Informe sobre respuesta a incidentes (2025)
Informe
global
sobre respuesta a
incidentes (2025)
Observamos cinco tendencias emergentes principales que están cambiando el panorama de amenazas.
La primera es que los actores de amenazas están amplificando los ataques tradicionales de ransomware y extorsión con técnicas diseñadas para interrumpir las operaciones deliberadamente. En 2024, el 86 % de los incidentes a los que respondió Unit 42 implicaron interrupciones de la actividad empresarial y dieron lugar a tiempos de inactividad operativa, daños a la reputación o ambos.
La segunda es que los ataques contra la nube y la cadena de suministro de software son cada vez más frecuentes y sofisticados. En lo que respecta a la nube, los actores de amenazas suelen introducirse en entornos con errores de configuración para analizar redes de gran tamaño en busca de datos valiosos. En una campaña, los atacantes analizaron más de 230 millones de objetivos únicos para acceder a información confidencial.
La tercera es que la velocidad de las intrusiones está aumentando gracias a la automatización y a los kits de herramientas optimizados para hackers, y eso deja a los encargados de la defensa muy poco tiempo para detectarlas y responder a ellas. En casi uno de cada cinco casos, la exfiltración de los datos se produjo en la primera hora tras la vulneración inicial.
La cuarta es que las organizaciones están expuestas a un gran riesgo de sufrir amenazas internas, puesto que existen Estados como Corea del Norte que atacan a organizaciones para robar información y financiar iniciativas estatales. Las amenazas internas asociadas a Corea del Norte se triplicaron en 2024.
La quinta es que las primeras observaciones de los ataques con IA revelan que esta tecnología puede amplificar la escala y la velocidad de las intrusiones.
En el marco de estas tendencias, también observamos que los actores de amenazas están adoptando una estrategia multidimensional y lanzan los ataques contra varios objetivos de la superficie de ataque. De hecho, el 70 % de los incidentes a los que respondió Unit 42 se produjeron en tres o más frentes, lo que pone de relieve la necesidad de proteger los endpoints, las redes, los entornos en la nube y el factor humano en su conjunto. En lo que respecta al factor humano, casi la mitad de los incidentes de seguridad (el 44 %) que investigamos estuvieron relacionados con navegadores web, ya fueran ataques de phishing, redireccionamientos maliciosos o descargas de malware.
Tras años y años respondiendo a miles de incidentes, hemos identificado tres factores principales que permiten a los adversarios conseguir sus objetivos: la complejidad, los ángulos muertos y el exceso de confianza. Los atacantes aprovechan las oportunidades que les brindan las arquitecturas de seguridad fragmentadas, los activos no gestionados y las cuentas demasiado permisivas.
Para superar esos retos, los responsables de la seguridad deben acelerar su transición al modelo Zero Trust para reducir la confianza implícita en todo el ecosistema. Otra medida igualmente crucial es proteger las aplicaciones y los entornos en la nube desde el desarrollo hasta el tiempo de ejecución, y asegurarse de subsanar rápidamente los errores de configuración y las vulnerabilidades. Por último, es vital proporcionar a los equipos de operaciones de seguridad los recursos necesarios para que tengan una mayor visibilidad y una capacidad de respuesta más rápida. Para ello, deben tener una visibilidad consolidada de los logs del entorno local, la nube y los endpoints, así como disponer de funciones con automatización para detectar y corregir las amenazas.
A lo largo de las dos décadas que llevo siendo especialista en respuesta a incidentes, he sido testigo de innumerables cambios en el panorama de amenazas y las tácticas de ataque.
Cuando apareció el ransomware, el cifrado de archivos se convirtió en la táctica predilecta de los ciberdelincuentes: era tan fácil como bloquear el acceso a los archivos, recibir el pago por la clave de cifrado y pasar a la siguiente víctima. Como las copias de seguridad mejoraron, la doble extorsión se volvió más popular. Los ciberdelincuentes recurrían (y aún recurren) al acoso: amenazaban a las empresas con filtrar datos confidenciales si no les pagaban. No obstante, incluso esa técnica está perdiendo fuelle.
Casi todos los meses recibo un mensaje en el que se me informa acerca de una brecha de datos. De vez en cuando los abro y los leo; pero he de confesar que muchas otras los envío directamente a la papelera. Como mucha otra gente, he invertido en un software de protección contra el robo de identidades y aplico prácticas recomendadas de ciberhigiene. Como estos mensajes se reciben sin tregua, es fácil imaginarse lo que puede pensar el usuario medio: «bueno, se han vuelto a filtrar mis datos, ¿y qué?». Este grado de insensibilización no deja de ser inquietante. Sin embargo, y pese a la apatía generalizada del público, las brechas de datos pueden causar estragos en las empresas.
El año pasado volvió a marcar un antes y un después en los objetivos de los atacantes, que ahora se centran en interrumpir las operaciones de forma deliberada. Esta nueva fase de la extorsión por intereses económicos da prioridad al sabotaje —los atacantes destruyen sistemas, impiden el acceso de los clientes a los entornos y provocan tiempos de inactividad prolongados de forma intencionada—, con lo que los ataques pueden seguir teniendo el máximo impacto posible y los actores de amenazas pueden exigir pagos a las organizaciones.
En 2024, Unit 42 respondió a más de 500 ciberataques de gran envergadura. Estos incidentes afectaron a grandes organizaciones que tuvieron que lidiar con extorsiones, intrusiones en la red, robo de datos, amenazas avanzadas persistentes, etc. Los objetivos de estos ataques abarcaron los principales sectores y 38 países.
Tuvimos que dar respuesta a brechas que se sucedían a una velocidad sin precedentes, que causaron interrupciones operativas graves y que tuvieron consecuencias posteriores: desde tiempos de inactividad y cortes de los servicios hasta costes que ascendieron a miles de millones de dólares. En todos los casos, la situación empeoró hasta un punto en el que el centro de operaciones de seguridad (SOC) tuvo que pedir refuerzos.
Cuando Unit 42 recibe una llamada, el equipo de respuesta a incidentes actúa de inmediato para contener las amenazas, investigar los incidentes y reanudar las operaciones. Tras la crisis, colaboramos con los clientes para reforzar su estrategia de seguridad contra los ataques de cara al futuro.
Unit 42 tiene clara su misión: proteger el mundo digital de las ciberamenazas. El equipo trabaja de forma ininterrumpida en todo el mundo con un propósito común: detener a los actores de amenazas, buscar amenazas cambiantes y ayudar a las organizaciones a prepararse frente a los ataques más sofisticados, así como a recuperarse de ellos.
Las conclusiones clave y la información práctica de este informe están estructuradas de la siguiente forma:
Amenazas y tendencias emergentes: un esbozo de lo que está por venir, como el incremento de los casos de extorsión mediante la interrupción de la actividad, los ataques con IA, los ataques contra la nube y la cadena de suministro de software, las amenazas internas procedentes de Estados, y la velocidad.
Cómo consiguen sus objetivos los actores de amenazas: un análisis de las tácticas, técnicas y procedimientos más comunes y eficaces, desde el acceso inicial hasta el impacto.
Recomendaciones para encargados de la defensa: orientación práctica para ejecutivos, directores de seguridad de la información (CISO) y equipos de seguridad sobre cómo reforzar las defensas, mejorar la resiliencia y anticiparse a las amenazas.
