El concepto «recopilar ahora — descifrar después» (HNDL) designa una táctica en la que los atacantes acumulan datos cifrados, credenciales y el contexto en torno a un objetivo.
Planean utilizarlos en un ataque diferido, a menudo más dirigido. No se trata de un ataque inmediato para lucro rápido, sino de la acumulación deliberada de material para un ataque futuro, a menudo con la expectativa de vulnerabilidades futuras o la aparición de computadoras cuánticas capaces de romper el cifrado actual.
Este enfoque combina acciones de bajo riesgo y de baja visibilidad con una perspectiva a largo plazo: cuanto más exhaustiva la preparación, mayor la probabilidad de explotar con éxito vulnerabilidades en el futuro.
Qué recopilan exactamente los atacantes
En la primera etapa los delincuentes se concentran en información que pronto puede convertirse en una herramienta de compromiso. En primer lugar, se trata del tráfico cifrado y grandes volúmenes de datos que no se pueden descifrar ahora, pero que es posible conservar para el futuro.
A esto se añaden credenciales (a menudo provenientes de bases filtradas y archivos públicos), sesiones y tokens, metadatos de la infraestructura, configuraciones de servicios, listas de empleados con roles y contactos, información sobre proveedores. Todo ello se convierte en un mapa de vulnerabilidades que puede ser explotado en un futuro lejano.
Principales técnicas de recopilación
Los ataques HNDL comienzan con la inteligencia habitual (OSINT), pero van más allá. Scripts automatizados escanean interfaces públicas y capturan grandes flujos de datos. Plataformas de crowdsourcing y mercados en la dark web se revisan en busca de coincidencias de usuarios y contraseñas.
Las campañas de phishing colocan «trampas» incluso sin una ejecución maliciosa inmediata —para comprobar la respuesta y confirmar direcciones de correo válidas. Las herramientas pueden incluir analizadores de redes sociales, rastreadores de repositorios de código y bots para verificar sesiones guardadas.
A menudo se emplean módulos maliciosos «dormidos»: troyanos que se instalan ahora pero se activan por comando meses después; o tokens de acceso que se guardan y se usan para acceder en periodos de baja vigilancia. De forma similar, los atacantes recopilan información sobre los procesos de actualización y copia de seguridad.
Por qué se pospone el ataque: ventajas para los atacantes
La explotación diferida ofrece a los atacantes cibernéticos numerosas ventajas tácticas.
Primero, reduce el riesgo de detección: las operaciones pequeñas de recopilación de datos parecen ruido de fondo normal o tráfico legítimo y pasan más fácilmente desapercibidas para los sistemas de monitoreo (SIEM/SOAR).
En segundo lugar, la información acumulada aumenta la precisión del ataque final. El atacante podrá elegir el momento en que la defensa esté más debilitada (por ejemplo, durante las fiestas), o aplicar una ingeniería social compleja basada en el contexto recopilado.
En tercer lugar, los ataques diferidos permiten eludir cambios frecuentes de contraseñas y de administración: las rutas de acceso alternativas acumuladas o los proveedores comprometidos siguen siendo canales fiables para la intrusión.
Riesgos y escenarios reales de ataques HNDL
Las consecuencias de la estrategia «recopilar ahora — descifrar después» dependen de la escala de la preparación. Para una organización comercial, puede significar el compromiso de las cuentas de la dirección, el robo de propiedad intelectual (IP) o el despliegue de ransomware en momentos de máxima carga.
Para entidades gubernamentales, la fuga de documentos sensibles, la exposición de operaciones o la compromisión de infraestructura crítica. Los ejemplos incluyen la instalación oculta de puertas traseras en actualizaciones de software de proveedores o la acumulación de tokens de acceso a cuentas en la nube utilizados para la exfiltración masiva de datos.
Cómo detectar y neutralizar la recopilación de datos
Protegerse contra esta estrategia solo es posible de forma integral. La medida más importante es el registro centralizado y la rotación estricta de claves de cifrado y tokens, de modo que las credenciales antiguas y los datos interceptados pierdan rápidamente su valor.
La autenticación multifactor (MFA) y el control de acceso basado en el principio de mínimos privilegios (PoLP) reducen la probabilidad de una intrusión exitosa cuando se usan credenciales robadas. Los sistemas de supervisión deben tener en cuenta anomalías en el comportamiento a largo plazo: intentos frecuentes de autenticación fallidos, conexiones externas inesperadas a servicios internos o la aparición de nuevas cuentas con privilegios inusuales.
- Realizar auditorías periódicas de las integraciones con proveedores y comprobaciones de la cadena de suministro.
- Analizar señales de componentes maliciosos «dormidos» y realizar pruebas para detectar comandos diferidos.
- Desplegar soluciones EDR/NDR con capacidades de correlación temporal de eventos.
Prevención y medidas organizativas
Las contramedidas técnicas son eficaces junto con prácticas organizativas. Se recomiendan programas periódicos de formación del personal para reconocer mensajes de phishing dirigidos (concienciación en seguridad) y ejercicios de simulación de incidentes.
También es importante contar con planes de respuesta preparados (plan de respuesta a incidentes): escenarios de aislamiento de zonas comprometidas, instrucciones para la rápida rotación de claves y acciones para replicar una infraestructura limpia.
Conclusión
La táctica «recopilar ahora — descifrar después» (HNDL) demuestra que las ciberamenazas cada vez más se desarrollan como una estrategia a largo plazo, y no como un ataque puntual. Los atacantes apuestan a que los datos cifrados de hoy podrán descifrarse mañana.
El enfoque exige de la defensa no solo un arsenal técnico, sino también pensamiento sistémico: monitorización de cambios a lo largo del tiempo, gestión del ciclo de vida de los accesos y preparación para escenarios de explotación diferida. Cuanto antes una organización empiece a considerar incluso los eventos poco visibles como posible preparación de un ataque, mayor será la probabilidad de retomar la iniciativa y bloquear a los atacantes en la fase de recopilación.
