Informe de respuesta ante incidentes - 2025

Informe
global de
respuesta
ante incidentes 2025

Resumen ejecutivo

Observamos cinco tendencias emergentes principales que reestructuran el panorama de amenazas.

En primer lugar, los actores de amenazas están intensificando la extorsión y el ransomware tradicionales con ataques diseñados para interrumpir las operaciones de forma intencionada. En 2024, el 86 % de los incidentes a los que respondió Unit 42 involucraron interrupciones comerciales que abarcaban tiempo de inactividad operativo, daño a la reputación o ambos.
En segundo lugar, está aumentando tanto la frecuencia como la sofisticación de los ataques a la nube y la cadena de suministro de software. En la nube, los actores de amenazas a menudo se cuelan en entornos mal configurados para escanear vastas redes en busca de datos valiosos. En una campaña, los atacantes escanearon más de 230 millones de objetivos únicos para acceder a información sensible.
En tercer lugar, la creciente velocidad de las intrusiones, potenciada por la automatización y los conjuntos de herramientas de piratería simplificados, brinda a los defensores poco tiempo para detectar y responder. En casi uno de cada cinco casos, la exfiltración de datos se produjo en el plazo de una hora a partir de la vulneración.
En cuarto lugar, las organizaciones se enfrentan a un mayor riesgo de sufrir amenazas internas, dado que existen Estados nación como Corea del Norte que apuntan a organizaciones para robar información y financiar iniciativas nacionales. En 2024, se triplicaron los casos de amenazas internas relacionadas con Corea del Norte.
En quinto lugar, las primeras observaciones de ataques asistidos por inteligencia artificial (IA) muestran cómo la IA puede amplificar la escala y velocidad de las intrusiones.

Entre estas tendencias, también observamos un enfoque con múltiples elementos en los ataques, ya que los actores de amenazas apuntan contra múltiples áreas de la superficie de ataque. De hecho, el 70 % de los incidentes a los que respondió Unit 42 se produjeron en tres frentes o más, lo que destaca la necesidad de proteger simultáneamente los endpoints, las redes, los entornos en la nube y el factor humano. Y, con respecto al elemento humano, casi la mitad de los incidentes de seguridad (44 %) que investigamos involucraron un explorador web e incluyeron ataques de phishing (suplantación de identidad), redireccionamientos maliciosos y descargas de malware.

Con base en miles de respuestas ante incidentes a lo largo de años de experiencia, identificamos tres factores clave que permiten que los adversarios tengan éxito: complejidad, brechas en la visibilidad y exceso de confianza. Las arquitecturas de seguridad fragmentadas, los activos no gestionados y las cuentas demasiado permisivas brindan a los atacantes el espacio necesario para triunfar.

Para hacer frente a estos desafíos, los líderes de seguridad deben acelerar su transición hacia la Confianza Cero y reducir la confianza implícita en el ecosistema. Es igualmente fundamental proteger las aplicaciones y los entornos en la nube desde su desarrollo hasta el tiempo en ejecución mediante un abordaje rápido de los errores en la configuración y las vulnerabilidades. Por último, es esencial fortalecer las operaciones de seguridad para que detecten más y respondan más rápido, con una visibilidad consolidada a través de los registros locales, en la nube y de endpoints, así como con una detección y una remediación de amenazas impulsadas por la automatización.

1. Introducción

A lo largo de mi carrera de dos décadas como experto en respuestas ante incidentes, fui testigo de innumerables cambios en el panorama de las amenazas y las tácticas de los atacantes.

En los primeros casos de ransomware, los ciberdelincuentes usaban la táctica de cifrar archivos. Bloqueaban archivos, recibían dinero por una clave de cifrado y así sucesivamente. Los respaldos comenzaron a mejorar y la doble extorsión cobró más popularidad. Los ciberdelincuentes recurrían al acoso (y lo siguen haciendo) para decirles a las empresas “páguenme o filtraré datos sensibles”. Pero incluso eso está perdiendo el brillo.

Recibo un aviso de vulneración de datos prácticamente todos los meses. En ocasiones, abro y leo estas cartas, aunque debo admitir que muchas veces van directamente a la basura. Como muchas otras personas, invertí en software de protección contra el robo de identidad y cumplo con las mejores prácticas de ciberhigiene. Con el aluvión de notificaciones, es fácil imaginar a una persona ordinaria pensando: Filtraron mis datos de nuevo, ¿y qué? Esta mentalidad desensibilizada es inquietante. Y, sin embargo, a pesar de esta apatía pública, una vulneración de datos puede causar daños sustanciales a una empresa.

El año pasado marcó otro cambio en el enfoque de los atacantes hacia la interrupción intencionada de las operaciones. Esta nueva fase de extorsión motivada financieramente prioriza el sabotaje, en el cual los atacantes destruyen intencionadamente sistemas, bloquean a los clientes de sus entornos y obligan a enfrentarse a tiempos de inactividad prolongados. De esta forma, los actores de amenazas pueden mantener su capacidad de generar un impacto máximo con sus ataques y exigir pagos a las organizaciones.

En 2024, Unit 42 respondió a más de 500 ciberataques de gran envergadura. Como consecuencia de estos incidentes, grandes organizaciones se enfrentaron a extorsión, intrusiones en la red, robo de datos, amenaza avanzada persistente (APT) y mucho más. Fueron blanco de estos ataques todos los principales sectores industriales y 38 países.

Respondimos ante vulneraciones que ocurrieron a una velocidad sin precedentes y causaron graves interrupciones en las operaciones y efectos en cascada, desde tiempo de inactividad y cortes de servicio hasta costos que alcanzaron miles de millones de dólares. En todos los casos, la situación empeoró hasta que el centro de operaciones de seguridad (SOC) llamó para pedir ayuda.

Cuando llaman a Unit 42, nuestro equipo de respuesta ante incidentes trabaja rápidamente para contener las amenazas, investigar los incidentes y restablecer las operaciones. Tras la crisis, colaboramos con los clientes para fortalecer su postura de seguridad y evitar otros ataques.

La misión de Unit 42 es clara: proteger el mundo digital de las ciberamenazas. Nuestro equipo opera las 24 horas del día, los 7 días de la semana, en todo el mundo y está unido por el propósito de detener a los actores de amenazas, detectar amenazas en evolución y ayudar a las organizaciones a prepararse incluso para los ataques más sofisticados y recuperarse de estos.

Se organizó este informe para guiarlo a través de nuestros hallazgos clave e información útil:

Tendencias y amenazas emergentes: información de lo que se aproxima, incluido el aumento de las extorsiones impulsadas por interrupciones, ataques asistidos por IA, ataques basados en la cadena de suministro de software y la nube, amenazas de agentes internos causadas por Estados nación y velocidad.
Éxito de los actores de amenazas: análisis de las tácticas, las técnicas y los procedimientos efectivos más comunes, desde el acceso inicial hasta las repercusiones.
Recomendaciones para los defensores: asesoramiento práctico para ejecutivos, directores de seguridad de la información y equipos de seguridad con el objetivo de fortalecer sus defensas, desarrollar resiliencia y mantenerse por delante de las amenazas.

A medida que lea, considere no solo lo que está sucediendo, sino también lo que se aproxima y cómo su organización puede prepararse para afrontar los desafíos de un entorno de amenazas cada vez más complejo.

Seguir leyendo Leer menos

¿Todo listo para vencer a las ciberamenazas?

¡Permanezca un paso por delante con las actualizaciones de nuestro Informe de respuesta ante incidentes!

