Las redes más sensibles —desde las telecomunicaciones hasta los servicios de emergencia— encaran un cambio de fase en ciberamenazas. Un nuevo estudio de Nokia sitúa el listón más alto: casi 2 de cada 3 operadoras han sufrido en los últimos 12 meses al menos un ataque de “living off the land” —intrusiones que abusan de herramientas legítimas del propio sistema para camuflarse— y un 32 % admite cuatro o más incidentes de este tipo. En paralelo, los DDoS a escala de terabits se producen cinco veces más que antes y con picos más altos, impulsados por millones de dispositivos IoT inseguros y botnets que se ocultan tras proxies residenciales. Para agravar el panorama, el 37 % de los DDoS termina en menos de dos minutos, lo que obliga a detecciones y respuestas automatizadas.

El documento, divulgado desde Espoo (Finlandia), dibuja una estampa en la que el 4 % de las conexiones domésticas del mundo estaría comprometido, sirviendo —con o sin conocimiento de sus propietarios— como plataforma de ataque. Frente a este aumento de volumen y sofisticación, más del 70 % de los responsables de seguridad en telecom prioriza ya analítica de amenazas basada en IA/ML, y más de la mitad planea despliegues de IA para detección en los próximos 18 meses.

Kal De, vicepresidente sénior de Producto e Ingeniería en Cloud and Network Services (Nokia):
“La conectividad alimenta desde la seguridad pública y las transacciones financieras hasta la identidad digital. Hemos visto ataques llegar a sistemas de interceptación legal, filtraciones de datos sensibles de abonados y disrupciones de servicios de emergencia. El sector debe contraatacar con inteligencia de amenazas compartida, detección y respuesta impulsadas por IA y crypto-agility, convirtiendo la interconexión en resiliencia, no en vulnerabilidad.”

Intrusiones “silenciosas” y DDoS relámpago: por qué la ventana de reacción se encoge

Los ataques living off the land (LotL) se caracterizan por evitar malware visible y tirar de herramientas y binarios del sistema —PowerShell, WMI, utilidades de red— para moverse lateralmente, extraer datos o preparar sabotajes. Para los blue teams, rastrear lo anómalo en medio de lo legítimo eleva el listón forense y exige telemetría de alta granularidad, modelos de comportamiento y correlación en tiempo real.

En el frente DDoS, la elasticidad de la cloud y el acceso masivo a tráfico barato vía proxies residenciales permiten ataques con picos superiores a 10 Tbps y duraciones cortas (“golpe y fuga”) que tratan de saturar enlaces o infraestructuras de borde antes de que los mecanismos clásicos —scrubbing centers, listas negras, rate-limits— entren en calor.

Jeff Smith, vicepresidente y director general de Nokia Deepfield:
“Con herramientas de ataque industrializadas, millones de extremos IoT inseguros y botnets que tiran de proxies residenciales, los operadores deben actuar ya para proteger activos y clientes de DDoS masivos, complejos y muy variables en el rango de 10+ terabits. La seguridad no puede ser un afterthought: la protección DDoS debe estar embebida en la propia red para garantizar la continuidad de funciones críticas.”

Criptografía bajo presión: hacia la “crypto-agility”

El estudio también destaca el aumento de las demandas criptográficas —más tráfico cifrado, mayor uso de TLS 1.3, perfect forward secrecy y preparativos para un futuro poscuántico—. La crypto-agility que invoca Nokia supone poder rotar algoritmos, claves y suites con rapidez cuando surgen vulnerabilidades o cambian los requisitos normativos, sin tumbar servicios ni reconfigurar a mano cada nodo. En redes de operador, este reto no es teórico: dispositivos legados, múltiples dominios administrativos y servicios críticos 24/7 limitan las ventanas de mantenimiento y multiplican las dependencias.

IA, pero con datos: del buzzword a la ingeniería de detección

Que más del 70 % de los líderes de seguridad en telco prioricen IA/ML refleja un consenso: con volumen, velocidad y variedad de eventos creciendo, la inspección manual y las reglas estáticas no escalan. Aun así, pasar del prototipo al valor requiere:

• Datasets etiquetados y actualizados (inteligencia de amenazas compartida entre operadores y vendors).
• Modelos explicables y auditables, especialmente en entornos regulados y de infraestructura crítica.
• Integración con automatización (closed-loop) para orquestar mitigaciones en segundos —por ejemplo, blackholing selectivo, desviación a scrubbing, ajuste de coeficientes de enrutamiento, activación de filtros BGP FlowSpec—.
• Observabilidad unificada (profundidad de flow telemetry, DPI selectivo, métricas de QoS) para distinguir ruido de impacto real sobre servicios (emergencias, banca, identidad digital).

