Filtraciones de datos en Marquis y Navia: Ransomware y riesgo de terceros

El panorama de la ciberseguridad en 2026 está marcado por una escalada sin precedentes en la sofisticación y el impacto de los ataques. Las filtraciones de datos se han convertido en una amenaza omnipresente, no solo para las grandes corporaciones, sino para cualquier entidad que opere en el entorno digital. Los recientes incidentes que afectaron a firmas como Marquis y Navia son un recordatorio sombrío de esta realidad, subrayando la virulencia del ransomware y la crítica vulnerabilidad que representan los terceros en la cadena de suministro digital.

Las Filtraciones de Datos: Un Panorama Alarmante en 2026

La digitalización global, si bien impulsa la innovación y la eficiencia, también ha expandido exponencialmente la superficie de ataque para los ciberdelincuentes. En 2025, el mundo fue testigo de un aumento del 47% en los ataques reportados públicamente en comparación con el año anterior, evidenciando una tendencia preocupante. El costo promedio de una filtración de datos a nivel global alcanzó los 4.44 millones de dólares en 2025, aunque en América Latina esta cifra ronda los 3.81 millones de dólares por incidente.

La región latinoamericana, en particular, se ha convertido en un objetivo primordial, registrando un aumento sostenido tanto en el volumen como en la sofisticación de los ciberataques. De hecho, América Latina exhibe el crecimiento global más rápido en incidentes cibernéticos revelados, con un incremento anual promedio de aproximadamente el 25% durante la última década, y un alarmante aumento del 108% solo en el primer trimestre de 2025. Las organizaciones en esta región enfrentan un promedio de 2,640 ciberataques por semana, una cifra un 35% superior al promedio global. Esta realidad se agrava por un déficit estimado de 329,000 profesionales de ciberseguridad, lo que coloca a la región en un “período de incubación de riesgos”.

Los Casos Marquis y Navia: Reflejos de una Crisis Sistémica

Los incidentes de Marquis y Navia son ejemplos paradigmáticos de cómo las filtraciones de datos de terceros pueden desencadenar una cascada de consecuencias devastadoras. Ambos casos ilustran la compleja interconexión del ecosistema digital y la creciente dependencia de los servicios externos.

Marquis Software Solutions: El Ataque a la Cadena de Suministro Fintech

Marquis Software Solutions, una firma de tecnología financiera con sede en Texas que provee servicios de marketing, análisis y cumplimiento a más de 700 bancos y cooperativas de crédito, reveló una sofisticada filtración de datos en marzo de 2026. El incidente, que tuvo lugar en agosto de 2025, fue resultado de un ataque de ransomware, con el sindicato Akira como principal sospechoso. Los atacantes lograron sustraer información personal y financiera altamente sensible de aproximadamente 672,075 individuos, aunque algunas estimaciones elevan la cifra hasta 1.6 millones.

Los datos comprometidos son una "lista de verificación para el robo de identidad" e incluían:

• Nombres completos
• Fechas de nacimiento
• Direcciones postales
• Números de Seguro Social (SSN)
• Números de Identificación Fiscal (TIN)
• Números de cuentas bancarias
• Números de tarjetas de débito y crédito

La raíz de la intrusión fue particularmente alarmante. Si bien el ataque de ransomware explotó una vulnerabilidad en el firewall SonicWall de Marquis, la mecánica del incidente apunta a una vulnerabilidad severa en la cadena de suministro. Los actores de la amenaza no violaron los sistemas explotando una vulnerabilidad de firewall sin parchear directamente, sino utilizando información sensible obtenida de archivos de respaldo de configuración del firewall. Estos archivos críticos fueron presuntamente robados meses antes, durante una intrusión separada y no autorizada en el portal de clientes en línea “MySonicWall” de SonicWall en febrero de 2025. Las configuraciones de respaldo robadas contenían planos detallados del entorno de seguridad de Marquis, incluyendo credenciales expuestas y códigos de seguridad de autenticación multifactor (MFA) sin cifrar. Este incidente culminó en una demanda de Marquis contra SonicWall, destacando la compleja cadena de responsabilidad en los ataques a la cadena de suministro.

Navia Benefit Solutions: Datos Sensibles a Gran Escala

Otro golpe significativo fue el sufrido por Navia Benefit Solutions, un proveedor de software y servicios para diversas cuentas de beneficios, que reveló una filtración de datos que afectó a casi 2.7 millones de individuos. Los atacantes tuvieron acceso a la red de Navia entre el 22 de diciembre de 2025 y el 15 de enero de 2026, siendo el incidente identificado el 23 de enero de 2026. La divulgación pública de la brecha se realizó en marzo de 2026.

La información exfiltrada en este ataque incluyó:

• Nombres completos
• Fechas de nacimiento
• Números de Seguro Social (SSN)
• Números de teléfono
• Direcciones de correo electrónico
• Información de inscripción en beneficios y, potencialmente, información del plan de salud.

