Hay una escena que ningún empresario imagina cuando piensa en un ciberataque: alguien toca la puerta de su oficina, se presenta como técnico de soporte de TI, y sus propios colaboradores lo dejan pasar.
Sin hackeo espectacular. Sin pantallas con calaveras. Sin alarmas. Solo un USB conectado en silencio a una computadora de su empresa, y en cuestión de minutos, toda la información confidencial de su negocio ya está en manos equivocadas. Esto no es ciencia ficción. Esto ya está ocurriendo. Y el FBI lo acaba de confirmar.
La alerta que sacudió al sector esta semana
El pasado 26 de mayo de 2026, la Oficina Federal de Investigaciones (FBI) emitió un FLASH Alert —su nivel más alto de urgencia— advirtiendo sobre las operaciones en escalada del Silent Ransom Group (SRG), también conocido como Luna Moth, Chatty Spider o UNC3753.
«Silent Ransom Group Impersonating IT Personnel through Social Engineering» (26 de mayo de 2026). Disponible en ic3.gov y en el portal de la American Hospital Association.
Este grupo, activo desde 2022 con vínculos rastreados a Rusia, ha perfeccionado durante tres años un modelo de ataque que rompe con todo lo que se enseña en los cursos de ciberseguridad convencionales. Lo que hace diferente a SRG no es su sofisticación técnica. Es precisamente lo contrario: su arma principal no es el código. Es la confianza humana.
Cómo opera el ataque: una anatomía que todo empresario debe conocer
Entender cómo trabaja este grupo no es un ejercicio académico. Es la diferencia entre detenerlos y pagarles.
Fase 1 — El primer contacto: phishing o llamada directa
Todo comienza de forma aparentemente inocente. Uno de sus colaboradores recibe un correo que le notifica sobre un cargo inminente a una suscripción de software que la empresa usa, o bien, una llamada directa de alguien que se identifica como parte del área de TI interna. El mensaje es urgente: hay un problema de seguridad, hay que actuar ahora.
Esto se denomina en ciberseguridad callback phishing (T1566) y vishing o voice phishing (T1598.004), técnicas catalogadas por el FBI en su alerta. La urgencia fabricada es deliberada: bloquea el pensamiento crítico y activa el modo reactivo del cerebro.
Fase 2 — La puerta abierta: herramientas legítimas de acceso remoto
Una vez que el colaborador está en el teléfono con el atacante, este lo guía para instalar herramientas completamente legítimas como AnyDesk o TeamViewer. Aquí está la trampa magistral: el antivirus no detecta nada. No hay malware. No hay código malicioso. Solo un técnico «ayudando» de forma remota.
A través de esa sesión remota, el atacante accede al sistema, identifica los archivos de mayor valor —contratos, datos de clientes, información financiera, expedientes— y los extrae en silencio usando herramientas como WinSCP o versiones ocultas de Rclone. En algunos casos, los datos son enviados directamente a plataformas de almacenamiento como Google Drive o Microsoft OneDrive, servicios que tampoco disparan ninguna alerta.
Fase 3 — El escalamiento físico: cuando el digital no alcanza
Y aquí es donde el playbook de SRG se vuelve verdaderamente disruptivo: si el acceso remoto falla, envían a una persona físicamente a la oficina. Un individuo se presenta vestido de manera profesional, afirma ser técnico de soporte de TI, y con la colaboración inconsciente de los mismos colaboradores de la empresa, conecta una memoria USB o un disco externo directamente en una computadora corporativa y extrae los datos en segundos.
El FBI documenta que los colaboradores frecuentemente facilitan el acceso sin cuestionar, porque el atacante conoce nombres internos, procedimientos y terminología técnica suficiente para resultar completamente creíble.
Fase 4 — La extorsión silenciosa: sin cifrado, sin advertencia
SRG no cifra archivos. No bloquea sistemas. No muestra pantallas de rescate. Mientras la empresa opera con aparente normalidad, días o semanas después llega un correo: «Tenemos sus datos. Páguenos o los publicamos.»
Y cumplen. Tienen un sitio de filtraciones activo en la internet abierta. A la fecha del FLASH Alert del FBI, más de 38 despachos y firmas ya tienen sus datos expuestos públicamente por no haber pagado. La cifra real de atacados supera los 100, dado que la mayoría sí pagó para evitar la exposición.
El contexto que hace esto urgente para México
Si esto ocurre con empresas en Estados Unidos, con recursos, abogados y equipo de TI, la pregunta para el empresario mexicano es obvia: ¿qué posibilidades tiene mi empresa?
Los datos son contundentes:
El 74% de las empresas mexicanas sufrió algún tipo de ataque de ransomware o extorsión digital en 2025. (Fuente: Kaspersky / El Imparcial, diciembre 2025)
México registró 237,000 intentos de ataque de ransomware entre agosto de 2024 y julio de 2025, lo que equivale a 781 ataques diarios, posicionando al país como el segundo más atacado en América Latina. (Fuente: Kaspersky, Panorama de Amenazas LATAM 2025)
El costo promedio por rescate exigido a empresas mexicanas ronda los USD $387,000, con costos de recuperación que en algunos casos superaron el millón de dólares por incidente. (Fuente: Executrain.com.mx / TBSEK.mx, 2025)
3 de cada 5 pymes mexicanas podrían cerrar en los próximos cuatro años si no refuerzan su postura de seguridad. (Fuente: Análisis sectorial citado en ElImparcial.com, diciembre 2025)
Más del 60% de las pymes reportó algún incidente de seguridad en el último año, y la mayoría operó sin una estrategia formal de respuesta. (Fuente: Tantius.com.mx, febrero 2026)
No se trata de estadísticas frías. Cada una de esas cifras es una empresa que perdió datos de clientes, que detuvo operaciones, que pagó en silencio para no dañar su reputación, o que simplemente no sobrevivió al golpe.
Por qué las empresas medianas y pequeñas son el blanco perfecto
Hay una lógica económica en esto que los criminales han comprendido mejor que muchos directores de empresa: las pymes concentran datos valiosos con defensas mínimas.
Un despacho contable mediano tiene información fiscal de decenas de clientes. Un distribuidor regional maneja contratos con proveedores internacionales. Un consultorio o clínica privada resguarda expedientes con datos sensibles de salud. Una empresa de manufactura o logística tiene información de cadena de suministro crítica.
Todo eso tiene valor. Y la mayoría de estas empresas opera sin un área de TI dedicada, sin protocolos documentados de verificación de identidad, sin políticas claras sobre quién puede autorizar accesos remotos, y lo más importante: sin cultura de seguridad entre sus colaboradores.
SRG lo sabe. Y lo explota sistemáticamente.
El vector de entrada no es una vulnerabilidad técnica en el servidor. Es la buena disposición de un colaborador que recibió una llamada urgente de alguien que sonaba exactamente como un técnico de soporte.
Lo que sí puedes hacer: medidas concretas que no requieren un presupuesto millonario
Frente a esta amenaza, la defensa más efectiva no es tecnológica. Es organizacional. Y eso es, en realidad, una buena noticia para las empresas que no tienen el presupuesto de un banco.
1. Establece un protocolo de verificación de identidad para cualquier solicitud de soporte técnico
Ningún colaborador debería instalar software de acceso remoto, abrir un acceso a su equipo, ni recibir a alguien de TI sin verificar previamente la solicitud por un canal interno oficial. Un simple proceso de confirmación puede detener el 100% de estos ataques en su primera fase.
2. Define quién puede autorizar el acceso remoto a sistemas internos
No basta con confiar en que «el equipo lo sabría». Debe existir una política explícita, conocida por todos, que establezca con claridad quién tiene autoridad para aprobar un acceso remoto, bajo qué circunstancias y a través de qué mecanismo de verificación.
3. Capacita a tus colaboradores en el reconocimiento de ingeniería social
La ingeniería social funciona porque explota comportamientos humanos predecibles: el deseo de ser útil, el miedo a cometer un error, la presión de la urgencia. La capacitación no tiene que ser técnica. Tiene que ser situacional: ¿qué hago si alguien me llama diciéndome que hay un problema urgente y necesita acceso?
4. Controla físicamente quién entra a tu espacio de trabajo
La intrusión física es real y documentada. Nadie debería poder acceder a un área con equipos de cómputo sin identificación verificada y autorización expresa. Esto incluye a personas que se presenten como técnicos de servicios subcontratados.
5. Implementa monitoreo de comportamiento en tu red, no solo antivirus
Los antivirus tradicionales no detectan lo que SRG hace, porque usan herramientas legítimas. Un sistema de monitoreo de comportamiento —que alerte cuando grandes volúmenes de datos están siendo copiados o transferidos— puede ser el único mecanismo que detecte el ataque en curso.
6. Ten un plan de respuesta antes de que ocurra
La pregunta no es si tu empresa será atacada. La pregunta es si sabrás qué hacer en la primera hora cuando ocurra. ¿Quién toma decisiones? ¿A quién llamas? ¿Tienes respaldos verificados y desconectados de la red principal? Ese plan vale más que cualquier software de seguridad.
El aprendizaje que esta semana deja para las empresas mexicanas
La gran enseñanza del caso Silent Ransom Group no es técnica. Es estratégica: la ciberseguridad dejó de ser un problema de TI. Es un problema de gestión humana, de cultura organizacional y de continuidad de negocio.
Un atacante que usa a tus propios colaboradores como puerta de entrada no puede ser detenido únicamente con tecnología. Puede ser detenido con conciencia, con procesos y con preparación.
Las empresas que sobreviven a estos ataques no son necesariamente las que tienen el mejor firewall. Son las que han convertido a sus colaboradores en la primera y más sólida línea de defensa.
Lo que el FBI advierte para las empresas estadounidenses, los grupos criminales que operan en México ya lo están aplicando aquí. La diferencia es que aquí hay menos conciencia del riesgo, menos protocolos y menos reportes. Y eso, para los atacantes, es exactamente la combinación que buscan.
Una reflexión final
Las empresas que esperan a sufrir un ataque para tomar esto en serio generalmente no tienen una segunda oportunidad de hacerlo con calma. La decisión de revisar, documentar y fortalecer los procesos de seguridad siempre será más barata que la alternativa.
Si después de leer esto tienes dudas sobre la postura de seguridad de tu empresa frente a amenazas como esta, o si quieres evaluar si tus procesos actuales resistirían un intento de ingeniería social, podemos conversarlo. A veces la claridad de un diagnóstico externo es lo que marca la diferencia entre detectar una vulnerabilidad antes o después de que alguien más lo haga.
Escríbeme directamente o déjame tu comentario abajo. La primera conversación no cuesta nada. El no tenerla, puede costar todo.
Por Guillermo Cobos, Especialista en Seguridad y Riesgo Digital
Contacto: [email protected]
Te comparto esta nota en el video:
Síguenos en todas nuestras redes:
Facebook: https://www.facebook.com/CareTelecom
X: https://twitter.com/caretelecom
Linkedin: https://www.linkedin.com/company/care-telecom/
Correo: [email protected]
Instagram: https://instagram.com/caretelecom
Spotify Pódcast: Escudo Digital: https://spoti.fi/3FSvKoA
Foto de Magnific
miop
