Exportaciones de bienes de Costa Rica alcanzaron los US$1.512 millones en enero 2026
Las amenazas cibernéticas aumentan y evolucionan de forma constante, señalan los especialistas. Por ello, conocer como estas cambian, permite crear una estrategia de defensa más fuerte a las organizaciones.
En Costa Rica, señalan, este llamado es especialmente relevante. Esto porque las organizaciones se enfrentan a un entorno cada vez más complejo, donde los ataques no solo buscan robar información, sino también interrumpir las operaciones, dañar la reputación y comprometer activos críticos.
Según el reciente Informe de respuesta a incidentes globales 2025 de la Unidad 42 de Palo Alto Networks, el 60% de los ataques ahora abarcan tres o más superficies de ataque. Entre ellos están incluidos puntos finales, redes, entornos en la nube y factores humanos.
De acuerdo con el estudio, uno de los vectores más vulnerables sigue siendo el navegador web. El 44% de los incidentes analizados involucraron navegadores. Estos son utilizados como puerta de entrada para campañas de phishing, redireccionamientos maliciosos y descargas de malware.
Además, la velocidad de los ataques ha alcanzado niveles alarmantes, señala la compañía. En uno de cada cinco casos, los atacantes lograron filtrar datos en menos de una hora desde el momento del compromiso inicial.
El impacto económico también se ha intensificado, añade el informe. Esto porque las demandas de extorsión aumentaron un 80% en 2024, con un promedio inicial de US$1.25 millones por incidente. Estos ataques no solo paralizan las operaciones, sino que pueden afectar las relaciones con clientes y socios, y posiblemente tener repercusiones legales negativas si los datos confidenciales se ven comprometidos.
Específicamente en Costa Rica, el Cybercrime Report 2025, reportó que, en laprimera mitad de 2025, el país registró aproximadamente29,1 millones de intentos y amenazas de ciberataques.
Actualmente, las amenazas más relevantes en Costa Rica incluyen:
Además, según especialistas de la Uned, el auge de los pagos electrónicos, la masificación de las aplicaciones móviles y el incremento de trámites digitales han facilitado la vida cotidiana, han generado un entorno de alto riesgo para la población.
Esto según los expertos, se da por la falta de formación en ciberseguridad, sumada a la limitada prevención desde edades tempranas.
Ramón García, District Sales Manager para Centroamérica y el Caribe en Palo Alto Networks, brindó varias recomendaciones para las empresas. Entre ellas, implementar el enfoque Zero Trust, que elimina la confianza implícita en usuarios y dispositivos, y requiere una verificación continua en cada interacción.
Además, añade se debe mejorar la visibilidad en entornos híbridos y SaaS; buscar la automatización de la detección y respuesta, apoyada en la Inteligencia Artificial; e impulsar la formación continua del personal en ciber-higiene y detección de ingeniería social es indispensable.
Por su parte, Ana Milena Barreto, Head of Finex Retail para Centroamérica en WTW, resaltó la importancia de que la inversión en seguridad digital vaya de la mano con una cobertura especializada en ciberseguro. Esto para proteger ese ‘riesgo residual’ que permanece incluso con buenas prácticas.
“Costa Rica ya no es un blanco esporádico. Está entre los más expuestos de la región. Por ello, para cualquier empresa, contar con una cobertura especializada ya no es un lujo, es una necesidad estratégica para proteger la continuidad del negocio”, señaló Barreto.
Un ejemplo es que, según el estudio “When Cybersecurity Becomes Cyber Strategy”, de Boston Consulting Group (BCG), señala que contener un ciberataque y recuperar el control de los sistemas puede tomar en promedio 258 días y costar más de US$50 millones.
Para Guillermo Rojas, director de Unidades de Negocio regional en Datasys, protegerse contra amenazas cibernéticas también permiten evitar situaciones que provoquen la pérdida de confianza por parte de clientes, aliados y del mercado en general.
Los expertos añaden que, aunque se ha trabajado en la concientización de la sociedad, aún existen diversos mitos sobre la ciberseguridad y las amenazas digitales.
Precisamente, la empresa ESET, menciona cinco de ellas:
Es común que las personas crean que los ciberataques solo apuntan a grandes empresas o figuras públicas. La realidad es que cualquier dato personal tiene valor para los ciberdelincuentes, desde información bancaria hasta credenciales de correo electrónico o redes sociales. Las estafas digitales llegan a millones de usuarios comunes, independientemente de su perfil o relevancia en línea.
