¿Qué es el tiempo de permanencia de un ciberatacante?
El tiempo de permanencia de un ciberatacante (conocido en inglés como dwell time) se refiere al período durante el cual un atacante logra permanecer dentro de la red de una empresa sin ser detectado. Durante este tiempo, el intruso puede moverse lateralmente por los sistemas, observar el comportamiento de la organización e identificar activos valiosos antes de lanzar un ataque mayor o robar información. En muchos casos, los ciberdelincuentes aprovechan este tiempo para escalar privilegios (obtener mayores permisos en la red) y preparar movimientos coordinados, lo que aumenta el daño potencial una vez que ejecutan su golpe.
Mantenerse oculto no es casualidad: los atacantes emplean tácticas para no despertar alarmas. Por ejemplo, más de la mitad (56%) de los atacantes no fuerzan la entrada, sino que inician sesión con credenciales válidas comprometidas, obtenidas mediante filtraciones o ingeniería social.
¿Por qué es tan crítico el tiempo de permanencia de un ciberatacante?
Porque cada minuto cuenta: a mayor permanencia, mayor es el daño que un ciberatacante puede causar. Un intruso persistente puede robar datos sensibles, instalar puertas traseras para futuros accesos, e incluso desplegar ransomware o malware en múltiples sistemas antes de que su presencia salga a la luz. Detectar tarde una intrusión significa que el atacante ya habrá tenido oportunidad de estudiar el entorno y maximizar su impacto. De hecho, estudios indican que las organizaciones con detección pasiva pueden tardar meses en darse cuenta de un ataque; el tiempo promedio para identificar y contener una brecha de datos ha llegado a ser de 277 días (¡casi 9 meses!).
El tiempo de permanencia de un ciberatacante: cifras globales y casos reales
Las estadísticas recientes ofrecen un panorama mixto pero revelador sobre cuánto tiempo logran permanecer ocultos los intrusos. Por un lado, las buenas noticias: la tendencia global indica que el tiempo de permanencia se ha reducido drásticamente en los últimos años gracias a mejores herramientas de monitoreo y respuesta. Según el informe M-Trends 2024 de Mandiant (Google), la mediana global del tiempo desde que ocurre un compromiso hasta su descubrimiento fue de 10 días en 2023, lo que supone una mejora de 6 días respecto al año anterior.
Sin embargo, no todas las organizaciones disfrutan de tiempos de reacción tan rápidos. Muchas empresas todavía tardan demasiado en descubrir a los intrusos.
Cifras y casos reales
La buena noticia es que el panorama ha mejorado globalmente: según Mandiant, en 2023 la mediana del dwell time bajó a 10 días, frente a más de 400 días en 2011.
En Latinoamérica, sin embargo, la realidad es más dura: el informe de CrowdStrike 2025 reportó un aumento del 15% en ataques de ransomware, afectando a más de 291 organizaciones en Brasil, México, Colombia, Argentina y Perú.
Un caso extremo: la brecha de Marriott-Starwood (2014–2018), donde los atacantes permanecieron 4 años sin ser detectados, robando datos de 500 millones de huéspedes.
¿Cómo reducir el tiempo de permanencia de un ciberatacante?
1. Controles básicos: parches actualizados, contraseñas seguras y autenticación multifactor.
2. Monitoreo continuo: SIEM, EDR o servicios MDR para supervisión 24/7.
3. Respuesta rápida: planes claros y automatización para aislar sistemas en segundos.
4. Caza de amenazas: búsqueda proactiva de indicadores ocultos antes de que sea tarde.
5. Conciencia del usuario: capacitación constante contra phishing y malas prácticas.
Empresas líderes que adoptan MDR + IA han reducido el dwell time a solo 2 días, mostrando que la detección temprana es posible y efectiva.
El tiempo de permanencia de un ciberatacante es uno de los factores más críticos en ciberseguridad. Pasar de meses a horas en detección puede marcar la diferencia entre una brecha contenida y una crisis millonaria.
¿Necesitas ayuda? En Luma contamos con un equipo experto en ciberseguridad enfocado en la detección y respuesta inmediata a amenazas (SOC). Si deseas evaluar y reducir el tiempo de permanencia de un ciberatacante en tus sistemas, contáctanos: te ayudaremos a fortalecer la seguridad de tu organización y a mantener a los adversarios fuera de tu red.
