En los últimos meses he escuchado la misma frase en reuniones con gerentes y equipos de TI: “tenemos buenas soluciones de seguridad, usamos herramientas confiables, aquí no debería pasar nada grave”. Sin embargo, los informes más recientes de ciberseguridad muestran otra realidad incómoda: los atacantes han aprendido a esconderse justo donde más confiamos, dentro de aplicaciones legítimas, procesos de Windows firmados y servicios que las empresas autorizan a diario para trabajar. Ya no hablamos solo de virus extraños descargados desde sitios sospechosos, sino de binarios y herramientas que vienen preinstaladas en los equipos, que cualquier usuario reconoce como normales, pero que en manos equivocadas se convierten en puertas traseras silenciosas. Si tu empresa cree que “lo confiable es automáticamente seguro”, estás jugando con fuego en un entorno donde los ciberataques crecieron un 51 % usando esta estrategia.
👉 LEE NUESTRO BLOG, porque tu seguridad ya no puede basarse en suposiciones.
Durante más de tres décadas he visto cómo cambia el relato sobre la ciberseguridad. Hubo una época en la que todo giraba alrededor del antivirus, después se habló del firewall perimetral, luego llegaron las soluciones de endpoint avanzadas, la nube, el Zero Trust y la inteligencia de amenazas. Sin embargo, cada vez que la tecnología da un paso adelante, los atacantes también lo dan, pero en otra dirección: en lugar de inventarse herramientas raras, ahora prefieren aprovechar lo que ya tienes instalado, firmado por proveedores de confianza y autorizado en tus políticas internas. El último informe de Sophos sobre adversarios activos muestra que el abuso de aplicaciones consideradas “de confianza” en sistemas Windows, los llamados binarios living off the land (LOLbins), aumentó un 51 % en 2024 frente a 2023 y un 83 % desde 2021, lo que confirma que esta estrategia dejó de ser marginal para convertirse en rutina delictiva.
Cuando hablamos de LOLbins no nos referimos a malware exótico, sino a herramientas como PowerShell, WMIC, bitsadmin, rundll32, regsvr32 o incluso al propio Protocolo de Escritorio Remoto (RDP), todas desarrolladas para tareas legítimas de administración y soporte. Según análisis recientes, en casi 200 incidentes investigados, el abuso de RDP apareció en cerca del 89 % de los casos, repitiendo la tendencia del año anterior y confirmando que los atacantes se sienten muy cómodos moviéndose dentro de tu red con las mismas llaves que usas para gestionarla. Desde la perspectiva del negocio, esto significa que el enemigo no está “afuera”, intentando tumbar tu firewall a la fuerza, sino adentro, disfrazado de actividad normal.
Esta realidad golpea especialmente a las organizaciones que han construido su estrategia de ciberseguridad sobre una idea muy peligrosa: “si el proveedor es reconocido y la aplicación viene firmada, entonces es segura por defecto”. Ese es el corazón del problema. Los ciberdelincuentes dejaron de pelear contra tus sistemas de defensa; ahora los usan a su favor. Aprovechan procesos confiables para hacer movimientos laterales, escalar privilegios, exfiltrar información o mantener persistencia sin levantar sospechas. En la práctica, esto se traduce en alertas ruidosas para eventos menores y silencio absoluto cuando un binario legítimo está haciendo algo que nunca debería hacer en tu entorno.
En Colombia y Latinoamérica el escenario es igual o más desafiante. Entre junio de 2023 y julio de 2024, el país llegó a reportar alrededor de 134 ataques de ransomware al día, situándose entre los más afectados de la región y con las pequeñas y medianas empresas como principal objetivo. La mayoría de esas organizaciones contaba con algún tipo de antivirus o firewall, pero carecía de monitoreo profundo del comportamiento de sus aplicaciones y de una estrategia clara para detectar actividad sospechosa en herramientas preinstaladas. Cuando el atacante entra por la puerta del correo o un RDP expuesto y luego se apoya en LOLbins, la empresa descubre el incidente cuando ya tiene los archivos cifrados, los servidores detenidos o las bases de datos filtradas.
A nivel global, los informes de amenazas más recientes coinciden en que los ataques sin malware tradicional, apoyados en herramientas legítimas, la ingeniería social y los accesos a la nube, están creciendo más rápido que los esquemas clásicos basados exclusivamente en virus o troyanos. Esto encaja muy bien con el auge de los ciberataques a través de aplicaciones confiables: el atacante ya no necesita introducir código malicioso si puede abusar de lo que ya existe y está autorizado en tu infraestructura. Desde la nube a las VPN corporativas, desde las aplicaciones de colaboración hasta los agentes de soporte remoto, el verdadero desafío ya no es “bloquear lo desconocido”, sino aprender a reconocer cuándo lo conocido se está comportando de manera anómala.
