Las computadoras y los celulares se han convertido en una extensión más del cuerpo. Allí, además de almacenar recuerdos y comunicarse con amigos; las personas manejan dinero, información privada y alimentan algoritmos con sus patrones de comportamiento.
Todos estos datos pueden ser de mucho valor para ciberdelincuentes, quienes serán capaces de usarlo en contra del usuario para acceder a sus dispositivos. La Asociación del Internet MX afirma que tres de cada cuatro mexicanos temen sufrir un ciberataque que les coste dinero o el robo de su propia identidad.
Aún así, existen muchas herramientas al alcance del usuario que lo ayudarán a evitar ataques ransomware. Descubre cómo prevenir esta clase de ataques tanto a nivel personal como en los bordes de tu empresa.
Índice de temas
Estado actual de la ciberseguridad en México
México ocupa el sexto lugar a nivel mundial en ataques de ransomware, afirma presidente de la Comisión de Derechos Digitales del Senado, Luis Donaldo Colosio Riojas, en un comunicado del tercer trimestre de 2024.
A nivel regional, la Coordinación de Comunicación Social del Senado de México dice que, en este último período de 2024, hubo un promedio de 3.124 ataques ransomware en el país.

El ransomware puede atacar cualquier tipo de archivos. Desde documentos personales hasta aquellos que resultan críticos para las operaciones de una organización.
Los atacantes son capaces de obtener un rédito económico a través del ataque a lugares con una baja infraestructura de seguridad digital, como puede ser un hospital, una red energética o incluso departamentos estatales u oficinas privadas.
¿Qué es el ransomware y cómo funciona?
El ransomware es un tipo de malware que bloquea el acceso a un sistema determinado y exige un pago para liberarlo. Este virus emplea técnicas de cifrado en archivos del sistema, impidiendo el acceso a los mismos hasta que se cumpla con el rescate.

El objetivo principal del ransomware es económico, y se manifiesta en tres modalidades: ciberrobo, extorsión y sabotaje de instalaciones civiles o militares. Según el Departamento de Defensa de los Estados Unidos, este ataque funciona especialmente bien contra entidades con grandes recursos.
Los usuarios individuales se ven menos afectados, ya que es improbable que tengan el dinero suficiente como para pagar un rescate (o que el costo de atacarlo sea mayor al rédito que se pueda obtener) o que posean datos lo suficientemente valiosos como para que los atacantes obtengan un beneficio tangible.
Historia y primeros casos de ataques ransomware
Al hablar de ransomware, es importante reconocer que esta palabra engloba distintas tácticas, técnicas y procedimienos que fueron evolucionando a lo largo del tiempo. Es por esto que se debe analizar los disintos tipos de ransomware que fueron sucediendo en el tiempo.
Ransomware, como término, apareció por primera vez en el siglo XX. La organización Ransomware.org define al troyano AIDS como la primera instancia de ransomware en la historia; precisamente en 1989.
Este troyano fue creado por Joseph L. Popp, biólogo que propagó el virus en una reunión mundial de la OMS sobre VIH/Sida mediante disquetes infectados y exigió un rescate de US$ 189.
