Se sospecha que un actor de amenazas del nexo con Irán está detrás de una campaña de pulverización de contraseñas dirigida a entornos de Microsoft 365 en Israel y los Emiratos Árabes Unidos en medio del conflicto en curso en el Medio Oriente.

La actividad, considerada en curso, se llevó a cabo en tres oleadas de ataques distintas que tuvieron lugar el 3 de marzo, el 13 de marzo y el 23 de marzo de 2026, según Check Point.

«La campaña se centra principalmente en Israel y los Emiratos Árabes Unidos, impactando a más de 300 organizaciones en Israel y más de 25 en los Emiratos Árabes Unidos», dijo la empresa israelí de ciberseguridad. dicho. «También se observó actividad asociada con el mismo actor contra un número limitado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita».

Se considera que la campaña se ha dirigido a entornos de nube de entidades gubernamentales, municipios, organizaciones de tecnología, transporte, sector energético y empresas del sector privado de la región.

La pulverización de contraseñas es una forma de ataque de fuerza bruta en la que un actor de amenazas intenta utilizar una única contraseña común contra varios nombres de usuario en la misma aplicación. También se considera una forma más eficaz de descubrir credenciales débiles a escala sin activar defensas que limiten la velocidad.

Check Point dijo que se sabe que la técnica fue adoptada por grupos de hackers iraníes como Peach Sandstorm y Gray Sandstorm (anteriormente DEV-0343) en el pasado para infiltrarse en las redes objetivo.

Básicamente, la campaña se desarrolla en tres fases: escaneo agresivo o pulverización de contraseñas realizado desde los nodos de salida de Tor, seguido de la realización del proceso de inicio de sesión y la filtración de datos confidenciales, como el contenido del buzón.

«El análisis de los registros de M365 sugiere similitudes con Gray Sandstorm, incluido el uso de herramientas del equipo rojo para realizar estos ataques a través de nodos de salida Tor», dijo Check Point. «El actor de amenazas utilizó nodos VPN comerciales alojados en AS35758 (Rachamim Aviel Twito), lo que se alinea con la actividad reciente vinculada a las operaciones del nexo con Irán en el Medio Oriente».

Para contrarrestar la amenaza, se recomienda a las organizaciones que supervisen los registros de inicio de sesión en busca de signos de pulverización de contraseñas, apliquen controles de acceso condicional para limitar la autenticación a ubicaciones geográficas aprobadas, apliquen la autenticación multifactor (MFA) para todos los usuarios y habiliten registros de auditoría para la investigación posterior al compromiso.

Irán revive las operaciones clave de Pay2

La divulgación se produce cuando una organización de atención médica estadounidense fue atacada a fines de febrero de 2026 por Pay2Key, una banda de ransomware iraní con vínculos con el gobierno del país. La operación de ransomware como servicio (RaaS), que tiene vínculos con el grupo Fox Kitten, surgió por primera vez en 2020.

La variante implementada en el ataque es una actualización de campañas anteriores observadas en julio de 2025, que utiliza técnicas mejoradas de evasión, ejecución y antiforenses para lograr sus objetivos. Según Beazley Security y Halcyon, no se exfiltró ningún dato durante el ataque, un cambio con respecto al manual de doble extorsión del grupo.

Se dice que el ataque aprovechó una ruta de acceso indeterminada para violar la organización, utilizando una herramienta legítima de acceso remoto como TeamViewer para establecer un punto de apoyo, luego recolectar credenciales para el movimiento lateral, desarmar Microsoft Defender Antivirus al señalar falsamente que un producto antivirus de terceros está activo, inhibir la recuperación, implementar ransomware, enviar una nota de rescate y borrar registros para cubrir las pistas.

«Al borrar los registros al final de la ejecución en lugar de al principio, los actores garantizan que incluso se borre la propia actividad del ransomware, no solo lo que la precedió», Halcyon dicho.

Entre los cambios clave que el grupo promulgó tras su regreso el año pasado estuvo ofrecer a sus afiliados un recorte del 80% de las ganancias del rescate, frente al 70%, por participar en ataques contra los enemigos de Irán. Un mes después, se detectó en libertad una variante para Linux del ransomware Pay2Key.

«La muestra se basa en la configuración, requiere privilegios de nivel raíz para su ejecución y está diseñada para atravesar un amplio alcance del sistema de archivos, clasificar montajes y cifrar datos usando ChaCha20 en modo total o parcial», Ilia Kulmin, investigadora de Morphisec dicho en un informe publicado el mes pasado.

«Antes del cifrado, debilita las defensas y elimina la fricción al detener servicios, eliminar procesos, deshabilitar SELinux y AppArmor e instalar una entrada cron en el momento del reinicio. Esto permite que el cifrador se ejecute más rápido y sobreviva a los reinicios».

En marzo de 2026, Halcyon también reveló que el administrador del ransomware Sicarii, Uke, instó a los operadores proiraníes a utilizar Baqiyat 313 Locker (también conocido como BQTlock) debido a la afluencia de solicitudes de afiliados. BQTLock, que opera con motivos propalestinos, ha apuntado a los Emiratos Árabes Unidos, Estados Unidos e Israel desde julio de 2025.

«Irán tiene un largo historial de uso de operaciones cibernéticas para tomar represalias contra desaires políticos percibidos», dijo la empresa de ciberseguridad. dicho. «El ransomware se incorpora cada vez más a estas operaciones, con campañas de ransomware que desdibujan la línea entre la extorsión criminal y el sabotaje patrocinado por el Estado».

La empresa de tecnología médica Stryker dice que ha vuelto a estar “plenamente operativa”, tres semanas después de convertirse en la víctima más destacada hasta la fecha de los piratas informáticos iraníes, quienes dijeron que atacaron a la empresa con sede en Michigan en represalia por el conflicto con Estados Unidos e Israel.

Un ataque del 11 de marzo por parte del grupo pro palestino vinculado al gobierno iraní Handala dañó el procesamiento de pedidos, la fabricación y el envío de la empresa. Más recientemente, Handala afirmó haber comprometido los datos del director del FBI, Kash Patel, aunque el FBI dijo que no se tomó información del gobierno.

«La producción avanza rápidamente hacia la capacidad máxima con disciplina y estabilidad, respaldada por sistemas comerciales, de pedidos y de distribución restaurados», escribió la compañía en una actualización en su sitio web el miércoles. «El suministro general de productos se mantiene saludable, con una fuerte disponibilidad en la mayoría de las líneas de productos, mientras continuamos satisfaciendo la demanda de los clientes y apoyando la atención al paciente».

Stryker dijo que continúa trabajando con expertos cibernéticos externos, agencias gubernamentales y socios de la industria en su investigación y recuperación.

