Informe sobre respuesta a incidentes (2025)

Informe
global
sobre respuesta a
incidentes (2025)

Resumen ejecutivo

Observamos cinco tendencias emergentes principales que están cambiando el panorama de amenazas.

La primera es que los actores de amenazas están amplificando los ataques tradicionales de ransomware y extorsión con técnicas diseñadas para interrumpir las operaciones deliberadamente. En 2024, el 86 % de los incidentes a los que respondió Unit 42 implicaron interrupciones de la actividad empresarial y dieron lugar a tiempos de inactividad operativa, daños a la reputación o ambos.
La segunda es que los ataques contra la nube y la cadena de suministro de software son cada vez más frecuentes y sofisticados. En lo que respecta a la nube, los actores de amenazas suelen introducirse en entornos con errores de configuración para analizar redes de gran tamaño en busca de datos valiosos. En una campaña, los atacantes analizaron más de 230 millones de objetivos únicos para acceder a información confidencial.
La tercera es que la velocidad de las intrusiones está aumentando gracias a la automatización y a los kits de herramientas optimizados para hackers, y eso deja a los encargados de la defensa muy poco tiempo para detectarlas y responder a ellas. En casi uno de cada cinco casos, la exfiltración de los datos se produjo en la primera hora tras la vulneración inicial.
La cuarta es que las organizaciones están expuestas a un gran riesgo de sufrir amenazas internas, puesto que existen Estados como Corea del Norte que atacan a organizaciones para robar información y financiar iniciativas estatales. Las amenazas internas asociadas a Corea del Norte se triplicaron en 2024.
La quinta es que las primeras observaciones de los ataques con IA revelan que esta tecnología puede amplificar la escala y la velocidad de las intrusiones.

En el marco de estas tendencias, también observamos que los actores de amenazas están adoptando una estrategia multidimensional y lanzan los ataques contra varios objetivos de la superficie de ataque. De hecho, el 70 % de los incidentes a los que respondió Unit 42 se produjeron en tres o más frentes, lo que pone de relieve la necesidad de proteger los endpoints, las redes, los entornos en la nube y el factor humano en su conjunto. En lo que respecta al factor humano, casi la mitad de los incidentes de seguridad (el 44 %) que investigamos estuvieron relacionados con navegadores web, ya fueran ataques de phishing, redireccionamientos maliciosos o descargas de malware.

Tras años y años respondiendo a miles de incidentes, hemos identificado tres factores principales que permiten a los adversarios conseguir sus objetivos: la complejidad, los ángulos muertos y el exceso de confianza. Los atacantes aprovechan las oportunidades que les brindan las arquitecturas de seguridad fragmentadas, los activos no gestionados y las cuentas demasiado permisivas.

Para superar esos retos, los responsables de la seguridad deben acelerar su transición al modelo Zero Trust para reducir la confianza implícita en todo el ecosistema. Otra medida igualmente crucial es proteger las aplicaciones y los entornos en la nube desde el desarrollo hasta el tiempo de ejecución, y asegurarse de subsanar rápidamente los errores de configuración y las vulnerabilidades. Por último, es vital proporcionar a los equipos de operaciones de seguridad los recursos necesarios para que tengan una mayor visibilidad y una capacidad de respuesta más rápida. Para ello, deben tener una visibilidad consolidada de los logs del entorno local, la nube y los endpoints, así como disponer de funciones con automatización para detectar y corregir las amenazas.

1. Introducción

A lo largo de las dos décadas que llevo siendo especialista en respuesta a incidentes, he sido testigo de innumerables cambios en el panorama de amenazas y las tácticas de ataque.

Cuando apareció el ransomware, el cifrado de archivos se convirtió en la táctica predilecta de los ciberdelincuentes: era tan fácil como bloquear el acceso a los archivos, recibir el pago por la clave de cifrado y pasar a la siguiente víctima. Como las copias de seguridad mejoraron, la doble extorsión se volvió más popular. Los ciberdelincuentes recurrían (y aún recurren) al acoso: amenazaban a las empresas con filtrar datos confidenciales si no les pagaban. No obstante, incluso esa técnica está perdiendo fuelle.

Casi todos los meses recibo un mensaje en el que se me informa acerca de una brecha de datos. De vez en cuando los abro y los leo; pero he de confesar que muchas otras los envío directamente a la papelera. Como mucha otra gente, he invertido en un software de protección contra el robo de identidades y aplico prácticas recomendadas de ciberhigiene. Como estos mensajes se reciben sin tregua, es fácil imaginarse lo que puede pensar el usuario medio: «bueno, se han vuelto a filtrar mis datos, ¿y qué?». Este grado de insensibilización no deja de ser inquietante. Sin embargo, y pese a la apatía generalizada del público, las brechas de datos pueden causar estragos en las empresas.

El año pasado volvió a marcar un antes y un después en los objetivos de los atacantes, que ahora se centran en interrumpir las operaciones de forma deliberada. Esta nueva fase de la extorsión por intereses económicos da prioridad al sabotaje —los atacantes destruyen sistemas, impiden el acceso de los clientes a los entornos y provocan tiempos de inactividad prolongados de forma intencionada—, con lo que los ataques pueden seguir teniendo el máximo impacto posible y los actores de amenazas pueden exigir pagos a las organizaciones.

En 2024, Unit 42 respondió a más de 500 ciberataques de gran envergadura. Estos incidentes afectaron a grandes organizaciones que tuvieron que lidiar con extorsiones, intrusiones en la red, robo de datos, amenazas avanzadas persistentes, etc. Los objetivos de estos ataques abarcaron los principales sectores y 38 países.

Tuvimos que dar respuesta a brechas que se sucedían a una velocidad sin precedentes, que causaron interrupciones operativas graves y que tuvieron consecuencias posteriores: desde tiempos de inactividad y cortes de los servicios hasta costes que ascendieron a miles de millones de dólares. En todos los casos, la situación empeoró hasta un punto en el que el centro de operaciones de seguridad (SOC) tuvo que pedir refuerzos.

Cuando Unit 42 recibe una llamada, el equipo de respuesta a incidentes actúa de inmediato para contener las amenazas, investigar los incidentes y reanudar las operaciones. Tras la crisis, colaboramos con los clientes para reforzar su estrategia de seguridad contra los ataques de cara al futuro.

Unit 42 tiene clara su misión: proteger el mundo digital de las ciberamenazas. El equipo trabaja de forma ininterrumpida en todo el mundo con un propósito común: detener a los actores de amenazas, buscar amenazas cambiantes y ayudar a las organizaciones a prepararse frente a los ataques más sofisticados, así como a recuperarse de ellos.

Las conclusiones clave y la información práctica de este informe están estructuradas de la siguiente forma:

Amenazas y tendencias emergentes: un esbozo de lo que está por venir, como el incremento de los casos de extorsión mediante la interrupción de la actividad, los ataques con IA, los ataques contra la nube y la cadena de suministro de software, las amenazas internas procedentes de Estados, y la velocidad.
Cómo consiguen sus objetivos los actores de amenazas: un análisis de las tácticas, técnicas y procedimientos más comunes y eficaces, desde el acceso inicial hasta el impacto.
Recomendaciones para encargados de la defensa: orientación práctica para ejecutivos, directores de seguridad de la información (CISO) y equipos de seguridad sobre cómo reforzar las defensas, mejorar la resiliencia y anticiparse a las amenazas.

Durante la lectura del informe, no piense solo en lo que ocurre en la actualidad, sino también en lo que depara el futuro y en cómo puede prepararse su organización para superar los retos que plantea un entorno de amenazas cada vez más complejo.

Ver más Ver menos

¿Quiere burlar las ciberamenazas?

Vaya un paso por delante con las novedades de nuestro informe de respuesta a incidentes.

Lea el Informe global de Unit 42 sobre respuesta a incidentes para conocer novedades exclusivas. Incluye información clave sobre las nuevas tácticas, técnicas y procedimientos (TTP) de los actores de amenazas, así como las opiniones de nuestros expertos en seguridad sobre el panorama de amenazas, entre otros contenidos.

Manténgase al día para no correr ningún riesgo.

2. Amenazas y tendencias emergentes

En 2025, las organizaciones se enfrentan a un complejo conjunto de amenazas en el que participan ciberdelincuentes con motivaciones económicas, Estados dotados de buenos recursos, agentes internos que plantean una amenaza y hacktivistas con motivaciones ideológicas. Los grupos criminales tienen predilección por los ataques de extorsión, mientras que los adversarios estatales sofisticados tienen tendencia a atacar infraestructuras cruciales, cadenas de suministro y sectores clave. El riesgo que plantean las amenazas internas se intensifica, puesto que los contratistas y empleados con privilegios de acceso pueden eludir las defensas externas, y los hacktivistas aprovechan las redes sociales para coordinar interrupciones a gran escala.

En este contexto, Unit 42 ha identificado las cinco tendencias clave que podrían tener un impacto mayor y más inmediato en las organizaciones: la interrupción deliberada de la actividad mediante ataques de extorsión; la explotación de la nube y la cadena de suministro de software; el aumento de la velocidad de los ataques; las amenazas internas respaldadas por Corea del Norte; y las amenazas con IA.

Tendencia n.º 1. Interrupción de las operaciones empresariales: la tercera ola de los ataques de extorsión

La mejora de los mecanismos de defensa ha ayudado a que las copias de seguridad se conviertan en algo habitual y se optimicen a medida que van madurando los programas de ciberhigiene. Los atacantes se han visto obligados a innovar para poder seguir exigiendo rescates de forma constante y cada vez más cuantiosos.

Los ataques de extorsión han ido evolucionando durante la última década: desde el cifrado de archivos hasta la interrupción deliberada de la actividad, pasando por la exfiltración y las técnicas de extorsión múltiple. Aunque el ransomware sigue siendo una de las principales amenazas, los atacantes han dejado de limitarse al cifrado de datos, y ahora lo combinan con tácticas más molestas, como acosar a las partes interesadas y poner en peligro las operaciones cruciales, para provocar periodos largos de inactividad.

En 2024, el 86 % de los incidentes a los que respondió Unit 42 implicaron algún tipo de pérdida. Esto incluye lo siguiente:

Interrupciones directas de la actividad empresarial
Pérdidas relacionadas con activos y el fraude
Daños a la marca y descenso del valor de mercado debido a la divulgación del ataque
Aumento de los costes operativos, jurídicos y reglamentarios, entre otros

La evolución de los ataques de extorsión se desarrolla en torno a tres olas.