Nombre del Ransomware | Año de aparición | Descripción |
AIDS Trojan / PC Cyborg | 1989 | Distribuido en disquetes en una conferencia sobre el SIDA. Encriptaba nombres de archivos y pedía $189 por desbloqueo. |
GPCoder | 2004 | Encriptaba archivos y dejaba un mensaje con instrucciones de pago ($200) en cada directorio. |
Archiveus | 2006 | Cifraba el directorio ‘Mis documentos’. Para desencriptar, se debían realizar compras en sitios específicos. |
Locker (FBI MoneyPak) | 2009 | Bloqueaba el dispositivo sin cifrar archivos. Usaba mensajes falsos del FBI y pedía pagos vía gift cards o MoneyPak. |
CryptoLocker | 2013 | Primer ransomware en pedir pago en Bitcoin. Causó pérdidas millonarias antes de ser desmantelado en 2014. |
CryptoWall | 2014 | Explotó una vulnerabilidad de Java. Causó al menos $18 millones en pérdidas. |
Locky | 2016 | Se propagaba por phishing. Fue uno de los más extendidos. Otros del mismo año: Cerber, TeslaCrypt, SamSam, Jigsaw, Petya. |
WannaCry | 2017 | Infectó más de 200,000 equipos en 150 países. Se atribuye a Corea del Norte. |
NotPetya | 2017 | Destruyó datos en Ucrania. Se atribuye a Rusia. Causó más de $10 mil millones en daños. |
STOP/DJVU | 2017 | Más de 300 variantes. Afecta principalmente a usuarios individuales. Exige entre $500 y $1,200. |
GandCrab | 2018 | Pionero en ofrecer RaaS completo. Ganó $150 millones antes de transformarse en REvil. |
LockBit | 2019 | RaaS con gran automatización. Usado en ataques a grandes organizaciones como Yaskawa y United Mortgage Corp. |
MAZE | 2019 | Introdujo la extorsión doble (encriptar + robar datos). Inspiró modelos de triple y cuádruple extorsión. |
Conti | 2020 | Ransomware tipo RaaS. Atacó al sistema de salud de Irlanda y grandes empresas. |
DarkSide | 2021 | Ataque a Colonial Pipeline. Paralizó el oleoducto y generó una crisis de suministro de combustible. |
Desde entonces, el ransomware no han hecho otra cosa más que evolucionar, llegando a alcanzar también a los dispositivos móviles. Por este motivo es tan importante identificarlos.
Tipos de Ransomware
Las características del ransomware varían según el tipo, ya sea bloqueador de datos o bloqueador de dispositivos.
- Ransomware bloqueador de computadora: Impide el acceso al equipo pero no afecta los archivos
- Ransomware bloqueador de datos: También conocido como cripto ransomware, cifra archivos sensibles para bloquear su acceso
Una publicación del repositorio de la Universidad Autónoma del Estado de Hidalgo asegura que el ransomware fue el responsable de la mitad de los ataques en México en los últimos años, teniendo consecuencias “catastróficas” en las victimas.
Cuál es el ransomware más común en México
Como menciona la publicación de la universidad, el ransomware con más ataques en el último año en México es LockBit. Es un software malicioso que está diseñado para bloquear el acceso a los sistemas informáticos y exigir un rescate en criptomonedas para recuperar el acceso.

Lockbit es un ciberataque auto pilotado, donde los atacantes amenazan a las empresas con interrumpir sus operaciones y las extorsionan para tener un beneficio financiero. Finalmente, roban sus datos y los hacen públicos como imposición si el pago por el rescate no es efectuado.
Cómo se propaga
La propagación del ransomware se puede clasificar en dos modalidades principales, cada una representando distintos riesgos de infección en redes y sistemas. Comprender estas vías es clave para implementar una protección efectiva contra ransomware en entornos corporativos y personales.
Errores humanos
La mayoría de los ataques de ransomware comienzan con errores humanos, como abrir correos electrónicos con archivos adjuntos o enlaces sospechosos. Estas acciones, a menudo motivadas por ingenuidad o falta de capacitación en ciberseguridad, abren la puerta a posibles infecciones de ransomware.
Los correos de phishing son una de las tácticas más utilizadas por los atacantes, pues engañan a los usuarios para activar enlaces maliciosos o descargar archivos infectados.
Además, los dispositivos extraíbles de procedencia dudosa, como unidades USB, representan otro riesgo, ya que pueden contener malware oculto listo para propagarse al sistema una vez conectado.
Propagación sin intervención del usuario: No todos los ataques dependen de la acción directa del usuario. La publicidad maliciosa, o malvertising, y las descargas automáticas también son fuentes de infección de ransomware.
En estos casos, simplemente al visitar un sitio web comprometido, el ransomware puede descargarse en el dispositivo sin intervención directa.
Software pirateado
El uso de software pirateado es otra fuente importante de infecciones por ransomware. Al descargar versiones no oficiales de programas, los usuarios se exponen a software que frecuentemente viene cargado con adware y otros tipos de malware.
Además, este tipo de software no recibe actualizaciones de seguridad oficiales, lo que incrementa la vulnerabilidad del sistema a ataques de ransomware y otros malware ransomware.
Usar software sin licencia también aumenta la exposición a amenazas de ransomware, ya que no se dispone de soporte ni parches de seguridad regulares, lo que convierte a estos sistemas en blancos fáciles para los atacantes.
¿Cómo detectar el ransomware? Primeras señales de infección
La detección de ransomware en entornos corporativos es crucial para mitigar su impacto.