El incidente en Navia fue atribuido a una vulnerabilidad de “Broken Object Level Authorization (BOLA)” en sus sistemas, un tipo de falla que permite a usuarios no autorizados ver información a la que no deberían tener acceso. Como administrador de beneficios para más de 10,000 empleadores en EE. UU., la brecha de Navia tuvo un efecto dominó, afectando a los empleados y dependientes de sus clientes, incluyendo a compañías como HackerOne.

Ransomware: La Evolución de la Extorsión Digital

Los ataques de ransomware han trascendido la simple encriptación de datos para convertirse en operaciones de extorsión multifacéticas. El “ransomware como servicio” (RaaS) ha tomado un papel central, permitiendo que incluso grupos con menos habilidades técnicas lancen ataques con una eficiencia empresarial.

Tácticas Modernas del Ransomware

Las tendencias para 2026 revelan una evolución constante en las estrategias de los ciberdelincuentes:

• Extorsión Múltiple: Más allá de cifrar los datos, los atacantes ahora roban y exfiltran información sensible, amenazando con publicarla si no se paga el rescate, lo que se conoce como doble o incluso multi-extorsión.
• Ataques a la Cadena de Suministro y MSPs: Los grupos de ransomware priorizan los ataques “uno a muchos”, enfocándose en proveedores de servicios gestionados (MSPs) y cadenas de suministro de software para comprometer a miles de víctimas secundarias con un solo golpe.
• "Living Off the Land" (LOTL): Los atacantes utilizan herramientas y funcionalidades legítimas del sistema de la víctima para moverse lateralmente y pasar desapercibidos.
• Consolidación de Grupos: Estamos viendo la formación de "carteles" de ransomware, donde grupos importantes forman alianzas estratégicas para compartir datos, recursos y apalancamiento en la negociación.
• Brokers de Acceso Inicial (IABs): Han surgido ciberdelincuentes especializados en obtener acceso inicial a las redes, para luego venderlo a grupos de ransomware en foros clandestinos, lo que hace los ataques más eficientes.

Inteligencia Artificial: Una Herramienta de Doble Filo

La inteligencia artificial (IA) está supercargando las técnicas de phishing y la ingeniería social. Los atacantes la utilizan para crear mensajes de phishing más convincentes, clonación de voz de deepfake y grabaciones de video para el fraude. Sin embargo, la IA también se perfila como un pilar fundamental en la defensa, aunque su adopción no regulada puede ser un factor en las filtraciones.

Vectores de Ataque Comunes

Aunque las tácticas evolucionan, los puntos de entrada siguen siendo críticos. En 2025, los vectores de ataque más comunes para el ransomware incluyeron:

• El phishing, responsable del 52% de los ataques a MSPs.
• Credenciales comprometidas, siendo la causa del 23% de los incidentes.
• Vulnerabilidades no parcheadas, especialmente en VPNs y herramientas de administración remota.
• Los intentos de reclutamiento de información privilegiada (insiders) están aumentando, a menudo dirigidos a empleados para obtener acceso a la red corporativa.

El Riesgo de Terceros y la Exposición Sistémica: El Talón de Aquiles Digital

La creciente interdependencia digital ha convertido el riesgo de terceros en uno de los desafíos de seguridad más importantes. Las organizaciones confían cada vez más en una compleja red de proveedores, contratistas y socios, creando un ecosistema donde una vulnerabilidad en un eslabón puede comprometer a toda la cadena.

El “radio de explosión” de una brecha de terceros alcanzó un umbral récord en 2025: por cada proveedor comprometido, un promedio de 5.28 empresas descendentes fueron públicamente afectadas. Esto demuestra que la cadena de suministro moderna ya no se rompe en su eslabón más débil, sino en el más conectado. Los ataques a la cadena de suministro de software, como el incidente de SolarWinds, han demostrado cómo los adversarios pueden inyectar código malicioso en actualizaciones de software legítimas y distribuirlo a miles de clientes.

La gestión del riesgo de terceros se ve obstaculizada por:

• Puntos Ciegos: Muchas organizaciones admiten que sus programas internos de ciberseguridad cubren menos del 50% de su ecosistema total de proveedores.
• Falta de Monitoreo Continuo: La confianza excesiva en auditorías estáticas y evaluaciones puntuales deja a las empresas expuestas a riesgos que evolucionan rápidamente.
• Postura de Seguridad Deficiente de Proveedores "Elite": Un análisis de los 50 principales proveedores utilizados por las empresas de Forbes Global 2000 reveló que el 70% tiene exploits conocidos sin parchear (KEVs) y el 62% tiene credenciales corporativas circulando en registros de robo.

El problema no radica solo en la existencia de estos riesgos, sino en su visibilidad, comprensión y gestión activa. La confianza entre las organizaciones y sus proveedores de ciberseguridad es baja, con solo el 5% de las organizaciones teniendo plena confianza en sus proveedores en 2026.

El Control Plane de la Economía Digital: El Nuevo Campo de Batalla

Los atacantes están dirigiendo su atención de las defensas perimetrales tradicionales a los “control planes” de la economía digital, especialmente en entornos de nube. El control plane es el centro de control digital que orquesta la comunicación entre los elementos de la red y gestiona la toma de decisiones relacionadas con el enrutamiento, las configuraciones, la asignación de recursos y la aplicación de políticas. En la nube, es la columna vertebral que supervisa y coordina la infraestructura, incluyendo el aprovisionamiento y la gestión de máquinas virtuales, almacenamiento y redes.

