el informe DBIR 2025 de Verizon, la participación de terceros en las brechas de seguridad se duplicó con respecto al año anterior, representando el 30 % de todos los incidentes, frente al 15 % del año anterior. Cada proveedor con una integración de API, una conexión SSO o un agente de servicio en su red es un posible punto de entrada que usted no controla.

Qué comprobar: Identifique a todos los proveedores que tienen acceso a sus sistemas y considérelos como una extensión de su propia superficie de ataque. Monitoree las fuentes de divulgación de filtraciones en busca de menciones de sus proveedores. Si se entera de una filtración de un proveedor a través de un titular de noticias, su proceso ya es demasiado lento.

4. Tus herramientas de monitorización siguen fallando en los mismos sitios.

Los atacantes sofisticados no desactivan directamente tus herramientas de seguridad. Eso activa las alertas. Cuando logran infiltrarse, una de sus primeras acciones es manipular discretamente los agentes de monitorización en las máquinas específicas desde las que operan. No todo tu entorno, solo los rincones que utilizan. El tiempo medio de detección de 241 días que aparece en el informe de IBM no es casualidad. Es, en parte, el resultado de este tipo de interferencia deliberada.

Qué comprobar: Registrar los fallos de monitorización por activo específico. Si las mismas máquinas pierden visibilidad repetidamente sin una causa raíz clara, es necesario escalarlo como un hallazgo de seguridad. No debe tratarse como una incidencia de mantenimiento.

5. Los empleados están viendo correos electrónicos que parecen haber sido enviados desde sus propias direcciones.

El fraude por correo electrónico empresarial (BEC) costó a las organizaciones 2770 millones de dólares en 2024, convirtiéndose en la segunda categoría de ciberdelincuencia con mayores pérdidas, según el Informe de Delitos en Internet de 2024 del FBI . Rara vez comienza de forma dramática, ya que un atacante obtiene acceso silencioso a un buzón de correo. Instala una regla de reenvío oculta y lee todo durante semanas. Además, a veces, los empleados notan que algo no cuadra, como una respuesta que no recuerdan haber enviado. Sin embargo, estas observaciones rara vez llegan al departamento de TI. 

Qué revisar: Audite las reglas de reenvío de correo electrónico en toda su organización, especialmente para las funciones críticas y los puestos de liderazgo. Cualquier regla de reenvío externo creada fuera del horario laboral requiere una investigación inmediata.

6. Tu factura de la nube aumentó inexplicablemente.

Una técnica documentada de los atacantes consiste en comprometer una cuenta en la nube. Luego almacenan discretamente exportaciones de bases de datos en un depósito de almacenamiento poco visible durante varias semanas y, posteriormente, extraen toda la información de golpe. Por si fuera poco, el informe de IBM de 2025 sobre el coste de las filtraciones de datos reveló que el 30 % de las filtraciones implicaban la distribución de datos en múltiples entornos locales y en la nube. Estas filtraciones se encuentran entre las más costosas y difíciles de detectar. De hecho, la evidencia suele aparecer primero en la factura, archivada como una variación de costes inexplicable.

Qué comprobar: Dirija las alertas de anomalías en los costes de la nube a su equipo de seguridad, junto con el departamento de finanzas. Los picos inexplicables de almacenamiento o salida de datos deben tratarse como posibles indicadores de intrusión hasta que se demuestre lo contrario.

7. Informes de copias de seguridad exitosas no significan nada si nadie prueba la restauración.

Los grupos de ransomware que planifican  ataques suelen atacar la infraestructura de copias de seguridad semanas antes de que comience el cifrado. Así garantizan que la recuperación sea imposible cuando más se necesita. Según el informe «Estado del Ransomware 2025» de Sophos , el uso de copias de seguridad para restaurar datos cifrados ha alcanzado su nivel más bajo en seis años. Solo se recurrieron a ellas en el 54 % de los incidentes de ransomware. En cambio, el 49 % de las víctimas terminaron pagando el rescate. 

Qué comprobar: La validación de la restauración debe ser una práctica mensual, no una simple verificación anual. La cuestión no es si la copia de seguridad se ejecutó correctamente, sino que  se puede recuperar en el tiempo que la empresa puede permitirse.

Cómo detectar una brecha de seguridad en la red antes de que sea demasiado tarde.

Ninguno de estos indicadores de compromiso de red requiere la intervención de un atacante sofisticado para pasar desapercibido. La mayoría existen debido a puntos ciegos comunes, como fallos en la gestión de bajas, registros sin leer y copias de seguridad no probadas. Las organizaciones que son sorprendidas no siempre son las que tienen la seguridad más débil. A menudo son las que tienen una seguridad aceptable, pero poca visibilidad real de lo que ocurre en segundo plano. La visibilidad es lo que diferencia una brecha que se detecta en la primera semana de una que se descubre en el octavo mes.