Reciba actualizaciones exclusivas del Informe global de respuesta ante incidentes de Unit 42. Incluye información sobre las nuevas tácticas, técnicas y procedimientos (TTP) de los actores de amenazas, la perspectiva de nuestros expertos en seguridad sobre el panorama de las amenazas y mucho más.

Manténgase informado, manténgase protegido.

2. Tendencias y amenazas emergentes

En 2025, las organizaciones se enfrentan a una mezcla compleja de amenazas provenientes de ciberdelincuentes motivados financieramente, Estados nación bien financiados, esquemas internos y hackers activistas motivados ideológicamente. Si bien los ataques de extorsión siguen prevaleciendo entre los grupos criminales, los sofisticados adversarios Estados nación apuntan a la infraestructura crítica, las cadenas de suministro y las industrias clave. Los riesgos internos se intensifican, ya que los contratistas y los empleados con acceso privilegiado pueden eludir las defensas externas. Además, los hackers activistas se aprovechan de las redes sociales para coordinar interrupciones a gran escala.

Ante esta situación, Unit 42 identificó cinco tendencias claves en las que observamos el impacto más significativo e inmediato sobre las organizaciones: ataques de extorsión para interrumpir las operaciones de forma intencionada, explotación de la nube y de cadenas de suministro de software, mayor velocidad de los ataques, amenazas internas relacionadas con Corea del Norte y amenazas asistidas por IA.

Tendencia 1. Interrupción de las operaciones comerciales: la tercera ola de ataques de extorsión

A medida que las defensas mejoran y la higiene cibernética madura, los respaldos se vuelven más comunes y exitosos. Los atacantes se vieron forzados a innovar sus enfoques para poder exigir pagos constantes y más elevados.

Los ataques de extorsión evolucionaron en la última década: desde el cifrado, pasando por técnicas de extorsión múltiple y exfiltración, hasta la interrupción intencionada de las operaciones. Si bien el ransomware continúa siendo una amenaza que encabeza los titulares, los atacantes pasaron de únicamente cifrar datos a utilizar tácticas más perjudiciales, como acosar a las partes interesadas y amenazar las operaciones críticas, lo que da como resultado un tiempo de inactividad prolongado.

En 2024, el 86 % de los incidentes a los que respondió Unit 42 tuvieron aparejadas pérdidas relacionadas con el impacto. Por ejemplo:

Interrupción total de las operaciones comerciales
Pérdidas relacionadas con fraudes y activos
Daños para la marca y el mercado como resultado de la difusión de los ataques
Mayores costos operativos, legales y reglamentarios, etc.

Podemos definir la evolución de los ataques de extorsión en términos de tres olas.

Ola 1: al comienzo, se utilizaba el cifrado

El auge de las criptomonedas permitió cometer delitos a una escala más amplia, con un menor riesgo para los delincuentes. Los actores de amenazas rápidamente adoptaron el ransomware como un método de ataque lucrativo: bloqueaban archivos críticos, lo retenían para exigir un rescate y solicitaban un pago en criptomonedas a cambio de desbloquearlos. Desde entonces, las criptomonedas han facilitado los ataques de ransomware de la siguiente manera:

Reducen el riesgo de identificación de los atacantes
Reducen los obstáculos para la entrada de ciberdelincuentes
Ayudan a los atacantes a evadir la ley y las sanciones internacionales

Para esos primeros casos de ransomware, el manual de estrategias era simple: entrar, cifrar los archivos y salir. Las investigaciones de ese período llevadas a cabo por Unit 42 casi no revelaron señales de exfiltración de datos.

Ahora, los atacantes son más sofisticados. Suelen combinar el cifrado con el robo de datos y amenazas de doble extorsión. Sin embargo, se sigue recurriendo al cifrado. De hecho, los últimos datos de respuesta ante incidentes de Unit 42 muestran que el cifrado sigue siendo la táctica más común utilizada en casos de extorsión y se mantuvo relativamente constante en los últimos 4 años.

Con el tiempo, dado que las organizaciones mejoraron los respaldos de sus datos, comenzó a ser menos efectivo el cifrado como única táctica de extorsión. Los respaldos permitieron que más organizaciones se recuperen más rápido: casi la mitad (49,5 %) de las víctimas afectadas lograron recuperar sus datos en 2024 gracias a las copias de seguridad. Como se puede observar en la Figura 1, es una cifra casi cinco veces mayor que la de 2022, año en el cual solo el 11 % de las víctimas pudieron recuperar sus datos con respaldos.

Figura 1: El porcentaje de víctimas que recuperaron con éxito los archivos cifrados gracias a los respaldos aumentó un 360 % entre 2022 y 2024.

Sin embargo, estas medidas defensivas no logran contrarrestar el riesgo de que los atacantes publiquen o vendan datos robados.

Seguir leyendo Leer menos

Ola 2: aumentar la apuesta con la exfiltración de datos

Dado que comenzó a ser menos eficaz centrarse únicamente en el cifrado, los atacantes recurrieron a una nueva táctica de extorsión: exfiltración de datos y posterior acoso. Además de utilizar datos exfiltrados para presionar a las víctimas mediante la extorsión y el acoso, los actores motivados financieramente obtuvieron flujos de ingresos adicionales, como la subasta de datos en mercados de la web oscura.

Los atacantes amenazaban con filtrar información sensible al público y, con frecuencia, creaban sitios de filtración con datos de las presuntas víctimas. Algunos bombardeaban a los empleados y los clientes con mensajes maliciosos.

Sin embargo, a pesar de que el robo de datos continúa siendo una táctica popular, su eficacia comenzó a bajar por diversos motivos. El agotamiento provocado por la vulneración de datos redujo el éxito de las filtraciones en la web oscura para presionar a las víctimas a pagar.

De acuerdo con el Informe de vulneración de datos de 2023 del Identity Theft Resource Center, solo en 2023 hubo 353 millones de víctimas de filtración de datos. Además, si bien los atacantes suelen cumplir sus promesas, las organizaciones están cada vez más preocupadas por las ocasiones en que no lo hacen.

De hecho, los atacantes proporcionaron pruebas de la eliminación de los datos en menos de dos tercios (solo el 58 %) de los casos de robo de datos de 2024. En algunos casos, Unit 42 descubrió que, a pesar de brindar una supuesta “prueba”, el actor de la amenaza conservó al menos parte de los datos. Aunque dos tercios constituye la mayoría del total, está lejos del nivel de certeza que la mayoría de las personas esperaría tener al pagar una tarifa (a menudo exorbitante) por algo.

Los datos de sitios de filtración públicos respaldan esta tendencia. Después de que entre 2022 y 2023 aumentara un 50 % la cantidad de víctimas de sitios de filtración, esta cifra subió solo un 2 % en 2024. Esto podría indicar que para los actores de amenazas ya no es tan eficaz la extorsión con sitios de filtración para exigir pagos.

Las tácticas de extorsión consisten en sembrar miedo y captar toda la atención de la víctima. Para lograrlo, los actores de amenazas seguirán evolucionando sus métodos con el objetivo de mantenerse a la vanguardia de la disrupción.

Esto no significa que los atacantes abandonarán la exfiltración. Como se puede ver en la Tabla 1, los actores de amenazas siguen robando datos más de la mitad del tiempo y el acoso aumenta constantemente. Sin embargo, los actores de amenazas están recurriendo a tácticas adicionales para asegurarse de recibir pagos.