«La atención al paciente sigue siendo nuestra máxima prioridad, con un enfoque continuo en apoyar a los proveedores de atención médica y a los pacientes a los que atienden», dijo. «Este sigue siendo un esfuerzo 24 horas al día, 7 días a la semana y la primera prioridad de toda nuestra organización».

Los piratas informáticos iraníes han estado ocupados desde que comenzaron los ataques entre Estados Unidos e Israel, pero han obtenido pocos éxitos en Estados Unidos. Handala se jactó esta semana de un ataque en el condado de St. Joseph, Indiana, donde las autoridades dijeron ellos estaban investigando un hack de su servicio de fax externo.

Esta semana, Handala también reclamó haber penetrado los sistemas de defensa aérea de Israel y filtrado documentos al respecto. Pero Handala también ha sido acusada de exagerando sus hechos.

El FBI incautaron algunos sitios web asociado con Handala el mes pasado, y el Departamento de Estado ha ofrecido una recompensa por información sobre el grupo de hackers.

El panorama de la ciberseguridad se está acelerando a un ritmo sin precedentes. Lo que está surgiendo no es simplemente un aumento en el número de vulnerabilidades o herramientas, sino un aumento dramático en la velocidad. Velocidad de ataque, velocidad de explotación y velocidad de cambio en entornos modernos.

Este es el desafío que define la nueva era de la guerra digital: la militarización de la Inteligencia Artificial. Los actores que amenazan, desde Estados-nación hasta empresas criminales sofisticadas, ya no se limitan a atacar. Están automatizando toda la cadena de destrucción.

En esta carrera armamentista de la IA, las estrategias defensivas tradicionales ya no son suficientes. Las evaluaciones periódicas en un momento determinado, la clasificación manual y la respuesta a la velocidad humana ya estaban bajo presión en entornos en rápido movimiento. Contra adversarios que utilizan IA, son cada vez más inadecuados.

Soluciones como PlexTrac están diseñados para ayudar a las organizaciones a ir más allá de los hallazgos fragmentados, las herramientas desconectadas y los flujos de trabajo manuales lentos al unificar la gestión, la corrección y la validación de la exposición en un único sistema operativo. A medida que la brecha entre el descubrimiento y la explotación continúa reduciéndose, los equipos de seguridad necesitan una forma de evaluar continuamente la exposición, priorizar lo que importa e impulsar acciones con la suficiente rapidez para mantener el ritmo.

Para mantenerse al día con los adversarios que utilizan la IA, los defensores también deben utilizarla. Específicamente, necesitan la convergencia de dos capacidades críticas: Evaluación de exposición autónoma y Evaluación continua de amenazas impulsada por IA agente.

El adversario moderno: la IA en el arsenal de los actores de amenazas

Para entender la defensa, es necesario entender el ataque.

La IA se ha convertido en un multiplicador de fuerzas para los actores de amenazas. Los adversarios están utilizando IA generativa para crear campañas de phishing altamente específicas a escala. Están utilizando el aprendizaje automático para analizar defensas, identificar vulnerabilidades automáticamente y encadenar rutas de ataque complejas más rápido que cualquier operador humano. Quizás lo más alarmante sea el aumento del malware polimórfico, que puede reescribir su propio código en tiempo real para evadir la detección basada en firmas.

Atrás quedaron los días de investigar y descubrir vulnerabilidades manualmente, determinar si una o más se pueden encadenar y decidir si se pueden utilizar para alcanzar un objetivo. Hoy en día, ese ciclo se puede comprimir en horas o días mediante la automatización impulsada por la IA.

En resumen, los actores de amenazas ahora operan con mayor velocidad, sigilo y eficiencia que nunca.

Mantenerse a la vanguardia con la gestión unificada de la exposición

1. Evaluación de exposición autónoma sostenible

En este entorno de alta velocidad, comprender la superficie de ataque es la base de la defensa. Pero la gestión tradicional de vulnerabilidades no funciona. Es demasiado lento, demasiado ruidoso y produce datos planos y desconectados.

Aquí es donde las plataformas de evaluación de exposición impulsadas por IA como PlexTrac asunto.

PlexTrac funciona como el sistema sensorial de una estrategia de defensa moderna. No solo busca CVE. Ingiere datos de todo el ecosistema (configuraciones erróneas de la nube, riesgos de identidad, fallas de aplicaciones, hallazgos de pentest y más) para crear una visión unificada y dinámica del riesgo.

Con PlexTrac, las organizaciones pueden:

Corta el ruido

Aplique puntuación contextual para priorizar las vulnerabilidades que realmente presentan un riesgo significativo, en lugar de abrumar a los equipos con miles de alertas «críticas».

Visualice la ruta de ataque

Vaya más allá de los hallazgos aislados y vea cómo un actor de amenazas podría encadenar debilidades aparentemente menores en un compromiso para todo el dominio.

Pasar de reactivo a proactivo

Utilice evaluaciones automatizadas y conocimientos predictivos para identificar dónde puede surgir el riesgo a continuación, de modo que los equipos puedan fortalecer las defensas antes de que ocurran los ataques.

2. Evaluación continua de amenazas con IA agente

La evaluación de la exposición proporciona visibilidad, pero la visibilidad por sí sola es sólo un requisito previo para la acción. Para mantenerse a la cabeza en la carrera armamentista de la IA, las organizaciones necesitan una validación autónoma y continua. Aquí es donde la IA agente cobra importancia.

La IA agente representa un cambio significativo con respecto a los copilotos de IA tradicionales. En lugar de esperar indicaciones, los sistemas agentes pueden planificar, razonar y ejecutar tareas de varios pasos con mayor autonomía.

Esto transforma la Evaluación Continua de Amenazas de un concepto a una capacidad práctica.

Pentesting Autónomo

La IA agente puede operar como un equipo rojo sintético, probando defensas continuamente. No duerme, no se fatiga y puede simular técnicas de ataque modernas impulsadas por IA en tiempo real.

Esto incluye la capacidad de:

Planificar y adaptar rutas de ataque

En lugar de ejecutar una lista de verificación estática, estos sistemas pueden analizar la topología de la red, priorizar objetivos y construir rutas de ataque de varias etapas. Si encuentran una barrera, pueden ajustar las tácticas de manera que se parezcan más a un operador humano capacitado.

Emular comportamientos adversarios

Utilizando modelos fundamentales entrenados en grandes conjuntos de inteligencia sobre amenazas, estos sistemas pueden emular TTP conocidos o simular métodos de ataque emergentes habilitados por IA.

