En 2024 se ha producido un cambio decisivo en el panorama mundial de amenazas, según ha plasmado el equipo de FortiGuard Labs en su informe semestral: los ciberatacantes están logrando disminuir el tiempo que transcurre entre el reconocimiento y la intrusión, lo que reduce la ventana de respuesta para los defensores a días e, incluso, a horas. Este hecho nos permite afirmar que la ventaja del adversario se está acelerando. Y, a menos que las organizaciones cambien la forma en que miden y gestionan el riesgo, la brecha seguirá ampliándose.
Índice de temas
En el mercado negro las credenciales tienen más valor que nunca
Las credenciales robadas que se ofrecían en foros de la darknet aumentaron un 42%, según FortiGuard Labs, lo que supone más de 100.000 millones de registros únicos (direcciones de correo electrónico, contraseñas, tokens de sesión y datos para eludir la autenticación multifactor) que se comercializan y venden libremente. El malware infostealer, contribuyó a un aumento del 500% en la actividad de registro de credenciales, gran parte de las cuales se recopilaron en tiempo real y se vendieron a través de Initial Access Brokers (IAB), que ofrecen infiltración llave en mano en VPN corporativas, servidores RDP y paneles de administración.
La automatización está transformando el comportamiento de las amenazas en todas las etapas de la cadena de ataque
GORKA SAINZ, FORTINET
Estas credenciales son fundamentales para las operaciones de ransomware y espionaje. Los ciberdelincuentes ya no dependen únicamente de buscar vulnerabilidades que explotar; ahora compran directamente el acceso a las redes. Mientras el mercado de credenciales robadas siga siendo tan amplio, no necesitan recurrir a métodos como la fuerza bruta para infiltrarse.
La evolución del cibercrimen: automatización, inteligencia artificial e industrialización del delito digital
La automatización está transformando el comportamiento de las amenazas en todas las etapas de la cadena de ataque. En la primera fase, la de reconocimiento, los ciberdelincuentes lanzaron más de 36.000 escaneos por segundo en 2024, lo que supone un aumento global del 16,7%. Además, esta acción ya no solo busca puertos que se encuentren expuestos, sino que realizan exploraciones en profundidad de los entornos OT, API que se encuentran en la nube y las capas de identidad.
El phishing, el robo de credenciales e incluso el desarrollo de malware son otras de las áreas a las que llega la automatización. Los ciberdelincuentes utilizan herramientas impulsadas por IA para crear señuelos de phishing convincentes, generar vídeos deepfake y clonar voces de ejecutivos. Ya no necesitan escribir código ni violar un sistema directamente y pueden comprar accesos, herramientas e infraestructura a través de un mercado de ciberdelincuencia como servicio (CaaS, por sus siglas en inglés).
El resultado es una economía del cibercrimen industrializada que reduce drásticamente las barreras de entrada, incrementa el volumen de ataques y aumenta su tasa de éxito.
La automatización también está impulsando la escala de las amenazas. Los sensores de prevención de intrusiones registraron más de 97.000 millones de intentos de explotación en la segunda mitad de 2024, muchos de ellos dirigidos a vulnerabilidades reveladas hace años. CVE-2017-0147, CVE-2021-44228 y CVE-2019-18935 siguen estando entre los más explotados, lo que demuestra claramente que las exposiciones heredadas siguen creando riesgos en la actualidad.
Durante 2024, los dispositivos IoT se posicionaron como uno de los blancos más frecuentes de los ciberataques, llegando a representar más del 20% de todos los exploits registrados. Equipos como routers, cámaras de vigilancia y firewalls con firmware obsoleto o credenciales por defecto están siendo aprovechados por los atacantes. Estos dispositivos son incorporados a botnets, utilizados para movimientos laterales dentro de las redes o explotados para mantener acceso persistente a los sistemas comprometidos.
Pero lo que llama la atención no es solo el volumen de explotación, sino lo metódico que se ha vuelto. Los atacantes no pierden el tiempo: mapean las superficies expuestas de las víctimas potenciales, esperan a que surja una vulnerabilidad y atacan antes de que la organización pueda aplicar un parche o venden esa información sobre la vulnerabilidad en foros de la darknet.