Primera ola: en el principio, todo era cifrado

El auge de las criptomonedas auspició la delincuencia a una escala mayor con menos riesgo para los delincuentes. Los actores de amenazas adoptaron rápidamente el ransomware como método de ataque rentable, ya que les permite bloquear archivos cruciales y pedir un rescate en criptomonedas a cambio de desbloquearlos. Por lo tanto, las criptomonedas se han convertido en una pieza clave de los ataques de ransomware, puesto que:

reducen el riesgo de ser identificado al que se expone el atacante;
facilitan la perpetración de ciberdelitos;
ayudan a los atacantes a evitar a las autoridades y las sanciones internacionales.

En los primeros casos de ransomware, el plan de ataque era sencillo: entrar en el entorno, cifrar los archivos y salir del entorno. Las investigaciones de Unit 42 de aquella época no solían revelar indicios de exfiltraciones de datos.

Ahora, los atacantes son más sofisticados y suelen combinar el cifrado con el robo de datos y la doble extorsión, aunque el cifrado por sí solo sigue siendo una técnica muy popular. De hecho, los datos más recientes sobre respuesta a incidentes de Unit 42 muestran que el cifrado sigue siendo la táctica más habitual en casos de extorsión (se ha mantenido relativamente estable durante los cuatro últimos años).

A medida que las organizaciones han mejorado sus prácticas de copia de seguridad, el cifrado de datos como táctica de extorsión única ha perdido eficacia. Las copias de seguridad han ayudado a más organizaciones a recuperarse con mayor rapidez: gracias a ellas, en 2024, casi la mitad (el 49,5 %) de las víctimas de ataques pudieron restaurar los archivos cifrados. Como se ve en la figura 1, son casi cinco veces más víctimas que en 2022, año en el que solo el 11 % pudieron hacerlo.

Figura 1: El porcentaje de las víctimas que pudieron restaurar los archivos cifrados gracias a copias de seguridad aumentó un 360 % entre 2022 y 2024.

Sin embargo, estos mecanismos de defensa no sirven para contrarrestar el riesgo de que los atacantes publiquen o vendan datos robados.

Ver más Ver menos

Segunda ola: la exfiltración de datos sube la apuesta

Puesto que recurrir únicamente al cifrado dejó de ser tan eficaz, los atacantes optaron por una nueva táctica de extorsión: la exfiltración de datos y el consiguiente acoso. Además de usar los datos exfiltrados como medida de presión contra las víctimas para que cedieran ante el chantaje y el acoso, los actores de amenazas con motivaciones económicas también empezaron a subastarlos en el mercado de la dark web para generar nuevas fuentes de ingresos.

Los atacantes amenazaban con divulgar información confidencial públicamente y con frecuencia creaban sitios de filtraciones en los que pregonaban los nombres de sus presuntas víctimas. Algunos de ellos bombardeaban a los empleados y los clientes con mensajes maliciosos.

No obstante, aunque el robo de datos sigue siendo una táctica popular, su eficacia ha empezado a decaer por varios motivos. El «mal de brechas de datos» ha provocado que las filtraciones a la dark web no funcionen tan bien como medida de presión para que las víctimas paguen.

Según el informe 2023 Data Breach Report del Identity Theft Resource Center, solo en 2023, se filtraron datos de 353 millones de víctimas. Además, aunque los atacantes suelen cumplir su parte del trato en la mayoría de los casos, a las organizaciones cada vez les preocupan más las veces en las que no es así.

De hecho, en 2024, los atacantes aportaron pruebas de que habían destruido los datos en menos de dos tercios de los incidentes con robo de datos (solo el 58 %). En algunos casos, Unit 42 tuvo constancia de que los actores de amenazas habían conservado al menos una parte de los datos a pesar de haber proporcionado supuestas pruebas. Aunque dos tercios son la mayoría de los casos, esta cifra está lejos del nivel de certidumbre que cabría esperar al pagar una suma de dinero (normalmente desorbitada) por algo.

La información sobre los sitios de filtraciones públicos corrobora esta tendencia. Después de que las víctimas de los sitios de filtraciones aumentaran un 50 % entre 2022 y 2023, la cifra solo subió un 2 % en 2024. Esto puede ser indicativo de que la extorsión mediante estos sitios ya no les resulta tan eficaz a los actores de amenazas para recibir los pagos exigidos.

Las tácticas de extorsión se basan en infundir miedo y acaparar toda la atención de la víctima. Para ello, los actores de amenazas seguirán refinando sus métodos con el fin de tener el control en lo que respecta a las interrupciones.

Esto no significa que los atacantes dejen de recurrir a la exfiltración. Como se observa en la tabla 1, más de la mitad de los ataques implican el robo de datos y el acoso aumenta de forma estable. Sin embargo, los actores de amenazas están haciendo acopio de más tácticas para conseguir los pagos que exigen.

Táctica de extorsión	2021	2022	2023	2024
Cifrado	96%	90%	89%	92%
Robo de datos	53%	59%	53%	60%
Acoso	5%	9%	8%	13%

Tabla 1: Prevalencia de las distintas tácticas en casos de extorsión.

Provocar interrupciones de forma deliberada es la siguiente fase de la evolución de los ataques por motivos económicos, ya que los actores de amenazas siguen tratando de hacer más ruido para atraer la atención de las víctimas.

Ver más Ver menos

Tercera ola: interrupciones operativas deliberadas

Los atacantes ejercen cada vez más presión gracias a la tercera táctica: las interrupciones deliberadas. En 2024, el 86 % de los incidentes a los que respondió Unit 42 implicaron algún tipo de pérdida que interrumpió la actividad comercial y tuvo consecuencias operativas, reputacionales o de otro tipo.

Unit 42 observó que los atacantes combinaron técnicas de cifrado con el robo de datos y que consiguieron objetivos aún más ambiciosos gracias a otras tácticas para interrumpir la actividad de las organizaciones notablemente. Estos dañaron la reputación de marca de las víctimas o acosaron a sus clientes y partners. Los atacantes también eliminaron máquinas virtuales y destruyeron datos (en la sección 5.1 se ofrece el desglose completo de las técnicas MITRE ATT&CK que usaron los atacantes para lograr esos objetivos).

Sabemos de atacantes que han interrumpido la actividad de empresas que tienen redes de partners sólidas de las que dependen sus operaciones. Cuando una organización tiene que bloquear partes de la red para contener a un actor de amenazas y corregir el ataque antes de reanudar su actividad, sus partners se ven obligados a desconectarse. Una vez que toda la red vuelve a estar disponible y los partners pueden conectarse de nuevo a ella, certificarlos de nuevo supone más interrupciones.

Los atacantes sofisticados recurrieron a estas tácticas para atacar a empresas del ámbito de la sanidad, la hostelería, la fabricación industrial y las infraestructuras cruciales con el propósito de provocar una interrupción generalizada de la actividad tanto de la empresa como de sus partners y clientes.

Los tiempos de actividad prolongados, las tensiones con los partners y los clientes, y las consecuencias financieras a los que se enfrentan las empresas crean la situación ideal para que los actores de amenazas se aprovechen y exijan pagos más elevados. A las empresas que tratan de restaurar sus sistemas y minimizar el impacto económico (que puede ascender a varios millones e incluso miles de millones) se las extorsiona para que paguen más. La mediana de los rescates iniciales exigidos ha aumentado casi en un 80 % en un año: pasó de 695 000 USD en 2023 a 1,25 millones de USD en 2024.

También hemos analizado los rescates desde el punto de vista de los actores de amenazas según su percepción de la suma que una organización es capaz de pagar. Para ello, nos hemos basado en lo que un actor de amenazas encontraría sobre una organización al buscar en fuentes públicas de información. La mediana de los rescates iniciales exigidos en 2024 asciende al 2 % de la facturación anual percibida de la organización que sufrió el ataque. La suma inicial exigida de la mitad de dichos rescates se sitúa entre el 0,5 y el 5 % de la facturación anual percibida de la víctima. Otros atacantes han llegado a exigir rescates que superaban la facturación anual percibida de la organización extorsionada.

No obstante, aunque las sumas exigidas han aumentado, Unit 42 sigue cosechando éxitos al negociar el pago definitivo (en el caso de los clientes que optan por pagar). Por lo tanto, la mediana de los rescates solo se ha incrementado en 30 000 USD en 2024, hasta alcanzar los 267 500 USD. Cuando las organizaciones pagan, la mediana de los importes asciende a menos del 1 % de su facturación percibida (el 0,6 %). Es decir, la mediana de la reducción que negocia Unit 42 supone una rebaja de más del 50 % respecto al rescate inicial exigido.

Ver más Ver menos

Contramedidas: garantizar la resiliencia frente al aumento de las interrupciones

Un factor importante para protegerse frente a los actores de amenazas cuyo propósito es interrumpir la actividad es la resiliencia operativa: ¿puede continuar la actividad si los sistemas cruciales o los datos confidenciales dejan de estar disponibles?, ¿qué operaciones empresariales deben mantenerse pase lo que pase?, ¿qué estrategias de recuperación ante desastres y de copia de seguridad tiene implementadas?, ¿están preparados los partners cruciales para trasladarse a sistemas nuevos si se produce un ataque?

La mejor manera de responder a estas preguntas es realizar pruebas y simulaciones de incidentes periódicamente para validar los controles técnicos, formar a los equipos de respuesta y calibrar la capacidad para mantener los servicios esenciales en funcionamiento. Centrarse en la resiliencia permite no solo mitigar las repercusiones financieras inmediatas de un ataque, sino también proteger a largo plazo la reputación de la empresa y la confianza de las partes interesadas, que son dos aspectos clave en un entorno cibernético cada vez más volátil.

Los ataques mediante extorsión y todo lo que conllevan (cifrado, robo de datos, acoso e interrupciones deliberadas) no son una moda pasajera. Las estrategias de ciberseguridad deben evolucionar continuamente para contrarrestar las cambiantes tácticas de ataque y tener en cuenta que los actores de amenazas seguirán adaptándose para superar mecanismos de defensa más sólidos.

Tendencia n.º 2. Ataques más dañinos contra la nube y la cadena de suministro de software

Puesto que las organizaciones cada vez recurren más a la nube para realizar sus operaciones y almacenar datos valiosos, los incidentes relacionados con las aplicaciones SaaS o en la nube son algunos de los que mayores repercusiones tienen.

En 2024, algo menos de un tercio de los casos (el 29 %) estuvieron relacionados con la nube. Esto significa que, para poder investigarlos, tuvimos que recopilar logs e imágenes de entornos en la nube, o acceder a activos alojados de forma externa, como aplicaciones SaaS.

