Skip to content
Ciberseguridad

Dinámicas Geopolíticas y Ciberguerra Contemporánea

mayo 23, 2026
Dinámicas Geopolíticas y Ciberguerra Contemporánea

Raymond Orta Martinez, Editor. Insvestigación asistida por IA

Dinámicas Geopolíticas y Ciberguerra Contemporánea: Análisis de Vulnerabilidades de Día Cero, Actores Estatales e Incidentes Críticos (2024-2026)

La arquitectura de la seguridad internacional ha experimentado una metamorfosis irreversible. Durante décadas, el ciberespacio fue concebido como un dominio auxiliar, secundario a las operaciones militares cinéticas y a la diplomacia tradicional. Sin embargo, en el horizonte del período 2024-2026, la distinción teórica y práctica entre la ciberguerra patrocinada por el Estado, el ciberespionaje corporativo y la cibercriminalidad de extorsión financiera se ha disuelto. En la actualidad, los ataques cibernéticos constituyen instrumentos primarios de coerción geopolítica, alteración del orden internacional y proyección de poder asimétrico.1 La transformación es de una magnitud sin precedentes: proyecciones económicas conservadoras anticipan que los costos asociados al cibercrimen y a las operaciones ilícitas en redes digitales alcanzarán los 10.5 billones de dólares anuales para 2025, lo que equivale a 20 millones de dólares por minuto, superando el Producto Interno Bruto nominal combinado de naciones industrializadas como Alemania y Japón.2

Este informe de investigación exhaustiva disecciona las dinámicas contemporáneas de la ciberguerra, operando en la intersección de la tecnología de la información y la geopolítica global. A través de un escrutinio detallado de las doctrinas de atribución del derecho internacional, el opaco y altamente lucrativo mercado de las vulnerabilidades de día cero (zero-days), los realineamientos de las potencias mundiales e intermedias frente a la proliferación de la inteligencia artificial, y una disección cronológica de los incidentes cibernéticos más críticos a nivel mundial, se articula un panorama integral de la amenaza moderna. Las fronteras de la confrontación bélica ya no se delimitan exclusivamente en la geografía física; se codifican en la arquitectura de red y en los firewalls que salvaguardan las infraestructuras críticas civiles y militares.1

1. La Arquitectura Jurídica y la Responsabilidad del Estado en el Ciberespacio

La evolución geométrica de las capacidades ofensivas en el dominio digital ha superado consistentemente la velocidad de la diplomacia multilateral y la formulación de marcos legales punitivos. A pesar de esta asimetría, los años recientes han presenciado un esfuerzo intelectual e institucional monumental para codificar y regular el comportamiento de los Estados en el ciberespacio, impulsado por la imperiosa necesidad de mitigar riesgos existenciales y prevenir escaladas tácticas que desemboquen en enfrentamientos militares abiertos.

1.1. Doctrina de Atribución y la Comisión de Derecho Internacional

La atribución formal de un ciberataque representa el desafío forense y legal más formidable en la estrategia moderna. Las infraestructuras de red permiten a los atacantes enmascarar su origen a través de topologías de enrutamiento complejas, botnets distribuidas, servidores de alojamiento a prueba de balas e intrincadas operaciones de bandera falsa. Para abordar este vacío, el marco jurídico internacional se apoya en los Artículos sobre la Responsabilidad del Estado por Hechos Internacionalmente Ilícitos (2001) elaborados por la Comisión de Derecho Internacional (CDI), complementados por la doctrina expuesta en el Manual de Tallin 2.0 y el Módulo 14 sobre Cibercrimen de la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC).3

La jurisprudencia internacional dictamina, según el Artículo 4 de la CDI, que la conducta de cualquier órgano del Estado —independientemente de si ejerce funciones legislativas, ejecutivas o judiciales, o de su posición en la jerarquía gubernamental— se considerará un acto oficial de dicho Estado bajo el derecho internacional.3 Esta premisa se amplía mediante el Artículo 6, que aborda la conducta de órganos puestos a disposición de un Estado por otro, y el Artículo 8, que establece que la conducta de una persona o grupo de personas se considerará un acto del Estado si operan de facto bajo sus instrucciones, dirección o control explícito.3 Asimismo, el Artículo 11 postula que, aun cuando una conducta no sea atribuible formalmente bajo los artículos precedentes, se considerará un acto del Estado si este reconoce y adopta dicho comportamiento como propio.3

En el contexto de la ciberguerra, estas normativas son vitales para clasificar a los «proxies cibernéticos» y a las Amenazas Persistentes Avanzadas (APT). El análisis académico identifica tres naturalezas de relaciones basadas en el grado de control estatal: la delegación, donde los proxies operan bajo un control estricto y táctico del Estado; la orquestación, donde actúan según directrices estatales pero conservan autonomía operativa; y la sanción, donde el Estado proporciona un refugio seguro y apoyo pasivo a las operaciones del grupo criminal.3 Entidades como el G7, mediante su Declaración sobre el Comportamiento Responsable de los Estados en el Ciberespacio (2017), han enfatizado inequívocamente que los gobiernos no pueden evadir su responsabilidad jurídica externalizando ofensivas digitales a mercenarios o consorcios de ransomware.3

Además, bajo el principio de «debida diligencia», articulado en las Reglas 6 y 7 del Manual de Tallin 2.0, los Estados están obligados a no permitir que su territorio o infraestructura bajo su control gubernamental sea utilizada para perpetrar operaciones cibernéticas que vulneren los derechos de otras naciones y produzcan consecuencias adversas graves.3 Si un Estado es notificado de que sus servidores están siendo utilizados para un ataque y cuenta con los medios razonables para detenerlo, su inacción constituye una violación del derecho internacional, desencadenando la responsabilidad descrita en las Reglas 14 a 17 del mismo manual.3 Estas directrices convergen con el Artículo 2, párrafo 3, de la Carta de las Naciones Unidas, que exige la resolución pacífica de controversias internacionales para no poner en peligro la seguridad global.3

1.2. Transición Institucional: Del OEWG al Mecanismo Global Permanente (2026)

Históricamente, la gobernanza y la diplomacia cibernética en el seno de las Naciones Unidas se caracterizaron por procesos efímeros, limitados en el tiempo y a menudo fragmentados, destacando los foros paralelos del Grupo de Expertos Gubernamentales (GGE) y el Grupo de Trabajo de Composición Abierta (OEWG).5 Tras cinco años de negociaciones arduas, permeadas por una intensa fricción geopolítica entre los bloques de potencias tecnológicas, el segundo OEWG sobre la Seguridad en el Uso de Tecnologías de la Información y las Comunicaciones (2021-2025) concluyó su mandato en julio de 2025.6 Contra las expectativas más pesimistas, logró un informe de consenso histórico adoptado por los 193 Estados miembros, reconociendo formalmente que las amenazas cibernéticas se han intensificado en un entorno internacional profundamente desafiante.6

El hito central de este consenso fue la resolución de establecer, por primera vez, un marco multilateral unificado y permanente: el «Mecanismo Global» (Global Mechanism).5 La operatividad de este foro inició formalmente con una sesión organizacional celebrada entre el 30 y 31 de marzo de 2026 en la sede de la ONU en Nueva York, marcando el cese de los formatos ad hoc.5 La estructura del Mecanismo Global se articula mediante sesiones plenarias sustantivas anuales, cuya iteración inaugural se programó para el 20 al 24 de julio de 2026, complementadas por conferencias de revisión exhaustiva cada cinco años.8

Una de las innovaciones estructurales más debatidas y cruciales del Mecanismo Global es la instauración de los Grupos Temáticos Dedicados (DTGs, por sus siglas en inglés). Programados para sesionar del 7 al 11 de diciembre de 2026, estos grupos buscan trasladar los principios abstractos a la implementación práctica.9 El primer DTG (DTG 1) está diseñado como una plataforma transversal para acelerar la creación de capacidades de seguridad en las TIC, integrando a expertos, profesionales y organizaciones no gubernamentales (ONGs) con estatus consultivo ante el ECOSOC.8 Organizaciones como la Fundación ICT4Peace han sido vocales en este proceso, abogando por medidas de fomento de la confianza (CBMs), el establecimiento de un «Mecanismo de Revisión entre Pares de la Ciberseguridad de los Estados» y la adopción de un compromiso vinculante para abstenerse de lanzar operaciones cibernéticas ofensivas contra la infraestructura crítica civil.13 El diseño y la ejecución real de estos DTGs dictaminarán si el Mecanismo Global logrará materializar el desarme normativo o si sucumbirá ante los imperativos de superioridad táctica estatal.5

2. El Mercado Clandestino y la Proliferación de Armas Digitales: Vulnerabilidades de Día Cero

En la génesis de las infiltraciones cibernéticas más sofisticadas y de mayor impacto estratégico subyace un activo tecnológico singular y efímero: la vulnerabilidad de día cero (zero-day exploit). Un zero-day constituye una deficiencia crítica en la arquitectura del software o hardware que permanece completamente desconocida para el fabricante original y la comunidad de seguridad en general.14 Al carecer de parches correctivos o «firmas» reconocibles por los antivirus y los sistemas de Detección y Respuesta de Endpoints (EDR), los atacantes disponen de una ventana de impunidad operativa casi total para ejecutar accesos remotos y comprometer infraestructuras a voluntad.14

2.1. Economía Política y Brókeres Comerciales de Vulnerabilidades

El ecosistema de adquisición y explotación de zero-days ha evolucionado desde el descubrimiento accidental hacia un mercado altamente capitalizado, estructurado y despiadado, valorado implícitamente en el costo de los daños del ciberespionaje corporativo y estatal que supera los 160,000 millones de dólares anuales.17 Los incentivos económicos para los investigadores de seguridad y los desarrolladores de exploits (exploit dev) han cimentado una industria floreciente. Mientras que los programas legítimos de recompensas por errores (bug bounties) ofrecidos por corporaciones en plataformas como HackerOne reportan pagos promedio de apenas 318 dólares para vulnerabilidades estándar, la comercialización de zero-days de alta prioridad alcanza tasaciones estratosféricas.14 Las transacciones documentadas en este mercado gris varían desde los 60,000 hasta los 2.5 millones de dólares por un solo exploit funcional o una cadena de vulnerabilidades completa.2

Los actores institucionales en la cúspide de esta economía son los «brókeres de vulnerabilidades», firmas corporativas como Zerodium, Crowdfense y Exodus Intelligence. Estas corporaciones funcionan como intermediarios legitimados bajo un velo de confidencialidad y contratos de exclusividad, ofreciendo pagos de siete cifras a investigadores independientes a cambio de los derechos de la vulnerabilidad.18 Un análisis del marco operativo revela una estructura de mercado monopsónica: el destino final de estos exploits son casi exclusivamente agencias de inteligencia y defensa gubernamentales, tales como la NSA en Estados Unidos, el GCHQ británico o el Mossad israelí.18 Ciertos brókeres operan con restricciones autoimpuestas o regulatorias, limitando sus ventas a naciones pertenecientes a la OTAN o al bloque de los «Five Eyes», lo que en Europa y Estados Unidos no se considera explícitamente ilegal, categorizando el exploit como «know-how» tecnológico antes que como contrabando de armas tradicionales.18

2.2. Paradoja de Seguridad del Estado y Aceleración de Explotaciones (2025-2026)

Este ecosistema genera una paradoja existencial para los Estados democráticos: el conflicto inherente entre el mandato de proteger la infraestructura y la privacidad de los ciudadanos frente a la necesidad imperativa de acumular arsenales para operaciones ofensivas de inteligencia y antiterrorismo.17 Cuando un gobierno adquiere un zero-day, elige conscientemente no informar al proveedor tecnológico (como Apple, Microsoft o Google), manteniendo vulnerables a millones de usuarios globales a cambio de obtener una ventaja táctica sobre un número minúsculo de objetivos estratégicos, permitiendo que periodistas, disidentes y ejecutivos corporativos sean objeto de espionaje involuntario.17

La evidencia empírica recopilada hacia 2025 y 2026 subraya la gravedad de esta proliferación. La División de Inteligencia de Amenazas de Google (GTIG) reportó que en 2025 se explotaron en estado salvaje (in the wild) 90 vulnerabilidades de día cero.16 Una estadística alarmante revela que casi el 50 % de estas vulnerabilidades se dirigieron específicamente contra infraestructuras de grado empresarial, marcando el índice más alto registrado históricamente.16 Los grupos patrocinados por Estados se enfocan obsesivamente en los dispositivos de borde (edge devices), como enrutadores y firewalls perimetrales, debido a que estos nodos regulan el tráfico corporativo profundo y habitualmente carecen de soluciones robustas de telemetría de seguridad interna, permitiendo al atacante operar con una persistencia prolongada y sin fricción.16

Casos paradigmáticos ilustran esta tendencia. El actor rastreado como Volt Typhoon, un consorcio de APT alineado con los intereses de la República Popular China, fue identificado obteniendo accesos iniciales masivos mediante la explotación de la vulnerabilidad zero-day CVE-2022-42475 en firewalls perimetrales no parcheados FortiGate 300D, empleando ataques de desbordamiento de búfer.21 Simultáneamente, el grupo de espionaje UNC3886 explotó una falla de aislamiento inadecuado (CVE-2025-21590) en enrutadores Juniper MX, mientras que UNC5221 implementó agresivamente el malware Brickstorm.16

A nivel táctico, la complejidad ha escalado hasta requerir «cadenas de exploits» (exploit chains). Debido a las mitigaciones modernas a nivel de sistema operativo, raramente una sola vulnerabilidad otorga acceso completo; los atacantes deben encadenar un fallo de ejecución de código con otro de escalada de privilegios.22 El alto nivel de investigación global ha generado un fenómeno de «colisiones de errores» (bug collisions), donde múltiples actores descubren y explotan el mismo zero-day simultáneamente, anulando la ilusión gubernamental de poseer «capacidades únicas exclusivas».22 Un ejemplo rotundo fue expuesto por la Zero Day Initiative de Trend Micro en 2025 respecto a la vulnerabilidad ZDI-CAN-25373 (también conocida como ZDI-25-148) en los archivos de acceso directo de Windows (.lnk).23 Al analizar la telemetría, se descubrió que esta vulnerabilidad, que permitía la ejecución remota de comandos ocultos alterando los argumentos en la línea de comandos, había sido explotada secretamente desde el año 2017.23 Durante años, al menos 11 grupos APT vinculados a los servicios de inteligencia de Rusia, China, Irán y Corea del Norte utilizaron simultáneamente el mismo fallo para sustraer información en sectores de defensa y energía a través de Norteamérica, Europa y Asia, eludiendo la detección mediante la simplicidad intrínseca del formato de acceso directo.23

2.3. Herramientas de Intrusión Comercial (CCIC) y el Proceso de Pall Mall

Frente a la indetenible mercantilización del armamento cibernético, la comunidad diplomática ensayó una respuesta regulatoria estructurada. En febrero de 2024, el Reino Unido y Francia inauguraron el «Proceso Pall Mall», una iniciativa multinacional orientada a abordar la proliferación y el uso irresponsable de las Capacidades Comerciales de Ciberintrusión (CCIC).24 Las CCIC engloban un ecosistema amplio: desde servicios de hackers a sueldo hasta el software de vigilancia intrusiva comercial (spyware), definido como herramientas diseñadas para comprometer remotamente dispositivos sin el consentimiento del administrador, interceptando comunicaciones, ubicaciones geográficas y transmisiones encriptadas.26

En la Segunda Conferencia del Proceso Pall Mall celebrada en 2025, las naciones participantes rubricaron un Código de Práctica fundamentado en cuatro pilares: rendición de cuentas, precisión, supervisión y transparencia.24 No obstante, el impacto coercitivo de tales declaraciones sigue siendo marginal ante las fuerzas del mercado. Se estima que la industria global del spyware, liderada por consorcios como el Grupo NSO (creadores del polémico malware Pegasus), alcanzó una valoración de 12,000 millones de dólares en 2021 y continúa expandiéndose.24 La detección incesante del software Pegasus, junto con escándalos de espionaje civil interno en naciones europeas y norteamericanas en 2025, subraya la profunda hipocresía gubernamental y la dificultad inherente de regular herramientas de doble uso.24 La inacción en la restricción efectiva de este mercado precipitó un duro informe de la Oficina de Derechos Humanos de la ONU en marzo de 2025, advirtiendo que las transferencias de armamento digital estaban contribuyendo de manera directa y acelerada a la represión política, la violencia de género facilitada por la tecnología, y las violaciones a gran escala de los derechos fundamentales.27

3. Dinámica del Poder Global: Estabilidad Estratégica, Potencias Intermedias e Inteligencia Artificial

La transición desde los conflictos convencionales hacia la ciberguerra ha provocado un reajuste tectónico en el balance de poder internacional. A diferencia de las capacidades navales o los arsenales termonucleares, el poder cibernético no depende primordialmente de la extensión geográfica, los recursos naturales brutos o los presupuestos bélicos inelásticos. Es un poder asimétrico, fluido, y altamente dependiente de la integración de infraestructuras críticas, ecosistemas corporativos de innovación, y capital humano especializado capaz de manipular la algoritmia y los datos.30

3.1. Índice de Poder Cibernético Nacional (NCPI) 2024-2025

La cuantificación del poder estatal en el ciberespacio exige herramientas analíticas rigurosas. Tradicionalmente, metodologías como el Índice Global de Ciberseguridad (GCI) de la Unión Internacional de Telecomunicaciones (UIT) se centraron en medir «insumos» burocráticos: la redacción de planes nacionales, la creación de CSIRTs o la ratificación de convenios internacionales.32 Esto originaba distorsiones metodológicas severas, donde una nación podía obtener puntuaciones perfectas basadas en la formulación de leyes que no se traducían en eficacia operativa real o capacidades ofensivas.32

Para solventar esto, el Centro Belfer para la Ciencia y los Asuntos Internacionales de la Universidad de Harvard desarrolló el National Cyber Power Index (NCPI), una evaluación exhaustiva que incorpora 29 indicadores cualitativos y cuantitativos utilizando más de 1000 fuentes de datos empíricas. El NCPI evalúa simultáneamente el desarrollo comercial, la ciberdefensa estructural y, fundamentalmente, las capacidades cibernéticas ofensivas demostradas, proveyendo un panorama hiperrealista de la capacidad del Estado para utilizar el ciberespacio como un instrumento de política exterior y coerción nacional.31

Los datos consolidados para el bienio 2024-2025 revelan una polarización intensa en la cúspide global, seguida de un reordenamiento dramático impulsado por actores disruptivos:

Rango 2024-25VariaciónNaciónPuntuación Absoluta NCPI
1Estados Unidos100.0
2China99.1
3Rusia95.8
4+3Corea del Norte91.1
5-1Australia87.7
6-1Singapur81.0
7-1Corea del Sur76.4
8Taiwán74.2
9Japón69.4
10India64.2

Extracto adaptado de los resultados consolidados de Capacidades Cibernéticas 2024-2025. 37

El estrechísimo margen entre Estados Unidos (100.0) y la República Popular China (99.1) refleja la monumental campaña de Beijing por consolidar una hegemonía tecnológica integral.37 La arquitectura cibernética china no depende únicamente del Ejército Popular de Liberación (EPL); se nutre de un ecosistema regulatorio diseñado para someter al sector privado.22 Las leyes internas exigen a los investigadores corporativos y a los académicos reportar cualquier vulnerabilidad de día cero directamente a las agencias estatales antes de informar a los fabricantes occidentales.22 Esto garantiza que el aparato estatal adquiera los exploits de manera expedita, rompiendo los ciclos de contratación y facilitando operaciones masivas de hackeo por encargo.22 A pesar de su exclusión de foros internacionales competitivos, los investigadores chinos mantienen una presencia dominante y subrepticia a través de filiales y conferencias establecidas en nodos tecnológicos estratégicos como Singapur y Dubái, consolidando su transferencia de conocimiento y reclutamiento global.22

Quizás el ascenso más perturbador del índice es el de Corea del Norte, que avanzó tres posiciones para ocupar el cuarto lugar mundial (91.1).37 La dictadura asiática ha invertido toda la experiencia técnica de la unidad de élite militar y de inteligencia de la Oficina General de Reconocimiento (RGB), no en operaciones militares tácticas, sino en la exfiltración masiva de divisas y cibercrimen patrocinado por el Estado, compensando su aislamiento comercial global con audaces asaltos digitales.38

3.2. Potencias Intermedias y la Geopolítica del Cómputo («El Nuevo Petróleo»)

La rivalidad entre Washington y Beijing ha forzado a las «potencias intermedias» a desarrollar sofisticados mecanismos de equilibrismo diplomático.39 Países del Golfo Pérsico, primordialmente los Emiratos Árabes Unidos (EAU) y Arabia Saudita, junto a naciones del Sudeste Asiático como Vietnam, están transformando sus doctrinas de seguridad al reconocer un axioma estratégico moderno: si el petróleo y el acero cimentaron el poder del siglo XX, el siglo XXI será dominado inexorablemente por el «cómputo» —la vasta infraestructura de centros de datos, semiconductores y suministro eléctrico necesario para sostener la Inteligencia Artificial— y los minerales críticos que lo componen.30

La Declaración Pax Silica articuló las directrices de la seguridad en la cadena de suministro de IA, destacando la relevancia central de los EAU y Qatar.30 Al igual que los hidrocarburos, el cómputo de grado militar y comercial requiere gigantescas inversiones de capital y es altamente sensible a embargos, controles de exportación y cuellos de botella geográficos (fabricación de chips, software y servidores).30 Ante las dudas sobre el compromiso de defensa de Estados Unidos frente a amenazas regionales y asaltos a su propia infraestructura energética, el bloque del Golfo ha buscado activamente la «autonomía estratégica».41 Arabia Saudita y los EAU han diversificado sus alianzas, suscribiendo acuerdos en 2024 con consorcios chinos como Huawei para el despliegue de redes 5G, forzando un pulso tenso con Washington, que exige la expulsión de tecnología china de sus aliados bajo amenaza de sanciones o restricciones en el intercambio de inteligencia militar.41 Paralelamente, Vietnam ha potenciado su ciber-diplomacia regional y sus vínculos con India, Australia y Estados Unidos para salvaguardar sus intereses y equilibrar la influencia avasalladora de su vecino chino, elevando su nivel de madurez cibernética a posiciones preeminentes entre las economías emergentes (puesto 11 en NCPI).37

3.3. Disrupción de la «Estabilidad Estratégica» por la Inteligencia Artificial

La conceptualización clásica de la «estabilidad estratégica» —un término anclado en la teoría de disuasión de la Guerra Fría destinado a evitar confrontaciones mediante la garantía de destrucción mutua asegurada— está colapsando aceleradamente por la militarización del ciberespacio y la integración de la inteligencia artificial.42 A diferencia de los misiles balísticos, las armas cibernéticas se caracterizan por una profunda asimetría, un anonimato relativo, una extrema difuminación de las fronteras civiles/militares y, fundamentalmente, la velocidad de ejecución táctica.42

Los reportes de inteligencia consolidados en 2025 indican que los grupos APT vinculados a potencias antagonistas están empleando Modelos de Lenguaje Extenso (LLMs) y sistemas algorítmicos generativos para transformar cada eslabón de la cadena de eliminación de ataques (kill chain) en infraestructuras críticas.44 La IA optimiza la inteligencia y el reconocimiento masivo de vulnerabilidades en código fuente.45 Facilita la generación de malware altamente virulento, disruptivo y «polimórfico», el cual altera su propia firma estructural con cada infección, burlando las defensas automatizadas convencionales.44 A nivel de ingeniería social, reduce la fricción idiomática y cultural, permitiendo campañas de spearphishing hiper-personalizadas de alta efectividad.44

La principal preocupación estratégica a nivel global radica en la erosión que la IA provoca en los sistemas de Comando, Control y Comunicaciones Nucleares (NC3).42 Al automatizar la detección y explotación de vulnerabilidades en tiempos medidos en milisegundos, los tomadores de decisión humanos enfrentan tiempos de reacción severamente comprimidos. La adopción defensiva de sistemas de IA autónomos (que ejecutan contramedidas algorítmicas sin validación humana) incrementa la probabilidad de una guerra cibernética accidental, desatada por sesgos de datos, interacciones algorítmicas no previstas (flash crashes) o señales falsas introducidas por el enemigo, destruyendo por completo la delicada noción de disuasión y contención que sostuvo el orden internacional.42 El paradigma regional también lo demuestra: frente a las operaciones de coerción cibernética patrocinadas por China en la cuenca del Indo-Pacífico, respuestas divergentes de actores como Australia (enfocada en resiliencia) y la India (que enfrenta ataques que la convierten en el segundo país más vulnerado mundialmente), evidencian que los modelos de contención clásica carecen de aplicabilidad uniforme contra amenazas de zona gris.46

4. Análisis Empírico: Doctrinas Estatales y Taxonomía de Incidentes Globales (2025-2026)

La monitorización constante del ciberespacio revela que los actores estatales han abandonado cualquier pretensión de contención. Los datos provistos por el programa de Tecnologías Estratégicas del Centro de Estudios Estratégicos e Internacionales (CSIS), que rastrea incidentes contra infraestructuras gubernamentales, de defensa corporativa o ataques cibernéticos con pérdidas superiores al millón de dólares, dibujan un panorama de guerra híbrida implacable y continuada.47

4.1. Registro Cronológico de Ataques Críticos y Geopolíticos (2025-2026)

La siguiente taxonomía consolida los eventos que definen las tácticas contemporáneas de disrupción estatal y criminal:

FechaEntidad y Región AfectadaAtribución y Actor InvolucradoNaturaleza Técnica del IncidenteImpacto Geopolítico y Ramificaciones
Marzo 2026Die Linke (Partido Político, Alemania)Qilin (Hablantes de ruso)Infección masiva por ransomware con exfiltración de datos confidenciales.Denunciado explícitamente como una operación de guerra híbrida. Representa el uso del cibercrimen mercantil para debilitar el sistema electoral y chantajear a facciones contrarias a los intereses de Moscú en Europa Central.
Marzo 2026Stryker (Equipamiento Médico, Global / EE. UU.)Handala (Alineado a Irán)Acceso al ecosistema Microsoft; ejecución de restablecimientos de fábrica en más de 200,000 terminales en 79 naciones.Demostración contundente de asimetría: reclamado como una represalia directa por ataques aéreos de EE. UU. en Minab. Convirtió la infraestructura de salud global en daño colateral militar legítimo bajo la doctrina iraní.
Feb 2026Cuatro Mayores Proveedores de Telecomunicaciones (Singapur)UNC3886 (Patrocinado por China)Campaña de infiltración y espionaje sostenida durante meses explotando vulnerabilidades de día cero exclusivas.Vulneración total de la soberanía de comunicaciones de un nodo financiero clave, obligando al Estado a desplegar la contraofensiva inédita «CYBER GUARDIAN» para purgar manualmente las redes troncales.
Feb 2026Aplicación BadeSaba (Sociedad Civil, Irán)Atribuido a Inteligencia de IsraelManipulación y secuestro de la API; envío de notificaciones push y alertas falsas masivas a millones de civiles.Ataque sincronizado con incursiones de combate físico, enmarcado dentro de la guerra psicológica y de operaciones de información orientadas a instigar revueltas civiles y promover deserciones del ejército regular de Teherán.
Enero 2026Red y Nodos del Sistema Eléctrico (Polonia)Electrum (Federación Rusa)Intrusiones en tecnología operativa (OT) e IT en 30 sitios energéticos; daño a equipos críticos.Asalto infraestructural orientado a perturbar la estabilidad del principal punto logístico de la OTAN y la Unión Europea para el suministro hacia Europa del Este, bordeando los límites del Artículo 5.
Enero 2026Instituciones Gubernamentales y Militares (India)APT36 / Transparent Tribe (Vinculado a Pakistán)Implante de puertas traseras persistentes (backdoors); vigilancia y recolección sostenida de datos clasificados.Continuación del conflicto en curso en el sur de Asia, utilizando medios digitales de espionaje para anular ventajas tecnológicas del adversario regional.
Dic 2025PDVSA (Petróleos de Venezuela, S.A.)No Atribuido (Atribuido por Venezuela a entidades de EE. UU.)Intrusión y cifrado limitado en sistemas administrativos.Inestabilidad en despachos de carga de hidrocarburos. Subraya la extrema fragilidad y el valor estratégico que posee el sabotaje digital en naciones sometidas a severos bloqueos de comercio internacional.
Nov 2025Upbit (Casa de Intercambio de Criptomonedas, Corea del Sur)Lazarus Group (Corea del Norte)Penetración y explotación de billeteras calientes, resultando en el robo de $30.4 millones de dólares en activos digitales.Fondos extraídos integralmente y lavados para su inyección en la financiación clandestina del programa armamentístico nuclear, eludiendo embargos del Consejo de Seguridad de la ONU.
Nov 2025Salesforce / Gainsight (Plataforma Global Corporativa, EE. UU.)ShinyHunters (Motivación Financiera)Explotación de integraciones de autorización (OAuth) defectuosas, logrando acceso administrativo sin credenciales.Exposición en cascada de los ecosistemas de datos de más de 200 corporaciones multinacionales, ilustrando los peligros mortales que conlleva la centralización del software en la nube bajo arquitecturas SaaS (Software-as-a-Service).

Datos basados en la recopilación analítica del CSIS sobre incidentes cibernéticos significativos. 47

4.2. Doctrinas Operacionales por Bloques Hegemónicos

La conjunción de estos eventos, complementada con el análisis histórico del impacto del secuestro corporativo que sufrieron gigantes como Colonial Pipeline (con un pago de rescate de 4.44 millones de dólares para destrabar la matriz energética del sureste estadounidense) y JBS Foods (cuyo pago de 11 millones de dólares a grupos rusos impactó los precios de la proteína animal a escala mundial), revela que las diferentes potencias operan bajo concepciones doctrinales muy divergentes.2

China y la Persistencia Sigilosa El paradigma chino, liderado por grupos como Salt Typhoon, UNC3886 y la extensa constelación de clanes APT (APT41, APT40, APT31) está consagrado a la persistencia a largo plazo y la recopilación de inteligencia estructural.16 Sus vectores favorecen la manipulación profunda del hardware y los protocolos fundamentales de telecomunicaciones. Según las métricas de GTIG de 2025, de los exploits de zero-day vinculados a estados, China dominó las estadísticas operando 10 exploits dirigidos de forma quirúrgica a conmutadores, cortafuegos de grado militar y servidores de infraestructura central, demostrando su monopolio de una vasta red académica volcada a la creación asimétrica de herramientas fileless (sin archivos) que dejan una mínima huella forense.16 Las recientes imputaciones sobre la implantación de chips rastreadores en la acreditación de un ex-general de alto mando de Estados Unidos en conferencias denotan un refinamiento escalofriante de estas prácticas transfronterizas.47

Rusia, Ransomware y Disrupción Política Por su parte, el servicio de inteligencia militar (GRU) y las estructuras de seguridad interna (FSB) de Rusia han optado por la doctrina del «Caos Negable» (Deniable Chaos). Moscú emplea tácticas de la llamada zona gris, apadrinando indirectamente un vasto complejo industrial de cibercrimen (RaaS, Ransomware como Servicio) liderado por conglomerados como Akira, LockBit, Qilin, Cl0p o NoName057.1 Durante el período evaluado, el panorama detectó un viraje rotundo: el 74 % del incremento en ransomware abandonó el cifrado en favor de la extorsión simple y pública de datos institucionales (data leak extortion), convirtiendo el delito económico en un espectáculo de humillación política dirigido a desarticular cadenas de suministro, redes gubernamentales de Suecia (previo a su ingreso en la OTAN) y comprometer inteligencia clasificada militar alemana sobre sistemas de misiles Taurus enviados al teatro de guerra ucraniano.1

Corea del Norte: Ciberespacio como Instrumento Macroeconómico Corea del Norte presenta la evolución más heterodoxa del poder estatal cibernético. Acosada por décadas de sanciones punitivas, el régimen de Pyongyang no concibe el ciberespacio solo como terreno de espionaje o guerra; lo aborda como su primordial arteria financiera. Además de ejecutar operaciones de coerción, grupos como Lazarus se dedican metódicamente al asalto a bancos, el ataque constante a infraestructuras DeFi (Finanzas Descentralizadas) y plataformas de intercambio (como el caso de Upbit), y al envío sistémico de ingenieros de software e individuos encubiertos que ocupan puestos remotos en empresas tecnológicas occidentales. Investigaciones federales de Estados Unidos ratificaron en 2025 que los hackers norcoreanos han extraído más de 3,000 millones de dólares líquidos desde 2018; una inyección de capital en divisas fuertes que ha subsidiado, de forma prácticamente exclusiva, la supervivencia y expansión tecnológica de su programa de armas nucleares y misiles balísticos intercontinentales, representando la aplicación táctica más exitosa y peligrosa del cibercrimen a nivel global.2

Irán: La Disuasión Punitiva y Asimétrica La doctrina iraní, visible a través de agrupaciones afiliadas al Cuerpo de la Guardia Revolucionaria Islámica y comandos técnicos, está diseñada bajo parámetros de represalia fulminante. Irán asume que no puede ganar una guerra convencional, pero puede hacerla prohibitiva a través del ciberespacio.38 Cuando sus instalaciones militares físicas o diplomáticas enfrentan incursiones cinéticas estadounidenses o israelíes, los operadores cibernéticos iraníes ejecutan represalias devastadoras e inmediatas contra entidades públicas y corporativas con altos niveles de visibilidad, tal como el apagado de bases de datos del sistema de control fronterizo y migratorio (TIMS) de Albania o el ataque contra los equipos médicos de Stryker globalmente en marzo de 2026, estableciendo que ninguna entidad comercial foránea es inmune frente a las hostilidades estatales en las que se halla inmersa la nación persa.47

5. El Teatro de Operaciones Latinoamericano: Infraestructura Crítica y el Fenómeno «Blind Eagle»

Históricamente, América Latina ha sido observada como una zona periférica en la ciberguerra hegemónica global. No obstante, las fragilidades inherentes de las instituciones estatales, un índice precario de cultura digital en defensa y una digitalización apresurada han convertido a la región en un laboratorio prolífico para pruebas de estrés técnico a gran escala, asaltos combinados y ciberespionaje corporativo. El Índice Nacional de Ciberseguridad (NCSI), un baremo fundamental para medir la madurez defensiva y el desarrollo digital, expone crudamente estas vulnerabilidades estructurales.50 La data consolidada dictamina que el continente enfrenta un estado de inmadurez técnica sistémica; de las 32 naciones que conforman América Latina y el Caribe, únicamente 20 cuentan con Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) de nivel gubernamental en operación activa, y de manera aún más alarmante, tan solo siete estados poseen normativas legislativas o directrices técnicas delineadas explícitamente para la resiliencia y protección de sus infraestructuras críticas nacionales, un vacío legal y operativo que invita directamente a la depredación foránea.50

Los últimos meses han documentado un incremento exponencial y sostenido de asaltos basados en tácticas parasitarias, predominando las enormes infraestructuras de botnets que ejecutan robos sistemáticos de credenciales mediante phishing, facilitan inyecciones de ataques masivos de denegación de servicio distribuido (DDoS) contra esferas gubernamentales, y operan como la puerta de acceso inicial que luego es arrendada a operadores mercenarios de ransomware.52 El impacto del secuestro de datos ha doblegado aparatos administrativos completos; casos paradigmáticos incluyen el colapso sistémico del gobierno de Costa Rica (que paralizó el comercio internacional durante meses) y redes hospitalarias y administrativas del gobierno central en Colombia.50

En este fértil escenario de inestabilidad, actores de amenazas persistentes avanzadas (APT) han germinado con metodologías híbridas y enfoques territoriales estrictos. El grupo de inteligencia cibernética denominado APT-C-36, también conocido internacionalmente como «Blind Eagle» o TAG-144, encarna la evolución de una amenaza altamente localizada.53 En operaciones activas desde al menos el año 2018, la base de operaciones y el esfuerzo direccional de este grupo apuntan a una matriz predominantemente sudamericana, con una fijación operativa inusitada por someter la infraestructura financiera, de energía, de manufactura y los nodos gubernamentales y ministeriales de Colombia, extendiendo esporádicamente sus alas hacia Ecuador, Panamá y otras fronteras limítrofes.53

La peligrosidad de Blind Eagle no reside únicamente en su persistencia temporal, sino en la hibridación de su armamento; la evidencia empírica señala que combinan misiones dictadas para recopilar inteligencia de estado (ciberespionaje político e industrial) con llanos objetivos de monetización criminal agresiva.53 El esquema operativo recurre a la ingeniería social hiper-localizada: despliegan oleadas de spearphishing diseñadas meticulosamente, adjuntando facturas fiscales apócrifas y documentos supuestamente emitidos por organismos tributarios para inyectar complejos Troyanos de Acceso Remoto (RATs) que albergan sistemas innatos para ocultar el tráfico de mando y control (C2) de la telemetría perimetral.53 El mapeo de la inteligencia de red de Blind Eagle ha expuesto conexiones transnacionales altamente preocupantes: la arquitectura del servidor del grupo fue vinculada recientemente a Proton66, un opaco proveedor de servicios de alojamiento a prueba de balas (bulletproof hosting) radicado presuntamente en servidores bajo jurisdicción de la Federación Rusa o sus países aliados, protegiendo las redes del grupo colombiano frente a citaciones y requisas policiales internacionales.57

Simultáneamente, la región atestiguó durante 2025 los estragos colaterales del cibercrimen globalizado en las operaciones del prolífico malware de robo de información LummaC2. Especializado en el barrido masivo de criptocarteras y cookies de autenticación, LummaC2 logró comprometer un estimado asombroso de más de 394,000 infraestructuras computacionales basadas en Windows a nivel planetario en apenas tres meses.1 La reacción de Europol y divisiones de policía técnica logró desmantelar temporalmente una asombrosa red de aproximadamente 2,300 dominios que conformaban el sistema cerebral de comando e infraestructura satelital de LummaC2, lo que parecía constituir una victoria.53 No obstante, el éxito reveló una profunda incapacidad a nivel latinoamericano: la mera neutralización y desviación del tráfico (sinkholing) no limpia los archivos binarios residentes en el equipo. Semanas posteriores al asalto a los servidores, la telemetría evidenciaba que millares de instituciones, particularmente en los territorios de Colombia y Brasil, continuaban parasitadas por el agente de LummaC2 ante la inhabilidad y falta de automatización de sus sectores críticos para ejecutar el saneamiento y remoción activa del malware a gran escala.53

6. Caso Especial de Estudio: Venezuela como Ecosistema Táctico de Ciberguerra Híbrida (2019-2025)

Dentro de la casuística global contemporánea, la República Bolivariana de Venezuela se erige como uno de los entornos de ciberguerra más intensos, sostenidos y analíticamente desafiantes de todo el hemisferio occidental. El país aúna una polarización política interna severa, un prolongado estado de embargo y sanción por parte de potencias hegemónicas y la presencia de potentes recursos hidrocarburíferos y energéticos; ingredientes que han configurado un terreno en disputa constante.48 La disección técnica y política de los ataques a las infraestructuras que sustentan a la población demuestra un salto dramático desde el terreno especulativo a una certidumbre de asimetría bélica a través del cable transatlántico.