Táctica de extorsión	2021	2022	2023	2024
Cifrado	96%	90%	89%	92%
Robo de datos	53%	59%	53%	60%
Acoso	5%	9%	8%	13%

Tabla 1: Prevalencia de tácticas de extorsión en casos relacionados con extorsiones.

La interrupción deliberada de las operaciones es la siguiente fase en la evolución de los ataques por motivos financieros, puesto que los actores de amenazas continúan intensificando sus acciones para captar la atención de sus víctimas.

Seguir leyendo Leer menos

Ola 3: Interrupción intencionada de las operaciones

los atacantes aumentan la presión enfocándose en una tercera táctica: la interrupción intencionada de las operaciones. En 2024, el 86 % de los incidentes ante los que respondió Unit 42 involucraron algún tipo de pérdida que provocó interrupciones en la empresa, ya sea operativas, de reputación, etc.

Unit 42 observó que los atacantes combinaban técnicas de cifrado con robo de datos y luego iban aún más lejos con otras tácticas para interrumpir visiblemente la actividad de las organizaciones. Dañaban la reputación de la marca de las víctimas o acosaban a sus socios y clientes. También eliminaban las máquinas virtuales (VM) y destruían datos (en la sección 5.1 se incluye un desglose completo de las técnicas de MITRE ATT&CK utilizadas por los atacantes para provocar este tipo de impacto).

Observamos a los atacantes agredir a víctimas con redes de socios profundas de las que dependen para llevar a cabo sus negocios. Cuando una organización debe cerrar partes de su red para contener al actor de amenazas y remediar el ataque antes de reanudar las operaciones, sus socios se ven obligados a desconectarse. Una vez que vuelven a estar en línea, el proceso de recertificación crea más interrupciones a medida que los socios se reconectan a la red.

Los atacantes sofisticados dirigen sus tácticas hacia empresas de sectores como la salud, la hotelería, la manufactura y la infraestructura esencial, con el objetivo de causar una interrupción generalizada no solo para el negocio, sino también para sus socios y clientes.

Mientras las empresas lidian con un tiempo de inactividad prolongado, la tensión en las relaciones con socios y clientes, y los impactos en sus resultados, los actores de amenazas se aprovechan de la situación y exigen pagos más altos. Las empresas que buscan recuperar sus sistemas y minimizar el impacto financiero (que puede llegar a millones e incluso miles de millones) reciben extorsiones por montos mayores. La demanda inicial de extorsión promedio aumentó casi un 80 % hasta USD 1,25 millones en 2024, en comparación con USD 695 000 en 2023.

También examinamos las demandas en términos de cuánto un actor de amenazas percibe que una organización puede pagar. (Nos basamos en lo que el actor de amenazas puede encontrar tras realizar una búsqueda sobre la organización en fuentes de información públicas). La demanda inicial promedio en 2024 es del 2 % de los ingresos anuales percibidos de la organización víctima. La mitad de las demandas iniciales se situaron entre el 0,5 % y el 5 % de los ingresos anuales percibidos de la víctima. En los casos más altos, hemos visto a los atacantes intentar extorsionar por cantidades que superan los ingresos anuales percibidos de la organización víctima.

Sin embargo, aunque las demandas han aumentado, Unit 42 sigue teniendo éxito al negociar el pago final (para los clientes que pagan). Como resultado, el pago de rescate promedio aumentó solo USD 30 000 y alcanzó los USD 267 500 en 2024. Cuando las organizaciones pagan, el importe promedio es menos del 1 % de sus ingresos percibidos (0,6 %). Por lo tanto, el porcentaje promedio de reducción negociado por Unit 42 es superior al 50 % de la demanda inicial.

Seguir leyendo Leer menos

Contramedidas: cómo conservar la resiliencia de cara al aumento de las interrupciones de la actividad

Un factor importante que se debe considerar a la hora de lidiar con actores de amenazas orientadas a la interrupción de la actividad es la resiliencia operativa: ¿Puede seguir funcionando si los sistemas críticos se caen o los datos sensibles quedan fuera de alcance? ¿Qué operaciones comerciales es esencial mantener? ¿Cuáles son sus estrategias de respaldo y recuperación ante desastres? ¿Los socios críticos están preparados para adoptar nuevos sistemas ante un ataque?

La mejor manera de descubrirlo es a través de pruebas regulares y simulaciones de incidentes, que validan los controles técnicos, capacitan a los equipos de respuesta y evalúan su capacidad para mantener los servicios esenciales. Si se enfoca en la resiliencia, no solo mitigará el impacto financiero inmediato de un ataque, sino que también protegerá la confianza de las partes interesadas y su reputación a largo plazo, activos clave en un panorama cibernético cada vez más volátil.

Los ataques de extorsión y todo lo asociado con ellos (cifrado, robo de datos, acoso e interrupción intencionada de las operaciones) no son una tendencia pasajera. Las estrategias de ciberseguridad deben evolucionar constantemente para contrarrestar las tácticas técnicas cambiantes de los atacantes y, a su vez, debemos reconocer que los actores de amenazas seguirán adaptándose para superar las defensas más fuertes.

Tendencia 2. Impacto creciente de los ataques a la nube y la cadena de suministro de software

Dado que las organizaciones dependen cada vez más de los recursos en la nube tanto para llevar a cabo las operaciones como para almacenar datos valiosos, los incidentes relacionados con la nube o las aplicaciones de SaaS son algunos de los más impactantes que vemos.

Poco menos de un tercio de los casos (29 %) de 2024 estuvieron relacionados con la nube. Esto significa que nuestra investigación conllevó recopilar registros e imágenes de un entorno en la nube o abarcó activos alojados externamente, como aplicaciones de Software como Servicio (SaaS).

Esos casos no necesariamente representan situaciones en las que los actores de amenazas dañan los activos en la nube. Esto lo vemos en aproximadamente uno de cada cinco casos de 2024 (21 %), en los que los actores de amenazas perjudicaron activos o entornos en la nube.

Seguir leyendo Leer menos

Mostrar todo +

Gestión de identidades y accesos como factor contribuyente

Los problemas relacionados con la gestión de identidades y accesos continúan siendo factores contribuyentes en una gran cantidad de casos. Algunos ciberdelincuentes como Bling Libra (distribuidores del ransomware ShinyHunters) y Muddled Libra explotan los errores en la configuración y encuentran credenciales expuestas para obtener acceso a entornos en la nube.

Si bien la falta de una autenticación de varios factores (MFA) sigue siendo el factor contribuyente más común de este tipo, vemos este problema con menos frecuencia. Lo detectamos aproximadamente en un cuarto de los casos de 2024, en comparación con alrededor de un tercio en 2023.

Otros problemas relacionados con la gestión de identidades y accesos están generando tendencia en la dirección incorrecta. El acceso excesivo a políticas, los permisos excesivos y los problemas de contraseñas se volvieron más comunes en 2024, como se muestra en la Figura 2 a continuación.

Figura 2: Tendencias en los problemas relacionados con la gestión de identidades y accesos de 2023 a 2024.

Los errores en la configuración de la gestión de identidades y accesos (IAM) fueron el vector de acceso inicial en aproximadamente el 4 % de los casos. Sin embargo, esta cifra debe considerarse junto con la escala y el impacto de los ataques en la nube. Este tipo de incidentes pueden afectar a una organización a gran escala y a otras organizaciones si los actores de amenazas logran expropiarse de recursos en la nube.