Estos casos no representan necesariamente las situaciones en las que los actores de amenazas causan daños a activos en la nube. Esto ocurrió en uno de cada cinco casos de 2024 aproximadamente (el 21 %), en los que hubo activos o entornos en la nube que se vieron afectados por los ataques.

Ver más Ver menos

Mostrar todo +

Factor de vulnerabilidad: gestión de identidades y accesos

Los problemas de gestión de identidades y accesos (IAM) siguen siendo un factor de vulnerabilidad en bastantes casos. Los grupos de ciberdelincuentes como Bling Libra (que distribuyen el ransomware ShinyHunters) y Muddled Libra explotan errores de configuración y se hacen con credenciales expuestas para acceder a entornos en la nube.

Aunque no usar la autenticación multifactor (MFA) sigue siendo el factor de vulnerabilidad principal en esos incidentes, sí que es un problema cada vez menos frecuente. En 2024 fue la causa de uno de cada cuatro incidentes, mientras que en 2023 lo fue de uno de cada tres.

En lo que respecta a otros problemas de IAM, no se está avanzando precisamente. Tal y como se muestra a continuación en la figura 2, los problemas relacionados con las políticas de acceso demasiado permisivas, el exceso de permisos y las contraseñas aumentaron en 2024.

Figura 2: Tendencias de los problemas de gestión de identidades y accesos en 2023 y 2024.

Los errores de configuración de IAM fueron el vector del acceso inicial en un 4 % de los casos aproximadamente, pero este porcentaje debe valorarse junto con la escala y las repercusiones de los ataques en la nube. Los incidentes de este tipo pueden afectar a una organización a gran escala, así como a otras organizaciones si los actores de amenazas logran tomar posesión de los recursos en la nube.

En la operación en entornos de nube de una campaña de extorsión, se aprovecharon variables de entorno expuestas, el uso de credenciales de larga duración y la ausencia de una arquitectura basada en el criterio del mínimo privilegio. Una vez que los actores de amenazas integraron la infraestructura de ataque en los entornos en la nube de varias organizaciones, la usaron como trampolín para atacar otras organizaciones a una escala mayor. Por ejemplo, analizaron más de 230 millones de objetivos únicos para identificar más endpoints de API expuestos. En consecuencia, los actores de amenazas accedieron a los archivos expuestos de al menos 110 000 dominios y recopilaron más de 90 000 variables filtradas distintas. De esas variables, 7000 estaban asociadas a servicios en la nube y 1500 a cuentas de redes sociales, y muchas incluían nombres de cuentas además de datos de autenticación.

Unit 42 ha sido testigo de muchos casos en los que los actores de amenazas han usado claves de API o acceso filtradas para obtener el acceso inicial, las cuales suelen permitir a los actores de amenazas perpetrar ataques posteriores. El uso de cuentas válidas en la nube ( subtécnica T1078.004) aparece de forma recurrente en los datos sobre casos relacionados con las siguientes tácticas:

Acceso inicial (en el 13 % de los casos en los que se usa esta táctica)
Obtención de privilegios de mayor nivel (8 %)
Persistencia (7 %)
Evasión de las defensas (7 %)

Exfiltración y almacenamiento en la nube

Falta de visibilidad y control de los sistemas SaaS y en la nube

Extracción de datos de sitios web y uso indebido de API

Ataques basados en la nube

Ataques a la cadena de suministro de software y software de terceros

En 2024, respondimos a diversos incidentes relacionados con la cadena de suministro de software.

Se identificó una vulnerabilidad crítica en la biblioteca de compresión de datos de XZ Utils antes de que pudiera causar daños a gran escala. Sin embargo, este es un ejemplo de las consecuencias que pueden derivarse de una cadena de suministro comprometida. Tal y como anunció Red Hat cuando se publicó la vulnerabilidad, las herramientas y bibliotecas de XZ contenían «código malicioso que parecía concebido para permitir accesos no autorizados». Puesto que XZ Utils se incluye en varias de las distribuciones principales de Linux (que, a su vez, se usan en muchísimas organizaciones de todo el mundo), si este código se hubiera llegado a implementar, miles de organizaciones del planeta podrían haber quedado expuestas. El problema que afectó a XZ Utils, que fue el resultado de la «labor que desempeñó un actor de amenazas durante varios años», demuestra que todas las organizaciones deben aplicar las prácticas recomendadas en relación con el software de código abierto que incorporan a sus sistemas.

También detectamos varias vulnerabilidades en dispositivos de VPN que pusieron en cuestión la integridad del software de terceros. Sabemos de ciberdelincuentes y adversarios estatales que han usado estas vulnerabilidades como vectores de acceso inicial.

No obstante, los actores de amenazas no siempre necesitan identificar vulnerabilidades para atacar organizaciones a través de software de terceros. En junio de 2024, la plataforma de datos basada en la nubeSnowflake alertó de que algunas de las cuentas de sus clientes estaban en el punto de mira de los actores de amenazas. La empresa afirmó que, según sus investigaciones, los atacantes usaban credenciales previamente expuestas (técnica T1078, denominada «cuentas válidas») y achacó la situación a «ataques constantes y basados en identidades contra todo el sector con la intención de obtener datos de clientes».

En otro caso en el que Unit 42 trabajó, los actores de amenazas dedicaron meses a lanzar ataques por fuerza bruta contra una VPN (técnica T1110, denominada «fuerza bruta»). Cuando finalmente lo lograron, obtuvieron acceso al entorno de la organización y lograron mantenerse dentro.

La complejidad de la infraestructura y la consecuente falta de visibilidad pueden dificultar la erradicación de los ataques, sobre todo cuando el software de terceros forma parte de la ecuación.

Contramedidas: protección contra los ataques en la nube y la cadena de suministro de software

Para reducir el riesgo de que la nube y la cadena de suministro sufran ataques, recurra a las siguientes tácticas clave:

Limitar el uso fraudulento de credenciales: aplique controles estrictos de IAM por los que solo se otorguen los privilegios necesarios a cada rol. Use credenciales de corta duración y la autenticación multifactor siempre que sea posible.
Centralizar el registro y la auditoría de los recursos en la nube de producción: reenvíe los logs fuera del host en el que se originen para evitar que se puedan manipular y agréguelos para correlacionar los de todos los servicios. Realice un seguimiento de las anomalías, como llamadas inusuales a las API o transferencias de datos de gran tamaño.
Supervisar los patrones de uso: use análisis de logs para establecer valores de referencia del consumo normal de recursos y active alertas que avisen de las anomalías. El consumo de CPU y ancho de banda suele dispararse durante las actividades de criptominería y exfiltración de datos.
Aplicar parches sin dilación: gestione las bibliotecas, las imágenes de contenedor y los componentes de código abierto de terceros como parte de su propia infraestructura operativa. Desarrolle un proceso para consultar periódicamente si hay actualizaciones de seguridad e implementarlas con rapidez.
Proteger las integraciones de API y cadena de suministro: aplique límites de frecuencia para frustrar extracciones de datos excesivas o intentos de ataque por fuerza bruta, y use herramientas de análisis eficaces para evaluar las nuevas dependencias antes de integrarlas en producción.

Si los equipos de seguridad aplican estas medidas de forma sistemática, podrán identificar los ataques en su fase inicial, limitar sus efectos y tener la seguridad de que los recursos en la nube y los ciclos de software están bajo control.

Tendencia n.º 3. Velocidad: los ataques son más rápidos y dejan menos tiempo para responder

Unit 42 ha observado que la velocidad de los ciberataques ha aumentado notablemente debido a que los actores de amenazas utilizan cada vez más automatizaciones, modelos de ransomware como servicio (RaaS) y herramientas de IA generativa (GenAI) para acelerar sus campañas. Así, los atacantes pueden identificar vulnerabilidades, crear trampas convincentes basadas en ingeniería social y, en última instancia, ejecutar ataques a gran escala más rápido.

La velocidad de los ataques obliga a organizaciones de todo el mundo a reevaluar su capacidad de respuesta y dar prioridad a la detección temprana. En muchos casos, un atacante solo necesita unas pocas horas para conseguir su objetivo, ya sea el robo de datos, el cifrado o la interrupción de las operaciones. Puesto que los atacantes perfeccionan continuamente sus métodos y actúan cada vez más rápido, aplicar medidas de seguridad proactiva y responder a los incidentes con rapidez tienen una importancia crucial.

Una de las formas que tiene Unit 42 de cuantificar la velocidad de un ataque es medir el tiempo que pasa desde la vulneración inicial hasta que un atacante empieza a exfiltrar datos.

En 2024, el tiempo medio desde la vulneración inicial hasta la exfiltración de los ataques a los que Unit 42 respondió era de dos días aproximadamente. Este plazo es alarmante, porque las organizaciones suelen tardar varios días en detectar y corregir una vulneración.

Y si se analizan los casos en los que más rápido se produjo la exfiltración, la velocidad es aún más preocupante.

En uno de cada cuatro casos, el plazo que transcurrió desde la vulneración inicial hasta la exfiltración fue inferior a cinco horas.
Esto es tres veces más rápido que en 2021, año en el que la exfiltración se produjo en un plazo inferior a 15 horas en los casos del primer cuartil.

Los ataques son aún más rápidos en un porcentaje mayor de los incidentes.

En uno de cada cinco casos (el 19 %), el plazo que transcurrió desde la vulneración inicial hasta la exfiltración fue inferior a una hora.

En tres casos recientes a los que respondió Unit 42, pudimos ser testigos de la velocidad de los atacantes:

RansomHub (que Unit 42 asoció a Spoiled Scorpius) accedió a la red de un gobierno municipal a través de una VPN que carecía de autenticación multifactor. Siete horas después de obtener acceso, el actor de amenazas ya había exfiltrado 500 GB de datos de la red.

Un actor de amenazas lanzó un ataque por fuerza bruta contra la cuenta de una VPN para obtener acceso a una universidad. Después de identificar un sistema sin protección XDR, implementó ransomware y exfiltró los datos en un plazo de 18 horas.

Muddled Libra (un grupo que también se conoce como «Scattered Spider») aplicó técnicas de ingeniería social al servicio de asistencia técnica de un proveedor de servicios para acceder a una cuenta de gestión de los privilegios de acceso (PAM). Con dichos privilegios, recopiló las credenciales almacenadas y atacó una cuenta con privilegios de dominio en cuestión de 40 minutos. Tras obtener acceso al dominio, el actor de amenazas se introdujo en un almacén de gestión de contraseñas y añadió una cuenta comprometida al entorno en la nube del cliente para obtener privilegios de mayor nivel que le permitieran exfiltrar los datos.