La cifra del 37 % de ataques DDoS que culminan en menos de dos minutos es el indicador operativo más contundente: las defensas deben ser proactivas y pre-posicionadas. En otras palabras, el tiempo de pensar ya pasó; hay que detectar, decidir y actuar en segundos.

IoT doméstico y conexiones “zombi”: el 4 % que alimenta a las botnets

Que alrededor del 4 % de las conexiones fijas de hogar estén comprometidas sugiere un caldo de cultivo persistente: routers con firmware desactualizado, cámaras y electrodomésticos inteligentes con contraseñas por defecto, y una cadena de suministro que aún no impone configuraciones seguras por diseño. Para los operadores, este vector reclama:

• Campañas de clean-up (notificación y aislamiento temporal de clientes infectados).
• Políticas de rate limiting y filtros en bordes residenciales ante patrones de ataque.
• Actualizaciones y hardening over-the-air en CPE gestionados.
• Etiquetado y normativas que empujen a fabricantes a mínimos de ciberseguridad en IoT.

De la interconexión como riesgo a la interconexión como resiliencia

El mensaje central de Nokia —en palabras de Kal De— es convertir la interconexión en músculo defensivo: intercambio de inteligencia en tiempo real, detección impulsada por IA con modelos entrenados en telemetría multioperador, y capacidad criptográfica flexible. No es un camino trivial: requiere estándares, confianza entre rivales comerciales y mecanismos de gobernanza para compartir indicadores sin comprometer privacidad ni competencia. Pero es, en términos de superficie de ataque, el único con opciones de escala.

Qué deberían hacer hoy operadores y proveedores

1. Rediseñar DDoS “en la red”: scrubbing distribuido, FlowSpec, blackholing quirúrgico, orquestación automática y playbooks ensayados.
2. Telemetría rica + modelos vivos: flow logs en profundidad, señalización BGP, sFlow/NetFlow/IPFIX; modelos re-entrenados con IOCs y ground truth compartido.
3. Crypto-agility operativa: inventario de algoritmos, rotation plans, ensayos de cambio de suites, preparación para post-quantum.
4. Higiene IoT: segmentación por defecto, bloqueo de contraseñas débiles, actualizaciones forzadas en CPE, campañas de notificación a clientes.
5. Ensayos de dos minutos: game-days centrados en ataques relámpago; objetivos de detección-mitigación sub-60 segundos.

---

Citas destacadas

• Kal De (Nokia): “La industria debe combatir con inteligencia compartida, detección y respuesta dirigidas por IA y crypto-agility, transformando la interconexión de debilidad a resiliencia.”
• Jeff Smith (Nokia Deepfield): “Los propietarios de red deben actuar ya: DDoS de 10+ Tbps y botnets con proxies residenciales exigen protección embebida en la red.”

---

Contexto de compañía

Nokia subraya su enfoque B2B: redes móviles, fijas y cloud; propiedad intelectual y la investigación de Nokia Bell Labs, que celebra 100 años. Con arquitecturas abiertas y de alto rendimiento, la empresa pone el acento en seguridad, fiabilidad y sostenibilidad para monetizar casos de uso a escala.

---

Conclusión

El informe de Nokia confirma lo que muchos equipos de ciberdefensa perciben a diario: más ataques, más grandes y más rápidos. Con LotL que se esconden a plena vista y DDoS que golpean en terabits y en minutos, las redes críticas deben moverse de la reacción manual a la automatización inteligente, y de la seguridad como producto a la seguridad como propiedad de la red. La “crypto-agility” completa el triángulo: detectar, responder y cifrar al ritmo del adversario.

---

Preguntas frecuentes (FAQ)

¿Qué es un ataque “living off the land” (LotL) y por qué preocupa a las telco?
Es una intrusión que abusa de herramientas legítimas del sistema (sin malware llamativo), lo que dificulta la detección y eleva el listón forense. En operadores, donde hay miles de sistemas y permisos, el camuflaje es especialmente eficaz.

¿Por qué aumentan los DDoS de 10+ Tbps y duran tan poco?
La elasticidad en cloud, los proxies residenciales y millones de IoT inseguros facilitan ataques masivos y breves (“golpe relámpago”) que buscan saturar antes de que se activen defensas tradicionales.

¿Qué significa “crypto-agility” para una red crítica?
Capacidad de rotar algoritmos, claves y suites criptográficas —incluso hacia opciones poscuánticas— sin interrumpir servicios, respondiendo rápido a vulnerabilidades o cambios regulatorios.

¿Cómo puede prepararse un operador para DDoS que acaban en 2 minutos?
Con detección y mitigación automatizadas (closed-loop) pre-posicionadas: scrubbing distribuido, FlowSpec, blackholing selectivo, telemetría rica y objetivos de actuación sub-60 s. Ensayar game-days específicos ayuda a reducir el tiempo real de respuesta.

vía: nokia