RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia
  • ALCA
  • 25 de febrero, 2026
  • Ciberseguridad

RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia

El RSAC 2026 se realizó en San Francisco a fines de febrero y dejó una conversación de fondo más interesante que cualquiera de los anuncios de producto: la industria, finalmente, está aceptando que la prevención total no existe. El énfasis ya no está en levantar muros más altos sino en diseñar resiliencia: la capacidad de seguir operando, contener daño y recuperarse rápido cuando, no si, ocurra el incidente.

Para CISOs y áreas de TI de empresas mexicanas medianas, este giro tiene implicaciones operativas, presupuestarias y culturales que conviene entender antes de cerrar el plan 2026.

El mensaje central del evento

Si hubiera que resumir RSAC 2026 en una frase: "prevention is necessary; resilience is decisive". Las keynotes principales coincidieron en tres puntos:

  1. La superficie de ataque sigue creciendo más rápido que la capacidad de defenderla por completo.
  2. Los atacantes (especialmente operadores de ransomware) se profesionalizaron al punto de operar como empresas con SLA y soporte 24/7.
  3. Las organizaciones que mejor responden son las que invirtieron en capacidad de detección, respuesta y recuperación, no solo en bloqueo.

Threat intel colectiva como nueva norma

Uno de los temas dominantes en paneles fue la inteligencia de amenazas compartida entre organizaciones. La idea: ningún SOC interno tiene visibilidad suficiente para pelear solo contra grupos de amenaza que coordinan ataques globalmente.

Las propuestas concretas que se discutieron:

  • Plataformas sectoriales donde bancos comparten IoCs entre sí, igual industria automotriz, igual healthcare.
  • Estándares abiertos (STIX/TAXII madurando) para que los feeds sean intercambiables entre proveedores.
  • Threat hunting como servicio compartido entre empresas medianas que no pueden costear equipo interno completo.

Para México, donde sectores como banca, telco y gobierno enfrentan amenazas similares, este modelo va a ser más viable que el modelo "cada empresa por su cuenta".

SOC con IA agentic: triage automatizado

Otro tema dominante: los agentes IA aplicados a operaciones de seguridad. Vendors mostraron capacidades concretas:

  • Triage automático de alertas de SIEM, reduciendo el ruido a investigaciones priorizadas.
  • Enriquecimiento contextual de eventos cruzando múltiples fuentes (EDR, identidad, red, cloud).
  • Generación de hipótesis de hunting y validación parcial automática.
  • Resumen ejecutivo de incidentes en lenguaje natural para reportes a dirección.

Lo importante: estos agentes no reemplazan analistas, los multiplican. Un equipo de 4 analistas con buen agente puede manejar lo que antes requería 8-10. Para empresas mexicanas medianas que sufren para contratar talento de seguridad, es una tendencia que vale evaluar seriamente este año.

Estado del ransomware en Q1 2026

Los datos compartidos durante RSAC pintan un cuadro duro pero útil:

  • Qilin sigue siendo el grupo líder de ransomware con 361 víctimas confirmadas en el trimestre. Su modelo: doble extorsión, infraestructura RaaS sofisticada, presión mediática agresiva.
  • The Gentlemen subió rápido a la segunda posición con 182 víctimas. Es un grupo relativamente nuevo con tácticas que recuerdan a los antiguos REvil.
  • Estados Unidos concentra el 64.7% de las víctimas, lo que no significa que México esté libre: México y Brasil siguen siendo los mercados más activos en LATAM.
  • Los rescates promedio se mantienen en rangos de cientos de miles a varios millones de USD, dependiendo del tamaño de víctima.

El patrón común: el acceso inicial se obtiene por phishing dirigido, credenciales filtradas en infostealers, vulnerabilidades en VPN/edge devices sin parchear. Es decir, las puertas de entrada no son novedosas; el problema es la velocidad de explotación una vez dentro.

Lo que esto significa para empresas mexicanas medianas

Si gestionas seguridad en una empresa entre 200 y 5,000 empleados en México, RSAC 2026 te deja una agenda concreta:

1. Tabletop exercises trimestrales

Dejar de tratar el plan de respuesta a incidentes como documento. Ensayarlo cada trimestre con escenarios realistas (ransomware, BEC, fuga de datos, downtime de proveedor crítico). Sin ensayos, el plan no funciona en el evento real.

2. Runbooks operativos, no solo políticas

Cada escenario probable debe tener un runbook ejecutable: pasos concretos, responsables, comandos, contactos. Cuando suena la alarma a las 3 AM, nadie va a leer una política de 40 páginas; va a ejecutar un runbook claro o a improvisar.

3. Backups inmutables y probados

Es 2026 y todavía vemos empresas con backups que el atacante también encripta. Las recomendaciones operativas:

  • Backups con WORM (write-once, read-many) o equivalentes inmutables.
  • Aislamiento de red entre producción y backup.
  • Pruebas de restauración mensuales, no anuales. Un backup que no se restauró nunca es un backup que no existe.
  • Retención escalonada: diaria, semanal, mensual, anual.

4. IR plan ensayado con asesores externos

Tener identificados de antemano: firma de respuesta a incidentes, asesor legal en privacidad, comunicación de crisis, contacto en autoridades (Policía Cibernética, CERT-MX). Cuando ocurre el incidente no es momento de buscar contratos.

5. Higiene de identidad y endpoint

Lo aburrido sigue siendo lo más efectivo:

  • MFA obligatorio en todo, especialmente VPN, correo y administración.
  • Patching disciplinado, especialmente edge devices.
  • EDR moderno con visibilidad real, no solo antivirus heredado.
  • Privilegios mínimos, revisión trimestral de accesos.

6. Threat intel dentro del alcance

Suscripción a un buen feed de threat intel sectorial, integrado al SIEM/SOAR. No tienes que pagar el más caro; tienes que usarlo.

La parte cultural que casi nadie discute

El cambio de prevención a resiliencia exige una conversación honesta con la dirección: aceptar que el incidente puede pasar y, por lo tanto, invertir en capacidad de respuesta, no solo en candados. Esto choca con la cultura mexicana corporativa donde "todo está bajo control" es la respuesta esperada.

En ALCA recomendamos a CISOs presentar al consejo el problema en estos términos: "¿qué nivel de tiempo de recuperación y qué nivel de pérdida de datos podemos tolerar?". Cuando el negocio responde con números, el presupuesto de resiliencia se justifica solo.

Lo que recomendamos hacer este Q1

Tres movimientos concretos antes de cerrar marzo:

  1. Tabletop exercise con escenario de ransomware Qilin-like. Mide tiempos reales de detección, contención y recuperación.
  2. Auditoría de backups: ¿son inmutables? ¿se pueden restaurar? ¿en cuánto tiempo? ¿quién prueba?
  3. Revisión de IR plan: ¿existe? ¿está actualizado? ¿lo conocen los responsables? ¿hay contratos preasignados con asesores externos?

La resiliencia no se compra; se diseña, se ensaya y se mantiene. Y en 2026, deja de ser opcional.

¿Tu empresa tiene un IR plan ensayado y backups inmutables? Te ayudamos a validarlo. En ALCA acompañamos a equipos de seguridad mexicanos a aterrizar resiliencia operativa. Agenda una sesión.

Artículos relacionados

Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

2 de mayo, 2026 Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

1 de abril, 2026 Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

DEF CON 33: hallazgos clave que aplican a tu infraestructura este año

13 de agosto, 2025 DEF CON 33: hallazgos clave que aplican a tu infraestructura este año