Los encargados de la defensa tienen menos tiempo que nunca para identificar un ataque, contenerlo y dar una respuesta. En algunos casos, ese tiempo es inferior a una hora.

Sin embargo, estamos logrando reducir el tiempo de permanencia; es decir, el número de días que pasa un atacante dentro del entorno de una víctima antes de que la organización lo descubra o lo detecte. El tiempo de permanencia, que en 2023 era de 13 días, se redujo a 7 días en 2024 (es decir, bajó un 46 %). Esta tendencia lleva disminuyendo desde 2021, año en el que el tiempo de permanencia era de 26,5 días.

Ver más Ver menos

Contramedidas: protección contra ataques más rápidos

Para mejorar sus mecanismos de defensa contra ataques cada vez más rápidos, puede recurrir a las siguientes tácticas:

Medir los tiempos de detección y respuesta: haga un seguimiento del tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) e impulse mejoras continuas para que el SOC actúe más rápido.
Realizar análisis con IA: centralice las fuentes de datos y detecte las anomalías en tiempo real para identificar motivos de alertas críticas más rápido que con métodos manuales.
Usar libros de estrategias automatizados: predefina acciones de contención para aislar endpoints en peligro o bloquear cuentas de usuario en cuestión de minutos.
Hacer pruebas continuamente: realice ejercicios periódicos de simulación y de Red Team para que su equipo de SecOps pueda coordinar bien la detección y la respuesta.
Dar prioridad a los activos de alto riesgo: centre las funciones de respuesta rápida en los sistemas más cruciales; es decir, en aquellos cuyo tiempo de inactividad resultaría más perjudicial o con datos cuya pérdida sería más problemática.

Al integrar la visibilidad en tiempo real, la información obtenida gracias a la IA y flujos de trabajo automatizados, puede anticiparse incluso a los adversarios más ágiles.

Tendencia n.º 4. El auge de las amenazas internas:
la oleada procedente de Corea del Norte

Las amenazas internas plantean algunos de los riesgos que más escapan al control de las organizaciones, puesto que aprovechan los privilegios de acceso y las relaciones de confianza de los que dependen las operaciones de una empresa. Estas amenazas evitan muchas defensas externas, lo que las convierte en un peligro muy difícil de detectar.

Existen grupos de actores de amenazas vinculados con Corea del Norte que recientemente han participado en ataques mediante amenazas internas aún más disruptivos, por los que han logrado infiltrar a sus efectivos en puestos técnicos de organizaciones internacionales. La campaña que investigamos bajo el nombre Wagemole (también conocida como «IT Workers») ha transformado los puestos de ingeniería de las organizaciones en una superficie de ataque más. Este tipo de actividades generan miles de millones de USD y otras monedas fuertes para el régimen de Corea del Norte.

Los actores de amenazas norcoreanos explotan los procesos de contratación tradicionales usando identidades robadas o falsas que respaldan con trayectorias profesionales detalladas. Dichas trayectorias pueden incluir referencias legítimas que se hayan obtenido mediante la manipulación de identidades y vidas laborales reales que superen las comprobaciones básicas.

Aproximadamente un 5 % de los casos de respuesta a incidentes de 2024 estuvieron relacionados con amenazas internas, y la cantidad asociada a Corea del Norte se triplicó en comparación con el año anterior. Aunque esta amenaza es cada vez más conocida y muchos clientes están ojo avizor, cabe destacar que estos actores de amenazas no cejan en su empeño.

Ningún sector está a salvo de esta amenaza. En 2024, esta técnica se amplió a los ámbitos de los servicios financieros, los medios de comunicación, la venta minorista, la logística, el entretenimiento, las telecomunicaciones, los servicios de TI y los contratistas de defensa gubernamentales. Las grandes empresas de tecnología siguieron siendo los objetivos principales de los ataques.

Ver más Ver menos

Mostrar todo + Ocultar todo -

Personal externo contratado

Estas campañas suelen dirigirse contra organizaciones que contratan personal externo para puestos técnicos. Las agencias de contratación se convierten, sin quererlo, en facilitadoras de las estafas norcoreanas en relación con los trabajadores de TI debido a lo siguiente:

Procesos de verificación sintetizados para suplir la urgente demanda de personal
Mecanismos de verificación de identidades limitados
Falta de visibilidad de los proveedores de trabajadores subcontratados
Presión por cubrir las vacantes rápidamente en un mercado competitivo

Aunque ya hay efectivos norcoreanos que han logrado puestos a jornada completa, el personal externo contratado sigue siendo el vector de infiltración que más utilizan.

Tácticas cambiantes

La sofisticación técnica de estos efectivos ha evolucionado. Antes usaban principalmente herramientas de gestión remota comerciales; pero hace poco han empezado a recurrir a estrategias más sutiles.

Y lo que es más preocupante: está aumentando el uso de soluciones de hardware KVM por IP; es decir, dispositivos de tamaño reducido que se conectan directamente a los puertos USB y de vídeo de los sistemas objetivo para ofrecer capacidades de control remoto que pueden eludir la mayoría de las herramientas de supervisión de endpoints. Estos dispositivos, que se conectan a los ordenadores que las propias organizaciones proporcionan, sirven para que los actores de amenazas lleven a cabo su actividad maliciosa.

Las funciones de tunelización de Visual Studio Code, originalmente diseñadas para respaldar el desarrollo legítimo en remoto, ahora se utilizan como canales ocultos para conservar el acceso.

La naturaleza de estas operaciones presenta retos de detección, ya que muchos efectivos tienen conocimientos técnicos reales. Su acceso parece legítimo porque lo es. Realizan el trabajo que se les asigna mientras tratan de lograr sus verdaderos objetivos.

Amenazas que presentan los trabajadores de TI fraudulentos

Una vez que se han incorporado a una empresa, además de ganar un salario de forma ilegal para respaldar al régimen al que sirven, estos infiltrados ponen en marcha una serie de actividades maliciosas:

Exfiltración de datos: se trata de la exfiltración sistemática de datos confidenciales de la empresa y de documentación interna. Los atacantes se sirven de políticas de seguridad, informes de vulnerabilidades y guías de entrevistas para evitar que los detecten mientras vulneran los datos de los clientes, el código fuente y la propiedad intelectual.
Implementación de herramientas no autorizadas: se incorporan herramientas no permitidas (por ejemplo, de gestión remota) para mantener el acceso o preparar el terreno para un ataque posterior.
Modificación del código fuente: al tener acceso a un repositorio de código fuente, el actor de amenazas puede insertar código de puerta trasera, el cual podría ofrecer al resto de su organización acceso no autorizado a los sistemas o posibilitar la manipulación de transacciones financieras.
Extorsión: en algunos casos, los efectivos aprovechan los datos robados para pedir rescates bajo la amenaza de filtrar información privada, y hay ocasiones en las que la cumplen.
Recomendaciones de trabajadores falsos: los actores de amenazas pueden recomendar a otros colaboradores de su organización criminal para que la empresa contrate a más trabajadores de TI fraudulentos. A veces, los candidatos recomendados no son más que clones del candidato original que usan otra identidad falsa para hacerse pasar por personas diferentes.

Contramedidas: protección contra las amenazas internas

La estratagema de los trabajadores de TI norcoreanos ha dejado de ser una mera vía de obtención de ingresos y se ha convertido en una estrategia de amenaza interna más evasiva que afecta a una amplia variedad de organizaciones de todo el mundo. La inversión estratégica del régimen de Corea del Norte en estas operaciones revela su intención de mantener este modelo a largo plazo.

Para protegerse contra esta amenaza, las organizaciones deben cambiar su forma de concebir la seguridad y la gestión del personal.

Se necesita mucho más que controles técnicos para combatir las amenazas internas. Es preciso instaurar una cultura empresarial que fomente la seguridad y la supervisión activa de la actividad de los usuarios, especialmente si tienen privilegios de alto nivel.

Hay medidas que pueden minimizar las probabilidades de fraude, como implementar políticas según el criterio del mínimo privilegio y verificar los antecedentes de los candidatos exhaustivamente antes de tomar decisiones. Además, las organizaciones deben prestar mucha atención a los indicadores de comportamiento, como transferencias de datos inusuales o accesos al sistema en el último momento antes de que los empleados se marchen. Para ello, es importante tener la capacidad de recabar indicadores de distintas fuentes de datos. Un indicador puede parecer inofensivo por sí solo, pero si se combina con otras señales, quizás indique que es necesario abrir una investigación.

En última instancia, debe existir un equilibrio entre la confianza y la verificación. Un solo incidente derivado de una amenaza interna puede echar por tierra años de avances organizativos, poner en peligro la propiedad intelectual y causar daños a la reputación. Las empresas pueden reducir en gran medida la probabilidad de sufrir un ataque de este tipo si refuerzan los procesos internos, supervisan los privilegios de acceso e intensifican la seguridad en todos los niveles.

Tendencia n.º 5. La aparición de los ataques con IA

Aunque aún se encuentra en una fase inicial, el uso malicioso de la GenAI ya está transformando el panorama de ciberamenazas. Los atacantes utilizan métodos con IA para diseñar campañas de phishing más convincentes, automatizar el desarrollo de malware y acelerar la progresión de la cadena de ataque. Todo ello, con el objetivo de que los ciberataques sean más difíciles de detectar y se ejecuten más rápido. Aunque, de momento, el uso de la GenAI por parte de los adversarios es más evolutivo que revolucionario, no hay duda de que esta tecnología ya está transformando la capacidad ofensiva de los ataques.

Mostrar todo + Ocultar todo -

Mejora de las técnicas de ataque gracias a la GenAI

Los ciberdelincuentes con motivaciones económicas y los actores de amenazas persistentes avanzadas (APT) respaldados por Estados están recurriendo a herramientas de GenAI —en especial, a los modelos de lenguaje de gran tamaño (LLM)— para agilizar y amplificar sus ataques. Estas tecnologías automatizan tareas complejas que antes requerían un gran esfuerzo manual, con lo que aceleran todo el ciclo de vida de los ataques.

Por ejemplo, los LLM pueden redactar correos electrónicos de phishing muy convincentes que imitan las comunicaciones reales de una empresa con una precisión sin precedentes, con lo que las campañas de phishing tienen más éxito y son más difíciles de detectar con mecanismos de defensa tradicionales y basados en firmas. Los grupos maliciosos ya están vendiendo herramientas que generan deepfakes creíbles (disponibles de forma gratuita o mediante «planes para empresas» que ofrecen deepfakes por tan solo 249 USD al mes).