Validar la efectividad del stack defensivo

Pueden probar continuamente si las herramientas SIEM, EDR y XDR realmente detectan los comportamientos correctos y alertan a las personas adecuadas, proporcionando pruebas de eficacia defensiva en lugar de una cobertura supuesta.

Adaptarse en tiempo real

A medida que cambian las configuraciones de la red o surge nueva inteligencia sobre amenazas, los sistemas agentes pueden actualizar su lógica de evaluación y sus procedimientos de prueba para mantenerse al día con el entorno de amenazas real.

Al automatizar gran parte del trabajo repetitivo de los equipos rojos, las organizaciones pueden liberar a los operadores humanos para que se concentren en vectores de ataque verdaderamente novedosos, sofisticados y matizados.

3. Cerrar el círculo: corrección y validación impulsadas por la IA

Encontrar una vulnerabilidad no es suficiente si todavía lleva semanas solucionarla. Los adversarios aprovechan este retraso.

Por eso es tan importante el papel de PlexTrac a la hora de cerrar el ciclo. La gestión de la exposición no puede detenerse en la detección. Debe extenderse a la remediación y validación.

Cuando se identifica una ruta explotable, los flujos de trabajo habilitados por IA dentro de una plataforma de gestión de exposición pueden ayudar a que ese problema se convierta en acción más rápido:

Contexto instantáneo y creación de tickets

En el momento en que se valida una ruta crítica, se puede generar un ticket de solución detallado en sistemas como Jira o ServiceNow, completo con pasos de reproducción, contexto de gravedad y acción requerida.

Actualizaciones automáticas de políticas

Si un firewall está mal configurado, el cambio de configuración necesario se puede redactar y preparar para la aprobación humana antes de la implementación.

Gestión de parches orquestada

Para las vulnerabilidades críticas, el flujo de trabajo puede priorizar el parche, respaldar las pruebas en la etapa de preparación y acelerar la implementación para reducir el tiempo medio de reparación.

Validación automatizada

Los agentes pueden validar si los controles implementados para solucionar un problema realmente han surtido efecto, lo que ayuda a los equipos a reducir el riesgo y, al mismo tiempo, obtener un mejor valor de su pila de seguridad existente.

Al integrar el equipo rojo, la remediación y la validación impulsados ​​por Agentic AI en una plataforma de gestión de exposición, PlexTrac brinda a las organizaciones la capacidad de luchar contra la IA con IA. Así es como los equipos de seguridad pasan de una vulnerabilidad constante a una postura de seguridad demostrable y continua.

Un nuevo camino a seguir para la resiliencia en ciberseguridad

La resiliencia de la ciberseguridad ahora depende de un conocimiento proactivo, una validación continua y la capacidad de avanzar más rápido de lo que permiten los flujos de trabajo manuales. El objetivo es pasar de una postura caótica y reactiva a una que sea intencional, resiliente y mensurable.

PlexTrac se centra en ayudar a los equipos de seguridad a hacer ese cambio combinando la gestión de exposición unificada con capacidades impulsadas por IA que automatizan lo tedioso, consolidan lo fragmentado y aceleran la acción.

La carrera armamentista de la IA ya está aquí.

La pregunta ya no es si las organizaciones serán atacadas por actores de amenazas que utilizan IA. La pregunta es si desarrollarán la resiliencia, el conocimiento y la autonomía limitada necesarios para resistirlos.

Nota: Este artículo fue escrito y contribuido de manera experta por Rohit Unnikrishnan, director de productos y tecnología de PlexTrac. Rohit es un experimentado ejecutivo de seguridad cibernética con experiencia en gestión de productos, análisis de mercado, estrategia, ventas e ingeniería. Durante las últimas dos décadas, ha desempeñado muchas funciones: ingeniero, operador, ventas, gerente de producto y empresario. Con su diversa experiencia, aporta una capacidad única para gestionar equipos multifuncionales y ejecutar compromisos multidisciplinarios.

SAN FRANCISCO – La estrategia cibernética de dos semanas de la administración Trump, que apunta a promover acciones más proactivas y ofensivas al mismo tiempo que refuerza las redes federales y la infraestructura crítica, es un cambio significativo que ya se está materializando de manera significativa, dijo un grupo de expertos el lunes en la Conferencia RSAC 2026.

A pesar de la ausencia del gobierno federal en la reunión anual más grande de la industria, y la La brevedad del documento tan esperado.representantes de un importante proveedor de ciberseguridad, consultoría, capital de riesgo y firma de abogados se apresuraron a defender y evangelizar las acciones estratégicas de la administración en el ciberespacio.

La estrategia recién publicada coloca al gobierno federal en una base firme para ir más allá de la disuasión y pasar a la acción, dijo David Lashway, socio y líder global de ciberseguridad y seguridad nacional de Sidley Austin.

«Vamos a tomar medidas ofensivas y defensivas con la capacidad cibernética más poderosa que el mundo jamás haya visto y, con suerte, alguna vez conozca», dijo.

Esto no significa, como han sugerido algunos observadores de la industria, que la administración Trump esté presionando a las empresas privadas para que respondan.

La escala y la respuesta global del gobierno es la diferencia clave entre la última estrategia cibernética federal y lo que las administraciones han pedido durante la última década, dijo Lashway.

En lugar de depender de abogados privados para obtener una orden judicial a nivel nacional y colaborar con docenas de gobiernos para derribos masivos, o agencias gubernamentales que colaboran con empresas de seguridad privadas de forma limitada, la estrategia apunta a movilizar “la enorme infraestructura y capacidad de Estados Unidos de una manera más coordinada”, añadió.

Este giro estratégico no logrará todos sus objetivos de inmediato, pero ya está mostrando signos de impacto, según Lashway. «Ha sido diferente desde que publicaron la estrategia», dijo. «Ya hemos notado una diferencia».

Wendi Whitmore, directora de inteligencia de seguridad de Palo Alto Networks, dijo que también ha visto una mayor colaboración en el sector privado.

«Si bien no hay duda de que hay desafíos relacionados con la dotación de personal actual y el entorno dinámico que existe en el gobierno, nunca antes había visto tanta acción y cooperación como la que estamos viendo hoy, y eso es de todas las agencias gubernamentales con las que estamos trabajando», dijo Whitmore.

«Ciertamente hay un tremendo cambio en el nivel de discusión que recibimos hoy del gobierno», añadió. «Es una especie de diálogo musculoso, muy proactivo, diferente de lo que he visto anteriormente».

Los expertos dijeron que las preocupaciones anteriores sobre una reacción violenta y un empeoramiento de sistemas ya frágiles habían impedido que el gobierno federal tomara ciertas acciones, pero ahora se está reconsiderando esa cautela.