Durante la lectura del informe, no piense solo en lo que ocurre en la actualidad, sino también en lo que depara el futuro y en cómo puede prepararse su organización para superar los retos que plantea un entorno de amenazas cada vez más complejo.
Vicepresidente sénior de Consultoría e Inteligencia sobre Amenazas de Unit 42
En 2025, las organizaciones se enfrentan a un complejo conjunto de amenazas en el que participan ciberdelincuentes con motivaciones económicas, Estados dotados de buenos recursos, agentes internos que plantean una amenaza y hacktivistas con motivaciones ideológicas. Los grupos criminales tienen predilección por los ataques de extorsión, mientras que los adversarios estatales sofisticados tienen tendencia a atacar infraestructuras cruciales, cadenas de suministro y sectores clave. El riesgo que plantean las amenazas internas se intensifica, puesto que los contratistas y empleados con privilegios de acceso pueden eludir las defensas externas, y los hacktivistas aprovechan las redes sociales para coordinar interrupciones a gran escala.
En este contexto, Unit 42 ha identificado las cinco tendencias clave que podrían tener un impacto mayor y más inmediato en las organizaciones: la interrupción deliberada de la actividad mediante ataques de extorsión; la explotación de la nube y la cadena de suministro de software; el aumento de la velocidad de los ataques; las amenazas internas respaldadas por Corea del Norte; y las amenazas con IA.
Tendencia n.º 1. Interrupción de las operaciones empresariales: la tercera ola de los ataques de extorsión
La mejora de los mecanismos de defensa ha ayudado a que las copias de seguridad se conviertan en algo habitual y se optimicen a medida que van madurando los programas de ciberhigiene. Los atacantes se han visto obligados a innovar para poder seguir exigiendo rescates de forma constante y cada vez más cuantiosos.
Los ataques de extorsión han ido evolucionando durante la última década: desde el cifrado de archivos hasta la interrupción deliberada de la actividad, pasando por la exfiltración y las técnicas de extorsión múltiple. Aunque el ransomware sigue siendo una de las principales amenazas, los atacantes han dejado de limitarse al cifrado de datos, y ahora lo combinan con tácticas más molestas, como acosar a las partes interesadas y poner en peligro las operaciones cruciales, para provocar periodos largos de inactividad.
En 2024, el 86 % de los incidentes a los que respondió Unit 42 implicaron algún tipo de pérdida. Esto incluye lo siguiente:
La evolución de los ataques de extorsión se desarrolla en torno a tres olas.
El auge de las criptomonedas auspició la delincuencia a una escala mayor con menos riesgo para los delincuentes. Los actores de amenazas adoptaron rápidamente el ransomware como método de ataque rentable, ya que les permite bloquear archivos cruciales y pedir un rescate en criptomonedas a cambio de desbloquearlos. Por lo tanto, las criptomonedas se han convertido en una pieza clave de los ataques de ransomware, puesto que:
En los primeros casos de ransomware, el plan de ataque era sencillo: entrar en el entorno, cifrar los archivos y salir del entorno. Las investigaciones de Unit 42 de aquella época no solían revelar indicios de exfiltraciones de datos.
Ahora, los atacantes son más sofisticados y suelen combinar el cifrado con el robo de datos y la doble extorsión, aunque el cifrado por sí solo sigue siendo una técnica muy popular. De hecho, los datos más recientes sobre respuesta a incidentes de Unit 42 muestran que el cifrado sigue siendo la táctica más habitual en casos de extorsión (se ha mantenido relativamente estable durante los cuatro últimos años).
A medida que las organizaciones han mejorado sus prácticas de copia de seguridad, el cifrado de datos como táctica de extorsión única ha perdido eficacia. Las copias de seguridad han ayudado a más organizaciones a recuperarse con mayor rapidez: gracias a ellas, en 2024, casi la mitad (el 49,5 %) de las víctimas de ataques pudieron restaurar los archivos cifrados. Como se ve en la figura 1, son casi cinco veces más víctimas que en 2022, año en el que solo el 11 % pudieron hacerlo.
Figura 1: El porcentaje de las víctimas que pudieron restaurar los archivos cifrados gracias a copias de seguridad aumentó un 360 % entre 2022 y 2024.
Sin embargo, estos mecanismos de defensa no sirven para contrarrestar el riesgo de que los atacantes publiquen o vendan datos robados.
Puesto que recurrir únicamente al cifrado dejó de ser tan eficaz, los atacantes optaron por una nueva táctica de extorsión: la exfiltración de datos y el consiguiente acoso. Además de usar los datos exfiltrados como medida de presión contra las víctimas para que cedieran ante el chantaje y el acoso, los actores de amenazas con motivaciones económicas también empezaron a subastarlos en el mercado de la dark web para generar nuevas fuentes de ingresos.
Los atacantes amenazaban con divulgar información confidencial públicamente y con frecuencia creaban sitios de filtraciones en los que pregonaban los nombres de sus presuntas víctimas. Algunos de ellos bombardeaban a los empleados y los clientes con mensajes maliciosos.
No obstante, aunque el robo de datos sigue siendo una táctica popular, su eficacia ha empezado a decaer por varios motivos. El «mal de brechas de datos» ha provocado que las filtraciones a la dark web no funcionen tan bien como medida de presión para que las víctimas paguen.
Según el informe 2023 Data Breach Report del Identity Theft Resource Center, solo en 2023, se filtraron datos de 353 millones de víctimas. Además, aunque los atacantes suelen cumplir su parte del trato en la mayoría de los casos, a las organizaciones cada vez les preocupan más las veces en las que no es así.
De hecho, en 2024, los atacantes aportaron pruebas de que habían destruido los datos en menos de dos tercios de los incidentes con robo de datos (solo el 58 %). En algunos casos, Unit 42 tuvo constancia de que los actores de amenazas habían conservado al menos una parte de los datos a pesar de haber proporcionado supuestas pruebas. Aunque dos tercios son la mayoría de los casos, esta cifra está lejos del nivel de certidumbre que cabría esperar al pagar una suma de dinero (normalmente desorbitada) por algo.
La información sobre los sitios de filtraciones públicos corrobora esta tendencia. Después de que las víctimas de los sitios de filtraciones aumentaran un 50 % entre 2022 y 2023, la cifra solo subió un 2 % en 2024. Esto puede ser indicativo de que la extorsión mediante estos sitios ya no les resulta tan eficaz a los actores de amenazas para recibir los pagos exigidos.
Las tácticas de extorsión se basan en infundir miedo y acaparar toda la atención de la víctima. Para ello, los actores de amenazas seguirán refinando sus métodos con el fin de tener el control en lo que respecta a las interrupciones.
Esto no significa que los atacantes dejen de recurrir a la exfiltración. Como se observa en la tabla 1, más de la mitad de los ataques implican el robo de datos y el acoso aumenta de forma estable. Sin embargo, los actores de amenazas están haciendo acopio de más tácticas para conseguir los pagos que exigen.