A la hora de desarrollar malware, los LLM ayudan a generar y ofuscar el código malicioso, y eso permite a los atacantes crear malware polimórfico que evita los mecanismos de detección estándar. Al automatizar la creación de scripts maliciosos y perfeccionar las cargas de trabajo de malware, la IA facilita la actividad maliciosa a los actores de amenazas menos experimentados, con lo que aumenta el número de posibles atacantes. Además, las herramientas con IA permiten identificar y explotar mejor las vulnerabilidades.

Mayor rapidez gracias a la IA

Una de las mayores consecuencias que tiene el uso de la IA con fines maliciosos es el aumento de la rapidez y la eficiencia de los ciberataques. Ahora, en cuestión de minutos, es posible terminar tareas que antes llevaban días o semanas.

Para demostrarlo, los investigadores de Unit 42 simularon un ataque de ransomware e integraron la GenAI en todas sus fases. En la figura 3 de abajo se ilustra la rapidez de un ataque sin GenAI (basada en el tiempo medio observado durante nuestras investigaciones de respuesta a incidentes) en comparación con el tiempo que se tarda si se usa GenAI.

Con IA

Sin IA

Figura 3: Diferencia de velocidad entre un ataque simulado en el que se usan técnicas con IA y otro en el que no.

En la prueba, el tiempo desde la vulneración inicial hasta la exfiltración bajó de una media de dos días a 25 minutos; es decir, la rapidez se multiplicó por 100. Aunque estos sean los resultados de una simulación, queda patente que la rapidez con la que se pasa de la fase de reconocimiento a la de explotación acelera considerablemente el tiempo que tarda en impactar el ataque, por lo que a las organizaciones les resulta más difícil dar una respuesta a tiempo para mitigar los daños.

Contramedidas: protección contra los ataques con IA

Las siguientes tácticas pueden ayudarle a protegerse contra los ataques con IA:

Implementar mecanismos de detección con IA para identificar patrones maliciosos a toda velocidad y correlacionar datos de varias fuentes.
Formar al personal para que reconozcan las técnicas de phishing generadas con IA, los deepfakes y los intentos de ataque mediante ingeniería social.
Incluir en los ejercicios de simulación tácticas maliciosas basadas en la IA con la idea de prepararse para los ataques rápidos y a gran escala.
Desarrollar flujos de trabajo automatizados para que el SOC pueda contener las amenazas antes de que trasladen o exfiltren datos.

3. Cómo consiguen sus objetivos los actores de amenazas: tácticas, técnicas y procedimientos comunes y eficaces

Los actores de amenazas siguen incrementando la rapidez, la magnitud y la sofisticación de los ataques. Esto les permite causar daños generalizados en poco tiempo, con lo que a las organizaciones les resulta difícil detectar su actividad y mitigarla de forma eficiente.

Los datos sobre casos que tenemos revelan dos tendencias clave:

Los actores de amenazas suelen atacar una organización desde varios frentes

Cuando analizamos el comportamiento de los actores de amenazas, observamos que alternaban la ingeniería social con los ataques dirigidos a endpoints, recursos en la nube y otros objetivos de ataque, tal y como se muestra en la tabla 2.

Frentes de ataque	Porcentaje de casos
Endpoints	72%
Personas	65%
Identidad	63%
Red	58%
Correo electrónico	28%
Nube	27%
Aplicación	21%
SecOps	14%
Base de datos	1%

Tabla 2: Frentes de ataque contra los que actúan los actores de amenazas según nuestras observaciones.

En el 84 % de los incidentes, los actores de amenazas atacaron a sus víctimas por varios frentes (en el 70 % de las veces, por tres o más). En algunos incidentes a los que respondimos, los actores de amenazas atacaron incluso por ocho frentes.

Puesto que los ataques son cada vez más complejos, es necesario disponer de una visión unificada de todas las fuentes de datos. En el 85 % de los casos, los responsables de la respuesta a incidentes de Unit 42 tuvieron que acceder a numerosos tipos de fuentes de datos para realizar su investigación. Los encargados de la defensa deben prepararse para acceder y procesar con eficiencia la información de las diferentes fuentes de una organización.

Los navegadores son una vía de acceso clave para las amenazas

La actividad maliciosa de casi la mitad de los incidentes de seguridad que investigamos (el 44 %) procedía o se canalizó a través de los navegadores de los empleados. Esta actividad abarca técnicas de phishing, redireccionamientos a URL fraudulentas y descargas de malware, las cuales aprovechan sesiones de navegador que no cuentan con los mecanismos adecuados de bloqueo o detección.

Las interacciones de los usuarios con enlaces, dominios o archivos maliciosos, junto con la carencia de controles de seguridad, producen brechas. Las organizaciones deben mejorar la visibilidad e implementar controles sólidos en los navegadores para detectar, bloquear y responder a estas amenazas antes de que se propaguen.

Las siguientes secciones incluyen nuestras observaciones sobre la intrusión, así como las conclusiones sobre técnicas de ataque comunes que hemos extraído de los datos de los casos gestionados por Unit 42.

Ver más Ver menos

3.1. Intrusión: más ingeniería social, tanto generalizada como específica

En 2024, el phishing se alzó como el vector de acceso inicial más común según los datos de casos de Unit 42, ya que representó casi un cuarto de los incidentes (el 23 %), tal y como se muestra en la figura 4.

Mostrar todo

Figura 4: Vectores de acceso inicial observados en los incidentes a los que Unit 42 ha respondido a lo largo de los años. Otras técnicas de ingeniería social son el envenenamiento SEO, la publicidad maliciosa, el smishing, la fatiga de MFA y la vulneración del servicio de asistencia técnica. Otros vectores de acceso inicial son el uso abusivo de relaciones o herramientas de confianza, así como las amenazas internas.

Los vectores de acceso inicial por sí solos no lo explican todo. Los diferentes vectores de acceso inicial suelen corresponderse con perfiles de actores de amenazas distintos y objetivos concretos. Por ejemplo, cuando los actores de amenazas obtienen acceso mediante el phishing, el tipo de incidente asociado suele ser el acceso no autorizado a los sistemas de correo electrónico de la empresa (el 76 % de los casos), seguido muy de lejos por la extorsión, sobre todo mediante ransomware (casi el 9 %).

Los adversarios estatales —que son responsables de un pequeño pero dañino porcentaje de los incidentes— tienen predilección por las vulnerabilidades de software o API como vector de acceso inicial.

Los encargados de la defensa deben conocer las formas en las que los actores de amenazas suelen usar las credenciales previamente expuestas que suelen adquirir por medio de los agentes de acceso inicial. Si se hacen búsquedas exhaustivas en la deep web y la dark web, se suelen encontrar credenciales previamente expuestas.

También hay otros vectores de acceso inicial menos comunes que pueden tener consecuencias nada desdeñables. Por ejemplo, Unit 42 sigue viendo cómo el grupo de ciberdelincuencia Muddled Libra obtiene acceso a las organizaciones aplicando técnicas de ingeniería social contra el servicio de asistencia técnica. También hay otros que recurren a esta técnica, como un actor de amenazas con motivaciones económicas ubicado en Nigeria.

Los ciberdelincuentes que usan esta técnica perpetran fraudes sin usar malware: utilizan documentos de identidad falsos o números de teléfonos VoIP que usan la geolocalización de la ciudad en la que se encuentran sus víctimas. Del total de incidentes, el porcentaje de los ataques dirigidos que se reflejan en nuestros datos ha aumentado del 6 % en 2022 al 13 % en 2024.

Ver más Ver menos

Contramedidas: protección contra los ataques de ingeniería social

Los encargados de la defensa deben seguir usando estrategias de «defensa en profundidad» para prepararse de cara a los vectores comunes de acceso inicial y minimizar el impacto de los actores de amenazas que logren entrar en los sistemas.

Es imperativo impartir formación sobre seguridad a los empleados para ayudarlos a identificar los ataques de ingeniería social y evitar que caigan en ellos. Dicha formación no debe limitarse al phishing y al spear phishing, sino que también debe abarcar lo siguiente:

Estrategias para mejorar la seguridad física (por ejemplo, cómo evitar el «badge tailgating» o, lo que es lo mismo, que los intrusos entren en las instalaciones aprovechando que entra una persona autorizada)
Prácticas recomendadas para prevenir la pérdida de dispositivos
Instrucciones sobre qué hacer ante el robo de un dispositivo o si este se ha dejado sin supervisión
Indicadores de amenazas internas
Señales de peligro que deben detectarse durante conversaciones con el servicio de asistencia técnica
Señales de deepfakes

3.2. Información sobre técnicas de ataque procedente de casos de Unit 42

Tras observar las tácticas y técnicas que aplicaron los atacantes más sofisticados en 2024, nuestros analistas de inteligencia sobre amenazas extrajeron tres conclusiones clave de cara a la defensa:

A los atacantes les sirve cualquier tipo de acceso. Aunque un grupo de actores de amenazas parezca que ha centrado su atención en otros objetivos de ataque, es muy importante que la organización esté siempre preparada para defenderse.
Los actores de amenazas más avezados no siempre lanzan ataques complejos. Si pueden recurrir a una estrategia más sencilla, lo harán.
A pesar del predominio de la extorsión, no todos los actores de amenazas anuncian su presencia. Por ejemplo, la especialidad de los adversarios estatales suele ser ocultarse en una red en peligro, sobre todo mediante la técnica de «vivir de la tierra».

En las siguientes secciones se profundiza en las técnicas que usan los grupos de adversarios estatales y otros actores de amenazas muy activos.

Mostrar todo + Ocultar todo -

Todo acceso es importante

Con frecuencia, las organizaciones dan menos prioridad a la defensa contra actores de amenazas específicos por creer que se centran en otros objetivos. Sin embargo, la experiencia nos ha demostrado en repetidas ocasiones que los grupos persistentes tienden a causar daños en muchas organizaciones hasta que logran su objetivo final.

A lo largo de 2024, Unit 42 ha supervisado muchas organizaciones que han sido atacadas por adversarios estatales, cuyos objetivos no siempre están directamente asociados al espionaje. A veces, su objetivo es tomar posesión de dispositivos que les ayuden a desarrollar su actividad posteriormente (técnica T1584, denominada «infraestructura en riesgo»).

Por ejemplo, se sabe que el grupo Insidious Taurus, también conocido como Volt Typhoon, aprovechó dispositivos expuestos de manera oportunista (enrutadores de red conectados a internet y activos de IoT, en su mayoría) para crear botnets que facilitaran el comando y control del tráfico de red que enviaban o recibían otras víctimas.

