Getty Images/iStockphoto

Mundial, vacaciones y SOC reducido aumentan los riesgos de seguridad

El Mundial de Fútbol cambió la rutina digital de las empresas: enlaces de streaming, quinielas, promociones falsas y páginas sospechosas comenzaron a circular con más intensidad. En julio, el riesgo se topa con otro factor: las vacaciones y los turnos rotativos, que reducen el equipo disponible en el SOC.

El torneo de balompié que actualmente se disputa alteró el comportamiento digital corporativo y el guion es previsible. En días de partido, el interés del colaborador empuja tráfico fuera de los canales oficiales, abre la puerta a contenidos clonados y crea una ventana corta de decisión en la que la curiosidad le gana al procedimiento. El comportamiento es previsible y las estafas también.

La preparación de los ataques, dicho sea de paso, comenzó mucho antes del pitazo inicial. Entre enero y mayo de 2026, se registraron más de 13.000 dominios temáticos del Mundial, y cerca del 8,8 % fueron clasificados como maliciosos o sospechosos por FortiGuard Labs. Lo que era infraestructura montada antes del torneo aparece ahora en la rutina del SOC: enlaces de streaming, búsquedas sospechosas, correos de phishing, tráfico en proxies y alertas de endpoints.

En junio, ese volumen impactó al SOC con equipos completos y, en la mayoría de los casos, fue absorbido sin ruptura. Pero haber dado abasto hasta aquí dice poco sobre lo que viene a continuación: lo que sostuvo a junio fue la disponibilidad humana, no la capacidad instalada.

La diferencia en julio es operativa. Vacaciones y turnos rotativos reducen el número de analistas por turno, y el triaje manual pasa a operar con menos margen justo cuando el interés por el torneo alcanza su pico. Julio no inaugura el riesgo, pero reduce el margen humano para absorberlo. Justo en este punto, la automatización gobernada deja de ser un proyecto de eficiencia para convertirse en un mecanismo de sostén del SOC. Si la respuesta depende de triaje manual para cada alerta, la preparación del atacante encuentra exactamente lo que busca: una fila.

Del interés al incidente

La cadena de ataque no comienza necesariamente con una intrusión sofisticada. Puede comenzar con algo que forma parte de la rutina digital durante el Mundial: un colaborador intentando ver un partido por un enlace no oficial en la laptop de trabajo, haciendo clic en una supuesta transmisión gratuita o accediendo a una página compartida en un grupo de mensajería.

La página promete acceso rápido al partido, solicita la instalación de un player, redirige a una pantalla de inicio de sesión clonada u ofrece una aplicación de marcador fuera de las tiendas oficiales. Para el usuario, parece apenas un atajo; para el atacante, es el punto de entrada.

A partir de ahí, el incidente deja de ser un desvío de navegación y pasa a ser un riesgo corporativo. Un infostealer (malware utilizado para recolectar credenciales, tokens de sesión, cookies y otros datos sensibles) puede operar sin causar indisponibilidad inmediata para robar acceso que después alguien usará.

Esa es la razón por la que el Mundial presiona al SOC de manera particular. El ataque no siempre llega como un ransomware ruidoso. Puede llegar como credencial válida, sesión activa o acceso aparentemente legítimo. El intruso no derriba la puerta; entra con la llave.

Las herramientas de IA pueden potenciar aún más este escenario. Por un lado, entran en la mira de los atacantes como nuevas superficies de credenciales. Por otro, ayudan a acelerar el reconocimiento, la explotación y la adaptación de campañas. Según el IBM X-Force Threat Intelligence Index, se hallaron credenciales de ChatGPT expuestas en mercados clandestinos, en paralelo a un alza del 44 % en los ataques iniciados mediante la explotación de aplicaciones expuestas a internet.

La frase de Mark Hughes, socio director global de Servicios de Ciberseguridad de IBM, resume el efecto operativo de este cambio: "Los atacantes no están reinventando los playbooks; están acelerando esos playbooks con IA". El problema, por tanto, no es solo de sofisticación, sino de velocidad.

Para el SOC, el punto crítico no es solo el clic en el enlace, sino lo que viene después: un dominio sospechoso, una credencial expuesta, una sesión anómala o un intento de explotación deben convertirse en una decisión en tiempo real. ¿Pero esas señales entran en una fila manual o disparan un flujo de contención ya conocido?

La fila como riesgo

El modelo tradicional de triaje depende de dos condiciones: el volumen manejable y el equipo completo. El Mundial presiona la primera condición; el receso de julio debilita la segunda. Para el atacante, ese desequilibrio basta porque no hace falta derribar al SOC, solo retrasar su decisión.

La diferencia entre empresas preparadas y no preparadas aparece antes de la investigación profunda. En el SOC preparado, la alerta ya llega enriquecida con reputación de dominio, criticidad del activo, usuario involucrado, historial de autenticación y presencia del indicador en otros endpoints. En el SOC manual, el analista debe armar ese contexto caso por caso.

Aunque cada paso es simple, el conjunto consume tiempo. En este escenario, la fila deja de ser solo un problema de productividad y se vuelve parte de la superficie de ataque. Y cuando el ataque se acelera, el cuello de botella ya no es la herramienta, sino la decisión. Cada decisión retrasada también es un riesgo.

Automatización con límites

En este escenario, automatizar todo parece ser la solución perfecta, pero no es tan así. En seguridad, una respuesta rápida que afecta al sistema equivocado puede generar indisponibilidad, interrumpir procesos críticos o ampliar el impacto operativo que se intentaba evitar.