Táctica de extorsión | 2021 | 2022 | 2023 | 2024 |
---|---|---|---|---|
Cifrado | 96% | 90% | 89% | 92% |
Robo de datos | 53% | 59% | 53% | 60% |
Acoso | 5% | 9% | 8% | 13% |
Tabla 1: Prevalencia de las distintas tácticas en casos de extorsión.
Provocar interrupciones de forma deliberada es la siguiente fase de la evolución de los ataques por motivos económicos, ya que los actores de amenazas siguen tratando de hacer más ruido para atraer la atención de las víctimas.
Los atacantes ejercen cada vez más presión gracias a la tercera táctica: las interrupciones deliberadas. En 2024, el 86 % de los incidentes a los que respondió Unit 42 implicaron algún tipo de pérdida que interrumpió la actividad comercial y tuvo consecuencias operativas, reputacionales o de otro tipo.
Unit 42 observó que los atacantes combinaron técnicas de cifrado con el robo de datos y que consiguieron objetivos aún más ambiciosos gracias a otras tácticas para interrumpir la actividad de las organizaciones notablemente. Estos dañaron la reputación de marca de las víctimas o acosaron a sus clientes y partners. Los atacantes también eliminaron máquinas virtuales y destruyeron datos (en la sección 5.1 se ofrece el desglose completo de las técnicas MITRE ATT&CK que usaron los atacantes para lograr esos objetivos).
Sabemos de atacantes que han interrumpido la actividad de empresas que tienen redes de partners sólidas de las que dependen sus operaciones. Cuando una organización tiene que bloquear partes de la red para contener a un actor de amenazas y corregir el ataque antes de reanudar su actividad, sus partners se ven obligados a desconectarse. Una vez que toda la red vuelve a estar disponible y los partners pueden conectarse de nuevo a ella, certificarlos de nuevo supone más interrupciones.
Los atacantes sofisticados recurrieron a estas tácticas para atacar a empresas del ámbito de la sanidad, la hostelería, la fabricación industrial y las infraestructuras cruciales con el propósito de provocar una interrupción generalizada de la actividad tanto de la empresa como de sus partners y clientes.
Los tiempos de actividad prolongados, las tensiones con los partners y los clientes, y las consecuencias financieras a los que se enfrentan las empresas crean la situación ideal para que los actores de amenazas se aprovechen y exijan pagos más elevados. A las empresas que tratan de restaurar sus sistemas y minimizar el impacto económico (que puede ascender a varios millones e incluso miles de millones) se las extorsiona para que paguen más. La mediana de los rescates iniciales exigidos ha aumentado casi en un 80 % en un año: pasó de 695 000 USD en 2023 a 1,25 millones de USD en 2024.
También hemos analizado los rescates desde el punto de vista de los actores de amenazas según su percepción de la suma que una organización es capaz de pagar. Para ello, nos hemos basado en lo que un actor de amenazas encontraría sobre una organización al buscar en fuentes públicas de información. La mediana de los rescates iniciales exigidos en 2024 asciende al 2 % de la facturación anual percibida de la organización que sufrió el ataque. La suma inicial exigida de la mitad de dichos rescates se sitúa entre el 0,5 y el 5 % de la facturación anual percibida de la víctima. Otros atacantes han llegado a exigir rescates que superaban la facturación anual percibida de la organización extorsionada.
No obstante, aunque las sumas exigidas han aumentado, Unit 42 sigue cosechando éxitos al negociar el pago definitivo (en el caso de los clientes que optan por pagar). Por lo tanto, la mediana de los rescates solo se ha incrementado en 30 000 USD en 2024, hasta alcanzar los 267 500 USD. Cuando las organizaciones pagan, la mediana de los importes asciende a menos del 1 % de su facturación percibida (el 0,6 %). Es decir, la mediana de la reducción que negocia Unit 42 supone una rebaja de más del 50 % respecto al rescate inicial exigido.
Un factor importante para protegerse frente a los actores de amenazas cuyo propósito es interrumpir la actividad es la resiliencia operativa: ¿puede continuar la actividad si los sistemas cruciales o los datos confidenciales dejan de estar disponibles?, ¿qué operaciones empresariales deben mantenerse pase lo que pase?, ¿qué estrategias de recuperación ante desastres y de copia de seguridad tiene implementadas?, ¿están preparados los partners cruciales para trasladarse a sistemas nuevos si se produce un ataque?
La mejor manera de responder a estas preguntas es realizar pruebas y simulaciones de incidentes periódicamente para validar los controles técnicos, formar a los equipos de respuesta y calibrar la capacidad para mantener los servicios esenciales en funcionamiento. Centrarse en la resiliencia permite no solo mitigar las repercusiones financieras inmediatas de un ataque, sino también proteger a largo plazo la reputación de la empresa y la confianza de las partes interesadas, que son dos aspectos clave en un entorno cibernético cada vez más volátil.
Los ataques mediante extorsión y todo lo que conllevan (cifrado, robo de datos, acoso e interrupciones deliberadas) no son una moda pasajera. Las estrategias de ciberseguridad deben evolucionar continuamente para contrarrestar las cambiantes tácticas de ataque y tener en cuenta que los actores de amenazas seguirán adaptándose para superar mecanismos de defensa más sólidos.
Puesto que las organizaciones cada vez recurren más a la nube para realizar sus operaciones y almacenar datos valiosos, los incidentes relacionados con las aplicaciones SaaS o en la nube son algunos de los que mayores repercusiones tienen.
En 2024, algo menos de un tercio de los casos (el 29 %) estuvieron relacionados con la nube. Esto significa que, para poder investigarlos, tuvimos que recopilar logs e imágenes de entornos en la nube, o acceder a activos alojados de forma externa, como aplicaciones SaaS.
Estos casos no representan necesariamente las situaciones en las que los actores de amenazas causan daños a activos en la nube. Esto ocurrió en uno de cada cinco casos de 2024 aproximadamente (el 21 %), en los que hubo activos o entornos en la nube que se vieron afectados por los ataques.
Unit 42 ha observado que la velocidad de los ciberataques ha aumentado notablemente debido a que los actores de amenazas utilizan cada vez más automatizaciones, modelos de ransomware como servicio (RaaS) y herramientas de IA generativa (GenAI) para acelerar sus campañas. Así, los atacantes pueden identificar vulnerabilidades, crear trampas convincentes basadas en ingeniería social y, en última instancia, ejecutar ataques a gran escala más rápido.
La velocidad de los ataques obliga a organizaciones de todo el mundo a reevaluar su capacidad de respuesta y dar prioridad a la detección temprana. En muchos casos, un atacante solo necesita unas pocas horas para conseguir su objetivo, ya sea el robo de datos, el cifrado o la interrupción de las operaciones. Puesto que los atacantes perfeccionan continuamente sus métodos y actúan cada vez más rápido, aplicar medidas de seguridad proactiva y responder a los incidentes con rapidez tienen una importancia crucial.
Una de las formas que tiene Unit 42 de cuantificar la velocidad de un ataque es medir el tiempo que pasa desde la vulneración inicial hasta que un atacante empieza a exfiltrar datos.
En 2024, el tiempo medio desde la vulneración inicial hasta la exfiltración de los ataques a los que Unit 42 respondió era de dos días aproximadamente. Este plazo es alarmante, porque las organizaciones suelen tardar varios días en detectar y corregir una vulneración.