«El gobierno va a empezar a golpear a la gente en la cara», dijo Jamil Jaffer, socio de riesgo y asesor estratégico de Paladin Capital Group.

Los funcionarios de la administración Trump le han dicho al sector privado que quiere su ayuda y que necesitan estar bien defendidos, añadió. «Si vivimos en casas de cristal, bueno, todo el mundo tendrá que empezar a poner más vidrio».

Jaffer espera que la administración Trump prevenga y responda a las intrusiones de manera agresiva y pública. «La mitad del problema actual con la disuasión es que en realidad no practicamos una disuasión real cuando se trata del dominio cibernético. No devolvemos los golpes a la gente», dijo.

Para él, la respuesta dinámica y adecuada es similar a la que un niño responde a un matón en la escuela.

“Si te golpean en la cara, devuélveles el puñetazo”, dijo Jaffer. «Hazlo públicamente. Todo el mundo lo ve. Menos gente te persigue».

El director nacional cibernético, Sean Cairncross, dijo el martes que la administración Trump no aspira a reclutar al sector privado para realizar operaciones cibernéticas ofensivas, sino a ayudar al gobierno manteniéndolo al tanto de las amenazas que enfrenta.

La estrategia cibernética nacional recientemente publicada habla de incentivar a las empresas para que interrumpan las redes de los adversarios.

«No me refiero al sector privado, la industria o las empresas que participan en una campaña ciberofensiva», dijo Cairncross en un evento organizado por el Instituto McCrary de la Universidad de Auburn. “A lo que me refiero es a las capacidades técnicas, la capacidad de nuestro sector privado para iluminar el campo de batalla a partir de lo que están viendo, para informar y compartir información para que el gobierno de los EE.UU. [U.S. government] puedo responder para adelantarme a las cosas”.

La idea de permitir a las empresas estadounidenses emprender campañas disruptivas u ofensivas contra piratas informáticos malintencionados, o al menos ayudar en las operaciones ofensivas del gobierno estadounidense, ha vuelto a ganar fuerza en algunos círculos republicanos en los últimos años. Algunas empresas han mostrado interés en hacerlo, especialmente si se cambian las leyes para hacerlo más viable.

Esa tendencia coincide con los crecientes llamados de los funcionarios de la administración Trump (y ahora con la publicación de la estrategia de ciberseguridad) para pasar a la ofensiva contra los piratas informáticos, aunque Cairncross enfatizó nuevamente que el pilar de la estrategia para “dar forma al comportamiento del adversario” no se trata solo de llevar a cabo campañas ciberofensivas, sino de utilizar otros mecanismos gubernamentales para presionar a los piratas informáticos, ya sean legales o diplomáticos.

El gobierno puede dar forma al «cálculo de riesgo» «de una manera más ágil» con la ayuda del sector privado, dijo.

Hay una enorme capacidad por parte del sector privado, y ahora tenemos una lanza del gobierno de Estados Unidos… estamos buscando una asociación real”, dijo Cairncross.

Una forma en la que el gobierno estadounidense ha tratado de llevar la lucha a los ciberadversarios son las “operaciones conjuntas secuenciadas” del FBI, utilizadas para degradar sus capacidades. En el mismo evento, el jefe de la división cibernética de la oficina dijo que el sector privado también era clave para esas operaciones.

“Cada una de las operaciones conjuntas secuenciadas que lleva a cabo el FBI para eliminar esa capacidad de la que hablé (de los rusos, de los chinos, de los iraníes y otros) ocurre porque una víctima se presentó y se comprometió con el FBI”, dijo Brett Leatherman.

“Una conclusión para todos aquí es '¿Cuál es su plan de acción en caso de una infracción para involucrar a su oficina local del FBI?'”, preguntó. «Yo diría que hay muy poca responsabilidad al hacerlo, y estamos felices de tener conversaciones con sus abogados externos o internos, pero hay mucho que ganar al hacerlo».

La mayoría de los líderes de seguridad están luchando por defender los sistemas de inteligencia artificial con herramientas y habilidades que no son aptas para el desafío, según el Informe comparativo de pruebas adversas y de IA 2026 de Pentera.

El informe, basado en una encuesta de 300 CISO y altos líderes de seguridad de EE. UU., examina cómo las organizaciones están asegurando la infraestructura de IA y destaca brechas críticas relacionadas con la escasez de habilidades y la dependencia de controles de seguridad no diseñados para la era de la IA.

La adopción de la IA está superando la visibilidad de la seguridad

Los sistemas de IA rara vez se implementan de forma aislada. Están superpuestos e integrados en la tecnología corporativa existente, desde plataformas en la nube y sistemas de identidad hasta aplicaciones y canales de datos. Con la propiedad repartida entre equipos dispares, la supervisión centralizada eficaz ha colapsado.

Como resultado, el 67 por ciento de los CISO informaron una visibilidad limitada sobre cómo se utiliza la IA en su organización. Ninguno de los encuestados indicó que tiene visibilidad total; más bien, reconocen ser conscientes o aceptar alguna forma de uso de IA no gestionado o no autorizado.

Sin una visión clara de dónde operan los sistemas de IA o a qué recursos pueden acceder, los equipos de seguridad luchan por evaluar el riesgo de manera efectiva. Preguntas básicas, como en qué identidades se basan los sistemas de IA, a qué datos pueden acceder o cómo se comportan cuando fallan los controles, a menudo quedan sin respuesta.

Las habilidades, no el presupuesto, son la principal barrera

Aunque la seguridad de la IA es ahora un tema habitual en las salas de juntas y los debates ejecutivos, el estudio muestra que los mayores desafíos no son financieros.

Los CISO identificaron los siguientes como sus principales obstáculos para proteger la infraestructura de IA:

• Falta de experiencia interna (50 por ciento)
• Visibilidad limitada del uso de la IA (48 por ciento)
• Herramientas de seguridad insuficientes diseñadas específicamente para sistemas de inteligencia artificial (36 por ciento)

Sólo el 17 por ciento citó las restricciones presupuestarias como una preocupación principal. Esto sugiere que muchas organizaciones están dispuestas a invertir en seguridad de la IA, pero aún no cuentan con las habilidades especializadas necesarias para evaluar los riesgos relacionados con la IA en entornos reales.

Los sistemas de IA introducen comportamientos que los equipos de seguridad aún están aprendiendo a evaluar, incluida la toma de decisiones autónoma, rutas de acceso indirecto y la interacción privilegiada entre sistemas. Sin la experiencia adecuada y pruebas activas, resulta difícil evaluar si los controles existentes son efectivos según lo previsto.

