Urge evaluar el riesgo cibernético de la infraestructura tecnológica que soporta el Mundial
Germán Patiño – Vicepresidente Senior para Latinoamérica de Lumu Technologies.
¿Cuántas organizaciones, sistemas y proveedores hacen posible que un hincha viva una experiencia memorable durante un Mundial?
Cuando millones de personas compran su entrada para un partido del Mundial, reservan vuelos o realizan apuestas en línea lo que perciben es una transacción simple; sin embargo, lo que ocurre detrás es una cadena de dependencias tecnológicas que conecta procesadores de pagos, plataformas de ticketing, sistemas antifraude, pasarelas de autenticación y redes de distribución global, cada una operada por un proveedor distinto, con sus propias credenciales, sus propios accesos y sus propia superficie de ataque.
Un evento de esta escala activa simultáneamente decenas de cadenas de suministro tecnológico que operan de forma interdependiente durante semanas.
Las plataformas de apuestas conectan con proveedores de verificación de identidad y sistemas de gestión de riesgo. Los sistemas de logística y acreditación para estadios integran soluciones de terceros para control de acceso, reconocimiento biométrico y coordinación en tiempo real.
Las reservas de vuelos y hospedaje agregan otra capa de integraciones con pasarelas de pago, sistemas de fidelización y operadores regionales.
Cada nodo de esa red es un punto de entrada potencial para los ciberdelincuentes y la realidad es que no todos los actores de dicho ecosistema tienen la misma madurez en ciberseguridad.
El patrón de ataque más eficiente en este contexto no pasa por vulnerar directamente a los actores principales o más visibles.
Los atacantes apuntan a los eslabones intermedios, el proveedor mediano que gestiona la autenticación de revendedores autorizados, el integrador que conecta las plataformas de pago con los sistemas de los estadios, la empresa de logística con acceso a los sistemas de acreditación.
En todos estos casos, las credenciales comprometidas de un tercero otorgan permisos heredados dentro del ecosistema, permitiendo evadir controles tradicionales explotando relaciones de confianza sin necesidad de explotar ninguna vulnerabilidad técnica.
Este mecanismo ya tiene un nombre operativo en el ecosistema de amenazas, conocidos como Initial Access Brokers (IABs), intermediarios que se especializan en infiltrar proveedores para luego subastar esos accesos a grupos de ransomware o actores con motivaciones de espionaje.
Estos se han popularizado, principalmente porque el perímetro tradicional ha desaparecido y, en su lugar, existe una red distribuida de credenciales de acceso identidades que abarca empleados, proveedores e integraciones externas con estrategias de seguridad que aún tienen puntos ciegos
No sería la primera vez que esto sucede. Recientemente, el ataque a Axios no explotó una falla de código sino la identidad de sus operarios, comprometiendo mediante ingeniería social una de las librerías más utilizadas del ecosistema JavaScript.
El incidente de ZYGHT en Chile mostró cómo el compromiso de accesos en un proveedor tecnológico puede escalar hacia entornos industriales críticos.
Además, la brecha de Emergia en el sector financiero latinoamericano fue más directa aún: utilizando credenciales administrativas válidas, los atacantes accedieron a operaciones en tiempo real de múltiples entidades sin vulnerar directamente ninguna de ellas.
La lógica es consistente en todos los casos: comprometer un proveedor equivale a heredar su posición dentro de cada aliado de negocio con el que interactúa.
Sólo en el primer semestre de 2025 se exfiltraron más de 1,800 millones de credenciales a nivel global, un incremento de 800% frente al semestre anterior.
Ese volumen refleja la consolidación de una economía de acceso ilícito y compromiso de cadenas de suministro que tiene en los grandes eventos globales uno de sus momentos de mayor rentabilidad.
La concentración temporal de transacciones, la presión operativa sobre los equipos de seguridad y la incorporación acelerada de proveedores nuevos crean las condiciones perfectas para que un compromiso localizado escale antes de que alguien lo detecte.
Frente a esa dinámica, los modelos de auditoría periódica son insuficientes por diseño. Una evaluación periódica no captura la exposición que genera la incorporación de un nuevo integrador días o semanas antes del torneo, ni detecta que las credenciales de un proveedor de logística aparecieron en un foro de acceso ilícito 48 horas antes del partido inaugural.
El riesgo de la cadena de suministro se reconfigura con cada nuevo contrato, cada acceso otorgado y cada credencial que circula fuera del entorno controlado.
El nuevo perímetro exige reemplazar la confianza estática por medición continua de compromisos (Continuous Compromise Assessment). Un ataque puede escalar desde un dispositivo comprometido hasta la administración total del cloud en cuestión de minutos.
Hay que ser conscientes de que lo que está en juego no es únicamente la seguridad de una organización, sino la integridad de todo su ecosistema digital y la única manera de hacer frente a este fenómeno es entender que hoy más que nunca se requiere una visibilidad total en tiempo real de compromisos en las redes que conectan a las cadenas de suministro.