Y si se analizan los casos en los que más rápido se produjo la exfiltración, la velocidad es aún más preocupante.
Los ataques son aún más rápidos en un porcentaje mayor de los incidentes.
En tres casos recientes a los que respondió Unit 42, pudimos ser testigos de la velocidad de los atacantes:
RansomHub (que Unit 42 asoció a Spoiled Scorpius) accedió a la red de un gobierno municipal a través de una VPN que carecía de autenticación multifactor. Siete horas después de obtener acceso, el actor de amenazas ya había exfiltrado 500 GB de datos de la red.
Un actor de amenazas lanzó un ataque por fuerza bruta contra la cuenta de una VPN para obtener acceso a una universidad. Después de identificar un sistema sin protección XDR, implementó ransomware y exfiltró los datos en un plazo de 18 horas.
Muddled Libra (un grupo que también se conoce como «Scattered Spider») aplicó técnicas de ingeniería social al servicio de asistencia técnica de un proveedor de servicios para acceder a una cuenta de gestión de los privilegios de acceso (PAM). Con dichos privilegios, recopiló las credenciales almacenadas y atacó una cuenta con privilegios de dominio en cuestión de 40 minutos. Tras obtener acceso al dominio, el actor de amenazas se introdujo en un almacén de gestión de contraseñas y añadió una cuenta comprometida al entorno en la nube del cliente para obtener privilegios de mayor nivel que le permitieran exfiltrar los datos.
Los encargados de la defensa tienen menos tiempo que nunca para identificar un ataque, contenerlo y dar una respuesta. En algunos casos, ese tiempo es inferior a una hora.
Sin embargo, estamos logrando reducir el tiempo de permanencia; es decir, el número de días que pasa un atacante dentro del entorno de una víctima antes de que la organización lo descubra o lo detecte. El tiempo de permanencia, que en 2023 era de 13 días, se redujo a 7 días en 2024 (es decir, bajó un 46 %). Esta tendencia lleva disminuyendo desde 2021, año en el que el tiempo de permanencia era de 26,5 días.
Para mejorar sus mecanismos de defensa contra ataques cada vez más rápidos, puede recurrir a las siguientes tácticas:
Al integrar la visibilidad en tiempo real, la información obtenida gracias a la IA y flujos de trabajo automatizados, puede anticiparse incluso a los adversarios más ágiles.
Las amenazas internas plantean algunos de los riesgos que más escapan al control de las organizaciones, puesto que aprovechan los privilegios de acceso y las relaciones de confianza de los que dependen las operaciones de una empresa. Estas amenazas evitan muchas defensas externas, lo que las convierte en un peligro muy difícil de detectar.
Existen grupos de actores de amenazas vinculados con Corea del Norte que recientemente han participado en ataques mediante amenazas internas aún más disruptivos, por los que han logrado infiltrar a sus efectivos en puestos técnicos de organizaciones internacionales. La campaña que investigamos bajo el nombre Wagemole (también conocida como «IT Workers») ha transformado los puestos de ingeniería de las organizaciones en una superficie de ataque más. Este tipo de actividades generan miles de millones de USD y otras monedas fuertes para el régimen de Corea del Norte.
Los actores de amenazas norcoreanos explotan los procesos de contratación tradicionales usando identidades robadas o falsas que respaldan con trayectorias profesionales detalladas. Dichas trayectorias pueden incluir referencias legítimas que se hayan obtenido mediante la manipulación de identidades y vidas laborales reales que superen las comprobaciones básicas.
Aproximadamente un 5 % de los casos de respuesta a incidentes de 2024 estuvieron relacionados con amenazas internas, y la cantidad asociada a Corea del Norte se triplicó en comparación con el año anterior. Aunque esta amenaza es cada vez más conocida y muchos clientes están ojo avizor, cabe destacar que estos actores de amenazas no cejan en su empeño.
Ningún sector está a salvo de esta amenaza. En 2024, esta técnica se amplió a los ámbitos de los servicios financieros, los medios de comunicación, la venta minorista, la logística, el entretenimiento, las telecomunicaciones, los servicios de TI y los contratistas de defensa gubernamentales. Las grandes empresas de tecnología siguieron siendo los objetivos principales de los ataques.
Estas campañas suelen dirigirse contra organizaciones que contratan personal externo para puestos técnicos. Las agencias de contratación se convierten, sin quererlo, en facilitadoras de las estafas norcoreanas en relación con los trabajadores de TI debido a lo siguiente:
Aunque ya hay efectivos norcoreanos que han logrado puestos a jornada completa, el personal externo contratado sigue siendo el vector de infiltración que más utilizan.
La sofisticación técnica de estos efectivos ha evolucionado. Antes usaban principalmente herramientas de gestión remota comerciales; pero hace poco han empezado a recurrir a estrategias más sutiles.
Y lo que es más preocupante: está aumentando el uso de soluciones de hardware KVM por IP; es decir, dispositivos de tamaño reducido que se conectan directamente a los puertos USB y de vídeo de los sistemas objetivo para ofrecer capacidades de control remoto que pueden eludir la mayoría de las herramientas de supervisión de endpoints. Estos dispositivos, que se conectan a los ordenadores que las propias organizaciones proporcionan, sirven para que los actores de amenazas lleven a cabo su actividad maliciosa.
Las funciones de tunelización de Visual Studio Code, originalmente diseñadas para respaldar el desarrollo legítimo en remoto, ahora se utilizan como canales ocultos para conservar el acceso.
La naturaleza de estas operaciones presenta retos de detección, ya que muchos efectivos tienen conocimientos técnicos reales. Su acceso parece legítimo porque lo es. Realizan el trabajo que se les asigna mientras tratan de lograr sus verdaderos objetivos.
Una vez que se han incorporado a una empresa, además de ganar un salario de forma ilegal para respaldar al régimen al que sirven, estos infiltrados ponen en marcha una serie de actividades maliciosas:
Exfiltración de datos: se trata de la exfiltración sistemática de datos confidenciales de la empresa y de documentación interna. Los atacantes se sirven de políticas de seguridad, informes de vulnerabilidades y guías de entrevistas para evitar que los detecten mientras vulneran los datos de los clientes, el código fuente y la propiedad intelectual.
Implementación de herramientas no autorizadas: se incorporan herramientas no permitidas (por ejemplo, de gestión remota) para mantener el acceso o preparar el terreno para un ataque posterior.
Modificación del código fuente: al tener acceso a un repositorio de código fuente, el actor de amenazas puede insertar código de puerta trasera, el cual podría ofrecer al resto de su organización acceso no autorizado a los sistemas o posibilitar la manipulación de transacciones financieras.
Extorsión: en algunos casos, los efectivos aprovechan los datos robados para pedir rescates bajo la amenaza de filtrar información privada, y hay ocasiones en las que la cumplen.
Recomendaciones de trabajadores falsos: los actores de amenazas pueden recomendar a otros colaboradores de su organización criminal para que la empresa contrate a más trabajadores de TI fraudulentos. A veces, los candidatos recomendados no son más que clones del candidato original que usan otra identidad falsa para hacerse pasar por personas diferentes.
La estratagema de los trabajadores de TI norcoreanos ha dejado de ser una mera vía de obtención de ingresos y se ha convertido en una estrategia de amenaza interna más evasiva que afecta a una amplia variedad de organizaciones de todo el mundo. La inversión estratégica del régimen de Corea del Norte en estas operaciones revela su intención de mantener este modelo a largo plazo.
Para protegerse contra esta amenaza, las organizaciones deben cambiar su forma de concebir la seguridad y la gestión del personal.
Se necesita mucho más que controles técnicos para combatir las amenazas internas. Es preciso instaurar una cultura empresarial que fomente la seguridad y la supervisión activa de la actividad de los usuarios, especialmente si tienen privilegios de alto nivel.
Hay medidas que pueden minimizar las probabilidades de fraude, como implementar políticas según el criterio del mínimo privilegio y verificar los antecedentes de los candidatos exhaustivamente antes de tomar decisiones. Además, las organizaciones deben prestar mucha atención a los indicadores de comportamiento, como transferencias de datos inusuales o accesos al sistema en el último momento antes de que los empleados se marchen. Para ello, es importante tener la capacidad de recabar indicadores de distintas fuentes de datos. Un indicador puede parecer inofensivo por sí solo, pero si se combina con otras señales, quizás indique que es necesario abrir una investigación.
En última instancia, debe existir un equilibrio entre la confianza y la verificación. Un solo incidente derivado de una amenaza interna puede echar por tierra años de avances organizativos, poner en peligro la propiedad intelectual y causar daños a la reputación. Las empresas pueden reducir en gran medida la probabilidad de sufrir un ataque de este tipo si refuerzan los procesos internos, supervisan los privilegios de acceso e intensifican la seguridad en todos los niveles.
Aunque aún se encuentra en una fase inicial, el uso malicioso de la GenAI ya está transformando el panorama de ciberamenazas. Los atacantes utilizan métodos con IA para diseñar campañas de phishing más convincentes, automatizar el desarrollo de malware y acelerar la progresión de la cadena de ataque. Todo ello, con el objetivo de que los ciberataques sean más difíciles de detectar y se ejecuten más rápido. Aunque, de momento, el uso de la GenAI por parte de los adversarios es más evolutivo que revolucionario, no hay duda de que esta tecnología ya está transformando la capacidad ofensiva de los ataques.
Los ciberdelincuentes con motivaciones económicas y los actores de amenazas persistentes avanzadas (APT) respaldados por Estados están recurriendo a herramientas de GenAI —en especial, a los modelos de lenguaje de gran tamaño (LLM)— para agilizar y amplificar sus ataques. Estas tecnologías automatizan tareas complejas que antes requerían un gran esfuerzo manual, con lo que aceleran todo el ciclo de vida de los ataques.
Por ejemplo, los LLM pueden redactar correos electrónicos de phishing muy convincentes que imitan las comunicaciones reales de una empresa con una precisión sin precedentes, con lo que las campañas de phishing tienen más éxito y son más difíciles de detectar con mecanismos de defensa tradicionales y basados en firmas. Los grupos maliciosos ya están vendiendo herramientas que generan deepfakes creíbles (disponibles de forma gratuita o mediante «planes para empresas» que ofrecen deepfakes por tan solo 249 USD al mes).
A la hora de desarrollar malware, los LLM ayudan a generar y ofuscar el código malicioso, y eso permite a los atacantes crear malware polimórfico que evita los mecanismos de detección estándar. Al automatizar la creación de scripts maliciosos y perfeccionar las cargas de trabajo de malware, la IA facilita la actividad maliciosa a los actores de amenazas menos experimentados, con lo que aumenta el número de posibles atacantes. Además, las herramientas con IA permiten identificar y explotar mejor las vulnerabilidades.
Una de las mayores consecuencias que tiene el uso de la IA con fines maliciosos es el aumento de la rapidez y la eficiencia de los ciberataques. Ahora, en cuestión de minutos, es posible terminar tareas que antes llevaban días o semanas.
Para demostrarlo, los investigadores de Unit 42 simularon un ataque de ransomware e integraron la GenAI en todas sus fases. En la figura 3 de abajo se ilustra la rapidez de un ataque sin GenAI (basada en el tiempo medio observado durante nuestras investigaciones de respuesta a incidentes) en comparación con el tiempo que se tarda si se usa GenAI.
Con IA
Sin IA
Figura 3: Diferencia de velocidad entre un ataque simulado en el que se usan técnicas con IA y otro en el que no.
En la prueba, el tiempo desde la vulneración inicial hasta la exfiltración bajó de una media de dos días a 25 minutos; es decir, la rapidez se multiplicó por 100. Aunque estos sean los resultados de una simulación, queda patente que la rapidez con la que se pasa de la fase de reconocimiento a la de explotación acelera considerablemente el tiempo que tarda en impactar el ataque, por lo que a las organizaciones les resulta más difícil dar una respuesta a tiempo para mitigar los daños.
Las siguientes tácticas pueden ayudarle a protegerse contra los ataques con IA:
Implementar mecanismos de detección con IA para identificar patrones maliciosos a toda velocidad y correlacionar datos de varias fuentes.
Formar al personal para que reconozcan las técnicas de phishing generadas con IA, los deepfakes y los intentos de ataque mediante ingeniería social.
Incluir en los ejercicios de simulación tácticas maliciosas basadas en la IA con la idea de prepararse para los ataques rápidos y a gran escala.
Desarrollar flujos de trabajo automatizados para que el SOC pueda contener las amenazas antes de que trasladen o exfiltren datos.
Los actores de amenazas siguen incrementando la rapidez, la magnitud y la sofisticación de los ataques. Esto les permite causar daños generalizados en poco tiempo, con lo que a las organizaciones les resulta difícil detectar su actividad y mitigarla de forma eficiente.
Los datos sobre casos que tenemos revelan dos tendencias clave:
Cuando analizamos el comportamiento de los actores de amenazas, observamos que alternaban la ingeniería social con los ataques dirigidos a endpoints, recursos en la nube y otros objetivos de ataque, tal y como se muestra en la tabla 2.
Frentes de ataque | Porcentaje de casos |
---|---|
Endpoints | 72% |
Personas | 65% |
Identidad | 63% |
Red | 58% |
Correo electrónico | 28% |
Nube | 27% |
Aplicación | 21% |
SecOps | 14% |
Base de datos | 1% |
Tabla 2: Frentes de ataque contra los que actúan los actores de amenazas según nuestras observaciones.
En el 84 % de los incidentes, los actores de amenazas atacaron a sus víctimas por varios frentes (en el 70 % de las veces, por tres o más). En algunos incidentes a los que respondimos, los actores de amenazas atacaron incluso por ocho frentes.
Puesto que los ataques son cada vez más complejos, es necesario disponer de una visión unificada de todas las fuentes de datos. En el 85 % de los casos, los responsables de la respuesta a incidentes de Unit 42 tuvieron que acceder a numerosos tipos de fuentes de datos para realizar su investigación. Los encargados de la defensa deben prepararse para acceder y procesar con eficiencia la información de las diferentes fuentes de una organización.
La actividad maliciosa de casi la mitad de los incidentes de seguridad que investigamos (el 44 %) procedía o se canalizó a través de los navegadores de los empleados. Esta actividad abarca técnicas de phishing, redireccionamientos a URL fraudulentas y descargas de malware, las cuales aprovechan sesiones de navegador que no cuentan con los mecanismos adecuados de bloqueo o detección.