“Subestimar el riesgo crea una falsa sensación de seguridad y conduce a comportamientos riesgosos, como no habilitar la autenticación multifactor, usar contraseñas débiles o hacer clic en enlaces sospechosos. Estas debilidades son una oportunidad única para ataques que resultan en robo de datos, clonación de tarjetas, apropiación de cuentas o incluso extorsión digital, a usuarios que creen no ser blanco de ataques”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El antivirus es una pieza importante de la defensa, pero no cubre todos los vectores de ataque. La ingeniería social, las fallas en los procesos, la mala administración de privilegios, los ataques a la cadena de suministro y brechas de visibilidad operativa, son acciones que un antivirus por sí solo no puede resolver.
Un ejemplo de esto se dio en Brasil, el caso de C&M Software expuso cómo las lagunas en los procedimientos, la falta de controles y las fallas en la gestión de terceros permitieron el desvío de recursos y comprometieron la seguridad operativa de la organización. Esto demostró que la seguridad no es solo tecnología, también es proceso y gobernanza. Otro punto crítico es que muchos ataques explotan credenciales filtradas, debilidades humanas o flujos de autorización inseguros, escenarios en los que una solución antivirus no evita la intrusión inicial o la escalada de acceso. Por lo tanto, la estrategia de defensa actual debe estar en capas.
Aunque una contraseña sea segura, reutilizarlas en múltiples servicios presenta un riesgo. En la práctica, los delincuentes que se especializan en ataques automatizados, como el relleno de credenciales (credential stuffing) donde utilizan combinaciones de correo electrónico y contraseña filtradas para intentar acceder a otras cuentas automáticamente. Si la contraseña es la misma, el acceso es inmediato y silencioso.
Por otro lado, la reutilización de contraseñas hace que estafas como el phishing y la apropiación de cuentas sean más efectivas, porque los ciberdelincuentes pueden combinar información de diferentes servicios para engañar al usuario de manera más convincente. Incluso si una plataforma tiene una protección sólida, si se usa la misma contraseña en un sitio web con seguridad débil, el riesgo se replica.
“Confiar exclusivamente en contraseñas seguras y únicas crea una falsa sensación de seguridad y deja a los usuarios vulnerables a intrusiones, robo de identidad y fraude financiero. La protección eficaz requiere no solo contraseñas seguras, sino también una combinación de autenticación multifactor, monitoreo de actividades sospechosas y buenas prácticas de administración de credenciales”, agrega Gutiérrez AmayA.
Muchas personas creen que sus teléfonos inteligentes o tabletas están protegidos porque son dispositivos más pequeños o modernos, y que los ataques cibernéticos no les afectan. Los dispositivos móviles son objetivos frecuentes de estafas sofisticadas, y los riesgos aumentan a medida que se concentra información personal, financiera y profesional en ellos. La defensa móvil efectiva implica contraseñas seguras, autenticación multifactor, tener cuidado con las aplicaciones y enlaces sospechosos, actualizaciones periódicas y prestar atención a llamadas telefónicas inesperadas.
Además de los casos de phishing y vishing y otros de ingeniería social, también los dispositivos, tanto Android como Apple, y otros, son blanco de distribución de malware, con aplicaciones falsas y explotación de vulnerabilidades del sistema, que pueden comprometer el dispositivo incluso sin interacción directa del usuario. De hecho, se ha identificado en el pasado como apps maliciosas han permanecido en las tiendas oficiales de Google por un tiempo considerable sin ser detectadas. O cómo, hacia fines de 2023, se había advertido un aumento de las aplicaciones de préstamos en Android que no eran más que vías de entrada para programas espías.
Todo usuario tiene un papel esencial en la protección de datos y sistemas. La persona que adopta buenas prácticas contribuye a fortalecer la seguridad de toda la organización o comunidad en línea. Hábitos simples como verificar enlaces antes de hacer clic, mantener contraseñas seguras y únicas, habilitar la autenticación multifactor y reportar actividades sospechosas crean barreras efectivas que complementan las tecnologías y políticas de IT.
“Cuando todos nos involucramos, la conciencia colectiva se convierte en una poderosa defensa, capaz de prevenir estafas, fraudes e invasiones, proteger la información personal y corporativa y la comunidad digital en su conjunto. Cuanto más actúe cada persona de forma consciente, más resistente será el ecosistema digital. Es importante recordar que la ciberseguridad es responsabilidad de todos, y los pequeños hábitos marcan una gran diferencia”, concluye el investigador de ESET Latinoamérica.
Nuestras Redes Sociales:
