Cuando el ransomware por fin cifra tus archivos, el atacante ya llevaba días —a veces semanas— dentro de tu red. La tecnología de engaño existe para cazarlo justo en ese silencio, antes de que detone. Aquí te explicamos qué es, cómo funciona y por qué se ha vuelto la primera línea que le faltaba a la mayoría de las empresas en México, con datos verificados de Sophos, Mandiant, Kaspersky y Fortinet.
La tecnología de engaño (en inglés, deception) despliega activos falsos —servidores, bases de datos, credenciales y dispositivos señuelo— dentro de la red de una empresa. Como ningún usuario o sistema legítimo debería tocar un activo falso, cualquier interacción con él delata a un intruso con muy pocos falsos positivos. Es una capa de detección temprana: caza al atacante durante su reconocimiento, antes de que cifre o robe información. No reemplaza al antivirus ni al respaldo; cubre el hueco que ambos dejan.
El problema: el atacante ya está adentro
El ransomware moderno no cifra en el instante en que entra. Primero hace reconocimiento, escala privilegios, se mueve lateralmente y busca lo más valioso —incluidos tus respaldos—. Ese periodo en el que ya está dentro pero aún no ha sido visto se llama dwell time, y es precisamente la ventana de oportunidad para detenerlo.
Los números pintan un panorama incómodo. Según el reporte M-Trends 2026 de Mandiant (Google), que se basa en más de 450,000 horas de respuesta a incidentes, la mediana global de dwell time subió a 14 días en 2025 —dos años consecutivos de deterioro tras más de una década de mejora—. Cuando la propia organización detecta la intrusión, la mediana baja a unos 9 días; pero cuando el aviso llega de un tercero, sube a unos 25. Y del lado de la recuperación, IBM calcula en su Cost of a Data Breach 2025 que el ciclo de vida promedio de una brecha ronda los 241 días entre identificarla y contenerla.
El contraste es brutal: mientras las defensas trabajan en “tiempo de calendario”, los atacantes trabajan en horas. Sophos ha observado que, una vez dentro, un atacante tarda una mediana de apenas ~11 horas en lanzar su primer intento contra el directorio activo. La conclusión es clara: hay una ventana para detectarlos, pero solo si tienes algo puesto específicamente para verlos moverse. La mayoría de las defensas tradicionales bloquean la entrada o recuperan tras el desastre, y muy poco vigila ese punto intermedio.
México y Latinoamérica: por qué esto es urgente aquí
El riesgo no es abstracto ni importado. Según el Panorama de Amenazas para América Latina 2025 de Kaspersky, la región registró más de 1.1 millón de intentos de ransomware entre agosto de 2024 y junio de 2025 —cerca de 3,000 al día, unos dos por minuto—. Brasil encabezó la lista y México fue el segundo país más afectado, con alrededor de 237 mil registros.
Y lo más relevante para las empresas mexicanas: según el reporte de FortiGuard Labs (Fortinet) correspondiente a 2025, los sectores más atacados en México fueron, en este orden, manufactura, servicios financieros y comercio. No es casualidad que sean también los sectores con más propiedad intelectual, más regulación y mayor costo por hora de paro. Fortinet describe el fenómeno como un “sistema industrial”: los grupos criminales primero mapean servicios expuestos y hacen reconocimiento —se contabilizaron cientos de miles de millones de eventos de reconocimiento a escala global— antes de robar datos o desplegar ransomware. Ese reconocimiento previo es, otra vez, la fase donde el engaño los atrapa.
¿Qué es la tecnología de engaño (deception)?
La tecnología de engaño es una estrategia de ciberseguridad que consiste en sembrar señuelos por toda la red: recursos que parecen sistemas reales y atractivos para un atacante, pero que no tienen ninguna función legítima. Cuando el intruso los explora o intenta usarlos, se delata. No es una idea nueva ni marginal: el marco MITRE Engage —desarrollado por MITRE, la misma organización detrás de ATT&CK— formaliza el engaño y la negación del adversario como disciplinas de defensa, y NIST reconoce el engaño entre sus técnicas de ciberresiliencia.
Los señuelos vienen en varias formas:
- Honeypots: sistemas falsos completos —un servidor, una base de datos, un dispositivo— que imitan activos reales para atraer y observar al atacante.
- Honeytokens: credenciales, archivos o registros falsos que actúan como “trampas”. Si alguien intenta usar una credencial señuelo, sabes que hay un intruso.