Una operación en la nube de una campaña de extorsión aprovechó las variables de entorno expuestas, el uso de credenciales de larga duración y la ausencia de una arquitectura de privilegios mínimos. Una vez que los actores de amenazas lograron incrustar la infraestructura de ataque en los entornos en la nube de múltiples organizaciones, utilizaron esto como punto de partida para atacar a otras organizaciones a gran escala. Esto incluyó el escaneo de más de 230 millones de objetivos únicos en busca de endpoints de API expuestos adicionales. Como resultado, el actor de amenazas pudo dirigirse a archivos expuestos de, al menos, 110 000 dominios y recopiló más de 90 000 variables únicas filtradas. De estas variables, 7000 se asociaban a servicios en la nube y 1500 a cuentas de redes sociales, que a menudo incluían el nombre de la cuenta y la información necesaria para la autenticación.

En varias ocasiones, Unit 42 observó que los actores de amenazas usaban claves de acceso o de API filtradas para el acceso inicial. Esto generalmente otorga a los actores de amenazas una ventaja para una mayor vulneración. El uso de cuentas en la nube válidas (T1078.004) aparece en varias ocasiones en los datos de los casos en relación con las siguientes tácticas:

Acceso inicial (el 13 % de los casos en los que observamos esta táctica)
Elevación de privilegios (8 %)
Persistencia (7 %)
Evasión de defensa (7 %)

Exfiltración y almacenamiento en la nube

Escasa visibilidad y control de los sistemas basados en la nube y de SaaS

Extracción web y abuso de API

Ataques habilitados por la nube

Ataques a la cadena de suministro de software y software de terceros

En 2024, respondimos ante una cantidad de incidentes relacionados con la cadena de suministro de software.

Se identificó una vulnerabilidad crítica en la biblioteca de compresión de datos XZ Utils antes de que pudiera provocar daños a gran escala. Sin embargo, continúa siendo una lección sobre el posible impacto de la vulnerabilidad relacionada con la cadena de suministro. De acuerdo con Red Hat, en el momento de la revelación, las herramientas y bibliotecas XZ contenían “un código malicioso que parece estar destinado a permitir el acceso no autorizado”. Dado que XZ Utils se incluye en una variedad de las principales distribuciones de Linux, usadas por una gran cantidad de organizaciones en todo el mundo, la implementación exitosa de este código malicioso podría haber expuesto a miles de organizaciones a nivel mundial. Fue el resultado de un “esfuerzo de varios años”. El problema de XZ Utils demuestra que todas las organizaciones deben implementar las mejores prácticas en torno al software de código abierto que incorporan en sus sistemas.

Varias vulnerabilidades en aplicaciones de VPN también generaron dudas sobre la integridad del software de terceros. Observamos que ciberdelincuentes y actores de amenazas de Estados nación usan estas vulnerabilidades como vectores de acceso inicial.

Los actores de amenazas no siempre necesitan usar las vulnerabilidades para atacar organizaciones a través de software de terceros. En junio de 2024, la plataforma de datos basada en la nube Snowflake advirtió que los actores de amenazas estaban atacando algunas de las cuentas de sus clientes. La empresa indicó que, gracias a su investigación, detectó que los atacantes usaban credenciales comprometidas anteriormente (T1078 - Cuentas válidas) y mencionó “ataques basados en identidad en curso en toda la industria con la intención de obtener datos de clientes”.

En otro asunto investigado por Unit 42, los actores de amenazas pasaron meses realizando ataques de fuerza bruta contra una VPN (T1110 - Fuerza bruta). Su éxito eventual les permitió obtener acceso al entorno de la organización y mantener la persistencia en él.

La complejidad de la infraestructura y la falta de visibilidad resultante pueden hacer que sea difícil corregir los ataques por completo, en particular cuando incorporan software de terceros.

Contramedidas: cómo defenderse de ataques a la nube y la cadena de suministro de software

Para reducir el riesgo de sufrir ataques basados en la nube y en la cadena de suministro, enfóquese en algunas tácticas clave, como las siguientes:

Limite el abuso de credenciales: implemente controles de IAM estrictos y otorgue únicamente los privilegios necesarios para cada función. Use credenciales de corta duración y autenticación de varios factores siempre que sea posible.
Centralice el registro y la auditoría de recursos en la nube de producción: reenvíe registros del host de origen para evitar la manipulación y agrúpelos para generar una correlación entre los servicios. Haga un seguimiento de las anomalías, como grandes transferencias de datos o llamadas a la API inusuales.
Supervise los patrones de uso: use análisis de registros para establecer puntos de referencia para el consumo normal de recursos y desencadenar alertas en caso de desviaciones. Los atacantes a menudo aumentan el uso de CPU o ancho de banda durante la criptominería o la exfiltración de datos.
Aplique parches de forma oportuna: trate los componentes de código abierto, las imágenes de contenedores y las bibliotecas de terceros como parte de la infraestructura operativa. Desarrolle un proceso de revisión periódico e implementación rápida de las actualizaciones de seguridad.
Proteja las integraciones en la cadena de suministro y API: aplique limitación de velocidad para detener los intentos de ataque de fuerza bruta y la extracción en exceso, y use herramientas de escaneo firmes para evaluar las dependencias nuevas antes de integrarlas en la producción.

Si aplican estas medidas con constancia, los equipos de seguridad pueden identificar los ataques de forma temprana, limitar su impacto y tener la confianza de que los canales de software y los recursos en la nube se encuentran bajo control.

Tendencia 3. Velocidad: los ataques se vuelven más rápidos, por lo que los defensores tienen menos tiempo para responder

Unit 42 observó una aceleración notable de los ciberataques, ya que los actores de amenazas adoptan cada vez más la automatización, los modelos de ransomware como servicio (RaaS) y la inteligencia artificial generativa (GenAI) para simplificar sus campañas. Estas herramientas permiten a los atacantes identificar las vulnerabilidades rápido, diseñar señuelos de ingeniería social convincentes y, por último, realizar ataques a escala con mayor rapidez.

La velocidad de los ataques obliga a las organizaciones de todo el mundo a reestructurar sus capacidades de respuesta y priorizar la detección temprana. En muchos casos, unas pocas horas pueden determinar si un atacante logra completar su misión, incluido el robo de datos, el cifrado o la interrupción de las operaciones. A medida que los atacantes siguen refinando los métodos y acelerando los plazos, se torna crítica la necesidad de implementar medidas de seguridad proactivas y una rápida respuesta ante incidentes.

Una de las formas en que Unit 42 evalúa la velocidad de los ataques es través de la medición del tiempo hasta la exfiltración: qué tan rápido un atacante realiza la exfiltración de los datos robados a partir de la vulneración inicial.

En 2024, el tiempo promedio hasta la exfiltración en los ataques a los que respondió Unit 42 fue de aproximadamente dos días. Este plazo es notable porque las organizaciones a menudo tardan varios días en detectar y corregir una vulneración.

Tras examinar el subconjunto de casos en los que la exfiltración sucedió más rápido, concluimos que la velocidad de la exfiltración es incluso más preocupante.

En un cuarto de los casos, el tiempo desde la vulneración hasta la exfiltración fue menos de cinco horas.
Esto es tres veces más rápido que en 2021, año en el cual en el primer cuartil de los casos la exfiltración se realizaba en menos de 15 horas.

En una gran proporción de incidentes, los atacantes son aún más rápidos.

En uno de cada cinco casos (19 %), el tiempo desde la vulneración hasta la exfiltración fue menos de una hora.