Aquí es donde el discurso puramente técnico se queda corto y entra en juego la gestión empresarial. Un director financiero, un gerente general o un miembro de junta no necesitan saber el nombre de cada binario, pero sí deben entender que el modelo de confianza basado exclusivamente en la marca del proveedor, el sello de la aplicación o el logo del fabricante ya no es suficiente. La pregunta estratégica no es “¿qué compré?”, sino “¿cómo controlo lo que hacen, en mi contexto real, esas herramientas que ya compré?”. En TODO EN UNO.NET hemos visto casos en los que la organización invirtió en múltiples soluciones de seguridad, pero no definió reglas claras de uso, límites de privilegios ni monitoreo continuo del comportamiento de los sistemas, lo que deja huecos enormes que los atacantes explotan sin necesidad de habilidades extraordinarias.
Si tu empresa quiere dejar de ser un objetivo fácil, el primer paso no es comprar otra solución, sino revisar con honestidad dónde y cómo estás otorgando confianza automática. ¿Cuántos usuarios tienen acceso administrativo a servidores, estaciones de trabajo o plataformas críticas solo “porque siempre ha sido así”? ¿Cuántos servicios de escritorio remoto están abiertos más allá de lo necesario? ¿Cuántos proveedores tienen credenciales que nadie revisa desde hace meses o años? Esas preguntas son incómodas, pero son las que diferencian a una organización que se limita a acumular licencias de software de otra que realmente gestiona su superficie de ataque.
En este punto, una recomendación fundamental es trabajar con la idea de comportamiento esperado. Más que preguntarte si una aplicación es confiable, necesitas preguntarte si lo que está haciendo en este momento tiene sentido para tu negocio. PowerShell puede ser perfectamente legítimo en un servidor administrado por personal de TI, pero es una gran señal de alerta cuando empieza a ejecutarse masivamente en equipos de usuarios administrativos que nunca han usado línea de comandos. Un proceso de RDP puede ser normal en un servidor de soporte, pero no en un equipo contable que de repente recibe sesiones remotas desde ubicaciones inusuales.
La buena noticia es que hoy existen herramientas y enfoques que permiten observar ese comportamiento con mucho más detalle que hace algunos años. Las soluciones de detección y respuesta en endpoint (EDR), junto con plataformas de monitoreo centralizado de registros, pueden aprender patrones de uso normal y destacar actividades sospechosas, incluso cuando utilizan herramientas firmadas por el fabricante. Sin embargo, estas tecnologías solo son realmente efectivas cuando se integran en una estrategia integral: inventario actualizado de activos, clasificación de información, gestión de identidades y accesos, segmentación de la red, políticas claras de trabajo remoto y un gobierno de datos alineado con la regulación colombiana de protección de datos personales.
No podemos olvidar que, en nuestro país, un incidente de seguridad que implique fuga, pérdida, uso no autorizado o acceso indebido a datos personales no es solo un problema técnico, sino también legal y reputacional. La Superintendencia de Industria y Comercio exige que las organizaciones demuestren medidas adecuadas de seguridad y principios de responsabilidad demostrada, y el uso indebido de aplicaciones confiables no exime a la empresa de su deber de proteger los datos. Cuando un atacante utiliza tus propias herramientas legítimas para filtrar información, la discusión con el regulador y con tus clientes no será sobre el nombre del binario, sino sobre por qué no existían controles para detectar y limitar ese abuso.
Al hablar de aplicaciones confiables, también hay que mirar el ecosistema de proveedores y servicios en la nube. Muchas empresas colombianas dependen hoy de herramientas SaaS para contabilidad, CRM, gestión de proyectos, colaboración y firma electrónica. Cada una de esas plataformas agrega valor, pero también amplía la superficie de ataque, especialmente cuando se integran entre sí sin una gobernanza clara. Un token de acceso mal gestionado, una sesión de soporte remoto concedida sin supervisión o una mala configuración de privilegios puede convertirse en la puerta de entrada para que un atacante abuse de funciones completamente legítimas y extraiga datos sin dejar rastro evidente.
A nivel de cultura interna, el tema de la confianza ciega se mezcla con la presión por la productividad. Es frecuente encontrar equipos que piden instalar aplicaciones adicionales, extensiones de navegador, herramientas de automatización o clientes de escritorio remoto “porque facilitan el trabajo”. El problema no está en la herramienta en sí, sino en la forma en que se aprueba, se controla y se monitorea su uso. Una empresa madura no dice “sí” o “no” de manera impulsiva, sino que define criterios: qué información toca, qué permisos necesita, quién la administra, qué registros genera, cómo se revoca el acceso cuando ya no es necesario.
En el contexto actual, es clave entender que la línea entre “aplicación confiable” y “aplicación peligrosa” ya no es fija; se mueve según el uso. Una misma herramienta puede ser tu mejor aliada o tu peor enemigo, dependiendo de quién la controle, qué límites tenga y qué visibilidad exista sobre sus acciones. Por eso hablo de pasar de una seguridad basada en etiquetas a una seguridad basada en comportamiento y contexto. No se trata de desconfiar de todo, sino de dejar de confiar a ciegas.