- Dispositivos y servicios señuelo: desde bases de datos y comparticiones de archivos falsas hasta equipos industriales (PLC, HMI) o dispositivos médicos simulados, según el entorno.
La gran ventaja frente a otras tecnologías de detección es la fidelidad de la señal. Un antivirus o un sistema de detección de intrusiones puede generar cientos de alertas al día, muchas falsas. Con el engaño ocurre lo contrario: como nadie legítimo tiene motivo para tocar un activo falso, cada alerta es casi con certeza una intrusión real. Menos ruido, menos fatiga de alertas, más certeza.
¿Cómo funciona en la práctica?
Una implementación de engaño moderna suele apoyarse en un sensor que se conecta a la red principal —donde viven los servidores— y también a la red inalámbrica. Desde ahí proyecta los señuelos por el entorno, de forma que se vean indistinguibles de los sistemas reales. El flujo es sencillo:
- Se despliegan los señuelos en la red de servidores y en la WiFi.
- El atacante, durante su reconocimiento o movimiento lateral, tarde o temprano toca uno.
- Esa interacción genera una alerta de alta fidelidad, casi sin falsos positivos.
- Un equipo humano (propio o del proveedor) analiza la alerta, confirma el incidente y avisa con la evidencia.
Un detalle que muchas soluciones descuidan: la red WiFi. La mayoría vigila el centro de datos y deja la inalámbrica ciega, cuando es uno de los vectores de entrada más comunes. Cubrir ambos frentes —incluida la detección de puntos de acceso no autorizados (rogue APs)— cierra un hueco importante. De hecho, el análisis de mercado ubica a la deception de red como el segmento líder precisamente porque es muy eficaz para detectar reconocimiento y movimiento lateral dentro del entorno.
Engaño vs. antivirus, EDR y respaldo: no compite, completa
Es fácil confundir la tecnología de engaño con “otra herramienta de seguridad más”. En realidad ocupa un lugar propio en tu arquitectura:
- El antivirus y el EDR intentan bloquear la amenaza en el endpoint. Son la puerta.
- El respaldo inmutable te permite recuperar después de un incidente. Es la red de seguridad.
- La tecnología de engaño cubre lo que queda en medio: detecta al atacante que ya burló la puerta y se mueve por dentro, antes de que llegue a la red de seguridad.
Ese “en medio” es justo donde las empresas más sufren. El reporte de Sophos correspondiente a 2025 encontró que, si bien casi todas las organizaciones que sufrieron cifrado (97%) lograron recuperar sus datos, la recuperación a partir de respaldos cayó a su nivel más bajo en seis años. Y no es coincidencia: Mandiant advierte en M-Trends 2026 que los atacantes están apuntando con mayor precisión a la infraestructura de respaldo y de virtualización, y Veeam ha reportado de forma consistente que la gran mayoría de los ataques de ransomware intentan comprometer los respaldos de la víctima. La lección es incómoda: apostar todo a “si me pasa, restauro” es frágil. Detectar antes es lo que evita tener que restaurar.
Por qué “antes que otro respaldo”: el costo real
El respaldo sigue siendo indispensable —es tu última línea—, pero es reactivo: entra en acción cuando el daño ya ocurrió. La detección temprana es preventiva: acorta el dwell time para que la detonación nunca suceda. Y los números explican por qué esa diferencia importa tanto:
En manufactura, además, los ataques de solo extorsión —robo de datos sin cifrado— se triplicaron hasta el 10% de los incidentes, señal del alto valor de la propiedad intelectual industrial. En todos los casos, el patrón se repite: cuanto más tiempo pasa el atacante sin ser visto, más caro sale. Reducir ese tiempo es la palanca de mayor impacto, y es exactamente lo que hace el engaño.
Un mercado que valida la estrategia
La adopción de deception dejó de ser experimental. Distintas firmas de análisis coinciden en un mercado global de entre US$2.4 y 2.6 mil millones en 2024, con proyecciones que lo llevan a US$4.6 a 5.9 mil millones para 2030 (crecimiento anual de ~12–14%), según Grand View Research, DataM Intelligence y Strategic Market Research. Dos hallazgos son especialmente relevantes: manufactura y el sector financiero (BFSI) encabezan la adopción por industria —los mismos sectores más atacados en México—, y los servicios gestionados son el segmento de más rápido crecimiento, impulsados por la escasez de talento en ciberseguridad. En otras palabras: cada vez más empresas prefieren que un tercero opere el engaño por ellas, en lugar de montar y mantener la plataforma internamente.