La respuesta arquitectónica es automatizar lo que es repetitivo, previsible y de baja ambigüedad, preservando el juicio humano para decisiones críticas. Es en este punto donde entra el SOAR, la plataforma utilizada por equipos de seguridad para integrar herramientas, automatizar tareas repetitivas y orquestar respuestas mediante playbooks.

En la práctica, el SOAR conecta sistemas que normalmente quedan en consolas separadas: SIEM, EDR, IAM, firewall, seguridad de correo, inteligencia de amenazas e ITSM. La ganancia viene de la coordinación. Cuando llega la alerta, el SOAR enriquece el evento, consulta bases de inteligencia, verifica la criticidad del activo, correlaciona señales y dispara respuestas previamente aprobadas. Puede poner un correo en cuarentena, revocar una sesión sospechosa, bloquear un indicador malicioso o aislar un endpoint de bajo impacto.

Pero la palabra clave es "previamente". La automatización gobernada exige criterios de excepción, traza de auditoría, control de versión y puntos de aprobación para acciones que puedan afectar al negocio. Bloquear una URL conocida como maliciosa es una cosa, y desactivar una cuenta privilegiada en producción es otra.

El punto de partida para el SOC implica tres decisiones:

  1. Definir qué eventos pueden enriquecerse y priorizarse automáticamente.
  2. Separar acciones de bajo impacto, como cuarentena de correo o bloqueo de indicador, de acciones que requieren aprobación humana.
  3. Registrarlo todo: quién decidió, cuándo decidió, con base en qué evidencias y con qué efecto.

El objetivo no es automatizar la decisión crítica, sino automatizar el camino hacia ella. Sin eso, el analista comienza la investigación armando el rompecabezas. Con eso, comienza por la imagen casi formada.

Ganancia sin promesa mágica

No existe un número universal que indique cuánto cambia la respuesta. El resultado depende de la madurez del SOC, la calidad de los datos, las integraciones disponibles y el nivel de autonomía autorizado.

Aun así, la dirección es consistente. En entornos bien integrados, la automatización reduce el tiempo dedicado al triaje, al enriquecimiento, a la priorización, a la documentación y a la ejecución de acciones repetitivas. La diferencia aparece al inicio del incidente, cuando los minutos determinan si el caso se contendrá o escalará.

Casos publicados por proveedores ayudan a dimensionar el potencial, siempre que se lean con cautela. Playtika redujo el MTTR (métrica que mide el tiempo medio de respuesta, resolución o remediación) de 3,5 horas a 45 minutos tras automatizar parte de los flujos con Cortex XSOAR. El estado de Dakota del Norte, en Estados Unidos, automatizó el 60 % de los incidentes y redujo los falsos positivos de phishing en un 57 %, según el reporte de Palo Alto Networks. Esos casos específicos, dependientes del contexto y de la arquitectura, apuntan a lo que le interesa al CIO: menos tiempo en tareas repetidas, menos cambio de consolas y más consistencia entre turnos.

Esa consistencia pesa más durante el receso. Cuando el equipo está completo, los procesos manuales deficientes aún pueden ser compensados por esfuerzo humano. Cuando el equipo está reducido, la improvisación se vuelve fragilidad.

Evidencia y plazo

La presión no termina en la contención técnica. Cuando hay datos personales afectados, la respuesta entra en el terreno de la LGPD (Ley General de Protección de Datos brasileña) y de la Autoridad Nacional de Protección de Datos (ANPD). En este punto, velocidad y documentación van de la mano.

La Resolución CD/ANPD nº 15/2024 exige comunicación a la ANPD y a los titulares en hasta tres días hábiles cuando el incidente pueda acarrear riesgo o daño relevante, contados desde el conocimiento del controlador de que datos personales fueron afectados. La información inicial puede ser complementada en hasta 20 días hábiles, de forma fundamentada.

No todo incidente requiere ser comunicado, pero la decisión sobre qué es "relevante" recae en el propio controlador, y esa calificación debe quedar documentada. Cuando el impacto alcanza a los titulares, ellos también deben ser avisados, en plazo equivalente.

En esta etapa, la automatización ayuda menos por el bloqueo y más por la evidencia. Logs, línea de tiempo, sistemas afectados, medidas adoptadas, titulares potencialmente impactados y decisiones de escalamiento deben existir antes de la crisis jurídica. Si la organización solo comienza a reconstruir la historia después del incidente, ya perdió parte del control.

En julio, la recomendación cambia según la madurez. Quien ya tiene playbooks debe revisar umbrales, verificar integraciones y ejecutar simulaciones cortas durante la ventana de los partidos decisivos. Quien todavía depende de triaje manual necesita reducir el alcance: automatizar enriquecimiento, cuarentena de correo, bloqueo de indicadores y apertura de tiquets para los vectores más probables.

El checklist mínimo es objetivo: phishing, infostealer, autenticación anómala y acceso a dominios sospechosos, los cuatro flujos que concentran buena parte del riesgo operativo asociado al comportamiento digital del Mundial.

Julio será una prueba de capacidad operativa. El SOC que dependa solo de la guardia humana jugará al ritmo del atacante. El SOC que llegue con automatización gobernada tendrá, al menos, la oportunidad de decidir antes de que la fila decida por él.

Investigue más sobre Prevención de amenazas