Las entidades que se dedican a evaluar los ataques de ransomware desarrollan guías y recomendaciones para detectar la presencia de infecciones en los sistemas informáticos, tanto en las organizaciones como en el ámbito individual.
Recomendaciones para usuarios en lo individual contra el ransomware
Para los usuarios en lo individual, tales recomendaciones incluyen:
- Verificar la aparición de cualquier nota o texto que solicite un pago por rescate.
- Revisar el rendimiento del equipo. Si ha disminuido considerablemente puede deberse al proceso de cifrado de archivos que consume muchos recursos y satura el o los discos duros.
- Incremento inusual en el uso del disco duro, que responde también al proceso de cifrado de archivos y su modificación.
- Alertas de seguridad del software antivirus que indiquen posible ransomware en el equipo.
- Tareas programadas no previstas.
- Análisis forense.

Recomendaciones para detectar ransomware en una organización
Detectar un ataque de ransomware en una organización es esencial para mitigar daños y proteger la información crítica. Existen varias medidas que fortalecen la seguridad de la red corporativa y ayudan a identificar amenazas tempranamente:
- Monitoreo constante del tráfico de red: Es fundamental analizar tanto el tráfico de salida como el de entrada. Este monitoreo permite identificar patrones sospechosos que pueden indicar la presencia de ransomware o intentos de ataque.
- Revisión de registros de puntos de entrada: Es importante revisar detalladamente los registros de seguridad en puntos vulnerables, como el firewall perimetral y los sistemas de correo electrónico. Estas son puertas de entrada comunes para los ciberataques, incluyendo el ransomware.
- Protección contra el phishing: El phishing es una de las tácticas de ingeniería social más utilizadas para acceder a redes corporativas. Los correos electrónicos falsos son empleados para engañar a los usuarios y activar enlaces o archivos maliciosos. Sensibilizar a los empleados y aplicar filtros de seguridad en el correo reduce significativamente este riesgo.
En México, un 97% de las organizaciones han experimentado ataques de este tipo durante 2023, convirtiéndose así en uno de los países más preocupantes en materia de ciberseguridad a nivel mundial; afirma el Informe Cyberthreat Defense (CDR) de 2024.
Cómo prevenir ataques de ransomware
Para entender cómo evitar el ransomware, es esencial adoptar medidas preventivas como mantener actualizado todo el software de la organización, realizar copias de seguridad de datos sensibles regularmente y educar al personal sobre tácticas de phishing y otros tipos de ataques de ingeniería social que suelen utilizar los cibercriminales para distribuir ransomware.
La protección contra el ransomware requiere de un bloqueador de malware, copias de seguridad regulares y evitar enlaces sospechosos. Las organizaciones deben contar con un plan de recuperación y medidas de ciberseguridad.
Según Tenable, las empresas mexicanas solo previenen el 57 % de los ataques, dejando un 43 % con necesidades de remediación. Esta vulnerabilidad se agrava, teniendo en cuenta el estado actual de la ciberseguridad en México. Recordemos que, según Luis Donaldo Colosio, “México fue el sexto país más afectado en el mundo por ataques por el llamado secuestro de datos” en 2024.
Aunque no hay datos específicos de México, un estudio global de Illumio indica que el porcentaje de empresas que cerraron definitivamente tras un ataque de ransomware aumentó de 45 % en 2021 a 58 % en 2024.
Mejores prácticas y tecnologías emergentes
Para protegerse contra el ransomware y mejorar la recuperación de datos, es esencial estar al tanto de las últimas mejores prácticas, tecnologías emergentes y colaboraciones internacionales.
Inteligencia artificial y ransomware
Siendo cada vez más importante, la Inteligencia Artificial y el Machine Learning se convierten en herramientas fundamentales para detectar patrones anómalos y responder a amenazas en tiempo real.
Estos sistemas de IA analizan grandes volúmenes de datos que permiten identificar comportamientos sospechosos y activar respuestas automáticas.
Zero trust: no confíes en nadie
Luego se encuentra el modelo de seguridad Zero Trust (Confianza Cero) que se ha consolidado como una de las estrategias más efectivas para combatir el ransomware y otras ciberamenazas modernas.
