En octubre del año pasado, la empresa de seguridad Darktrace confirmó lo que muchos de nosotros en el sector de las telecomunicaciones considerábamos inevitable. Un proveedor de servicios de comunicaciones (CSP) europeo había sucumbido finalmente a un ataque de día cero perpetrado por el conocido grupo de amenazas persistentes avanzadas (APT) Salt Typhoon.
Se observó que el grupo aprovechaba una vulnerabilidad en el software Citrix Netscaler implementado por el proveedor de servicios de comunicaciones (CSP) en lo que se conoce como un ataque «Living off the Land» (LOTL). En este tipo de ataques, los hackers obtienen acceso a un sistema a través de aplicaciones ya existentes sin necesidad de instalar malware adicional.
Esto supuso una llamada de atención para el sector en Europa. En aquel momento, se entendía que Salt Typhoon se dirigía principalmente a empresas de servicios públicos, operadores de telecomunicaciones y organismos del sector público de Estados Unidos. Este ataque confirmó que los proveedores de servicios de comunicaciones (CSP) europeos también están ahora en el punto de mira. Para los CSP europeos, esto significaba que ya no se trataba de si su red iba a ser atacada, sino de cuándo.
Los proveedores de servicios de comunicaciones europeos también están ahora en el punto de mira. Esto significa que ya no se trataba de si su red iba a ser atacada, sino de cuándo
Índice de temas
Evaluación del grado de preparación del sector
La gran pregunta es si el sector está preparado. El informe Threat Intelligence 2025 de Nokia reveló que solo el 13 % de los profesionales de la seguridad y las redes encuestados consideraban que estaban totalmente preparados para responder a un ataque de día cero, un tipo de vulnerabilidad de seguridad que aprovecha una debilidad del sistema que era desconocida en el momento en que se lanzó el ataque.
Históricamente, los ataques de día cero solían centrarse en empresas que utilizaban sistemas informáticos de uso general. En los últimos tiempos, los sectores con infraestructuras tecnológicas más especializadas se han enfrentado a un aumento de los ataques. Este es el caso de las telecomunicaciones, donde grupos como Salt Typhoon adaptan sus ataques a protocolos y sistemas específicos de este sector. Una vez que consiguen un punto de acceso en la red, los atacantes se desplazan por múltiples sistemas para robar datos utilizando técnicas avanzadas posteriores a la intrusión.
El número de casos de proveedores de servicios de comunicaciones que se enfrentan a estos ataques está aumentando. El 64 % de los profesionales de la seguridad de redes de telecomunicaciones sufrió al menos un ataque LOTL el año pasado, y alrededor de un tercio se enfrentó a cuatro o más. Dado que los ataques LOTL aprovechan procesos de confianza y herramientas autorizadas, son sigilosos por naturaleza, y las intrusiones pasan prácticamente desapercibidas en el contexto de la actividad habitual de la red. Esto hace que su detección mediante las herramientas habituales de ciberseguridad y supervisión resulte extremadamente difícil.
De la detección a la predicción
Si las herramientas tradicionales tienen dificultades para identificar los ataques LOTL y los de día cero, la pregunta es: ¿qué hay que cambiar?
Un cambio importante es dónde y cómo se detectan las amenazas. En los entornos de telecomunicaciones, los ataques se producen a la velocidad de la red y suelen dirigirse contra la tecnología operativa (OT), como los elementos de la red central, las plataformas de gestión y los sistemas de señalización. Por lo tanto, la detección debe realizarse en tiempo real y a gran escala, sin aumentar la latencia ni interrumpir los servicios.
La detección debe realizarse en tiempo real y a gran escala, sin aumentar la latencia ni interrumpir los servicios
En lugar de basarse en firmas de ataque conocidas o en reglas y definiciones rígidas, los enfoques más avanzados se centran en el análisis del comportamiento. Estos buscan desviaciones de la actividad normal de la red en los protocolos específicos de las telecomunicaciones, incluso cuando no existe ningún exploit conocido, lo cual es fundamental para protegerse contra las amenazas de día cero. Un ejemplo de este método es el «motor de agrupamiento no supervisado», que puede detectar de forma autónoma patrones de ataque mediante una inspección continua a nivel de paquetes. En lugar de basarse únicamente en firmas existentes e indicadores etiquetados, este análisis dinámico permite identificar técnicas de ataque novedosas o personalizadas.
Las redes de telecomunicaciones son entornos complejos y con múltiples proveedores que abarcan sistemas heredados, virtualizados y nativos de la nube. Esta complejidad crea puntos ciegos que los atacantes aprovechan, especialmente una vez que comienzan a moverse lateralmente por la red.
Es esencial contar con una visibilidad coherente en todos los entornos de tecnología operativa (OT), incluyendo el tráfico de red, las interfaces de gestión y los sistemas de control críticos. Sin ella, los equipos de seguridad deben trabajar con información fragmentada procedente de sistemas dispersos, lo que ralentiza la respuesta y aumenta el riesgo.
Reducir el ruido para aumentar la confianza
La fatiga por alertas es otro reto cada vez mayor. A medida que aumenta el volumen de amenazas, las alertas que se solapan procedentes de herramientas aisladas pueden abrumar a los equipos y ocultar incidentes reales.
Los enfoques de seguridad que dan prioridad a la correlación y al análisis unificado abordan este problema vinculando los eventos relacionados en una única vista contextualizada del incidente. Esto resulta especialmente valioso para detectar actividades LOTL, que se ocultan dentro de procesos operativos legítimos.
Al eliminar los falsos positivos, las duplicaciones y otros ruidos, los equipos de seguridad pueden estar más seguros de que las alertas merecen una investigación exhaustiva.
Detección de amenazas basada en IA
La IA se utiliza cada vez más no solo para la detección, sino también para la búsqueda continua de amenazas. Al analizar el comportamiento a lo largo del tiempo y adaptarse tanto a los cambios en la red como a las técnicas de ataque en constante evolución, la IA puede descubrir patrones sutiles que los procesos manuales suelen pasar por alto.
Esto favorece unas operaciones de seguridad más autónomas, lo que reduce la clasificación manual y permite a los equipos humanos centrarse en decisiones de mayor valor relacionadas con el riesgo y la resiliencia.
De la reacción a la resiliencia – el futuro de la seguridad en las telecomunicaciones
En conjunto, estos avances apuntan hacia una ciberresiliencia predictiva: anticipar los ataques, limitar su impacto y mantener la continuidad del servicio.
Para los proveedores de servicios de comunicaciones, que cada vez más dan soporte a infraestructuras nacionales críticas, este cambio se está convirtiendo en algo esencial. Las vulnerabilidades de día cero y las técnicas LOTL son ahora una realidad persistente, no casos aislados, y es probable que su prevalencia no haga más que aumentar en los próximos años.
Será la resiliencia, y no la reacción, lo que definirá la próxima generación de redes de telecomunicaciones seguras y fiables
En este contexto, será la resiliencia, y no la reacción, lo que definirá la próxima generación de redes de telecomunicaciones seguras y fiables.
