Hay semanas en las que uno quisiera tomarse un break de cafeína. Y luego llega la industria a recordarte por qué es tan necesaria una taza doble de realidad. Esta semana leí el titular de algún analista de mercado que decía que “Endpoint security is dead” (o que la seguridad endpoint ha muerto) y lo primero que pensé fue: qué conveniente declararlo ahora, después de años de habernos vendido que la protección del endpoint era el centro del universo cibernético. Más agentes, más telemetría, más machine learning, más promesas de “prevención primero”. Millones de dólares después, resulta que eso se murió… o que hace rato estaba muerto.
¿La razón? No porque sea una novedad técnica, sino porque el problema nunca se resolvió.
Y esto no es una evolución del mercado. Es la confesión elegante de un fallo fundamental que nadie quiso atender. Mientras la industria nos convenció de fortificar el endpoint, el adversario ya había entendido —muchísimo más rápido— algo que nosotros aún hoy nos negamos a ver. La guerra no se pelea donde instalas tu EDR. Se pelea en tu red, en esa comunicación silenciosa que tu stack de prevención ignora, porque está ocupado buscando firmas conocidas de malware que dejaron de existir hace años.
El Lumu Compromise Report 2026 le pone números a esta realidad incómoda. Command & Control reemplazó a Execution entre los primeros tres TTPs del framework MITRE ATT&CK. ¿Qué significa eso? Que el adversario ya no está preocupado por correr código destructivo de inmediato, sino que está más interesado en mantener una línea de vida persistente y silenciosa dentro de tu red sin activar alarmas.
“Living off the Land” no es una tendencia emergente, es el estándar operacional desde hace rato. Los atacantes usan tus propias herramientas legítimas contra ti, y tu EDR los deja pasar porque técnicamente no están haciendo nada “malo”.
Keitaro, un sistema de distribución de tráfico usado por marketers, es el dropper más detectado a nivel mundial; lo convirtieron en la puerta VIP del malware, y nadie se dio cuenta porque estaba buscando ejecutables sospechosos en lugar de comportamiento sospechoso en la red.
Todo esto es el resultado predecible de una industria que nos vendió prevención como si fuera inmunidad, y ahora se sorprende cuando el adversario, simplemente, no juega ese juego.
En telecomunicaciones, esta discusión no es conceptual, es operativa. Los operadores gestionan infraestructuras críticas, redes core, 5G y entornos virtualizados donde el volumen de tráfico legítimo es tan alto que el adversario no necesita lanzar un ataque visible o destructivo, le basta con comunicarse de forma silenciosa para mantenerse dentro sin ser detectado.
Cuando todo parece normal, porque el tráfico nunca se detiene, el ataque “explosivo” deja de ser el mayor problema. El inconveniente es lo que se mezcla con lo legítimo y que nadie cuestiona. Y para una telco, aprender a leer ese comportamiento no es una mejora incremental, es una exigencia del negocio.
Como dice Mario Lobo Romero: “Engage with adversarial contacts“. En un escenario no lineal, el adversario no sigue una kill chain ordenada. Entra, sale, prueba, observa y vuelve. Si no ves esos contactos tempranos como DNS a infraestructuras efímeras, TOR, C2 que aún no tienen nombre en tu threat feed, estamos ciegos justo donde empieza la guerra real.
El equipo de ciberseguridad que hoy sólo busca “brechas de seguridad confirmadas” llega tarde. El que entiende el contacto adversario, juega en ventaja. Y ese contacto no sucede en el endpoint, sucede en la red; en esa comunicación que tu stack ignoró porque no parecía “maliciosa” según los parámetros de prevención que te vendieron.
La pregunta ya no es si el endpoint murió o vive. La pregunta es: ¿cuánto más vamos a seguir operando ciberseguridad como si la prevención pudiera ganarle al compromiso? Porque la evidencia es clara en algo que la industria no quiere decir en voz alta: el compromiso no es un evento que esperas prevenir, es una condición que debes medir continuamente. La red no finge. El comportamiento no miente. La comunicación con el adversario no se tapa con marketing ni con más agentes en el endpoint.