Las interacciones de los usuarios con enlaces, dominios o archivos maliciosos, junto con la carencia de controles de seguridad, producen brechas. Las organizaciones deben mejorar la visibilidad e implementar controles sólidos en los navegadores para detectar, bloquear y responder a estas amenazas antes de que se propaguen.
Las siguientes secciones incluyen nuestras observaciones sobre la intrusión, así como las conclusiones sobre técnicas de ataque comunes que hemos extraído de los datos de los casos gestionados por Unit 42.
En 2024, el phishing se alzó como el vector de acceso inicial más común según los datos de casos de Unit 42, ya que representó casi un cuarto de los incidentes (el 23 %), tal y como se muestra en la figura 4.
Figura 4: Vectores de acceso inicial observados en los incidentes a los que Unit 42 ha respondido a lo largo de los años. Otras técnicas de ingeniería social son el envenenamiento SEO, la publicidad maliciosa, el smishing, la fatiga de MFA y la vulneración del servicio de asistencia técnica. Otros vectores de acceso inicial son el uso abusivo de relaciones o herramientas de confianza, así como las amenazas internas.
Los vectores de acceso inicial por sí solos no lo explican todo. Los diferentes vectores de acceso inicial suelen corresponderse con perfiles de actores de amenazas distintos y objetivos concretos. Por ejemplo, cuando los actores de amenazas obtienen acceso mediante el phishing, el tipo de incidente asociado suele ser el acceso no autorizado a los sistemas de correo electrónico de la empresa (el 76 % de los casos), seguido muy de lejos por la extorsión, sobre todo mediante ransomware (casi el 9 %).
Los adversarios estatales —que son responsables de un pequeño pero dañino porcentaje de los incidentes— tienen predilección por las vulnerabilidades de software o API como vector de acceso inicial.
Los encargados de la defensa deben conocer las formas en las que los actores de amenazas suelen usar las credenciales previamente expuestas que suelen adquirir por medio de los agentes de acceso inicial. Si se hacen búsquedas exhaustivas en la deep web y la dark web, se suelen encontrar credenciales previamente expuestas.
También hay otros vectores de acceso inicial menos comunes que pueden tener consecuencias nada desdeñables. Por ejemplo, Unit 42 sigue viendo cómo el grupo de ciberdelincuencia Muddled Libra obtiene acceso a las organizaciones aplicando técnicas de ingeniería social contra el servicio de asistencia técnica. También hay otros que recurren a esta técnica, como un actor de amenazas con motivaciones económicas ubicado en Nigeria.
Los ciberdelincuentes que usan esta técnica perpetran fraudes sin usar malware: utilizan documentos de identidad falsos o números de teléfonos VoIP que usan la geolocalización de la ciudad en la que se encuentran sus víctimas. Del total de incidentes, el porcentaje de los ataques dirigidos que se reflejan en nuestros datos ha aumentado del 6 % en 2022 al 13 % en 2024.
Los encargados de la defensa deben seguir usando estrategias de «defensa en profundidad» para prepararse de cara a los vectores comunes de acceso inicial y minimizar el impacto de los actores de amenazas que logren entrar en los sistemas.
Es imperativo impartir formación sobre seguridad a los empleados para ayudarlos a identificar los ataques de ingeniería social y evitar que caigan en ellos. Dicha formación no debe limitarse al phishing y al spear phishing, sino que también debe abarcar lo siguiente:
Tras observar las tácticas y técnicas que aplicaron los atacantes más sofisticados en 2024, nuestros analistas de inteligencia sobre amenazas extrajeron tres conclusiones clave de cara a la defensa:
En las siguientes secciones se profundiza en las técnicas que usan los grupos de adversarios estatales y otros actores de amenazas muy activos.
Con frecuencia, las organizaciones dan menos prioridad a la defensa contra actores de amenazas específicos por creer que se centran en otros objetivos. Sin embargo, la experiencia nos ha demostrado en repetidas ocasiones que los grupos persistentes tienden a causar daños en muchas organizaciones hasta que logran su objetivo final.
A lo largo de 2024, Unit 42 ha supervisado muchas organizaciones que han sido atacadas por adversarios estatales, cuyos objetivos no siempre están directamente asociados al espionaje. A veces, su objetivo es tomar posesión de dispositivos que les ayuden a desarrollar su actividad posteriormente (técnica T1584, denominada «infraestructura en riesgo»).
Por ejemplo, se sabe que el grupo Insidious Taurus, también conocido como Volt Typhoon, aprovechó dispositivos expuestos de manera oportunista (enrutadores de red conectados a internet y activos de IoT, en su mayoría) para crear botnets que facilitaran el comando y control del tráfico de red que enviaban o recibían otras víctimas.
También se han observado ataques y exposiciones de proveedores de tecnología para recabar información confidencial de clientes o incluso para explotar el acceso mediante interconexión con víctimas indirectas (técnica T1199, denominada «relación de confianza»).
La seguridad de una red puede estar en riesgo aunque la organización a la que pertenezca no sea el objetivo principal.
El término «amenazas avanzadas persistentes» ha creado la impresión de que la actividad de este tipo de adversarios es innovadora y compleja; pero, en realidad, incluso los actores de amenazas bien equipados suelen decantarse por la vía que opone menos resistencia. Algunos ejemplos de esto son la explotación de vulnerabilidades conocidas e incluso antiguas (técnica T1190, denominada «aprovechamiento de una aplicación pública»), el uso indebido de funciones de acceso remoto legítimo (técnica T1133, denominada «servicios remotos externos») o el robo de información a través de servicios en línea populares (técnica T1567, denominada «exfiltración por servicio web»).
Observamos fallos y problemas sistémicos que suelen repetirse en las redes, como errores de configuración y la exposición de dispositivos conectados a internet, los cuales facilitan la entrada de actores maliciosos.
Los actores de amenazas con motivaciones económicas perpetraron la mayoría de los incidentes, y muchos de ellos actuaron rápidamente y anunciaron su presencia para extorsionar a sus víctimas. Sin embargo, también hemos visto incidentes protagonizados por adversarios que evitaron hacer saltar las alertas y se esforzaron por eludir los mecanismos de defensa con fines de espionaje, entre otros.
A veces, los atacantes aprovechan la complejidad de las redes para ocultarse entre el «ruido» que produce la actividad habitual de los usuarios y hacen un uso indebido de las funciones legítimas de un entorno en peligro; es decir, recurren a la técnica de «vivir de la tierra». La eficacia que tiene esta estrategia de ataque demuestra que distinguir la actividad maliciosa de la legítima a veces resulta casi imposible.
Por ejemplo, pongámonos en una situación real muy común, ¿sabría identificar al instante si las siguientes acciones las realiza un administrador o un agente de APT?
Técnica | Tendencias observadas en 2024 |
---|---|
T1078: cuentas válidas |
Esta técnica fue una de las más usadas como vector de acceso inicial (de los tipos de técnicas agrupadas observadas en relación con esta táctica, más del 40 % tuvieron que ver con cuentas válidas). La propician los puntos débiles de la gestión de identidades y accesos (IAM) y de la gestión de la superficie de ataque (ASM); por ejemplo:
|
T1059: intérprete de comandos y scripts |
Se trata de la técnica de ejecución más usada (por ejemplo, más del 61 % de los casos asociados a esta táctica de ejecución hicieron un uso indebido de PowerShell de esta forma). Otras utilidades del sistema de las que se hace un uso indebido habitualmente son los shells nativos de Windows, Unix, dispositivos de red y aplicaciones específicas para realizar diversas tareas. |
T1021: servicios remotos |
El uso indebido de estos servicios fue con diferencia la técnica más utilizada de movimiento lateral (de los tipos de técnicas agrupadas observadas en relación con esta táctica, más del 86 % tuvieron que ver con servicios remotos). Estos datos contribuyen a reforzar la tendencia que revela la reutilización de credenciales legítimas. En lugar de hacer un uso más tradicional de esas credenciales, vemos que se aprovechan en autenticaciones a través de protocolos de red internos, como RDP (en más del 48 % de los casos), SMB (en más del 27 %) y SSH (en más del 9 %). |
Tabla 3: Técnicas predominantes del tipo «vivir de la tierra» observadas en los casos de respuesta a incidentes de Unit 42.
Además de usar la técnica de «vivir de la tierra», hemos visto que algunos actores de amenazas (sobre todo en ataques de ransomware) trataron de usar herramientas para desactivar la EDR con el fin de «modificar la tierra» durante sus operaciones. En casi un 30 % de los tipos de técnicas agrupadas observadas en relación con la evasión de las defensas se recurrió a la técnica T1562, denominada «desactivación de defensas», la cual incluye subtécnicas como las siguientes:
Aunque existen muchas artimañas, cada vez nos encontramos con más brechas en las que se ha aplicado la técnica de incorporar un controlador vulnerable propio (BYOVD o Bring Your Own Vulnerable Driver). Esta permite obtener los permisos necesarios para eludir e incluso atacar una solución EDR y otros mecanismos de defensa instalados en un host en riesgo. Estas son algunas de las técnicas relacionadas:
Los encargados de la defensa deben formarse una idea clara sobre la superficie de ataque interna y externa de la organización. Evalúe periódicamente qué datos o dispositivos son accesibles o están expuestos a la red internet pública y evite al máximo los errores de configuración y los ajustes peligrosos de acceso remoto. Deshágase de los dispositivos en los que se ejecuten sistemas operativos que ya no admitan actualizaciones de seguridad frecuentes e identifique las vulnerabilidades de sus sistemas (incluidos los más antiguos), especialmente si tienen código PoC publicado.
Establezca una base de referencia práctica para el entorno, incluidas las cuentas, las aplicaciones, las soluciones de software y otras actividades que estén autorizadas. Implemente una buena estrategia de creación de logs y utilice herramientas de análisis que le ayuden a correlacionar varias fuentes de datos para detectar patrones de comportamiento inusuales.
En esta sección se analizan en detalle aquellos problemas sistémicos que los atacantes aprovechan con más frecuencia, así como las estrategias específicas para contrarrestarlos. Al abordar proactivamente estos factores, las organizaciones pueden reducir los riesgos cibernéticos, reforzar la resiliencia y obtener una ventaja decisiva respecto a las amenazas actuales y emergentes.
Los factores comunes de vulnerabilidad son problemas sistémicos que permiten a los actores de amenazas conseguir sus objetivos una y otra vez. Las organizaciones que abordan dichos problemas proactivamente reducen tanto la probabilidad como el impacto de los ciberataques.
Tras responder a miles de incidentes, hemos identificado tres factores principales de vulnerabilidad: la complejidad, los ángulos muertos y el exceso de confianza. Estos factores facilitan el acceso inicial, permiten que las amenazas ganen terreno sin control y amplifican los daños generales. No obstante, si se atajan directamente, es posible reforzar los mecanismos de defensa y mejorar la resiliencia.
Los entornos actuales de seguridad y TI a veces parecen un mosaico de aplicaciones antiguas, infraestructura añadida e iniciativas de transformación inconclusas. Por eso, muchas organizaciones se ven obligadas a usar del orden de 50 herramientas de seguridad independientes. Estas herramientas dispares, que se adoptan para combatir amenazas concretas, normalmente no se pueden integrar, así que los datos quedan aislados y los equipos carecen de una vista unificada de los entornos.
En el 75 % de los incidentes que hemos investigado, los logs contenían pruebas cruciales de la intrusión inicial. Sin embargo, debido a la complejidad y la inconexión de los sistemas, no era fácil acceder a la información, o esta no podía aplicarse de forma eficaz, y eso permitió a los atacantes aprovechar las lagunas de seguridad sin ser detectados.
Al mismo tiempo, es esencial disponer de varias fuentes de datos para detectar las amenazas y responder a ellas con eficacia. En aproximadamente un 85 % de los incidentes, fue necesario correlacionar los datos de varias fuentes para determinar el alcance y el impacto total. De hecho, en casi la mitad de ellos (el 46 %), se necesitó correlacionar datos de cuatro fuentes como mínimo. Cuando estos sistemas no se comunican (o no hay datos de telemetría completos), hay indicios fundamentales que quedan ocultos hasta que ya es demasiado tarde.
Caso ilustrativo:
En un ataque de ransomware, el sistema de detección y respuesta en el endpoint (EDR) captó un movimiento lateral, mientras que la vulneración inicial quedó oculta en logs de red no supervisados. Esta visibilidad fragmentada retrasó la detección durante mucho tiempo y eso dio a los atacantes el tiempo suficiente para exfiltrar datos e implementar cargas de ransomware.
La visibilidad de toda la empresa es el pilar que sustenta la eficacia de las operaciones de seguridad. Sin embargo, con frecuencia tiene ángulos muertos. En concreto, los servicios en la nube plantean bastantes retos. Según los datos de Unit 42, las organizaciones ponen en marcha una media de 300 servicios en la nube cada mes. Si los equipos de SecOps carecen de la suficiente visibilidad en tiempo de ejecución, no podrán detectar los problemas de exposición ni los ataques. Los activos no gestionados ni supervisados —ya sean endpoints, aplicaciones o informática en la sombra— son puntos que facilitan a los atacantes el acceso al entorno de una organización.
De hecho, los problemas relacionados con la gestión y las herramientas de seguridad fueron factores que contribuyeron a cerca de un 40 % de los incidentes. Estos ángulos muertos permitieron a los atacantes entrar, moverse lateralmente y obtener privilegios de mayor nivel sin ser detectados.
Caso ilustrativo:
En un incidente, el grupo Muddled Libra usó la cuenta de un usuario con privilegios para obtener permisos de alto nivel en el entorno de AWS del cliente y, posteriormente, exfiltrar datos. Puesto que el servicio en la nube no estaba integrado en el SOC ni en el SIEM de la organización, en un principio la actividad sospechosa pasó desapercibida.
El acceso demasiado permisivo es un factor de gran riesgo. En los incidentes a los que respondemos, los atacantes aprovechan constantemente las cuentas con permisos excesivos y los controles con accesos inadecuados para amplificar sus ataques.