Los controles heredados soportan la mayor parte de la carga

A falta de mejores prácticas, habilidades y herramientas específicas de IA, la mayoría de las empresas están ampliando los controles de seguridad existentes para cubrir la infraestructura de IA.

El estudio encontró que el 75 por ciento de los CISO dependen de controles de seguridad heredados, como herramientas de seguridad de terminales, aplicaciones, nube o API, para proteger los sistemas de inteligencia artificial. Sólo el 11 por ciento informó tener herramientas de seguridad diseñadas específicamente para proteger la infraestructura de IA.

Este enfoque refleja un patrón familiar observado durante cambios tecnológicos anteriores, donde las organizaciones inicialmente adaptan las defensas existentes antes de que surjan prácticas de seguridad más personalizadas. Si bien esto puede proporcionar una cobertura básica, es posible que los controles creados para los sistemas tradicionales no tengan en cuenta cómo la IA cambia los patrones de acceso y amplía las posibles rutas de ataque.

Un desafío familiar, ahora aplicado a la IA

En conjunto, los hallazgos muestran que los desafíos de seguridad de la IA surgen de brechas fundamentales más que de una falta de conciencia o intención.

A medida que la IA se convierte en una parte central de la infraestructura empresarial, el informe sugiere que las organizaciones deberán centrarse en desarrollar experiencia y mejorar la forma en que validan los controles de seguridad en entornos donde la IA ya está operando.

Para explorar los hallazgos completos, descargue el Informe comparativo de pruebas adversas y de IA 2026 para una discusión más profunda de los datos y conclusiones clave.

Nota: Este artículo fue escrito por Ryan Dory, director de asesores técnicos de Pentera.

Si ejecuta la seguridad en cualquier organización razonablemente compleja, su pila de validación probablemente se vea así: una herramienta BAS en una esquina. Un compromiso de pentesting, o tal vez un producto de pentesting automatizado, en otro. Un escáner de vulnerabilidades que alimenta una plataforma de gestión de superficies de ataque en otro lugar. Cada herramienta te ofrece una porción de la imagen. Ninguno de ellos se habla entre sí de manera significativa.

Mientras tanto, los adversarios no atacan en silos. Una intrusión real podría encadenar una identidad expuesta, una mala configuración de la nube, una oportunidad de detección perdida y una vulnerabilidad sin parchear en una sola operación. Los atacantes entienden que su entorno es un sistema interconectado. Desafortunadamente, la mayoría de los programas de validación todavía lo tratan como un conjunto de partes dispares y desconectadas.

Esta no es una ineficiencia menor. Es un punto ciego estructural. Y ha durado años porque el mercado ha tratado cada disciplina de validación como una categoría separada, con sus propios proveedores, consolas y sus propias evaluaciones de riesgos separadas y muy limitadas.

A medida que los agentes autónomos de IA se vuelven capaces de planificar, ejecutar y razonar en flujos de trabajo complejos, la validación de la seguridad debe entrar en una nueva fase. La disciplina emergente de Validación de exposición a agentes apunta hacia algo mucho más coordinado y capaz que los ciclos de validación manuales fragmentados de hoy. Promete una validación autónoma, continua y consciente del contexto que se adapta mejor a cómo suelen desarrollarse las amenazas modernas.

Qué significa realmente la validación de seguridad hoy en día

Durante años, la validación de la seguridad se ha tratado principalmente como una simulación de ataque. Desplegaste agentes, ejecutaste escenarios y obtuviste un informe que mostraba qué estaba bloqueado y qué no. Hoy eso ya no es suficiente.

La validación de seguridad moderna abarca tres perspectivas distintas. En conjunto, brindan a los defensores una visión mucho más realista de su postura de seguridad integral.

• La perspectiva adversaria pregunta: «¿Cómo puede realmente un atacante entrar en nuestro entorno?» Esto implica pentesting automatizado y validación de rutas de ataque, que se centra en identificar vulnerabilidades explotables y mapear las rutas más fáciles hacia los activos críticos.
• La perspectiva defensiva pregunta: «¿Podemos realmente detenerlos?» Esto incluye la validación del control de seguridad y la validación de la pila de detección, que garantizan que sus firewalls, reglas EDR, IPS, WAF, SIEM y sistemas de alerta funcionen como se espera contra amenazas reales.
• La perspectiva del riesgo pregunta: «¿Realmente importa esta exposición?» Esto implica priorizar la exposición, guiada por controles de compensación, que filtran los riesgos teóricos y centran la remediación en las vulnerabilidades que son realmente explotables en su entorno específico.

Cualquiera de estas perspectivas por sí sola deja lagunas peligrosas. La próxima evolución de la validación de seguridad estará definida por su convergencia en una disciplina de validación unificada.

La IA agente es un punto de inflexión para los defensores

Hoy en día, casi todos los proveedores de ciberseguridad afirman estar impulsados ​​por IA. En muchos casos, eso simplemente significa que se ha agregado un modelo de lenguaje a un panel para resumir los hallazgos o generar informes. Y si bien la tecnología «asistida por IA» puede ser útil, definitivamente no es transformadora.

La IA agente es una propuesta fundamentalmente diferente.

Un contenedor de IA es básicamente una aplicación simple que llama a un modelo de IA y presenta el resultado. Podría formatear, resumir o volver a empaquetar la respuesta, pero en realidad no administrar la tarea misma. La IA agente, por otro lado, se hace cargo de toda la tarea de principio a fin. Determina lo que hay que hacer, lleva a cabo los pasos, evalúa los resultados y ajusta si es necesario sin que un humano necesite dirigir cada paso a lo largo del camino.

En la validación de seguridad, la diferencia es enorme e inmediata.

Consideremos lo que sucede hoy cuando una amenaza crítica aparece en las noticias. Alguien del equipo lee el aviso, determina cuáles de los sistemas de la organización podrían estar expuestos, crea o adapta escenarios de prueba, los ejecuta, revisa los resultados y luego decide qué necesita solución. Incluso en equipos fuertes, esto puede llevar días. Si la amenaza es compleja, puede durar semanas.

La IA agente puede comprimir ese flujo de trabajo en minutos.

No porque alguien haya escrito un guión más rápido, sino porque un agente autónomo manejó la secuencia completa. Analizó la amenaza, la asignó al entorno, seleccionó activos y controles relevantes, ejecutó los flujos de trabajo de validación correctos, interpretó los resultados y sacó a la luz lo más importante.

Así es como la IA agente equilibra la balanza. No se trata sólo de velocidad. Se trata de reemplazar los pasos de validación desconectados e impulsados ​​por humanos con un razonamiento autónomo, coordinado y de un extremo a otro.

La verdadera restricción no es el modelo. Son los datos.