En tres casos recientes a los que respondió Unit 42, observamos la velocidad de los atacantes en acción:

RansomHub (identificado por Unit 42 como Spoiled Scorpius) accedió a la red de un Gobierno municipal a través de una VPN que carecía de autenticación de varios factores. En el plazo de siete horas tras obtener un punto de apoyo, el actor de amenazas exfiltró 500 GB de datos de la red.

Un actor de amenazas llevó a cabo un ataque de fuerza bruta en una cuenta de VPN para obtener acceso a una universidad. Tras identificar un sistema sin protección de XDR, implementó el ransomware y exfiltró los datos en el plazo de 18 horas.

Muddled Libra (también conocido como Scattered Spider) logró realizar un ataque de ingeniería social al servicio de asistencia de un proveedor de servicios para obtener acceso a una cuenta de administrador de acceso privilegiado (PAM). Gracias a este acceso, extrajo credenciales almacenadas y atacó una cuenta de dominio privilegiado, todo en solo 40 minutos. Con el acceso al dominio asegurado, el actor de amenazas vulneró un almacén de gestión de contraseñas, añadió una cuenta comprometida al entorno en la nube del cliente y elevó los permisos para permitir la exfiltración de datos.

Los defensores tienen menos tiempo que nunca para identificar un ataque, responder a este y contenerlo. En algunos casos, tienen menos de una hora para responder.

Sin embargo, estamos progresando para reducir el tiempo de permanencia, es decir, la cantidad de días que un atacante permanece en el entorno de una víctima antes de que una organización descubra o detecte al atacante. En 2024, el tiempo de permanencia disminuyó un 46 %, hasta los 7 días, en comparación con los 13 días de 2023. Esto continúa una tendencia de disminución del tiempo de permanencia que observamos desde 2021, cuando el tiempo de permanencia era de 26,5 días.

Seguir leyendo Leer menos

Contramedidas: cómo defenderse de ataques más rápidos

Si busca mejorar su defensa contra ataques incluso más rápidos, considere estas tácticas:

Mida los tiempos de detección y respuesta: haga un seguimiento del tiempo promedio de detección (MTTD) y del tiempo promedio de respuesta (MTTR), y mejórelos continuamente, lo que implica que su SOC se vuelve más rápido.
Aproveche los análisis impulsados por IA: centralice las fuentes de datos e identifique anomalías en tiempo real, y recibirá alertas críticas más rápido que con métodos manuales.
Use manuales de estrategias automatizados: predefina acciones de contención para aislar endpoints comprometidos o bloquear cuentas de usuarios en solo minutos.
Realice pruebas continuamente: realice ejercicios de equipo rojo y simulación para asegurarse de que su equipo de operaciones de seguridad (SecOps) pueda desplazarse fácilmente de la detección a la respuesta.
Priorice los activos de alto riesgo: enfóquese en implementar capacidades de respuesta rápida en los sistemas más críticos, en los que un tiempo de inactividad o la pérdida de datos generarían más daño.

Mediante la integración de la visibilidad en tiempo real, los análisis de IA y los flujos de trabajo automatizados, podrá vencer incluso a los adversarios más rápidos.

Tendencia 4. Aumento de las amenazas internas:
la ola de amenazas internas de Corea del Norte

Las amenazas internas representan algunos de los riesgos más evasivos para las organizaciones, ya que explotan las relaciones de confianza y los accesos privilegiados de los que dependen las empresas para operar. Su capacidad para eludir muchas defensas externas hace que estas amenazas sean especialmente difíciles de detectar.

Recientemente, los grupos de amenazas del Estado nación de Corea del Norte participaron en ataques de amenaza internos incluso más perjudiciales al colocar operativos en posiciones técnicas dentro de organizaciones internacionales. La campaña que identificamos como Wagemole (también conocida como “IT Workers” [trabajadores de TI]) convirtió las funciones de ingeniería en otra superficie de ataque. En el proceso, se generan cientos de millones de dólares y otras monedas fuertes para el régimen norcoreano.

Los actores de amenazas de Corea del Norte explotan los procesos de contratación tradicionales con identidades robadas o sintéticas respaldadas por portfolios técnicos detallados. Estos portfolios pueden incluir referencias legítimas obtenidas a partir de la manipulación de la identidad y la experiencia laboral real previa que superan la verificación básica.

Aproximadamente el 5 % de los casos de respuesta ante incidentes de 2024 se relacionaron con amenazas internas, y la cantidad de esos casos con vinculación con Corea del Norte se triplicó en comparación con el año pasado. Aunque es posible que una mayor conciencia sobre la amenaza haya impulsado a más clientes a buscarla, es notable que estos actores de amenazas sigan en funcionamiento.

Ningún sector queda exento de esta amenaza. En 2024, estos actores ampliaron su alcance e incluyeron los sectores de servicios financieros, medios de comunicación, venta minorista, logística, entretenimiento, telecomunicaciones, servicios de TI y contratistas de defensa gubernamentales. Las empresas de tecnología grandes siguieron siendo el objetivo principal.

Seguir leyendo Leer menos

Mostrar todo + Ocultar todo -

Fuerza laboral contratada

Por lo general, estas campañas apuntan contra organizaciones que utilizan funciones técnicas basadas en contratos. Las empresas de contratación se convierten en ayudantes involuntarios para los esquemas de trabajadores de TI de Corea del Norte por los siguientes motivos:

Proceso de verificación abreviado para cumplir con las rápidas demandas de dotación de personal
Mecanismos limitados de verificación de identidad
Escasa visibilidad de los proveedores de fuerza laboral subcontratados
Presión por cubrir rápidamente los puestos en un mercado competitivo

Si bien los operativos norcoreanos obtuvieron con éxito puestos a tiempo completo, la fuerza laboral contratada sigue siendo el vector de infiltración más utilizado.

Tácticas en evolución

La sofisticación técnica de estos operativos ha evolucionado. Antes dependían en gran medida de herramientas comerciales de gestión remota, y recientemente comenzaron a implementar enfoques más sutiles.

Lo más preocupante es el creciente uso de soluciones de hardware KVM sobre IP: pequeños dispositivos que se conectan directamente a los puertos de video y USB de los sistemas objetivo, y brindan capacidades de control remoto que pueden eludir la mayoría de las herramientas de supervisión de endpoints. Estos dispositivos se colocan en las computadoras que la propia organización objetivo proporcionó, lo que permite a los atacantes estar más cerca de lograr sus objetivos.

Las funciones de tunelización de Visual Studio Code, diseñadas originalmente para el desarrollo remoto legítimo, ahora son canales encubiertos para mantener el acceso.

La naturaleza de estas operaciones presenta desafíos de detección, ya que muchos operativos poseen habilidades técnicas genuinas. Su acceso parece legítimo porque lo es. Realizan el trabajo asignado al tiempo que cumplen sus verdaderos objetivos.

Amenazas generadas por trabajadores de TI falsos

Una vez que se infiltran en la empresa, además de ganar sueldos de forma ilegal para apoyar al régimen, estos agentes internos llevan a cabo una variedad de actividades maliciosas:

Exfiltración de datos: se realiza una exfiltración sistemática de documentos internos y datos comerciales confidenciales mediante el uso de políticas de seguridad, informes de vulnerabilidades y guías de entrevistas para evadir mejor la detección y apuntar contra la propiedad intelectual, el código fuente y los datos de los clientes.
Implementación de herramientas no autorizadas: se introducen herramientas de gestión remota y otras herramientas no autorizadas para mantener el acceso o prepararse para realizar otras explotaciones.
Alteración del código fuente: dado que tiene acceso al repositorio de código fuente, el actor de amenazas puede insertar un código de puerta trasera, lo que podría permitir el acceso no autorizado a sistemas en organizaciones más amplias o la manipulación de transacciones financieras.
Extorsión: en algunos casos, los agentes se aprovechan de los datos robados para pedir rescate y amenazan con filtrar información privada. En ciertas ocasiones, cumplen con estas amenazas.
Recomendaciones falsas: es posible que los actores de amenazas recomienden a sus asociados a la organización, lo que lleva a contratar a más trabajadores de TI falsos. En algunos casos, los empleados recomendados son puramente clones del empleado original con diferentes identidades falsas para aparentar ser distintas personas.