Su principio fundamental es que “nunca se debe confiar, siempre se debe verificar”, lo que significa que, independientemente de la ubicación de los usuarios o dispositivos (ya sea dentro o fuera de la red corporativa), se requiere autenticación y autorización para acceder a cualquier recurso.
Además, Zero Trust implementa una segmentación de red estricta, controla el acceso a datos sensibles y aplica políticas de mínima privilegiada, lo que dificulta el cifrado masivo de información y la exfiltración de datos.
Seguridad en la nube para prevenir ataques
La aplicación y el desarrollo de la seguridad en la nube es otras de las buenas prácticas que deben tener en cuenta las empresas. Esta es crucial para proteger los datos y aplicaciones que las organizaciones almacenan y gestionan en entornos virtualizados.
A medida que más empresas migran a la nube, las amenazas de ransomware y otras ciberamenazas se vuelven más complejas debido a la naturaleza compartida y distribuida de estos servicios.
Las medidas de seguridad en la nube incluyen cifrado de datos, autenticación multifactor, gestión de identidades y acceso, así como auditorías constantes para detectar actividades sospechosas.
Implementar políticas de seguridad específicas para la nube, como el control de acceso basado en roles (RBAC), ayuda a garantizar que solo los usuarios autorizados tengan acceso a recursos críticos.
Nuevas variantes de ransomware
La evolución del ransomware ha generado múltiples variantes sofisticadas, cada una con métodos específicos para maximizar el impacto y las probabilidades de éxito de los ataques. A continuación, se describen algunas de las más recientes y peligrosas:
Scareware
El scareware y ransomware comparten ciertas tácticas de manipulación psicológica, aunque se diferencian en su enfoque. El scareware simula ser un software de seguridad falso que muestra alertas ficticias de infección. Este tipo de ransomware presiona psicológicamente a la víctima para que compre una ‘licencia’ para eliminar supuestos virus.
Una vez adquirida, la aplicación actúa como malware, descargando virus adicionales o bloqueando el sistema. El scareware juega con el miedo de la víctima, incentivando una respuesta rápida y, en última instancia, entregando control al atacante
Leakware o Doxware
Conocido como ransomware de extorsión de datos, el leakware amenaza con hacer pública la información privada de la víctima si no se paga el rescate. Es común que los atacantes se enfoquen en individuos o empresas con datos sensibles, tales como documentos financieros o registros médicos.
La amenaza de publicar esta información añade una presión única y aumenta la probabilidad de que la víctima pague rápidamente.
Ransomware como Servicio (RaaS)
El modelo de Ransomware como Servicio permite a ciberdelincuentes alquilar herramientas de ransomware listas para usar a cambio de un porcentaje de las ganancias obtenidas en rescates.
Disponible en la dark web, RaaS hace posible que personas sin experiencia técnica puedan lanzar ataques efectivos. Esto ha incrementado la incidencia de ransomware en el mundo, ya que los atacantes pueden implementar técnicas sofisticadas sin conocimientos avanzados.
Ransomware de Doble Extorsión
La variante de doble extorsión combina el cifrado de los datos con la exfiltración de información. Si la víctima no paga, los atacantes amenazan con vender o liberar los datos robados públicamente.
Este tipo de ataque afecta tanto la privacidad como la operatividad de las empresas, sumando un doble riesgo: la pérdida de datos críticos y el impacto en la reputación por la filtración de información. El uso de ransomware y doble extorsión ha ganado fuerza como una táctica adicional para maximizar las ganancias de los cibercriminales.
Cripto-Ransomware
El cripto-ransomware cifra los archivos de forma avanzada y es una de las variantes más difíciles de contrarrestar. Este tipo de ransomware emplea algoritmos robustos de cifrado para bloquear el acceso a los datos, y suele afectar tanto a sistemas personales como empresariales.
A diferencia de otras variantes, los usuarios enfrentan un desafío adicional debido a la complejidad de recuperar los datos sin la clave de descifrado.
Estas variantes reflejan una sofisticación creciente en las tácticas de ransomware, lo que exige que las empresas implementen medidas avanzadas de ciberseguridad para detectar y prevenir ataques antes de que afecten sus operaciones y reputación.
LockBit 2.0 es el principal grupo criminal de ransomware que actúa en México.
Las bandas criminales de ransomware
Este tipo de organizaciones delictivas, a menudo altamente estructuradas y bien financiadas, son responsables de algunos de los ciberataques más devastadores en todo el mundo.