Aquí es donde gran parte del debate sobre la IA sale mal.

Los sistemas agentes son tan fuertes como el entorno sobre el que pueden razonar. Un agente autónomo que ejecute simulaciones de ataques genéricos contra un modelo genérico producirá resultados genéricos. Esto puede parecer impresionante en una demostración, pero no ayuda al equipo de seguridad a tomar decisiones seguras en producción.

El verdadero diferenciador es el contexto.

Es por eso que la arquitectura de datos subyacente es más importante que el modelo por sí solo. Para que la validación agente sea útil, las organizaciones necesitan una capa de datos de seguridad unificada que refleje continuamente lo que existe, lo que está expuesto y lo que realmente funciona.

Puedes pensar en esto como un Tejido de datos de seguridadconstruido a partir de tres dimensiones esenciales.

• Inteligencia de activos cubre el inventario completo de su entorno: servidores, puntos finales, usuarios, recursos de la nube, aplicaciones y contenedores, así como sus relaciones. Porque no puedes validar lo que no puedes ver.
• Inteligencia de exposición abarca vulnerabilidades, configuraciones erróneas, riesgos de identidad y otras debilidades en toda su superficie de ataque. Esta es la materia prima con la que trabajan los atacantes.
• Eficacia del control de seguridad es la dimensión que la mayoría de las organizaciones pasan por alto por completo. No basta con saber que ha implementado un firewall o un agente EDR. Necesita saber, con evidencia, si estos controles realmente bloquearán las amenazas específicas que apuntan a sus activos específicos.

Cuando estas dimensiones se unen, el resultado es más que una base de datos de activos o un feed de vulnerabilidades. Se convierte en un modelo vivo de la realidad de seguridad minuto a minuto de la organización. Ese modelo cambia a medida que cambia el entorno. Aparecen nuevos activos. Se revelan nuevas vulnerabilidades. Los controles se reconfiguran. Surgen nuevas amenazas.

Y ese es exactamente el contexto que necesita la IA agente.

Con una rica estructura de datos de seguridad detrás, una IA agente ya no realiza pruebas únicas para todos. Puede adaptar la validación a la topología real, las joyas de la corona reales de su organización, su cobertura de control real y las rutas de ataque reales.

Esa es la diferencia entre escuchar «Este CVE es crítico» y aprendiendo «Este CVE es fundamental en este servidor, sus controles no bloquean la explotación y existe una ruta validada a uno de sus sistemas comerciales más sensibles».

Hacia dónde se dirige la validación de seguridad

El futuro de la validación de seguridad es claro. Las pruebas periódicas se están convirtiendo en una validación continua. El esfuerzo manual está evolucionando hacia el funcionamiento autónomo. Los productos puntuales se están consolidando en plataformas unificadas. Y los problemas de notificación se están transformando para permitir mejores decisiones de seguridad.

La IA agente es el catalizador, pero sólo funciona con la base adecuada. Los agentes autónomos necesitan un contexto real: una visión precisa y conectada del entorno, no un conjunto fragmentado de herramientas y hallazgos.

Cuando se combinan flujos de trabajo agentes, contexto enriquecido y validación unificada, el resultado es un modelo fundamentalmente diferente. En lugar de esperar a que alguien pregunte si la organización está protegida, el sistema responde continuamente a esa pregunta con evidencia basada en cómo se están produciendo incluso los últimos ataques.

El mercado ya está validando este cambio. En Frost Radar de Frost & Sullivan: validación de seguridad automatizada, 2026Picus Security fue nombrado el Líder del Índice de Innovacióncon sus capacidades de agencia y su arquitectura nativa de CTEM destacadas como diferenciadores clave.

Obtenga su demostración hoy para descubrir cómo Picus ayuda a las organizaciones a unificar la validación de riesgos, defensiva y de confrontación en una única plataforma.

Nota: Este artículo fue escrito por Huseyin Can YUCEEL, líder de investigación de seguridad en Picus Security.

El ransomware sigue siendo un flagelo que muestra algunos signos de ceder, pero los equipos de respuesta a incidentes y los cazadores de amenazas están más ocupados que nunca a medida que más atacantes con motivaciones financieras se apoyan exclusivamente en el robo de datos para extorsionar.

Los ataques que solo implican el robo de datos con fines de extorsión pueden no ser más frecuentes que el ransomware tradicional cuando los atacantes cifran los sistemas, pero el impulso se está moviendo en esa dirección, dijo a CyberScoop Genevieve Stark, jefa de inteligencia sobre delitos cibernéticos de Google Threat Intelligence Group.

«Cuando miras a los actores del mundo clandestino de habla inglesa, casi todos ellos se centran en la extorsión por robo de datos en este momento», añadió Stark. Esto incluye grupos como Scattered Spider, ShinyHunters, Clop y otros grupos que han sido responsables de algunos de los ataques más grandes y de mayor alcance en los últimos años.

El informe de investigación de Google Threat Intelligence Group sobre ransomware, que compartió exclusivamente y discutió con CyberScoop antes de su lanzamiento, subraya cómo la evolución y propagación del cibercrimen puede nublar una comprensión colectiva del ransomware, o ataques que utilizan malware para cifrar o bloquear sistemas.

Los ataques de ransomware también suelen incluir el robo de datos como un punto de presión adicional para la extorsión (que ocurrió en el 77% de las intrusiones de ransomware que Google observó el año pasado, frente al 57% en 2024), pero técnicamente no es ransomware a menos que esté involucrado el cifrado.

«En las intrusiones investigadas por Mandiant, observamos una disminución en la implementación de ransomware tradicional coincidiendo con un aumento en la extorsión por robo de datos», dijeron los investigadores en el informe. «Además, algunos programas de ransomware como servicio ofrecen opciones de extorsión y robo de datos únicamente, además del ransomware, lo que puede reflejar la demanda de su base de clientes».

La compañía se negó a decir a cuántos ataques de ransomware respondió en 2025. «Dudamos en compartir la cantidad de casos en los que trabajamos, en términos cuantitativos, porque es muy difícil para todos ponerse de acuerdo sobre lo que constituye un incidente versus dos», dijo Chris Linklater, líder de práctica de Mandiant. «Como anécdota, nos mantenemos muy ocupados».

Stark reconoció que desafíos importantes impiden que la industria desarrolle una imagen clara y completa de la verdadera escala e impacto del ransomware. La información se limita en gran medida a lo que las empresas individuales de respuesta a incidentes ven en sus propios casos, y la información que se comparte generalmente se proporciona caso por caso, más bien de forma centralizada.