También se han observado ataques y exposiciones de proveedores de tecnología para recabar información confidencial de clientes o incluso para explotar el acceso mediante interconexión con víctimas indirectas (técnica T1199, denominada «relación de confianza»).

La seguridad de una red puede estar en riesgo aunque la organización a la que pertenezca no sea el objetivo principal.

Lo eficaz no tiene por qué ser nuevo ni sofisticado

El término «amenazas avanzadas persistentes» ha creado la impresión de que la actividad de este tipo de adversarios es innovadora y compleja; pero, en realidad, incluso los actores de amenazas bien equipados suelen decantarse por la vía que opone menos resistencia. Algunos ejemplos de esto son la explotación de vulnerabilidades conocidas e incluso antiguas (técnica T1190, denominada «aprovechamiento de una aplicación pública»), el uso indebido de funciones de acceso remoto legítimo (técnica T1133, denominada «servicios remotos externos») o el robo de información a través de servicios en línea populares (técnica T1567, denominada «exfiltración por servicio web»).

Observamos fallos y problemas sistémicos que suelen repetirse en las redes, como errores de configuración y la exposición de dispositivos conectados a internet, los cuales facilitan la entrada de actores maliciosos.

Tras el acceso inicial, los atacantes pueden ser pacientes y silenciosos

Los actores de amenazas con motivaciones económicas perpetraron la mayoría de los incidentes, y muchos de ellos actuaron rápidamente y anunciaron su presencia para extorsionar a sus víctimas. Sin embargo, también hemos visto incidentes protagonizados por adversarios que evitaron hacer saltar las alertas y se esforzaron por eludir los mecanismos de defensa con fines de espionaje, entre otros.

A veces, los atacantes aprovechan la complejidad de las redes para ocultarse entre el «ruido» que produce la actividad habitual de los usuarios y hacen un uso indebido de las funciones legítimas de un entorno en peligro; es decir, recurren a la técnica de «vivir de la tierra». La eficacia que tiene esta estrategia de ataque demuestra que distinguir la actividad maliciosa de la legítima a veces resulta casi imposible.

Por ejemplo, pongámonos en una situación real muy común, ¿sabría identificar al instante si las siguientes acciones las realiza un administrador o un agente de APT?

Ejecución de comandos
Cambios en la configuración del sistema
Inicios de sesión
Tráfico de la red

Técnica	Tendencias observadas en 2024
T1078: cuentas válidas	Esta técnica fue una de las más usadas como vector de acceso inicial (de los tipos de técnicas agrupadas observadas en relación con esta táctica, más del 40 % tuvieron que ver con cuentas válidas). La propician los puntos débiles de la gestión de identidades y accesos (IAM) y de la gestión de la superficie de ataque (ASM); por ejemplo: Ausencia de MFA (en el 28 % de los casos) Uso de contraseñas predeterminadas o poco seguras (en el 20 % de los casos) Controles insuficientes para el bloqueo de cuentas o técnicas de fuerza bruta (en el 17 % de los casos) Permisos de cuenta excesivos (en el 17 % de los casos)
T1059: intérprete de comandos y scripts	Se trata de la técnica de ejecución más usada (por ejemplo, más del 61 % de los casos asociados a esta táctica de ejecución hicieron un uso indebido de PowerShell de esta forma). Otras utilidades del sistema de las que se hace un uso indebido habitualmente son los shells nativos de Windows, Unix, dispositivos de red y aplicaciones específicas para realizar diversas tareas.
T1021: servicios remotos	El uso indebido de estos servicios fue con diferencia la técnica más utilizada de movimiento lateral (de los tipos de técnicas agrupadas observadas en relación con esta táctica, más del 86 % tuvieron que ver con servicios remotos). Estos datos contribuyen a reforzar la tendencia que revela la reutilización de credenciales legítimas. En lugar de hacer un uso más tradicional de esas credenciales, vemos que se aprovechan en autenticaciones a través de protocolos de red internos, como RDP (en más del 48 % de los casos), SMB (en más del 27 %) y SSH (en más del 9 %).

Técnica

Tendencias observadas en 2024

T1078: cuentas válidas

Esta técnica fue una de las más usadas como vector de acceso inicial (de los tipos de técnicas agrupadas observadas en relación con esta táctica, más del 40 % tuvieron que ver con cuentas válidas). La propician los puntos débiles de la gestión de identidades y accesos (IAM) y de la gestión de la superficie de ataque (ASM); por ejemplo:

Ausencia de MFA (en el 28 % de los casos)
Uso de contraseñas predeterminadas o poco seguras (en el 20 % de los casos)
Controles insuficientes para el bloqueo de cuentas o técnicas de fuerza bruta (en el 17 % de los casos)
Permisos de cuenta excesivos (en el 17 % de los casos)

T1059: intérprete de comandos y scripts

Se trata de la técnica de ejecución más usada (por ejemplo, más del 61 % de los casos asociados a esta táctica de ejecución hicieron un uso indebido de PowerShell de esta forma). Otras utilidades del sistema de las que se hace un uso indebido habitualmente son los shells nativos de Windows, Unix, dispositivos de red y aplicaciones específicas para realizar diversas tareas.

T1021: servicios remotos

El uso indebido de estos servicios fue con diferencia la técnica más utilizada de movimiento lateral (de los tipos de técnicas agrupadas observadas en relación con esta táctica, más del 86 % tuvieron que ver con servicios remotos). Estos datos contribuyen a reforzar la tendencia que revela la reutilización de credenciales legítimas. En lugar de hacer un uso más tradicional de esas credenciales, vemos que se aprovechan en autenticaciones a través de protocolos de red internos, como RDP (en más del 48 % de los casos), SMB (en más del 27 %) y SSH (en más del 9 %).

Tabla 3: Técnicas predominantes del tipo «vivir de la tierra» observadas en los casos de respuesta a incidentes de Unit 42.

Además de usar la técnica de «vivir de la tierra», hemos visto que algunos actores de amenazas (sobre todo en ataques de ransomware) trataron de usar herramientas para desactivar la EDR con el fin de «modificar la tierra» durante sus operaciones. En casi un 30 % de los tipos de técnicas agrupadas observadas en relación con la evasión de las defensas se recurrió a la técnica T1562, denominada «desactivación de defensas», la cual incluye subtécnicas como las siguientes:

Aunque existen muchas artimañas, cada vez nos encontramos con más brechas en las que se ha aplicado la técnica de incorporar un controlador vulnerable propio (BYOVD o Bring Your Own Vulnerable Driver). Esta permite obtener los permisos necesarios para eludir e incluso atacar una solución EDR y otros mecanismos de defensa instalados en un host en riesgo. Estas son algunas de las técnicas relacionadas:

Contramedidas: protección contra TTP comunes y eficaces

Los encargados de la defensa deben formarse una idea clara sobre la superficie de ataque interna y externa de la organización. Evalúe periódicamente qué datos o dispositivos son accesibles o están expuestos a la red internet pública y evite al máximo los errores de configuración y los ajustes peligrosos de acceso remoto. Deshágase de los dispositivos en los que se ejecuten sistemas operativos que ya no admitan actualizaciones de seguridad frecuentes e identifique las vulnerabilidades de sus sistemas (incluidos los más antiguos), especialmente si tienen código PoC publicado.

Establezca una base de referencia práctica para el entorno, incluidas las cuentas, las aplicaciones, las soluciones de software y otras actividades que estén autorizadas. Implemente una buena estrategia de creación de logs y utilice herramientas de análisis que le ayuden a correlacionar varias fuentes de datos para detectar patrones de comportamiento inusuales.

4. Recomendaciones para encargados de la defensa

En esta sección se analizan en detalle aquellos problemas sistémicos que los atacantes aprovechan con más frecuencia, así como las estrategias específicas para contrarrestarlos. Al abordar proactivamente estos factores, las organizaciones pueden reducir los riesgos cibernéticos, reforzar la resiliencia y obtener una ventaja decisiva respecto a las amenazas actuales y emergentes.

4.1. Factores comunes de vulnerabilidad

Los factores comunes de vulnerabilidad son problemas sistémicos que permiten a los actores de amenazas conseguir sus objetivos una y otra vez. Las organizaciones que abordan dichos problemas proactivamente reducen tanto la probabilidad como el impacto de los ciberataques.

Tras responder a miles de incidentes, hemos identificado tres factores principales de vulnerabilidad: la complejidad, los ángulos muertos y el exceso de confianza. Estos factores facilitan el acceso inicial, permiten que las amenazas ganen terreno sin control y amplifican los daños generales. No obstante, si se atajan directamente, es posible reforzar los mecanismos de defensa y mejorar la resiliencia.

Mostrar todo + Ocultar todo -

1. Seguridad compleja: la enemiga de la eficacia en las SecOps y la respuesta a incidentes

Los entornos actuales de seguridad y TI a veces parecen un mosaico de aplicaciones antiguas, infraestructura añadida e iniciativas de transformación inconclusas. Por eso, muchas organizaciones se ven obligadas a usar del orden de 50 herramientas de seguridad independientes. Estas herramientas dispares, que se adoptan para combatir amenazas concretas, normalmente no se pueden integrar, así que los datos quedan aislados y los equipos carecen de una vista unificada de los entornos.

En el 75 % de los incidentes que hemos investigado, los logs contenían pruebas cruciales de la intrusión inicial. Sin embargo, debido a la complejidad y la inconexión de los sistemas, no era fácil acceder a la información, o esta no podía aplicarse de forma eficaz, y eso permitió a los atacantes aprovechar las lagunas de seguridad sin ser detectados.

Al mismo tiempo, es esencial disponer de varias fuentes de datos para detectar las amenazas y responder a ellas con eficacia. En aproximadamente un 85 % de los incidentes, fue necesario correlacionar los datos de varias fuentes para determinar el alcance y el impacto total. De hecho, en casi la mitad de ellos (el 46 %), se necesitó correlacionar datos de cuatro fuentes como mínimo. Cuando estos sistemas no se comunican (o no hay datos de telemetría completos), hay indicios fundamentales que quedan ocultos hasta que ya es demasiado tarde.

Caso ilustrativo:
En un ataque de ransomware, el sistema de detección y respuesta en el endpoint (EDR) captó un movimiento lateral, mientras que la vulneración inicial quedó oculta en logs de red no supervisados. Esta visibilidad fragmentada retrasó la detección durante mucho tiempo y eso dio a los atacantes el tiempo suficiente para exfiltrar datos e implementar cargas de ransomware.