Contramedidas: cómo defenderse de amenazas internas

El esquema de trabajadores de TI norcoreanos cambió de simplemente recaudar ingresos a plantear una estrategia de amenazas internas más evasiva que apunta contra una variedad de organizaciones de todo el mundo. La inversión estratégica del régimen en estas operaciones representa un compromiso a largo plazo con este enfoque.

Para defenderse de estas amenazas, las organizaciones deben cambiar su enfoque tanto en materia de seguridad como de gestión de la fuerza laboral.

El abordaje de estas amenazas internas requiere más que solo controles técnicos. Se necesita una cultura de concientización sobre seguridad y una supervisión activa de las actividades de los usuarios, en particular de aquellas personas con privilegios elevados.

Algunas medidas, como implementar políticas de privilegios mínimos y actuar en función de los resultados de una minuciosa comprobación de antecedentes, pueden ayudar a minimizar la posibilidad de abusos. Además, las organizaciones deben prestar especial atención a los indicadores de comportamiento, como las transferencias de datos inusuales o el acceso al sistema de último minuto por parte de empleados que se aproximan a su fecha de salida. Como parte de este enfoque, es fundamental poder reunir indicadores de varias fuentes de datos. Un comportamiento aislado puede parecer inocuo, pero, en combinación con otras señales, podría indicar que se necesita una investigación.

Finalmente, la confianza debe estar equilibrada con la verificación. Un único incidente interno puede socavar años de progreso de la organización, poner en peligro la propiedad intelectual y causar daños a la reputación. Si fortalecen los procesos internos, supervisan el acceso privilegiado e implementan medidas de seguridad en todos los niveles, las empresas pueden reducir en gran medida la probabilidad de sufrir un ataque interno.

Tendencia 5. Aparición de ataques asistidos por IA

Si bien todavía se encuentra en las primeras fases de desarrollo, el uso malicioso de la GenAI ya está transformando el panorama de las ciberamenazas. Los atacantes usan métodos impulsados por IA para realizar campañas de phishing más convincentes, automatizar el desarrollo de malware y acelerar la progresión por la cadena de ataque, lo que hace que los ciberataques sean más difíciles de detectar y puedan ejecutarse más rápido. Si bien el uso de la GenAI adversaria es más evolutivo que revolucionario en este momento, no se confunda: la GenAI ya está transformando las capacidades de ataque ofensivas.

Mostrar todo + Ocultar todo -

Mejorar las capacidades de ataque con GenAI

Tanto las APT a cargo de Estados nación como los ciberdelincuentes con motivación financiera aprovechan las herramientas de GenAI, en particular los modelos de lenguaje grandes (LLM), para simplificar y amplificar sus ataques. Estas tecnologías automatizan las tareas complejas que anteriormente requerían de un esfuerzo manual significativo, lo que acelera todo el ciclo de vida del ataque.

Por ejemplo, los LLM pueden elaborar correos electrónicos de phishing altamente convincentes similares a las comunicaciones corporativas legítimas con una precisión sin precedentes, lo que aumenta la tasa de éxito de las campañas de phishing y hace que sea más difícil detectarlas con defensas tradicionales basadas en firmas. Los grupos maliciosos ya están vendiendo herramientas que pueden crear deepfakes convincentes (ofrecen desde opciones gratuitas hasta “planes empresariales” con deepfakes por tan solo USD 249 al mes).

En la implementación de malware, los LLM generan y ofuscan códigos maliciosos, lo que permite a los atacantes crear malware polimórfico capaz de evadir mecanismos de detección estándar. Dado que automatiza la creación de scripts de exploit y perfecciona las cargas útiles de malware, la IA adversaria reduce las barreras técnicas para los actores de amenazas menos habilidosos y, en consecuencia, amplía el grupo de posibles atacantes. Además, las herramientas impulsadas por IA mejoran la capacidad de identificar y explotar vulnerabilidades.

Velocidad e IA

Uno de los impactos más graves de los ataques asistidos por IA es el aumento de la velocidad y la eficacia de los ciberataques. Las tareas que tradicionalmente llevaban días o semanas ahora se pueden realizar en cuestión de minutos.

Para probarlo, investigadores de Unit 42 simularon un ataque de ransomware integrando GenAI en cada etapa del ataque. A continuación, en la Figura 3, se demuestra la velocidad de un ataque antes del uso de GenAI, según lo medido por el tiempo medio observado en nuestras investigaciones de respuesta ante incidentes (IR), en comparación con el tiempo que demora con el uso de GenAI.

Con IA

Sin IA

Figura 3: Diferencias en la velocidad de un ataque simulado antes y después de usar técnicas asistidas por IA.

Con nuestras pruebas, se redujo el tiempo hasta la exfiltración de un promedio de dos días a 25 minutos (casi 100 veces más rápido). Si bien estos son resultados de laboratorio, es fácil notar cómo esta rápida progresión del reconocimiento a la explotación acorta significativamente el “tiempo hasta el impacto”, por lo que para las organizaciones se vuelve difícil responder a tiempo para mitigar el daño.

Contramedidas: cómo defenderse de ataques asistidos por IA

Estas tácticas pueden ayudarlo a defenderse contra ataques asistidos por IA:

Implemente la detección impulsada por IA para detectar patrones maliciosos a velocidad de máquina y correlacionar datos de múltiples fuentes.
Capacite al personal para reconocer el phishing generado por IA, los deepfake y los intentos de ataque de ingeniería social dirigidos.
Realice ejercicios de simulación de adversarios con tácticas basadas en IA para prepararse contra los ataques rápidos y a gran escala.
Desarrolle flujos de trabajo automatizados para que su SOC pueda contener las amenazas antes de que se desplacen o exfiltren datos.

3. Cómo logran tener éxito los actores de amenazas: tácticas, técnicas y procedimientos efectivos comunes

Los actores de amenazas siguen aumentando la velocidad, la escala y la sofisticación de sus ataques. Esto les permite infligir un daño generalizado en poco tiempo, por lo que para las organizaciones es difícil detectar su actividad y mitigarla con eficacia.

En los datos de los casos, notamos dos tendencias clave:

A menudo, los actores de amenazas atacan a las organizaciones desde varios frentes.

Cuando analizamos cómo los actores de amenazas buscaban alcanzar sus objetivos, descubrimos que variaban de ataques de ingeniería social a ataques a endpoints, recursos en la nube y más, tal como se muestra en la Tabla 2.

Frentes de ataque	Porcentaje de casos
Endpoints	72%
Humano	65%
Identidad	63%
Red	58%
Correo electrónico	28%
Nube	27%
Aplicación	21%
SecOps	14%
Base de datos	1%

Tabla 2: Frentes de ataque en los que vimos a los actores de amenazas en funcionamiento.

En el 84 % de los incidentes, los actores de amenazas atacaron a su víctima objetivo desde múltiples frentes (en el 70 %, desde tres frentes o más). En algunos incidentes a los que respondimos, los actores de amenazas atacaron desde ocho frentes.

La creciente complejidad de los ataques exige una visión unificada de todas las fuentes de datos. En el 85 % de los casos, los encargados de responder ante incidentes de Unit 42 tuvieron que acceder a múltiples tipos de fuentes de datos para completar su investigación. Los defensores deben prepararse para acceder a varias fuentes y procesar correctamente la información de toda la organización.

El explorador es un conducto clave para las amenazas.

Casi la mitad de los incidentes de seguridad que investigamos (44 %) involucraron actividad maliciosa que se lanzó o facilitó a través de los exploradores de los empleados. Se incluyó phishing, abuso de redireccionamientos de URL y descargas de malware. Cada uno explotó la sesión del explorador sin una detección o un bloqueo adecuados.

La interacción del usuario con archivos, dominios o enlaces maliciosos, en combinación con controles de seguridad insuficientes, tuvo como resultado la vulneración. Las organizaciones deben mejorar la visibilidad e implementar controles sólidos a nivel del explorador a fin de detectar estas amenazas, bloquearlas y responder a ellas antes de que se propaguen.

En las siguientes secciones, detallamos nuestras observaciones sobre la intrusión e incluimos información sobre técnicas de ataque comunes recopiladas de los datos de los casos de Unit 42.

Seguir leyendo Leer menos

3.1. Intrusión: creciente cantidad de ataques de ingeniería social, tanto generalizados como dirigidos

En 2024, el phishing se posicionó como el vector de acceso inicial más común de los casos de Unit 42 y representó casi un cuarto de los incidentes (23 %), como se muestra en la Figura 4.

Mostrar todo

Figura 4: Vectores de acceso inicial observados en los incidentes a los que respondió Unit 42 a lo largo de los años. Otros ataques de ingeniería social incluyen envenenamiento por optimización de motores de búsqueda (SEO), publicidades malintencionadas, suplantación de identidad por SMS (smishing), bombardeo de MFA y vulneración del servicio de asistencia. Otros vectores de acceso inicial incluyen el abuso de herramientas o relaciones de confianza, así como amenazas internas.

Los vectores de acceso inicial por sí solos no revelan toda la información. Diferentes vectores de acceso inicial a menudo correspondían a distintos objetivos y perfiles de actores de amenazas. Por ejemplo, cuando los actores de amenazas obtuvieron acceso a través del phishing, el tipo de incidente asociado más frecuente era la vulneración de los correos electrónicos comerciales (el 76 % de los casos), seguido de lejos por la extorsión, específicamente el ransomware (casi el 9 %).

Los actores de Estados nación, que representan un porcentaje pequeño pero impactante de los incidentes, prefieren las vulnerabilidades de software y API como vector de acceso inicial.

Los defensores deben ser conscientes de la frecuencia con la que los actores de amenazas utilizan credenciales comprometidas anteriormente, que a menudo adquieren de agentes de acceso inicial. Con frecuencia, las búsquedas en la web profunda y la web oscura revelan credenciales comprometidas anteriormente.

Algunos vectores de acceso inicial menos comunes pueden producir vulnerabilidades significativas. Por ejemplo, Unit 42 sigue observando cómo el grupo de ciberdelincuentes Muddled Libra obtiene acceso a las organizaciones a través de ataques de ingeniería social en los servicios de asistencia. Sin embargo, otros actores de amenazas también sacan provecho de esta técnica, como un actor con motivación financiera que se encuentra en Nigeria.

Los actores que usan este tipo de técnica cometen fraude sin recurrir a malware. Se arman de documentos de identidad falsificados o números de teléfono VoIP localizados geográficamente en la ciudad en la que se encuentran sus víctimas objetivo. El porcentaje de ataques dirigidos registrados aumentó de un 6 % de los incidentes en 2022 a un 13 % en 2024.

Seguir leyendo Leer menos

Contramedidas: cómo defenderse de ataques de ingeniería social

Los defensores deben seguir usando estrategias de defensa en profundidad a fin de prepararse para los vectores de acceso inicial comunes y minimizar el impacto de los actores de amenazas que obtengan acceso a sus sistemas.

Contar con formación en seguridad es esencial para preparar a los empleados para que resistan los ataques de ingeniería social. La formación debe ir más allá del phishing y spear phishing (phishing dirigido). También debe incluir lo siguiente:

Estrategias para mejorar la seguridad física (p. ej., evitar el tailgating con credenciales)
Prácticas recomendadas para evitar perder dispositivos
Qué hacer si pierde o deja dispositivos sin supervisión
Indicadores de amenazas internas
Señales de alarma a las que prestar atención en las llamadas al servicio de asistencia
Señales de deepfakes

3.2. Información sobre técnicas de ataques de datos de los casos de Unit 42

En función de las tácticas y las técnicas que observamos que utilizaron los atacantes más sofisticados en 2024, nuestros analistas de inteligencia sobre amenazas identificaron tres aspectos clave para los defensores:

Cualquier tipo de acceso puede ser beneficioso para los atacantes. Incluso si un grupo de amenazas parece estar enfocado en otros objetivos, sigue siendo fundamental prepararse para defender a su organización de ellos.
Los actores de amenazas avanzadas no siempre usan ataques complejos. Si un enfoque más simple dará resultado, lo usarán.
A pesar de la prevalencia de la extorsión, no todos los actores de amenazas anuncian su presencia. Por ejemplo, los actores de amenazas de Estados nación suelen especializarse en permanecer en una red comprometida en silencio, en especial a través de técnicas de “vivir de la tierra”.

En las siguientes secciones, se abordarán en detalle las técnicas usadas por los grupos de amenazas de Estados nación y otros actores motivados.

Mostrar todo + Ocultar todo -

Todos los accesos son importantes

Con frecuencia, las organizaciones quitan prioridad a la defensa contra actores específicos, ya que creen que estos grupos se enfocan en otros objetivos. Sin embargo, muchos actores demostraron en varias ocasiones que los grupos persistentes suelen dirigirse contra muchas organizaciones en su camino hacia la consecución de los objetivos finales.

A lo largo de 2024, Unit 42 hizo seguimiento de muchas organizaciones comprometidas por actores de Estados nación. Estos actores no siempre cumplen directamente con objetivos de espionaje. En ocasiones, se apoderan de dispositivos para apoyar sus actividades futuras (T1584 - Vulneración de la infraestructura).

Por ejemplo, Insidious Taurus, alias Volt Typhoon, es conocido por abusar de estos dispositivos comprometidos de manera oportunista (a menudo, enrutadores de red con acceso a Internet y activos de Internet de las cosas) para crear botnets que dirijan y controlen mediante proxy el tráfico de red dirigido hacia víctimas adicionales o desde estas.

También se observó que los actores apuntan y comprometen a proveedores de tecnología para recolectar información confidencial específica de los clientes o incluso para explotar el acceso interconectado a víctimas posteriores (T1199 - Relación de confianza).

Es posible que su red siga corriendo el riesgo de verse comprometida por los actores de amenazas, a pesar de que no sea su objetivo directo.

Las técnicas de espionaje exitosas no siempre son nuevas o sofisticadas

El término “amenaza avanzada persistente” creó la ilusión de que todas las actividades de los adversarios serán novedosas y complejas. Sin embargo, incluso los actores con mayores recursos suelen seguir el camino de menor resistencia. Esto incluye explotar vulnerabilidades conocidas (e incluso antiguas) (T1190 - Explotación de aplicaciones orientadas al público), simplemente abusar de funciones de acceso remoto (T1133 - Servicios remotos externos) o robar información a través de servicios en línea populares existentes (T1567 - Exfiltración sobre servicio web).