«No estamos haciendo un gran trabajo como industria al analizar el volumen. Creo que dependemos demasiado de cosas como el volumen de los sitios de fuga de datos, que tienen muchos problemas», afirmó.

Es probable que el aumento de la extorsión de datos esté impulsando un aumento de estas publicaciones. Al mismo tiempo, algunos grupos de amenazas hacen afirmaciones no creíbles o reciclan infracciones anteriores y las afirman como obra propia. «Los sitios de fuga de datos como medida son en realidad bastante pobres, y creo que como industria hemos confiado demasiado en eso», dijo Stark.

Sin embargo, los datos siguen siendo útiles para evaluar ciertas tendencias, como cambios en los objetivos o un aumento de presuntos ataques a sectores o regiones específicos, dijeron los investigadores.

Por si sirve de algo, Google dijo que la cantidad de publicaciones en sitios de fuga de datos aumentó un 48% respecto al año anterior a 7.784 publicaciones en 2025. Mientras tanto, la cantidad de sitios únicos de fuga de datos aumentó casi un 35% durante el mismo período a 128 sitios con al menos una publicación.

El informe de Google también se centra en las tácticas y los cambios que observó durante su respuesta a los ataques de ransomware el año pasado, incluidas las formas más comunes en que los atacantes irrumpieron en los sistemas, las familias de ransomware más destacadas y un mayor ataque a la infraestructura de virtualización.

Las vulnerabilidades explotadas fueron el principal vector de acceso inicial en los ataques de ransomware el año pasado, representando un tercio de todos los incidentes, seguidas de diversas formas de compromiso web y credenciales robadas. Los atacantes explotaron con mayor frecuencia vulnerabilidades en redes privadas virtuales y firewalls ampliamente utilizados de Fortinet, SonicWall, Palo Alto Networks y Citrix, dijeron los investigadores.

Zach Riddle, analista principal de inteligencia de amenazas en GTIG, dijo que esto no refleja tanto una tendencia creciente como un ciclo recurrente de diferentes vectores de acceso inicial, que aumentan y disminuyen año tras año por diversas razones.

Google mencionó específicamente 13 vulnerabilidades, muchas de ellas reveladas hace años, y clasificó esos defectos entre las vulnerabilidades más explotadas para ataques de ransomware el año pasado. Tres de esas vulnerabilidades afectan a los productos de Fortinet, seguidas de dos de Microsoft, dos de Veritas y una de SonicWall, Citrix, SAP, Palo Alto Networks, CrushFTP y Zoho.

Las credenciales robadas fueron el punto de acceso inicial en el 21% de las intrusiones de ransomware el año pasado, y los atacantes a menudo usaban esas credenciales para autenticarse en la VPN o el protocolo de escritorio remoto de la víctima, dijo Google en el informe.

Los atacantes también enfrentan más desafíos al implementar ransomware una vez que ingresan a las redes de las víctimas. «De hecho, estamos viendo una disminución en la implementación exitosa de ransomware», dijo Bavi Sadayappan, analista senior de inteligencia de amenazas de GTIG. Google observó una disminución año tras año del 54% en 2024 al 36% el año pasado.

Otro cambio histórico que se refleja en la actividad de ransomware en 2025 implica una mayor focalización en la infraestructura de virtualización, como los hipervisores VMware ESXi. Los atacantes se dirigieron a estos entornos en el 43% de las intrusiones de ransomware el año pasado, frente al 29% en 2024.

«Permite que el atacante ataque una gran cantidad de sistemas con un esfuerzo muy pequeño», dijo Linklater, y agregó que «hace que la investigación sea significativamente más difícil de lograr, porque se pierde mucha más evidencia forense cuando se ataca a esos hipervisores».

Las familias de ransomware más destacadas en 2025 incluyeron Agenda, Redbike, Clop, Playcrypt, Safepay, Inc, RansomHub y Fireflame, según Google. Las marcas de ransomware más activas el año pasado incluyeron Qilin, Akira, Clop, Play, Safepay, Inc, Lynx, RansomHub, DragonForce y Sinobi.

El jefe cibernético del FBI está dando prioridad a la preparación para el aumento de las amenazas chinas, una mayor confrontación de adversarios en el ciberespacio y un intercambio de inteligencia más rápido con la industria mientras la oficina entra en el segundo y último mes de una campaña única de concientización sobre la ciberseguridad.

Brett Leatherman, quien asumió el cargo de subdirector de la división cibernética del FBI el verano pasado, enumeró esos temas como sus tres principales prioridades en una entrevista reciente con CyberScoop. Al menos dos de ellos se superponen considerablemente con la actual campaña de sensibilización de la oficina, Operación ESCUDO DE INVIERNO.

Es el tipo de cosas que normalmente se esperaría más que surgieran de la Agencia de Seguridad de Infraestructura y Ciberseguridad, que alguna vez tuvo su propia campaña con el tema del escudo, en lugar del FBI.

«Nunca antes habíamos hecho una campaña en los medios como esta», dijo. «Pero si bien es atípico que una agencia encargada de hacer cumplir la ley haga este tipo de campaña en los medios técnicos, pensamos que era increíblemente importante porque traduce esa perspectiva de las fuerzas del orden. [into] formas significativas en que la industria puede avanzar hacia una mayor resiliencia en la infraestructura crítica, la industria, las agencias gubernamentales y más”.

Como parte de la campaña, el FBI destaca 10 recomendaciones, como proteger los registros de seguridad e implementar una autenticación resistente al phishing, que surgen de la misión de respuesta a incidentes del FBI.

«Las 10 recomendaciones que estamos haciendo ahora no son una sorpresa para muchas personas que trabajan o tienen ciberseguridad en los últimos años, pero es importante que también resaltemos que estos 10 controles son las formas en que seguimos viendo actores ingresando a empresas Fortune 100 y pequeñas y medianas empresas en prácticamente el 99% o más de las investigaciones que llevamos a cabo», dijo Leatherman.

La campaña ha incluido eventos localizados para la industria, podcastsapariciones internacionales, mensajes coordinados con empresas centradas en el ciberespacio y más. A veces enfatizan diferentes amenazas según el lugar donde se encuentran, o casos específicos que demuestran cómo no seguir las 10 recomendaciones ha llevado a una infracción en la vida real en el pasado.

En la oficina local de Honolulu, por ejemplo, el FBI celebró una cumbre ejecutiva cibernética con propietarios y operadores de infraestructura crítica y otros socios clave. Allí, el énfasis estuvo en cómo Hawái es un objetivo potencial de los piratas informáticos chinos, especialmente con la posibilidad de una invasión de Taiwán por parte de la República Popular China en 2027.