En 2024, México fue el sexto país más afectado en el mundo por ataques por el llamado secuestro de datos.
En 2024, un número de grupos de ransomware se destacan por su actividad y la cantidad de víctimas que han dejado a su paso. Cada uno tiene su propio enfoque y modus operandi, pero todos comparten la misma táctica básica: cifrar los datos de las víctimas y exigir un rescate para liberarlos.
Además de LockBit 2.0, uno de los grupos de ransomware más notorios y activos, en 2024 otras bandas han ascendido en notoriedad debido a su creciente impacto. Bandas como Play y Akira han dado un golpe fuerte, mientras que 8base y Medusa se han posicionado rápidamente en la escena.
A continuación, exploraremos las características y actividades de los grupos de ransomware más prolíficos de este año.
LockBit 3.0 (Flighty Scorpius)
LockBit 3.0, conocido también como Flighty Scorpius, sigue siendo la banda de ransomware más activa en 2024. Este grupo, que comenzó a operar en 2019, ha sido particularmente eficaz al atacar grandes organizaciones y compañías de renombre.
En la primera mitad de 2024, LockBit 3.0 registró 325 víctimas en su sitio de fugas, lo que lo coloca en la primera posición de los grupos de ransomware más prolíficos del año. Este número es impresionante si se considera que en todo 2023 el grupo alcanzó 928 víctimas.
La banda es conocida por su rápida propagación y su modus operandi eficiente, que incluye la venta de “herramientas de Ransomware-as-a-Service” a otros ciberdelincuentes.
Play (Fiddling Scorpius)
Play, también conocido como Fiddling Scorpius, ha demostrado ser un competidor fuerte en el ámbito del ransomware en 2024. A pesar de que comenzó relativamente tarde en comparación con otras bandas, Play ha ganado notoriedad rápidamente.
En la primera mitad de 2024, según un reporte de Unit 42, el grupo de investigadores de ciberamenazas de Palo Alto Networks, el grupo registró 155 víctimas, lo que representó un aumento significativo respecto a las 267 víctimas del año anterior.
Este grupo es conocido por sus ataques altamente dirigidos, enfocándose en sectores específicos como el tecnológico, el financiero y el de la salud. Además, Play ha perfeccionado su técnica de evasión, lo que les permite eludir las defensas de las empresas y acelerar el proceso de cifrado.
8base (Squalid Scorpius)
8base, o Squalid Scorpius, es un grupo relativamente nuevo en el mundo del ransomware, pero ha demostrado ser una fuerza a tener en cuenta. Se cree que 8base es una nueva faceta de Phobos, un grupo que operaba anteriormente bajo otro alias.
En 2024, 8base se posicionó como el tercer grupo de ransomware más activo, con 119 víctimas registradas en la primera mitad del año. Este grupo ha ganado terreno rápidamente debido a su capacidad para adaptarse a nuevas técnicas de ataque y por sus colaboraciones con otros grupos cibercriminales.
Aunque aún no alcanza la notoriedad de bandas como LockBit o Play, 8base se está consolidando como un actor relevante en el cibercrimen, especialmente en el ámbito de pequeñas y medianas empresas que suelen ser menos protegidas.
Akira (Howling Scorpius)
Akira, apodado el “próximo gran éxito en el ransomware”, es una banda emergente que ha ganado terreno en 2024. Con 119 víctimas en la primera mitad del año, esta banda se ubicó en el cuarto lugar de los grupos más prolíficos.
Akira ha destacado por sus técnicas avanzadas de cifrado y su enfoque en empresas de tamaño mediano y grande, especialmente en los sectores de tecnología e infraestructura.
Aunque su número de víctimas no es tan alto como el de otros grupos, la rapidez con la que han crecido y su sofisticación técnica los coloca como un grupo a seguir de cerca.
BlackBasta (Dark Scorpius)
BlackBasta, también conocido como Dark Scorpius, es uno de los grupos más nuevos que han irrumpido en la escena del ransomware, pero ha logrado rápidamente un alto nivel de actividad.
Con 114 víctimas en el primer semestre de 2024, BlackBasta ha sorprendido a la comunidad de ciberseguridad por su efectividad. Este grupo es conocido por su estrategia de doble extorsión, similar a otras bandas, pero se destaca por su agresividad en la negociación del rescate, lo que ha incrementado su tasa de éxito.