Las brechas de la nube
La nube se ha consolidado como el entorno operativo por naturaleza en la era digital, y con ello, la identidad ha pasado a ser uno de los perímetros de seguridad más críticos. Las brechas de seguridad ya no se limitan a errores en la configuración de almacenamiento; a medida que las infraestructuras migran a la nube, los atacantes aprovechan puntos débiles conocidos, como identidades con permisos excesivos, credenciales expuestas en repositorios públicos y movimientos laterales a través de servicios nativos de la nube.
Los patrones de actividad maliciosa en la nube revelan un modus operandi cada vez más sofisticado. Los atacantes suelen comenzar iniciando sesión desde ubicaciones geográficas desconocidas, a veces pocas horas después de la actividad legítima de un desarrollador. A partir de ahí, escalan privilegios, establecen persistencia y utilizan servicios legítimos para camuflarse dentro del tráfico normal de la red. El año pasado, el 25% de todos los incidentes en la nube comenzaron con actividades de reconocimiento, como la enumeración de API, la comprobación de permisos y el descubrimiento de activos expuestos.
La última fase del ataque
Cuando los ciberatacantes logran acceder, actúan con precisión y movimiento lateral para lo que el 88% utiliza emplea RDP. Los troyanos de acceso remoto (RAT) proporcionan ejecución de comandos remotos, exfiltración de datos y persistencia a largo plazo.
Las técnicas de «vivir de la tierra» (living-off-the-land), que emplean herramientas y protocolos legítimos de Windows, han hecho que los enfoques de detección tradicionales sean menos eficaces. Los atacantes emplean de forma habitual y rutinaria PowerShell, WMI y anomalías en el tráfico SMB para moverse lateralmente y escalar privilegios La manipulación de Active Directory (a través de DCSync y DCShadow) les permite recolectar credenciales y expandir su acceso de forma silenciosa.
Los canales C2 cifrados, los algoritmos de generación de dominios y los túneles DNS se utilizan ampliamente para mantener la comunicación con los sistemas comprometidos, todo ello eludiendo las defensas perimetrales convencionales.
Los nuevos patrones de las ciberamenazas
El modus operandi de los atacantes de hoy es día es claro, están incrementando la velocidad, la escala y actuando con mayor sigilo, por lo que los defensores deben aplicar esas mismas pautas. Los modelos de seguridad tradicionales que se basan en controles estáticos, evaluaciones puntuales o ciclos de parches retrasados son cada vez más inadecuados.
Es necesario un cambio hacia la gestión continua de la exposición a amenazas (CTEM, por sus siglas en inglés) que implique la supervisión continua de las superficies de ataque, incluidos los entornos en la nube, OT e IoT; la simulación de amenazas del mundo real mediante la emulación de adversarios y pruebas de brechas y ataques; el establecimiento de prioridades según el riesgo, la inteligencia sobre amenazas y la disponibilidad de exploits, no solo de las puntuaciones CVSS; y la automatización de la detección y respuesta para reducir el tiempo de permanencia y acelerar la contención.
Está en juego la continuidad del negocio. Las ciberamenazas ya no esperan a que se expongan las vulnerabilidades. Están continuamente supervisando todos los niveles de la red, incluidas las credenciales comprometidas y otras debilidades disponibles en los foros de la darknet, para poder atacar antes de que los equipos de las empresas puedan responder.
Cómo afrontar este nuevo panorama para salir airosos
Reducir la exposición, aumentar la visibilidad y moverse más rápido que el adversario sigue siendo la receta para combatir el panorama de amenazas, aunque este cambie. La mejor opción es buscar una solución diseñada para hacer frente a este reto, que una inteligencia avanzada sobre amenazas, detección en tiempo real y respuesta coordinada en toda la infraestructura digital.
No obstante, una máxima que deben seguir las organizaciones y sobre todo los directivos que las lideran es que no solo debe estar protegidas, sino también ser capaces de adaptarse a las nuevas amenazas que puedan surgir.