2. Ángulos muertos: no se puede proteger lo que no se conoce

La visibilidad de toda la empresa es el pilar que sustenta la eficacia de las operaciones de seguridad. Sin embargo, con frecuencia tiene ángulos muertos. En concreto, los servicios en la nube plantean bastantes retos. Según los datos de Unit 42, las organizaciones ponen en marcha una media de 300 servicios en la nube cada mes. Si los equipos de SecOps carecen de la suficiente visibilidad en tiempo de ejecución, no podrán detectar los problemas de exposición ni los ataques. Los activos no gestionados ni supervisados —ya sean endpoints, aplicaciones o informática en la sombra— son puntos que facilitan a los atacantes el acceso al entorno de una organización.

De hecho, los problemas relacionados con la gestión y las herramientas de seguridad fueron factores que contribuyeron a cerca de un 40 % de los incidentes. Estos ángulos muertos permitieron a los atacantes entrar, moverse lateralmente y obtener privilegios de mayor nivel sin ser detectados.

Caso ilustrativo:
En un incidente, el grupo Muddled Libra usó la cuenta de un usuario con privilegios para obtener permisos de alto nivel en el entorno de AWS del cliente y, posteriormente, exfiltrar datos. Puesto que el servicio en la nube no estaba integrado en el SOC ni en el SIEM de la organización, en un principio la actividad sospechosa pasó desapercibida.

3. El exceso de confianza multiplica el impacto

El acceso demasiado permisivo es un factor de gran riesgo. En los incidentes a los que respondemos, los atacantes aprovechan constantemente las cuentas con permisos excesivos y los controles con accesos inadecuados para amplificar sus ataques.

De hecho, en el 41 % de los incidentes, se dio al menos un factor de vulnerabilidad relacionado con problemas de IAM, como roles y cuentas con permisos excesivos. Esto deriva en movimientos laterales y accesos a aplicaciones e información confidencial, los cuales permiten a los atacantes conseguir sus objetivos finales.

En este ámbito, los entornos en la nube también son especialmente vulnerables. Los investigadores de Unit 42 descubrieron que en casi la mitad de los incidentes relacionados con la nube intervino al menos un factor de vulnerabilidad relacionado con problemas de IAM, como roles y cuentas con permisos excesivos.

En muchos casos, los atacantes obtuvieron un nivel de acceso superior al que deberían haber logrado a través de los tipos de roles que explotaron. Tras el acceso inicial —que se logra mediante técnicas de phishing, credenciales robadas o la explotación de vulnerabilidades—, el exceso de confianza permite que los atacantes obtengan privilegios de mayor nivel, exfiltren datos e interrumpan las operaciones rápidamente.

Caso ilustrativo:
En un incidente sufrido por una empresa de servicios de TI, los atacantes aprovecharon cuentas de administrador con permisos excesivos para moverse lateralmente y obtener privilegios de mayor nivel después de forzar una VPN sin autenticación multifactor. Este exceso de confianza posibilitó la implementación de ransomware en 700 servidores ESXi y, en última instancia, interrumpir las principales operaciones de la empresa y afectar a 9000 sistemas.

4.2. Recomendaciones para encargados de la defensa

Si las organizaciones ponen remedio a la complejidad, los ángulos muertos y el exceso de confianza, pueden reducir considerablemente el riesgo de sufrir ciberataques y minimizar su impacto. Así, no solo se evita incurrir en largos periodos de inactividad y costosas medidas de corrección de brechas, sino que también se garantiza la continuidad operativa y la confianza de las partes interesadas. A continuación, recomendamos algunas estrategias para abordar directamente estos problemas sistémicos.

Mostrar todo +

1. Equipar a SecOps para que tenga una mayor visibilidad y una capacidad de respuesta más rápida

El SOC es la última línea de defensa. Cuando los controles de la red, las identidades, los endpoints y las aplicaciones fallan, este equipo debe contar con herramientas y funciones de detección y respuesta que le permitan actuar rápidamente, antes de que las amenazas vayan a más. Por ello, debe ofrecer al SOC una visibilidad completa de la empresa, así como tecnología para distinguir las señales del ruido.

Procese todos los datos de seguridad relevantes: agregue y normalice los datos de telemetría procedentes de la infraestructura en la nube, los sistemas locales, las identidades, los endpoints y las aplicaciones para disponer de una única fuente de información fidedigna. La vista unificada resultante reduce al mínimo las lagunas de seguridad y la complejidad que implica lidiar con varias herramientas. Haga un inventarios de todos los activos y los propietarios que incluye la superficie de ataque interna y externa, e integre inteligencia sobre amenazas para dar prioridad a los indicadores de alto riesgo.
Detecte y priorice las amenazas mediante funciones con IA: aplique la inteligencia artificial y el aprendizaje automático para cribar grandes conjuntos de datos con el fin de identificar amenazas ocultas y comportamientos anómalos. Los análisis de comportamiento con IA ayudan a predecir los ataques antes de que lleguen a materializarse. El SOC debe medir el MTTD para cuantificar las mejoras. Buscar amenazas y correlacionar señales de varias fuentes de datos de forma habitual ayudan a encontrar la «aguja en el pajar».
Proporcione funciones de respuesta a las amenazas en tiempo real gracias a la automatización: automatizar los flujos de trabajo de respuesta a incidentes es crucial para contener las amenazas a toda velocidad y, sobre todo, antes de que el atacante pueda obtener privilegios de mayor nivel o exfiltrar datos confidenciales. El SOC debe hacer un seguimiento del MTTR para promover mejoras continuas. La integración óptima entre las plataformas de SOC, los sistemas de TI y las aplicaciones empresariales también evita los cuellos de botella de tareas manuales que retrasan la aplicación de correcciones.
Pase de la seguridad reactiva a la proactiva: combine ejercicios de Red Team, simulaciones de incidentes y evaluaciones continuas de la seguridad para perfeccionar la lógica de detección y los libros de estrategias de respuesta. Este bucle de retroalimentación constante ayuda al SOC a adaptarse a las nuevas amenazas conforme aparecen. Ofrecer formación avanzada a los miembros del SOC permite atajar carencias de conocimientos y garantiza que la organización esté preparada para la siguiente ola de ataques.
Cuente con más expertos en respuesta a incidentes: tener en reserva a un equipo especializado en respuesta a incidentes —como Unit 42— le garantiza la ayuda inmediata de expertos cuando los incidentes se complican. Aparte de ofrecer una respuesta ante emergencias, los créditos del acuerdo de anticipo de honorarios pueden cubrir servicios proactivos de búsqueda de amenazas, ejercicios de simulación y evaluaciones de Purple Team, entre otros. Estos mejoran su grado de preparación y optimizan los mecanismos de defensa en previsión de un ataque.

Si su SOC sigue estos principios básicos, su organización podrá protegerse contra los adversarios, contener los incidentes con rapidez y mejorar sus mecanismos de defensa para anticiparse a los riesgos que surjan.

2. Acelerar la transición al modelo Zero Trust

Zero Trust es un modelo de seguridad estratégico que consiste en eliminar la confianza implícita y validar de forma continua a todos los usuarios, dispositivos y aplicaciones, independientemente de su ubicación o plataforma. Aunque puede ser complejo aplicarlo en su totalidad, los avances progresivos permitirán reducir los riesgos, proteger los datos confidenciales y mejorar la resiliencia. Las siguientes recomendaciones generales le ayudan a abordar directamente tres factores comunes de vulnerabilidad (la complejidad, los ángulos muertos y el exceso de confianza) a la hora de adoptar un modelo Zero Trust.

Identifique y verifique a todos los usuarios, dispositivos y ubicaciones: autentique todas las entidades locales y remotas constantemente (humanas o tecnológicas) antes de concederles acceso. Así, evitará riesgos y reducirá la complejidad gracias a una única fuente de información de identidades fidedigna. Las entidades verificadas deberán someterse a una supervisión continua para minimizar los accesos no autorizados.
Aplique el principio de acceso según el criterio del mínimo privilegio de forma estricta: otorgue a los roles únicamente el nivel de acceso que necesiten en función de reglas basadas en el contexto que contemplan la identidad, la estrategia de seguridad de los dispositivos y la confidencialidad de los datos. Así, neutralizará el problema del «exceso de confianza», pues limitará el alcance del daño en caso de que una cuenta quede expuesta. La segmentación de la red aísla aún más los activos cruciales y evita que los atacantes se muevan lateralmente.
Aplique una inspección integral de la seguridad: analice el tráfico de la red —incluidos los flujos cifrados— para prevenir y detectar amenazas activas sin que el rendimiento se resienta. Adapte los controles a los distintos entornos (p. ej. la nube o el IoT) para reducir la complejidad operativa y evitar los ángulos muertos. Esta estrategia de inspección integrada mejora la precisión a la hora de detectar las amenazas y acelera la respuesta a incidentes.
Controle el acceso y el movimiento de datos: clasifique los datos y aplique políticas sólidas de gestión para proteger la información confidencial. Las tecnologías de prevención de pérdida de datos (DLP) supervisan los flujos y detienen las transferencias no autorizadas, con lo que blindan su organización frente al robo de propiedad intelectual, las infracciones del cumplimiento normativo y las repercusiones financieras.

Con la adopción de estos principios Zero Trust —aunque sea progresiva—, no solo abordará los factores principales que posibilitan los ataques, sino que también establecerá un modelo de seguridad sostenible que obtendrá el respaldo del equipo directivo.

3. Proteger las aplicaciones y la nube desde el desarrollo hasta el tiempo de ejecución

Puesto que los entornos en la nube y las cadenas de suministro de software están en el punto de mira de los adversarios, para anticiparse a las amenazas, es crucial integrar la seguridad en las fases de DevOps y disponer de visibilidad en tiempo real de los errores de configuración y las vulnerabilidades, así como dotar al equipo de SecOps de las funciones necesarias para supervisar y responder de forma continua a los ataques basados en la nube. Las siguientes recomendaciones permiten integrar la seguridad en todas las fases para evitar las brechas antes de que lleguen a la producción y contener las amenazas en tiempo real.