Además, BlackBasta se ha especializado en ataques contra sectores como el de la manufactura y la educación, dos áreas particularmente vulnerables debido a sus infraestructuras tecnológicas a menudo desactualizadas.
Medusa (Transforming Scorpius)
Medusa, también conocida como Transforming Scorpius, es una de las bandas más recientes que ha comenzado a ganar visibilidad en 2024. Aunque no estaba entre los seis grupos principales en 2023, logró registrar 103 víctimas en lo que va del año, lo que lo coloca como uno de los actores más relevantes del momento.
Medusa se caracteriza por su enfoque en empresas de servicios y en sectores relacionados con la salud y el bienestar. Aunque su modus operandi sigue el modelo de doble extorsión, se sabe que Medusa es particularmente hábil en la obtención de datos sensibles, lo que les permite presionar a las víctimas de manera más efectiva durante las negociaciones del rescate.
Ataques más famosos de ransomware
AIDS Trojan
AIDS Trojan está identificado como el origen del más viejo de los ataques de ransomware, en 1989. Tal y como ya lo mencionamos arriba, el virus se distribuyó a través de 20 mil disquetes infectados en una reunión mundial de la OMS acerca del SIDA.
Se le considera el precursor de los ataques de ransomware. Ha aparecido como malware en forma recurrente desde 2005.
Reveton
Reveton, surge en 2012, se le califica como la “primera gran amenaza”.
Este malware infecto millones de máquinas en todo el mundo y se le conoce popularmente como el Troyano de la Policía.
Se le conoce así porque en la pantalla del equipo infectado aparecía un mensaje supuestamente de un grupo de seguridad del estado, informando que el ordenador se había utilizado para actividades ilegales, como podría ser la pornografía infantil.
CryptoLocker
CryptoLocker marca 2013 como el año del gran ataque de ransomware.
Su alcance fue superior al medio millón de computadoras con más de 3 millones de dólares pagados por rescate.
La variante original ya no es una amenaza, aunque sus clones si lo son, como ha sido el caso de CryptoWall en 2014.
WannaCry
WannaCry es el gran protagonista en mayo de 2017.
Más de 300 mil computadoras en 150 países fueron afectadas por este ataque cibernético masivo. “¡Ups, tus archivos han sido encriptados!”, decía el mensaje de ransomware, conocido como WannaCryptor o WannaCry (quieres llorar).
Los atacantes pedían el pago de $300 dólares en la moneda electrónica bitcoin para que los sistemas fueran liberados.
Petya
El ataque de ransomware Petya se produjo por primera vez en 2016 y un año después reapareció como GoldenEye, también conocido como el “hermano letal de WannaCry”.
Este malware hacía el cifrado de todo el disco duro de la víctima, en vez de atacar los archivos. GoldenEye estuvo presente en el lamentablemente famoso incidente de la planta de energía nuclear de Chernobyl.
Bad Rabbit
Bad Rabbit hizo estragos hacia finales de 2017, principalmente en Rusia y Europa del Este.
Preguntas frecuentes sobre el ransomware en México
¿Cuál es el costo promedio de un ataque de ransomware en América Latina?
Según estimaciones de mercado, el costo promedio de un ataque de ransomware en LATAM supera los US$ 1.8 millones, incluyendo rescate, tiempo de inactividad y recuperación. Este impacto financiero varía según la madurez de la ciberseguridad y la industria afectada.
¿Cómo se puede integrar la recuperación ante ransomware en un plan de continuidad operativa?
Incluir la recuperación ante ransomware en un plan de continuidad implica implementar backups inmutables, ejercicios de simulación y detección temprana, además de contar con orquestación automatizada de respuesta.
¿Qué rol juega la inteligencia artificial generativa en los ataques de ransomware actuales?
La IA generativa permite a los atacantes automatizar la creación de malware personalizado y generar contenido engañoso más convincente para ataques de ingeniería social, elevando la sofisticación de los ciberataques.
¿Qué regulaciones deben cumplir las empresas tras sufrir un ataque de ransomware?
Las organizaciones deben cumplir con normativas como GDPR, LFPDPPP y leyes locales de notificación de incidentes, que exigen informar a autoridades y usuarios sobre brechas de seguridad en plazos específicos.