La tecnología de engaño por sector
El valor del engaño es que se adapta a lo que el atacante viene a robar en cada industria:
- Manufactura: los PLC y HMI de planta no aceptan agentes de seguridad, pero sí se pueden desplegar copias falsas que atrapan al intruso que salta de TI a OT.
- Servicios de salud: dispositivos médicos que no se parchean y expedientes clínicos regulados; los señuelos detectan al atacante antes de que la operación clínica se detenga.
- Servicios financieros: bases de datos de clientes y sistemas de pago señuelo, más credenciales trampa, que reducen el dwell time relevante para auditorías y ciberseguro.
- Universidades: en redes abiertas donde no se puede controlar cada equipo, el engaño brilla protegiendo la propiedad intelectual de investigación.
- Farmacéuticas: fórmulas y datos de ensayos clínicos como blanco de espionaje, sumados a manufactura regulada (GxP); los señuelos de I+D y de planta dan aviso temprano.
Deception-as-a-Service: cómo se ve cuando lo entregas como servicio
Históricamente, la tecnología de engaño exigía plataformas complejas y equipos de seguridad maduros para operarla —una barrera para el mercado medio—. El modelo Deception-as-a-Service resuelve eso: el proveedor despliega y opera los señuelos, y monitorea las alertas 24/7. La empresa recibe incidentes de alta fidelidad, no alertas sin filtrar, y no necesita montar su propio SOC.
Es precisamente el enfoque de SensorGurú, el servicio de detección temprana por engaño de RealNet: un sensor que se instala típicamente en un día, cobertura de la red de servidores y de la WiFi, agnóstico de fabricante (se integra con lo que ya tienes), con datos y soporte en México. La detección funciona 24/7; y cuando se confirma un intruso, la contención y respuesta se activa como un servicio adicional que se contrata en el momento en que decides actuar sobre el incidente.
¿Quieres ver detección real en tu propia red?
Instala el sensor, deja que atrape una amenaza real y luego decides. Piloto de 30 días, desplegado en un día, sin tocar tu operación.
Preguntas frecuentes
Sí. Los señuelos son activos aislados que no forman parte de la operación real: no almacenan datos productivos ni alteran tus sistemas. Su única función es atraer y detectar actividad maliciosa, sin interrumpir el tráfico legítimo.
No necesariamente. Un enfoque basado en sensor y señuelos proyectados en la red no requiere cobertura endpoint por endpoint, lo que reduce mucho la fricción de despliegue frente a otras soluciones.
Según Mandiant (M-Trends 2026), la mediana global de dwell time fue de 14 días en 2025. Baja a ~9 días cuando la organización lo detecta internamente y sube a ~25 días cuando el aviso proviene de un tercero. El engaño existe para acortar drásticamente ese número.
Aporta más valor en empresas medianas y grandes —del orden de 150 a 5,000 equipos de cómputo— con activos que un atacante querría robar y con equipos de seguridad reducidos que se benefician del modelo gestionado.
El engaño detecta y alerta con alta fidelidad. La contención (aislar, expulsar, remediar) es una etapa posterior: en un modelo gestionado suele ofrecerse como servicio de respuesta que se activa una vez detectado el incidente.
Fuentes
- Sophos, The State of Ransomware 2025 — encuesta independiente a 3,400 líderes de TI/ciberseguridad en 17 países. sophos.com
- Sophos, The State of Ransomware in Manufacturing and Production 2025.
- Mandiant (Google Cloud), M-Trends 2026 — más de 450,000 horas de respuesta a incidentes. cloud.google.com
- IBM, Cost of a Data Breach 2025.
- Kaspersky, Panorama de Amenazas para América Latina 2025. kaspersky.com
- Fortinet, FortiGuard Labs, Global Threat Landscape Report 2026 (datos 2025).
- Veeam, Ransomware Trends / Data Protection Report.
- MITRE Engage — marco de engaño y negación del adversario. engage.mitre.org
- Grand View Research; DataM Intelligence; Strategic Market Research — estimaciones del mercado global de deception technology (2024–2030).
Sobre RealNet. Consultoría en redes y telecomunicaciones desde 1993, con práctica de seguridad de la información desde 1997 y experiencia atendiendo casos de ransomware en empresas mexicanas desde 2008. SensorGurú forma parte de su familia de servicios gestionados “Gurú”. Este artículo tiene fines informativos; las cifras corresponden a los reportes citados en la fecha de su publicación.