Asegurar el año 2027 es la primera prioridad para Leatherman como subdirector de la división cibernética. La idea es “defender la patria contra un aumento de los ataques de la República Popular China hacia la patria”, en caso de que un conflicto entre China y Taiwán tenga efectos colaterales en Estados Unidos.

La segunda prioridad de Leatherman es enfrentar mejor a los adversarios estadounidenses en el ciberespacio, con operaciones conjuntas y secuenciadas: «operaciones técnicas a través de nuestras autoridades legales para quitar capacidad y competencia al adversario». Eso incluye buscar formas de mejorar esas operaciones con IA.

Y su tercera prioridad gira en torno al intercambio de información con la industria. Leatherman dijo que el FBI tiene algunas capacidades únicas de inteligencia sobre amenazas cibernéticas y quiere compartirlas más rápidamente, para que pueda tener un impacto inmediato.

Leatherman dijo que Winter Shield está destinado a servir como complemento al trabajo de CISA y viceversa. El componente internacional de la campaña todavía tiene la vista puesta en el territorio nacional, afirmó. «Estamos ayudando a los socios a comprender que Internet está muy interconectado ahora, que las empresas son internacionales y que si simplemente haces este trabajo aquí en casa, corres el riesgo de que los actores apunten a tus operaciones internacionales y se dediquen al trabajo con sede en Estados Unidos», dijo.

El enfoque de la segunda administración Trump hacia el FBI ha generado preocupaciones en el Congreso, ex agentes y otros lugares sobre si se está restringiendo el enfoque cibernético de la oficina. La oficina ha perdido liderazgo veterano, y los datos del FBI que un alto demócrata del Senado publicó apuntan a personal siendo trasladado a tareas relacionadas con la inmigración, incluidas las derivadas del trabajo cibernético. La administración también ha propuesto recortes presupuestarios para la oficina.

Y la agencia matriz del FBI, el Departamento de Justicia, ha cerrar un equipo que combate los delitos relacionados con criptomonedas en medio de una reacción de la industria hacia las acciones del gobierno de EE. UU. en casos como Tornado Cash, al que la administración Biden acusó de incitar al lavado de dinero mediante equipos de ransomware.

Leatherman dijo que el director del FBI, Kash Patel, y otros líderes de la oficina han apoyado firmemente la misión cibernética del FBI.

“No hemos movido recursos de [the] división cibernética», dijo. «Todavía tenemos nuestra unidad de activos virtuales, todavía tenemos nuestro Equipo de Respuesta de Moneda Virtual, todos esos equipos responsables de rastrear las criptomonedas robadas de» Corea del Norte.

«Estamos haciendo un rastreo regular. Estamos tratando de aprovecharlo cuando podamos», dijo. «Hemos aumentado nuestra capacidad para atacar a los actores de los estados-nación gracias al apoyo del liderazgo del FBI, por lo que no hemos retirado recursos de la amenaza y continuamos priorizando tanto la persecución de los actores de amenazas como la participación de las víctimas».

Un comité clave del Senado tomó medidas para promover una legislación que revisaría las prácticas de ciberseguridad en el Departamento de Salud y Servicios Humanos.

La Ley bipartidista de Ciberseguridad y Resiliencia de la Atención Médica fue aprobada por el Comité Senatorial de Salud, Educación y Trabajo el jueves con una votación de 22 a 1, y solo el senador Rand Paul, republicano por Kentucky, se opuso.

El legislaciónpatrocinado por el presidente del comité Bill Cassidy, republicano por La., y los senadores Mark Warner, demócrata por Virginia, John Cornyn, republicano por Texas y Maggie Hassan, demócrata por NH, requeriría que el Secretario de Salud y Servicios Humanos desarrolle un plan de respuesta a incidentes de ciberseguridad para el departamento y lo presente al Congreso para su revisión.

Ordenaría al departamento que se asocie con la Agencia de Seguridad de Infraestructura y Ciberseguridad en la supervisión de la ciberseguridad en los sectores de atención médica y salud pública, crearía una guía específica de ciberseguridad para los proveedores de atención médica rurales y desarrollaría un plan para impulsar la alfabetización en ciberseguridad dentro de la fuerza laboral de atención médica.

Cassidy y otros miembros citaron el ataque de 2024 Change Healthcare como un importante impulsor de la legislación, argumentando que el incidente fue emblemático de un sector que está bajo constante asedio por parte de ciberdelincuentes, actores de ransomware y estados-nación.

“El año pasado hubo más de 730 infracciones cibernéticas que afectaron a más de 270 millones de estadounidenses. [connected to] Change Healthcare, exponiendo los datos de 190 millones de personas y retrasando el acceso a la atención”. Cassidy dijo al inicio de la audiencia.

Otra disposición designaría a la Administración de Preparación y Respuesta Estratégicas del HHS como Agencia de Gestión de Riesgos Sectoriales para los sectores de atención médica y salud pública.

A principios de este mes, un funcionario del HHS de esa oficina hablando en CyberTalks, presentado por CyberScoop, dijo que el ataque a Change Healthcare tomó por sorpresa a muchos defensores de los sectores público y privado, subrayando cómo el compromiso de un proveedor de servicios externo poco conocido concentrado en un solo sector aún puede acabar con amplios sectores de la industria.

«No era un hospital, era una empresa de la que la mayoría de la gente nunca había oído hablar y tuvo grandes impactos en nuestro sector y amenazó la liquidez de todo nuestro sistema de atención médica», dijo Charlee Hess, directora de ciberseguridad del sector de atención médica y salud pública en la división de Administración para la Preparación y Respuesta Estratégica. «Nos recuperamos de eso, pero nos dimos cuenta de que hay riesgos de terceros acechando en nuestro sistema de atención médica, y ni siquiera sabemos que están allí. ¿Dónde están esas entidades o sistemas que tendrán un impacto enorme en nuestro sector?»

El proyecto de ley actualizaría una de las principales leyes de protección de datos del sector, la Ley de Responsabilidad y Portabilidad del Seguro Médico, para garantizar que las entidades reguladas utilicen prácticas modernas de ciberseguridad. También establecería un nuevo programa de subvenciones federales para ayudar a hospitales, centros oncológicos, clínicas de salud rurales, el Servicio de Salud Indígena, centros de salud académicos y organizaciones sin fines de lucro asociadas a adoptar las mejores prácticas de ciberseguridad.

«Los ataques cibernéticos en el sector de la atención médica pueden tener una amplia gama de consecuencias devastadoras, desde exponer información médica privada hasta interrumpir la atención en las salas de emergencia, y puede ser particularmente difícil para los proveedores médicos en comunidades rurales con menos recursos prevenir y responder a estos ataques», dijo Hassan en un comunicado.