De hecho, en el 41 % de los incidentes, se dio al menos un factor de vulnerabilidad relacionado con problemas de IAM, como roles y cuentas con permisos excesivos. Esto deriva en movimientos laterales y accesos a aplicaciones e información confidencial, los cuales permiten a los atacantes conseguir sus objetivos finales.
En este ámbito, los entornos en la nube también son especialmente vulnerables. Los investigadores de Unit 42 descubrieron que en casi la mitad de los incidentes relacionados con la nube intervino al menos un factor de vulnerabilidad relacionado con problemas de IAM, como roles y cuentas con permisos excesivos.
En muchos casos, los atacantes obtuvieron un nivel de acceso superior al que deberían haber logrado a través de los tipos de roles que explotaron. Tras el acceso inicial —que se logra mediante técnicas de phishing, credenciales robadas o la explotación de vulnerabilidades—, el exceso de confianza permite que los atacantes obtengan privilegios de mayor nivel, exfiltren datos e interrumpan las operaciones rápidamente.
Caso ilustrativo:
En un incidente sufrido por una empresa de servicios de TI, los atacantes aprovecharon cuentas de administrador con permisos excesivos para moverse lateralmente y obtener privilegios de mayor nivel después de forzar una VPN sin autenticación multifactor. Este exceso de confianza posibilitó la implementación de ransomware en 700 servidores ESXi y, en última instancia, interrumpir las principales operaciones de la empresa y afectar a 9000 sistemas.
Si las organizaciones ponen remedio a la complejidad, los ángulos muertos y el exceso de confianza, pueden reducir considerablemente el riesgo de sufrir ciberataques y minimizar su impacto. Así, no solo se evita incurrir en largos periodos de inactividad y costosas medidas de corrección de brechas, sino que también se garantiza la continuidad operativa y la confianza de las partes interesadas. A continuación, recomendamos algunas estrategias para abordar directamente estos problemas sistémicos.
Los siguientes gráficos (figuras 5 a 16) representan las técnicas MITRE ATT&CK® que hemos observado, en relación con tácticas específicas. Tenga en cuenta que los porcentajes mostrados indican la prevalencia de cada técnica en comparación con el resto de los tipos de técnicas identificados de las respectivas tácticas. Dichos porcentajes no representan la frecuencia con la que las técnicas se utilizaron en los casos.
Figura 5: Prevalencia relativa de las técnicas observadas en relación con la táctica de acceso inicial.
El tipo de investigación más común que hicimos en 2024 fueron las intrusiones en la red (en torno al 25 % de los casos). El hecho de que hubiera tantas investigaciones de este tipo es bueno, porque asignamos esta categoría cuando la intrusión en la red es la única actividad maliciosa que observamos. Creemos que el aumento de este tipo de investigación se debe a que, al menos en algunos casos, los clientes nos llaman en fases más tempranas de la cadena de ataque, y eso ayuda a detener a los atacantes antes de que puedan conseguir el resto de los objetivos.
Aunque las preocupaciones de los encargados de la defensa de todos los sectores y regiones muchas veces coinciden, también hay algunas diferencias.
En Norteamérica, los accesos no autorizados a los sistemas de correo electrónico de la empresa seguían muy de cerca a la intrusión en la red (el 19 % de los casos frente al 23 %). En EMEA, la extorsión de cualquier tipo (con y sin cifrado) supera ligeramente a las intrusiones en la red que figuran en nuestros datos (el 31 % de los casos frente al 30%).
Los datos sobre sectores que manejamos dejan claro que la extorsión constituye una preocupación importante. En el sector de la alta tecnología, el principal tipo de investigación fue también el de la extorsión con y sin cifrado (el 22 %). Lo mismo ocurre en el sector de la fabricación industrial, que es el que más veces aparece representado en los sitios de filtraciones de grupos de ransomware que circulan en la dark web (el 25 %).
Los accesos no autorizados a los sistemas de correo electrónico de la empresa siguen siendo una amenaza considerable, especialmente en los sectores de los servicios financieros (el 25 % de los casos), de los servicios profesionales y jurídicos (el 23 %) y del comercio mayorista y minorista (el 21 %).
Aparte de la gran proporción de casos que implican o afectan a los servicios en la nube de las organizaciones, observamos una tendencia menor pero progresiva de casos de ataques contra el plano de datos o el plano de control en la nube. Estos ascienden al 4 % del total de los casos, pero el porcentaje es mayor en sectores como el de la alta tecnología y el de los servicios profesionales y jurídicos (el 9 % de los casos en ambos). Estos ataques dirigidos específicamente contra la nube pueden tener consecuencias importantes. En el caso de los ataques al plano de control en la nube, los atacantes pueden obtener acceso a toda la infraestructura en la nube de una organización. Por su parte, los ataques al plano de datos permiten a los adversarios recabar un gran volumen de datos confidenciales debido al tipo y el alcance de los datos que se suelen almacenar en la nube.
Figura 17: Tipos de investigación en Norteamérica.
Las figuras 19 a 24 que aparecen a continuación muestran un desglose de los principales tipos de investigación asociados a los seis sectores más representados en nuestros datos de respuestas a incidentes.
Figura 19: Tipos de investigación en el sector de la alta tecnología.
Los datos usados para elaborar este informe se han extraído de más de 500 casos a los que Unit 42 respondió entre octubre de 2023 y diciembre de 2024, así como de otros casos que se remontan hasta 2021.
Nuestros clientes van desde pequeñas organizaciones de menos de 50 empleados hasta empresas de las listas Fortune 500 y Global 2000, así como entidades del sector público de más de 100 000 empleados.
Las organizaciones afectadas tenían sus sedes en 38 países distintos. En torno al 80 % de las organizaciones que protagonizaron estos casos de ataque se encontraban en EE. UU. Los casos relacionados con las organizaciones ubicadas en Europa, Oriente Medio y Asia-Pacífico constituyen el 20 % restante. El impacto de los ataques suele expandirse más allá de las ubicaciones en las que se encuentran las organizaciones.
Combinamos los datos de los casos con la información que hemos obtenido a través de nuestra investigación de amenazas, que se basa en datos de telemetría de productos y en observaciones de los sitios de filtraciones de la dark web, así como en otros datos de código abierto.
Los responsables de la respuesta a incidentes también han compartido sus observaciones sobre las tendencias clave que han detectado mientras trabajaban directamente con los clientes.
Nuestros datos pueden verse afectados por algunos sesgos, como la tendencia a trabajar con organizaciones grandes con estrategias de seguridad más maduras. También hemos optado por resaltar los casos que consideramos que ilustran las tendencias emergentes. Esto ha implicado que, en ocasiones, nos hayamos centrado en segmentos de datos más reducidos.
En lo que respecta a algunos temas, hemos decidido filtrar los datos para eliminar factores que pudieran distorsionar los resultados. Por ejemplo, prestamos servicios de respuesta a incidentes para ayudar a los clientes a investigar los posibles efectos de la CVE-2024-3400, con lo que esta vulnerabilidad aparece sobrerrepresentada en nuestro conjunto de datos. En determinados casos, hemos corregido los datos para mitigar dicha sobrerrepresentación.
El principio por el que se ha regido este informe ha sido proporcionar a los lectores información clave sobre el presente y el futuro del panorama de amenazas, con el objetivo de que puedan mejorar sus mecanismos de defensa.