Evite que los problemas de seguridad lleguen a la fase de producción: integre la seguridad en las primeras fases del ciclo de desarrollo. Refuerce las herramientas de desarrollo y DevOps, controle los componentes de terceros y de código abierto, y realice análisis continuos durante el proceso de CI/CD. Con esta estrategia «shift left», las vulnerabilidades se identifican antes de que lleguen a producción.
Corrija los puntos débiles de seguridad recién descubiertos: supervise continuamente la infraestructura en la nube para detectar errores de configuración, vulnerabilidades y permisos excesivos. El análisis automatizado y la corrección basada en el riesgo garantizan que los problemas se identifiquen y contengan en cuanto surjan. Esta garantía es crucial para detener a los atacantes antes de que obtengan acceso.
Identifique y bloquee ataques en tiempo de ejecución: proteja las aplicaciones, las API y las cargas de trabajo con controles preventivos y detección de amenazas en tiempo real. La supervisión continua ayuda a neutralizar la actividad maliciosa en curso, lo que permite minimizar las interrupciones operativas y pararles los pies a los atacantes antes de que las amenazas lleguen a mayores.
Automatice la detección y respuesta en la nube: aproveche los servicios nativos en la nube y las herramientas de seguridad de terceros para coordinar la respuesta automática a incidentes. Al eliminar los cuellos de botella de tareas manuales, reducirá el tiempo del que disponen los atacantes para cambiar de actividad, exfiltrar datos u obtener privilegios de mayor nivel.

Centrarse en estas estrategias permite contrarrestar las amenazas emergentes que acechan a la nube y la cadena de suministro de software, y neutralizar los intentos de acceder al entorno en fases tempranas.

5. Apéndice: Técnicas MITRE ATT&CK^® por táctica, tipos de investigación y otros datos de casos

5.1. Descripción general de las técnicas MITRE ATT&CK observadas por táctica

Los siguientes gráficos (figuras 5 a 16) representan las técnicas MITRE ATT&CK® que hemos observado, en relación con tácticas específicas. Tenga en cuenta que los porcentajes mostrados indican la prevalencia de cada técnica en comparación con el resto de los tipos de técnicas identificados de las respectivas tácticas. Dichos porcentajes no representan la frecuencia con la que las técnicas se utilizaron en los casos.

Acceso inicial

Figura 5: Prevalencia relativa de las técnicas observadas en relación con la táctica de acceso inicial.

5.2. Datos por región y sector

El tipo de investigación más común que hicimos en 2024 fueron las intrusiones en la red (en torno al 25 % de los casos). El hecho de que hubiera tantas investigaciones de este tipo es bueno, porque asignamos esta categoría cuando la intrusión en la red es la única actividad maliciosa que observamos. Creemos que el aumento de este tipo de investigación se debe a que, al menos en algunos casos, los clientes nos llaman en fases más tempranas de la cadena de ataque, y eso ayuda a detener a los atacantes antes de que puedan conseguir el resto de los objetivos.

Aunque las preocupaciones de los encargados de la defensa de todos los sectores y regiones muchas veces coinciden, también hay algunas diferencias.

En Norteamérica, los accesos no autorizados a los sistemas de correo electrónico de la empresa seguían muy de cerca a la intrusión en la red (el 19 % de los casos frente al 23 %). En EMEA, la extorsión de cualquier tipo (con y sin cifrado) supera ligeramente a las intrusiones en la red que figuran en nuestros datos (el 31 % de los casos frente al 30%).

Los datos sobre sectores que manejamos dejan claro que la extorsión constituye una preocupación importante. En el sector de la alta tecnología, el principal tipo de investigación fue también el de la extorsión con y sin cifrado (el 22 %). Lo mismo ocurre en el sector de la fabricación industrial, que es el que más veces aparece representado en los sitios de filtraciones de grupos de ransomware que circulan en la dark web (el 25 %).

Los accesos no autorizados a los sistemas de correo electrónico de la empresa siguen siendo una amenaza considerable, especialmente en los sectores de los servicios financieros (el 25 % de los casos), de los servicios profesionales y jurídicos (el 23 %) y del comercio mayorista y minorista (el 21 %).

Aparte de la gran proporción de casos que implican o afectan a los servicios en la nube de las organizaciones, observamos una tendencia menor pero progresiva de casos de ataques contra el plano de datos o el plano de control en la nube. Estos ascienden al 4 % del total de los casos, pero el porcentaje es mayor en sectores como el de la alta tecnología y el de los servicios profesionales y jurídicos (el 9 % de los casos en ambos). Estos ataques dirigidos específicamente contra la nube pueden tener consecuencias importantes. En el caso de los ataques al plano de control en la nube, los atacantes pueden obtener acceso a toda la infraestructura en la nube de una organización. Por su parte, los ataques al plano de datos permiten a los adversarios recabar un gran volumen de datos confidenciales debido al tipo y el alcance de los datos que se suelen almacenar en la nube.

Ver más Ver menos

Tipo de investigación por región

Norteamérica

Figura 17: Tipos de investigación en Norteamérica.

Tipo de investigación por sector

Las figuras 19 a 24 que aparecen a continuación muestran un desglose de los principales tipos de investigación asociados a los seis sectores más representados en nuestros datos de respuestas a incidentes.

Alta tecnología

Figura 19: Tipos de investigación en el sector de la alta tecnología.

6. Datos y metodología

Los datos usados para elaborar este informe se han extraído de más de 500 casos a los que Unit 42 respondió entre octubre de 2023 y diciembre de 2024, así como de otros casos que se remontan hasta 2021.

Nuestros clientes van desde pequeñas organizaciones de menos de 50 empleados hasta empresas de las listas Fortune 500 y Global 2000, así como entidades del sector público de más de 100 000 empleados.

Las organizaciones afectadas tenían sus sedes en 38 países distintos. En torno al 80 % de las organizaciones que protagonizaron estos casos de ataque se encontraban en EE. UU. Los casos relacionados con las organizaciones ubicadas en Europa, Oriente Medio y Asia-Pacífico constituyen el 20 % restante. El impacto de los ataques suele expandirse más allá de las ubicaciones en las que se encuentran las organizaciones.

Combinamos los datos de los casos con la información que hemos obtenido a través de nuestra investigación de amenazas, que se basa en datos de telemetría de productos y en observaciones de los sitios de filtraciones de la dark web, así como en otros datos de código abierto.

Los responsables de la respuesta a incidentes también han compartido sus observaciones sobre las tendencias clave que han detectado mientras trabajaban directamente con los clientes.

Nuestros datos pueden verse afectados por algunos sesgos, como la tendencia a trabajar con organizaciones grandes con estrategias de seguridad más maduras. También hemos optado por resaltar los casos que consideramos que ilustran las tendencias emergentes. Esto ha implicado que, en ocasiones, nos hayamos centrado en segmentos de datos más reducidos.

En lo que respecta a algunos temas, hemos decidido filtrar los datos para eliminar factores que pudieran distorsionar los resultados. Por ejemplo, prestamos servicios de respuesta a incidentes para ayudar a los clientes a investigar los posibles efectos de la CVE-2024-3400, con lo que esta vulnerabilidad aparece sobrerrepresentada en nuestro conjunto de datos. En determinados casos, hemos corregido los datos para mitigar dicha sobrerrepresentación.

El principio por el que se ha regido este informe ha sido proporcionar a los lectores información clave sobre el presente y el futuro del panorama de amenazas, con el objetivo de que puedan mejorar sus mecanismos de defensa.

Colaboradores:

Aditi Adya, consultora

Jim Barber, consultor sénior

Richard Emerson, director de la Unidad de Respuesta Inteligente

Evan Gordenker, director sénior de Consultoría

Michael J. Graven, director de Operaciones de Consultoría Global

Eva Mehlert, directiva sénior y directora de Comunicaciones Internas de Unit 42

Lysa Myers, editora técnica sénior

Erica Naone, directora sénior de Relaciones Externas de Unit 42

Dan O'Day, director de Consultoría

Prashil Pattni, investigador sénior de Amenazas

Laury Rodriguez, consultora

Sam Rubin, vicepresidente sénior de Consultoría e Inteligencia sobre Amenazas de Unit 42

Doel Santos, investigador principal de Amenazas

Mike Savitz, director sénior de Consultoría

Michael Sikorski, director tecnológico y vicepresidente de Ingeniería de Unit 42

Samantha Stallings, editora sénior de Producción

Jamie Williams, investigador principal de Inteligencia sobre Amenazas

Informe sobre respuesta a incidentes (2025)

Resumen ejecutivo

1. Introducción

SAM RUBIN

¿Quiere burlar las ciberamenazas?

Vaya un paso por delante con las novedades de nuestro informe de respuesta a incidentes.

Manténgase al día para no correr ningún riesgo.

2. Amenazas y tendencias emergentes

Primera ola: en el principio, todo era cifrado

Segunda ola: la exfiltración de datos sube la apuesta

Tercera ola: interrupciones operativas deliberadas

Contramedidas: garantizar la resiliencia frente al aumento de las interrupciones

Tendencia n.º 2. Ataques más dañinos contra la nube y la cadena de suministro de software

Tendencia n.º 3. Velocidad: los ataques son más rápidos y dejan menos tiempo para responder

Contramedidas: protección contra ataques más rápidos

Tendencia n.º 4. El auge de las amenazas internas: la oleada procedente de Corea del Norte

Personal externo contratado

Tácticas cambiantes

Amenazas que presentan los trabajadores de TI fraudulentos

Contramedidas: protección contra las amenazas internas

Tendencia n.º 5. La aparición de los ataques con IA

Mejora de las técnicas de ataque gracias a la GenAI

Mayor rapidez gracias a la IA

Contramedidas: protección contra los ataques con IA

3. Cómo consiguen sus objetivos los actores de amenazas: tácticas, técnicas y procedimientos comunes y eficaces

Los actores de amenazas suelen atacar una organización desde varios frentes

Los navegadores son una vía de acceso clave para las amenazas

3.1. Intrusión: más ingeniería social, tanto generalizada como específica

Contramedidas: protección contra los ataques de ingeniería social

3.2. Información sobre técnicas de ataque procedente de casos de Unit 42

Todo acceso es importante

Lo eficaz no tiene por qué ser nuevo ni sofisticado

Tras el acceso inicial, los atacantes pueden ser pacientes y silenciosos

Contramedidas: protección contra TTP comunes y eficaces

4. Recomendaciones para encargados de la defensa

4.1. Factores comunes de vulnerabilidad

1. Seguridad compleja: la enemiga de la eficacia en las SecOps y la respuesta a incidentes

2. Ángulos muertos: no se puede proteger lo que no se conoce

3. El exceso de confianza multiplica el impacto

4.2. Recomendaciones para encargados de la defensa

5. Apéndice: Técnicas MITRE ATT&CK® por táctica, tipos de investigación y otros datos de casos

5.1. Descripción general de las técnicas MITRE ATT&CK observadas por táctica

5.2. Datos por región y sector

Tipo de investigación por región

Tipo de investigación por sector

6. Datos y metodología

Colaboradores:

Tendencia n.º 4. El auge de las amenazas internas:
la oleada procedente de Corea del Norte

5. Apéndice: Técnicas MITRE ATT&CK^® por táctica, tipos de investigación y otros datos de casos