Al comparar la realidad de Colombia con la de otros mercados, encontramos desafíos similares pero con matices importantes. En países donde la ciberseguridad lleva más años de inversión sostenida, ya es común ver modelos de Zero Trust, segmentación avanzada, automatización de respuesta y equipos dedicados a threat hunting. En muchas empresas de la región, en cambio, la seguridad sigue concentrada en un pequeño grupo de personas que hacen “de todo un poco” y que, además, deben reaccionar a incidentes con herramientas limitadas. Esta brecha no se cierra solo con tecnología; se cierra con estrategia, gobierno y un cambio de mentalidad que conecte la ciberseguridad con la continuidad del negocio, el cumplimiento normativo y la reputación de la organización.
Por eso insisto en que cada junta directiva debería hacerse una pregunta incómoda al menos una vez al año: si mañana un atacante utiliza nuestras propias aplicaciones confiables para detener operaciones, cifrar servidores o filtrar bases de datos, ¿qué tanto tiempo tardaríamos en darnos cuenta, responder y recuperarnos sin perder clientes, sin incumplir la ley y sin destruir años de reputación? Cuando la respuesta es evasiva o depende de “la suerte” o de “que el proveedor nos ayude rápido”, es señal de que no tenemos una estrategia, sino una esperanza.
En mi trabajo con empresas de diferentes tamaños y sectores he visto que las organizaciones que mejor se adaptan a este nuevo escenario tienen algo en común: han dejado de pensar en la ciberseguridad como un departamento aislado y la han integrado en su modelo de gestión, en su cultura y en su forma de tomar decisiones tecnológicas. No se trata solo de TI; implica talento humano, finanzas, operaciones, mercadeo, riesgos y dirección general. Cuando todos entienden que un ataque que se oculta dentro de aplicaciones confiables puede detener facturación, afectar nómina, frenar ventas, violar la privacidad de clientes y dañar relaciones con aliados, entonces la conversación deja de ser técnica y se vuelve estratégica.
En TODO EN UNO.NET trabajamos justamente en ese punto de encuentro entre tecnología funcional, cumplimiento normativo y transformación empresarial. No se trata de llenarte de herramientas, sino de ayudarte a diseñar una arquitectura donde cada aplicación confiable tenga roles definidos, límites claros y monitoreo continuo. Esto incluye revisar cómo gestionas tus accesos remotos, qué nivel de visibilidad tienes sobre el comportamiento de tus equipos, qué tan preparados están tus colaboradores para reconocer señales tempranas de abuso y cómo se conecta todo eso con tus políticas de Habeas Data, continuidad del negocio y gobierno corporativo. Cuando un gerente entiende que un ciberataque escondido en una herramienta confiable puede convertirse en una crisis integral, deja de ver la seguridad como un gasto y la reconoce como una inversión para sostener el futuro de la empresa.
Durante más de treinta años he acompañado a empresarios que pensaban que un ciberataque siempre empezaba con algo evidente: un correo sospechoso, una pantalla negra, un mensaje de error extraño. Hoy, la mayoría de incidentes graves no se anuncian con estruendo, sino que se camuflan dentro de procesos legítimos que nadie cuestiona. Cuando una empresa entiende que lo verdaderamente peligroso ya no es lo raro, sino lo que parece normal pero actúa fuera de contexto, ocurren dos cosas muy valiosas: por un lado, asume que la ciberseguridad no es un proyecto puntual, sino un sistema vivo que requiere revisión, actualización y entrenamiento permanente; por otro lado, descubre que sí es posible tomar el control si se combina un buen diagnóstico, una estrategia clara y una implementación funcional que conecte personas, procesos y tecnología. Desde TODO EN UNO.NET acompañamos ese recorrido con consultorías administrativas, tecnológicas, de mercadeo digital, Habeas Data, facturación electrónica, automatización, formación e inteligencia artificial, siempre con la intención de aumentar la eficiencia de tu empresa con soluciones digitales y normativas que realmente se integren al día a día de tu operación. El verdadero cambio ocurre cuando dejas de ver la seguridad como un freno y la empiezas a entender como una plataforma para innovar con menos miedo, más claridad y mayor capacidad de respuesta. Nuestro compromiso no termina cuando entregamos un informe o configuramos una herramienta; continúa en el seguimiento, en la actualización a nuevas amenazas, en la adaptación de tus procesos y en la construcción de una cultura donde lo confiable no se asume, se comprueba. Así tu organización no solo se protege mejor frente a ciberataques ocultos en aplicaciones confiables, sino que se posiciona como un actor serio, responsable y preparado en su sector, capaz de seguir creciendo incluso en un entorno de riesgos crecientes y cambios acelerados.
¿Listo para transformar tu empresa con tecnología funcional?