6.1. La Crisis Eléctrica del Guri (2019): Debates y Ciber-Atribución

El momento originario de esta tensión sistémica se desencadenó en marzo de 2019. Una falla apocalíptica, emanada desde los centros de control de la Central Hidroeléctrica Simón Bolívar (Represa de Guri) —titán ingenieril responsable del suministro base de aproximadamente el 80 % del flujo de electrones en el país— arrastró a toda la nación a un colapso eléctrico que perduró varios días y paralizó el suministro de agua, transporte y comunicaciones.58 Desde las esferas presidenciales de Nicolás Maduro y el ministerio de comunicación, se emitió un veredicto definitivo: la catástrofe no fue un fallo técnico, sino un ataque concertado a través de vectores de penetración cibernética, apoyados por descargas electromagnéticas teledirigidas desde bases y núcleos informáticos alojados específicamente en los centros urbanos de Houston y Chicago, en Estados Unidos.58

La viabilidad técnica de este sabotaje desató un profundo debate internacional entre expertos en seguridad de Sistemas de Control Industrial (ICS). Investigadores independientes señalaron que, mediante un ataque cibernético altamente patrocinado, era factible lograr esta parálisis; la teoría prevalente apuntaba al despliegue subrepticio de código destructivo de grado militar inspirado en el tristemente legendario gusano informático de origen estadounidense e israelí, Stuxnet, que en la década pasada arruinó físicamente miles de centrifugadoras iraníes para el enriquecimiento de uranio.58 Estas cepas de ingeniería destructiva —diseñadas para infiltrarse en redes segmentadas a menudo mediante USBs en equipos de personal de mantenimiento e instalar persistencia mediante controladores (drivers) falsos en el sistema operativo central de Windows para engañar e imposibilitar a los analistas manuales que vigilan las subrutinas mecánicas y térmicas— podrían haber anulado las paradas de emergencia en las turbinas masivas de la represa, forzando intencionalmente sobrecargas de las fases de frecuencia y culminando en el colapso en cadena de las subestaciones dependientes.58

No obstante, expertos en infraestructura civil e ingenieros históricamente vinculados al mantenimiento de la hidroeléctrica del Guri expusieron un intenso escepticismo sobre este escenario. Estos alegaron una premisa analógica y arquitectónica: gran parte de las máquinas centrales de mando encargadas del despacho y apertura de compuertas en el sistema electromecánico venezolano obedecían a infraestructuras construidas entre finales de 1960 y la década de los ochenta. Los ordenadores que operan el nivel de red SCADA, en gran medida prehistóricos y sin actualizaciones profundas, ni siquiera se encontraban físicamente integrados a una topología de internet bidireccional; por ende, resultaba tácticamente inviable orquestar un hackeo de tal sofisticación a larga distancia, favoreciendo el diagnóstico de que el colapso obedeció irremediablemente a incendios en el sistema de transmisión por la falta de un adecuado mantenimiento sistemático.58

6.2. La Ofensiva Cibernética Multivectorial Post-Electoral (Julio-Agosto 2024) y PDVSA (2025)

El escepticismo o la falta de certidumbre forense del episodio del Guri contrastó frontalmente con la demostración técnica registrada de manera incontrovertible hacia finales de julio y agosto de 2024.62 Inmediatamente tras las elecciones presidenciales del 28 de julio, el estado venezolano fue sometido a la mayor arremetida y saturación cibernética registrada comparativamente por los observatorios en el país, delineando lo que expertos en telecomunicaciones estatales y el Ministerio de Ciencia y Tecnología expusieron como un asalto premeditado a las entrañas del estado.

La tipología del asedio exhibió proporciones astronómicas y una fuerza bruta excepcional que buscaba el quiebre cognitivo e informativo institucional. El 65 % de las agresiones computadas se clasificaron como ataques de denegación de servicio distribuido (DDoS) masivos dirigidos indiscriminadamente y de forma enfocada a los anillos perimetrales y puertas de enlace internacionales que nutren de servicio de banda ancha e internet a todo el territorio nacional, y a los servidores centrales del Consejo Nacional Electoral (CNE) y la Presidencia de la República.62 Informes periciales emitidos por proveedores transnacionales privados como Columbus reportaron que la violencia volumétrica del tráfico enrutado fue cinco veces mayor de lo que los enlaces físicos venezolanos podían absorber.62 Se registraron picos infernales de carga útil de hasta 700 gigabytes por segundo de saturación, con ráfagas continuas y concentradas superando con creces los 30 millones de pulsos de asalto por cada minuto cronológico, en un bombardeo que obligó a suspender rutinas gubernamentales durante días.62

Pero la campaña del verano de 2024 no se rigió únicamente por asfixia de banda ancha; incorporó métodos quirúrgicos de la guerra irregular de la capa de transporte: un 6.9 % de los flujos de asalto empleó amplificación por DNS malformado y resoluciones falsas, mientras que un 3.45 % empleó una maniobra altamente sofisticada y agresiva que requiere el acceso profundo a enrutadores fronterizos: el secuestro ilícito y la falsificación activa del Protocolo de Puerta de Enlace de Frontera (BGP Route Hijacking).62 A través de esta estrategia de desviación, orquestada de forma letal en el fin de semana del 9 al 11 de agosto, enormes bloques de asignación de Protocolo de Internet (IP) legítimas que pertenecían oficialmente a la compañía de la estatal CANTV fueron suplantados maliciosamente.62 Cuando el usuario final, el ciudadano, solicitaba el acceso a una institución pública gubernamental, las pasarelas falsificadas redirigían de manera inadvertida y fraudulenta a portales o servidores creados como impostores, con el objetivo de sumir los registros estatales en el ostracismo o colapsar de sobrecarga por falsas peticiones en la ruta.62

El minucioso seguimiento geolocalizado, reportado por la jerarquía técnica nacional y especialistas vinculados al gobierno, ubicó el punto de salida enrutado del volumen masivo de ataques hacia los concentradores geográficos alojados en la jurisdicción europea de Macedonia del Norte.62 No obstante, los análisis apuntan a que esta localización operó netamente como una terminal final (bridge) constituida por granjas masivas de ordenadores en red de VPN anónimos que ocultaban instalaciones y recursos directamente vinculados o dependientes de tácticas y tecnología procedentes del Pentágono norteamericano, la alianza atlántica de la OTAN y elementos subversivos no estatales financiados por estructuras imperiales.62 Adicionalmente, el ataque eludió casi por completo el ecosistema táctil (solo el 2% provino de terminales móviles celulares), siendo el 98% del ataque disparado incesantemente desde enormes granjas de computadoras estacionarias de procesamiento robusto.62

La escalada contra la soberanía nacional persistió en su intento por resquebrajar el flujo de finanzas de la República, tal y como aconteció el lunes 15 de diciembre del año 2025. Un ataque deliberado asedió los sistemas lógicos y corporativos de la Petróleos de Venezuela, S.A. (PDVSA) con miras a destruir o chantajear y frenar los registros de facturación de despacho y operatividad petrolífera en época navideña. A diferencia del suceso de 2019, la resiliencia probada y la oportuna actuación del cuerpo táctico de seguridad informática de la corporación lograron detectar, aislar y contener el evento exclusivamente en un cerco de red administrativo sin que penetrase las esferas de instrumentación industrial ni frenase, en modo alguno, la exportación naviera del recurso petrolero internacional, denunciándose ante la comunidad como un episodio orquestado sistemáticamente bajo la sombrilla del aparato diplomático y militar de intereses contrarios provenientes de Norteamérica.48

Conclusiones Estratégicas y Pronóstico Geopolítico

La inmersión en la telemetría, en las resoluciones institucionales y en el historial incesante de incidentes devastadores expuestos durante los ciclos de 2024 a 2026 corrobora de manera concluyente que la guerra cibernética ha erosionado irrevocablemente el dogma tradicional de la paz entre estados. El ciberespacio contemporáneo se caracteriza como un campo de tiro continuo, asimétrico, y despiadado, en el cual las potencias utilizan herramientas y un extenso entramado de proxies afiliados —amparados bajo las directrices del derecho de los grupos irregulares de la «zona gris»— para doblegar, infiltrar, expropiar y chantajear, sin requerir una sola detonación física visible a gran escala.

El marco normativo global se enfrenta a una coyuntura imperante. Mientras foros multilaterales como las Naciones Unidas intentan cristalizar pactos de contención a través de Mecanismos Globales y procesos restrictivos de armamentos de doble uso como la iniciativa Pall Mall, los Estados soberanos continúan alimentando vorazmente el mercado negro y desregulado de exploits de vulnerabilidad de «día cero», creando un ciclo autodestructivo en donde prevalece el monopolio militar a expensas de sacrificar el diseño robusto, el resguardo del sector corporativo multinacional, y los derechos inalienables y privacidad de los ciudadanos expuestos, posibilitando de esta manera la extorsión permanente por software ransomware de la delincuencia de origen transnacional. Además, la militarización acelerada y la subyugación de los protocolos de infiltración bajo modelos cognitivos y generativos fundados en la inteligencia artificial están desestabilizando radical y definitivamente la teoría de equilibrio disuasorio, comprometiendo sistemas de comunicación y cadenas de mando mediante decisiones tácticas en fracciones de segundos impensables hace escasamente una década.

Para geografías como América Latina, los datos demuestran sin género de dudas que la periferia de la guerra fría cibernética ya ha sido arrastrada al torbellino. No existe refugio técnico en la neutralidad política aparente. Naciones como Venezuela encarnan la demostración empírica de una prueba fáctica en laboratorio a tamaño estatal sobre cómo la fuerza bruta, unida a la precisión tecnológica en redes de comunicación digital, puede ser desplegada, ya no únicamente para vulnerar el secreto, sino como una punta de lanza asfixiante sobre el mismo oxígeno económico e institucional de las sociedades que no se plieguen ante los hegemónicos intereses geoestratégicos o bloques consolidados internacionales. Toda nación, con independencia absoluta de la envergadura de su capacidad económica o diplomática original, se verá ineluctablemente empujada a consolidar una defensa integral resiliente, con alta independencia técnica e inversión sin límites en una madurez cognitiva y perimetral antes de que se corrompa el eje vertebral de la vida interconectada global moderna.

Works cited

  1. 2025: el año en que los ciberataques se volvieron geopolíticos – Ciberseguridadtic, accessed May 14, 2026, https://ciberseguridadtic.es/mercado/2025-el-ano-en-que-los-ciberataques-se-volvieron-geopoliticos-2025102210531.htm
  2. Conflict in the Cyber Age – FP Analytics – Foreign Policy, accessed May 14, 2026, https://fpanalytics.foreignpolicy.com/2021/08/17/the-rise-of-state-sponsored-cyber-attacks-and-the-cost-of-inaction/
  3. Cybercrime Module 14 Key Issues: Responses to … – unodc, accessed May 14, 2026, https://www.unodc.org/e4j/es/cybercrime/module-14/key-issues/responses-to-cyberinterventions-as-prescribed-by-international-law.html
  4. Tallinn Manual on the International Law Applicable to Cyber Warfare – IIHL, accessed May 14, 2026, https://www.onlinelibrary.iihl.org/wp-content/uploads/2021/05/2017-Tallinn-Manual-2.0.pdf
  5. The UN’s New Global Mechanism on Cybersecurity – Interface-eu.org, accessed May 14, 2026, https://www.interface-eu.org/publications/the-new-united-nations-mechanism-on-cybersecurity
  6. UN Cyber OEWG Ends after Five-Year Run – MP-IDSA, accessed May 14, 2026, https://idsa.in/publisher/issuebrief/un-cyber-oewg-ends-after-five-year-run
  7. UN OEWG 2021-2025 Final Report | Digital Watch Observatory, accessed May 14, 2026, https://dig.watch/resource/oewg-report-2021-2025
  8. UN Global Mechanism on Cybersecurity in 2026 – Digital Watch Observatory, accessed May 14, 2026, https://dig.watch/processes/un-gge
  9. Global Mechanism on ICTs in the Context of International Security -Plenary (2026), accessed May 14, 2026, https://meetings.unoda.org/-/global-mechanism-on-icts-in-the-context-of-international-security-plenary-2026
  10. United Nations Global Mechanism Establishment Meeting on Cybersecurity, accessed May 14, 2026, https://www.mofa.go.jp/press/release/pressite_000001_02230.html
  11. Organisational session of the UN Global Mechanism on ICT security, accessed May 14, 2026, https://dig.watch/event/organisational-session-of-the-un-global-mechanism-on-cybersecurity
  12. UN Global Mechanism on cybersecurity dedicated thematic groups (DTGs) 2026, accessed May 14, 2026, https://dig.watch/event/un-global-mechanism-on-cybersecurity-dedicated-thematic-groups-dtgs-2026
  13. Global Cyber Security – At last a “Permanent Mechanism” at the UN, accessed May 14, 2026, https://ict4peace.org/activities/global-cyber-security-at-last-a-permanent-mechanism-at-the-un/
  14. Exploit Brokers and Offensive Cyber Operations, accessed May 14, 2026, https://cyberdefensereview.army.mil/Portals/6/Documents/2022_summer_cdr/03_Dellage_Simpson_Woods_CDR_V7N3_Summer_2022.pdf?ver=hVwVY7HGwhBgl2NVShknEQ%3D%3D
  15. Evolution Cybercrime—Key Trends, Cybersecurity Threats, and Mitigation Strategies from Historical Data – MDPI, accessed May 14, 2026, https://www.mdpi.com/2813-2203/4/3/25
  16. Nearly half of exploited zero-day flaws target enterprise-grade technology, accessed May 14, 2026, https://www.cybersecuritydive.com/news/half-exploited-zero-day-flaws-enterprise-grade-technology/814021/
  17. Market for zero-day exploits – Wikipedia, accessed May 14, 2026, https://en.wikipedia.org/wiki/Market_for_zero-day_exploits
  18. The Invisible Bazaar: Inside the Global Zero-Day Market | by Hammaad Mughal | Medium, accessed May 14, 2026, https://medium.com/@hammaadmughal/the-invisible-bazaar-inside-the-global-zero-day-market-ee327c12633a
  19. Crowdfense – The challenge, accessed May 14, 2026, https://www.crowdfense.com/crowdfense-the-challenge/
  20. Is it legal to sell vulnerabilities to brokers such as Zerodium or Crowdfense? – Reddit, accessed May 14, 2026, https://www.reddit.com/r/ExploitDev/comments/1d0hk2m/is_it_legal_to_sell_vulnerabilities_to_brokers/
  21. PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | CISA, accessed May 14, 2026, https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
  22. Crash (exploit) and burn: Securing the offensive cyber supply chain to counter China in cyberspace – Atlantic Council, accessed May 14, 2026, https://www.atlanticcouncil.org/in-depth-research-reports/report/crash-exploit-and-burn/
  23. ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns – Trend Micro, accessed May 14, 2026, https://www.trendmicro.com/en_us/research/25/c/windows-shortcut-zero-day-exploit.html
  24. Capacity is Critical in Riskier Threat Landscape | Trend Micro (US), accessed May 14, 2026, https://www.trendmicro.com/en_us/research/25/d/threat-landscape-capacity.html
  25. Pall Mall Process Progresses but Leads to More Questions – Dark Reading, accessed May 14, 2026, https://www.darkreading.com/cyberattacks-data-breaches/pall-mall
  26. The Pall Mall Process: tackling the proliferation and irresponsible …, accessed May 14, 2026, https://www.gov.uk/government/publications/the-pall-mall-process-declaration-tackling-proliferation-and-irresponsible-use-of-commercial-cyber-intrusion-capabilities/the-pall-mall-process-tackling-the-proliferation-and-irresponsible-use-of-commercial-cyber-intrusion-capabilities
  27. Building Momentum to Stop Cyber Harm – Stimson Center, accessed May 14, 2026, https://www.stimson.org/2024/pall-mall-process-stop-cyber-harm-intrusion/
  28. Harmonizing Recent Campaigns to Tame the Hacking Marketplace, accessed May 14, 2026, https://carnegieendowment.org/research/2024/06/us-europe-cyber-policy-joint-statement-pall-mall-process
  29. Las transferencias de armas son un ámbito en el que también se deben respetar los derechos humanos – Informe de Naciones Unidas | OHCHR, accessed May 14, 2026, https://www.ohchr.org/es/press-releases/2025/03/arms-transfers-are-not-human-rights-free-zone-un-report
  30. If Compute is the New Oil, War in the Gulf Significantly Raises the Stakes – CSIS, accessed May 14, 2026, https://www.csis.org/analysis/if-compute-new-oil-war-gulf-significantly-raises-stakes
  31. Belfer Center Annual Report: 2025, accessed May 14, 2026, https://www.belfercenter.org/collection/belfer-center-annual-report-2025
  32. Cybersecurity Strategy Scorecard | The Belfer Center for Science and International Affairs, accessed May 14, 2026, https://www.belfercenter.org/research-analysis/cybersecurity-strategy-scorecard
  33. Cybersecurity Strategy Scorecard – Belfer Center, accessed May 14, 2026, https://www.belfercenter.org/sites/default/files/2025-03/Cyber%20Strategy%20Scorecard_3.1.pdf
  34. Global Cybersecurity Index 2024 – ITU, accessed May 14, 2026, https://www.itu.int/en/ITU-D/Cybersecurity/Documents/GCIv5/2401416_1b_Global-Cybersecurity-Index-E.pdf
  35. National Cyber Power Index 2022 | The Belfer Center for Science and International Affairs, accessed May 14, 2026, https://www.belfercenter.org/publication/national-cyber-power-index-2022
  36. National Cyber Power Index 2022 – Belfer Center, accessed May 14, 2026, https://www.belfercenter.org/sites/default/files/pantheon_files/files/publication/CyberProject_National%20Cyber%20Power%20Index%202022_v3_220922.pdf
  37. Cyber capabilities data – Lowy Institute Asia Power Index, accessed May 14, 2026, https://power.lowyinstitute.org/data/military-capability/signature-capabilities/cyber-capabilities/
  38. Nation-State Threats | Cybersecurity and Infrastructure Security Agency CISA, accessed May 14, 2026, https://www.cisa.gov/topics/cyber-threats-and-advisories/nation-state-cyber-actors
  39. Balancing Without Allying: Vietnam’s Middle-Power Strategy Amids U.S. – China Rivalry, accessed May 14, 2026, https://www.belfercenter.org/research-analysis/balancing-without-allying-vietnams-middle-power-strategy-amids-us-china-rivalry
  40. The Global Alignment Index: Tracking Support for U.S., Chinese, and Russian Leadership, accessed May 14, 2026, https://www.csis.org/analysis/global-alignment-index-tracking-support-us-chinese-and-russian-leadership
  41. Middle Powers in a Multipolar World: The Evolving Role of Gulf States in Global and Regional Order, accessed May 14, 2026, https://www.grc.net/single-commentary/317
  42. Cyber Threats to Nuclear Safety: Game Theory Strategies for Enhanced Deterrence – Academic Conferences & Publishing International, accessed May 14, 2026, https://papers.academic-conferences.org/index.php/eccws/article/download/3755/3292/13182
  43. Collateral Damage from Offensive Cyber Operations—A Systematic Literature Review – MDPI, accessed May 14, 2026, https://www.mdpi.com/2624-800X/5/2/35
  44. AI, APT Campaigns, and Urgent Threats to Critical Infrastructure | NJCCIC, accessed May 14, 2026, https://www.cyber.nj.gov/threat-landscape/nation-state-threat-analysis-reports/ai-apt-campaigns-and-urgent-threats-to-critical-infrastructure
  45. The Impact of Artificial Intelligence on Regional Security, Threat Perceptions and the Middle East WMD-Free Zone – UNIDIR, accessed May 14, 2026, https://unidir.org/wp-content/uploads/2025/02/UNIDIR_The_Impact_of_Artificial_Intelligence_on_Regional_Security.pdf
  46. Cyber coercion in the indo-pacific: a comparative analysis of India’s and Australia’s responses – Frontiers, accessed May 14, 2026, https://www.frontiersin.org/journals/political-science/articles/10.3389/fpos.2026.1748496/full
  47. Significant Cyber Incidents | Strategic Technologies Program | CSIS, accessed May 14, 2026, https://www.csis.org/programs/strategic-technologies-program/significant-cyber-incidents
  48. Petróleos de Venezuela denuncia ataque cibernético sin impacto en producción ni en suministro – Xinhua Español, accessed May 14, 2026, https://spanish.news.cn/20251216/f4b48b87bf674e81babc61def623ea17/c.html
  49. APT groups and threat actors – Google Cloud, accessed May 14, 2026, https://cloud.google.com/security/resources/insights/apt-groups
  50. Cybersecurity insights from industry leaders – Digi Americas Alliance, accessed May 14, 2026, https://digiamericas.org/wp-content/uploads/2024/05/InformeCiso_spanish.pdf
  51. NCSI :: Ranking – National Cyber Security Index – e-Governance Academy, accessed May 14, 2026, https://ncsi.ega.ee/ncsi-index/
  52. Panorama del cibercrimen en América Latina y el Caribe – Recorded Future, accessed May 14, 2026, https://www.recordedfuture.com/research/latin-america-and-the-caribbean-cybercrime-landscape-es
  53. Latin America and the Caribbean Cybercrime Landscape – Recorded Future, accessed May 14, 2026, https://www.recordedfuture.com/research/latin-america-and-the-caribbean-cybercrime-landscape
  54. APT-C – Brandefense, accessed May 14, 2026, https://brandefense.io/wp-content/uploads/2026/02/brandefense.io-apt-c-36-latin-americas-persistent-cyber-espionage-force-apt-c-1-1.pdf
  55. Blind Eagle APT-C-36: Tactics and Detection – Darktrace, accessed May 14, 2026, https://www.darktrace.com/blog/patch-and-persist-darktraces-detection-of-blind-eagle-apt-c-36
  56. APT-C-36 – MITRE ATT&CK®, accessed May 14, 2026, https://attack.mitre.org/groups/G0099/
  57. Tracing Blind Eagle to Proton66 – LevelBlue, accessed May 14, 2026, https://www.levelblue.com/blogs/spiderlabs-blog/tracing-blind-eagle-to-proton66/
  58. ¿Ataque cibernético en Venezuela? Posible pero poco probable, dicen expertos – Swissinfo, accessed May 14, 2026, https://www.swissinfo.ch/spa/ataque-cibern%C3%A9tico-en-venezuela-posible-pero-poco-probable-dicen-expertos/44819524
  59. A 4 años del vil ataque contra el Sistema Eléctrico Nacional Venezuela resiste las agresiones de la ultraderecha – MPPEF, accessed May 14, 2026, https://www.mppef.gob.ve/a-4-anos-del-vil-ataque-contra-el-sistema-electrico-nacional-venezuela-resiste-las-agresiones-de-la-ultraderecha/
  60. ¿Fue realmente un ciberataque el responsable del apagón en Venezuela? – El Confidencial, accessed May 14, 2026, https://www.elconfidencial.com/mundo/mondo-cane/2019-03-15/ciberataque-venezuela-apagon-posible-expertos_1882254/
  61. CyberAtaque al GURI en 2019: ¿Qué pasó y qué enseñanzas dejó para la seguridad digital en Venezuela?, accessed May 14, 2026, https://ccarabobolibre.wordpress.com/2025/04/28/cyberataque-al-guri-del-2019/
  62. Ciberataques contra Venezuela: sus alcances y dimensiones técnicas – Misión Verdad, accessed May 14, 2026, https://misionverdad.com/venezuela/ciberataques-contra-venezuela-sus-alcances-y-dimensiones-tecnicas
  63. PDVSA denuncia ataque cibernético a sus sistemas – Conglomerado Productivo S.A., accessed May 14, 2026, https://www.cpsa.gob.ve/pdvsa-denuncia-ataque-cibernetico-a-sus-sistemas/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share This