La seguridad del control plane es de suma importancia porque una vez que un atacante obtiene acceso, tiene un control casi completo sobre la infraestructura de la nube. Las vulnerabilidades más comunes incluyen:

• Malas Configuraciones: Son la vulnerabilidad número uno, a menudo llevando a privilegios excesivamente permisivos en las cuentas.
• Deriva de Identidad y Permisos: El crecimiento masivo de identidades, especialmente las no humanas (como cuentas de servicio en pipelines automatizadas), supera la capacidad de los procesos de gobernanza manuales y periódicos.

El control plane es donde residen la identidad y los permisos, se aplican las políticas, se recopila la evidencia de auditoría y se permite (o bloquea) la automatización. En 2026, marca la diferencia entre las organizaciones que pueden escalar de forma segura la nube, la seguridad y la IA, y aquellas que solo pueden pilotarlas.

El Contexto Latinoamericano: Un Caldo de Cultivo para Ciberataques

Como se mencionó anteriormente, América Latina enfrenta un escenario de riesgo cibernético en rápida intensificación. Los ciberdelincuentes están aprovechando la transformación digital de la región y las persistentes debilidades en la seguridad de la nube. En 2025, se registraron más de 450 eventos de filtraciones relacionados con ransomware en América Latina, un aumento de más del 78% en comparación con 2024. Brasil fue el país más afectado, con más de 200 brokers de acceso inicial dirigiéndose a organizaciones en la región.

La proliferación de credenciales robadas es otro factor alarmante. Se han recuperado más de mil millones de credenciales pertenecientes a individuos y organizaciones latinoamericanas de fugas de datos y registros de malware en el mercado negro. Canales de Telegram en español se han convertido en prósperos mercados para este tipo de información robada.

En cuanto al marco legal, la protección de datos personales en América Latina es heterogénea. Sin embargo, muchos países están adoptando leyes que se inspiran en el modelo del GDPR de la Unión Europea. Brasil, con su Ley General de Protección de Datos (LGPD), es un ejemplo clave. Otros países como Argentina, México, El Salvador, Perú y Guatemala están desarrollando o reforzando sus normativas, introduciendo requisitos más estrictos de notificación de brechas, responsabilidad corporativa y sanciones. Por ejemplo, México propone la introducción de sanciones económicas y penales para los controladores de datos que no notifiquen a la autoridad sobre las filtraciones de datos personales.

Mitigando el Riesgo: Estrategias de Defensa en la Era Digital

Ante este panorama desafiante, las organizaciones deben adoptar una postura de ciberseguridad proactiva y holística. La inversión en ciberseguridad ya no es un centro de costos, sino una inversión estratégica fundamental.

Las estrategias de mitigación deben incluir:

1. Fortalecimiento de la Gestión de Riesgos de Terceros (TPRM): Es crucial ir más allá de las evaluaciones puntuales y adoptar un monitoreo continuo e impulsado por la inteligencia de los entornos de los proveedores. Esto implica mapear y gestionar la compleja red de exposiciones de terceros, evaluando la criticidad del riesgo más allá de los umbrales de gasto.
2. Seguridad del "Control Plane" y Gestión de Identidades: El enfoque debe pasar de las defensas perimetrales a la seguridad de la identidad, los permisos y los flujos de trabajo de automatización en el corazón de la gestión de la nube. Implementar controles de acceso robustos, principios de mínimo privilegio y auditorías continuas de configuraciones son esenciales.
3. Conciencia y Capacitación de Empleados: Dada la sofisticación de la ingeniería social y el aumento de las amenazas internas, la capacitación regular y exhaustiva de los empleados sobre las mejores prácticas de seguridad es vital.
4. Respuesta a Incidentes y Planes de Continuidad: Las organizaciones deben tener planes de respuesta a incidentes bien definidos y probados, incluyendo la colaboración con los equipos de respuesta a incidentes de los proveedores críticos.
5. Inversión en Tecnologías de Ciberseguridad Avanzadas: El uso de IA para la defensa, el monitoreo continuo de la superficie de ataque y las pruebas de penetración son herramientas indispensables.
6. Adopción de Marcos Regulatorios y Mejores Prácticas: Cumplir con las leyes de protección de datos como la LGPD y otras regulaciones emergentes en América Latina no solo es una obligación legal, sino una base para construir una postura de seguridad sólida.

En un mundo hiperconectado, la ciberseguridad ya no es una opción, sino un imperativo. Las filtraciones de datos de Marquis y Navia son un recordatorio contundente de que la resiliencia digital reside en una estrategia de seguridad integral que aborde no solo las amenazas directas, sino también las vulnerabilidades sistémicas introducidas por la compleja red de terceros que sustentan la economía digital moderna. La colaboración, la visibilidad continua y una postura proactiva son las claves para navegar este paisaje de amenazas en constante evolución.