Observamos errores y problemas sistémicos que se repiten comúnmente en las redes, como errores en la configuración y dispositivos expuestos a Internet. Esto reduce la barrera para los actores maliciosos.

La actividad posterior a la vulneración puede ser paciente y silenciosa

La mayoría de los incidentes involucran a actores de amenazas con motivación financiera, mucho de los cuales se mueven rápido y anuncian su presencia para extorsionar. Sin embargo, también vemos incidentes en los que los adversarios evitan desencadenar alertas e intentan evitar los mecanismos defensivos a fin de cometer espionaje, por ejemplo.

A veces, los atacantes explotan la complejidad de las redes ocultándose en el “ruido” de la actividad de los usuarios esperados. O abusan de funciones de un entorno comprometido que, de otro modo, serían legítimas, un enfoque conocido como “vivir de la tierra”. El éxito que los atacantes pueden conseguir con este enfoque pone de relieve el desafío, a menudo inmanejable para los defensores, de categorizar la actividad benigna frente a la maliciosa.

Como ejemplo muy común en el mundo real, ¿puede diferenciar de inmediato entre administradores o APT al observar las siguientes acciones?

Comandos ejecutados
Cambios en la configuración del sistema
Inicios de sesión
Tráfico de red

Técnica	Tendencias de 2024
T1078 - Cuentas válidas	Esta fue una de las principales técnicas observadas como vector de acceso inicial y representa más del 40 % de los tipos de técnicas agrupadas observadas junto con esta táctica. Probablemente se ve favorecida por las debilidades en la gestión de identidades y accesos, y la gestión de la superficie de ataque (ASM), por ejemplo: Sin MFA (el 28 % de los casos) Contraseñas predeterminadas o débiles (el 20 % de los casos) Controles de bloqueo de cuentas o de fuerza bruta insuficientes (el 17 % de los casos) Permisos de cuenta excesivos (el 17 % de los casos)
T1059 - Intérprete de comandos y secuencias	Esta fue la principal técnica de ejecución (p. ej., más del 61 % de los casos asociados con la táctica de ejecución abusan de PowerShell de esta manera). Otras utilidades del sistema de las que se abusó comúnmente incluyen otros shells nativos de Windows, Unix, dispositivos de red y específicos de la aplicación para realizar varias tareas.
T1021 - Servicios remotos	El abuso de estos servicios fue sin dudas la técnica más observada para el movimiento lateral (de los tipos de técnicas agrupadas observadas junto con esta táctica, más del 86 % involucró los servicios remotos). Esto refuerza la tendencia que destaca la reutilización de credenciales legítimas. En lugar de dar a estas credenciales usos más tradicionales, aquí vemos que se usan para autenticar a través de protocolos de red internos, como RDP (más del 48 % de los casos), SMB (más del 27 % de los casos) y SSH (más del 9 % de los casos).

Técnica

Tendencias de 2024

T1078 - Cuentas válidas

Esta fue una de las principales técnicas observadas como vector de acceso inicial y representa más del 40 % de los tipos de técnicas agrupadas observadas junto con esta táctica. Probablemente se ve favorecida por las debilidades en la gestión de identidades y accesos, y la gestión de la superficie de ataque (ASM), por ejemplo:

Sin MFA (el 28 % de los casos)
Contraseñas predeterminadas o débiles (el 20 % de los casos)
Controles de bloqueo de cuentas o de fuerza bruta insuficientes (el 17 % de los casos)
Permisos de cuenta excesivos (el 17 % de los casos)

T1059 - Intérprete de comandos y secuencias

Esta fue la principal técnica de ejecución (p. ej., más del 61 % de los casos asociados con la táctica de ejecución abusan de PowerShell de esta manera). Otras utilidades del sistema de las que se abusó comúnmente incluyen otros shells nativos de Windows, Unix, dispositivos de red y específicos de la aplicación para realizar varias tareas.

T1021 - Servicios remotos

El abuso de estos servicios fue sin dudas la técnica más observada para el movimiento lateral (de los tipos de técnicas agrupadas observadas junto con esta táctica, más del 86 % involucró los servicios remotos). Esto refuerza la tendencia que destaca la reutilización de credenciales legítimas. En lugar de dar a estas credenciales usos más tradicionales, aquí vemos que se usan para autenticar a través de protocolos de red internos, como RDP (más del 48 % de los casos), SMB (más del 27 % de los casos) y SSH (más del 9 % de los casos).

Tabla 3: Técnicas de “vivir de la tierra” más destacadas de los casos de IR de Unit 42.

Además de las técnicas de “vivir de la tierra”, observamos que una variedad de actores, en particular, aquellos que recurren al ransomware, intentan usar herramientas para desactivar la detección y respuesta de endpoints (EDR) a fin de “modificar la tierra” como parte de sus operaciones. Casi el 30 % de los tipos de técnicas agrupadas observadas junto con la evasión de defensa involucraron T1562 - Daños de defensas. Se incluyen subtécnicas como las siguientes:

Si bien existen muchos trucos, observamos más vulneraciones que involucran el abuso de técnicas de espionaje traiga su propio dispositivo vulnerable (BYOVD) por parte de los actores de amenazas. Utilizan esta técnica para obtener los permisos necesarios para eludir las soluciones de EDR y otros sistemas de protección defensivos instalados en un host comprometido y, luego, incluso atacarlos. Estas son algunas técnicas relacionadas:

Contramedidas: defenderse de TTP efectivos comunes

Los defensores deben entender claramente la superficie de ataque interna y externa de la organización. Evalúe de forma periódica a qué datos o dispositivos se puede acceder desde la Internet orientada al público o cuáles quedan expuestos allí, y minimice los errores en la configuración y los ajustes de acceso remoto peligrosos. Elimine sistemas con sistemas operativos ya no compatibles con las actualizaciones de seguridad regulares y esté al tanto de las vulnerabilidades de sus sistemas, incluso de los más antiguos y en especial aquellos con código de prueba de concepto (POC) publicado.

Conserve parámetros de referencia útiles de su entorno, incluidas las cuentas, las aplicaciones, el software y otras actividades aprobadas. Implemente un registro sólido y use las herramientas de análisis que pueden ayudar a relacionar rápidamente múltiples fuentes de datos a fin de detectar patrones de comportamiento inusuales.

4. Recomendaciones para los defensores

En esta sección, se analizan con mayor detalle los problemas sistémicos explotados con mayor frecuencia por los atacantes y las estrategias específicas para contrarrestarlos. Si abordan estos factores de forma proactiva, las organizaciones pueden reducir el riesgo cibernético en gran medida, fortalecer su resiliencia y mantener una ventaja decisiva contra las amenazas actuales y emergentes.

4.1. Factores contribuyentes comunes

Los factores contribuyentes comunes son problemas sistémicos que permiten que los actores de amenazas tengan éxito una y otra vez. Si abordan estos problemas de forma proactiva, las organizaciones pueden reducir tanto la probabilidad como el impacto de los ciberataques.

Tras analizar miles de incidentes, identificamos tres facilitadores principales: complejidad, brechas en la visibilidad y exceso de confianza. Estos factores dan lugar al acceso inicial, permiten que las amenazas escalen sin ser detectadas y amplifican el daño en general. Si se enfrenta a ellos, podrá fortalecer las defensas y mejorar la resiliencia en gran medida.

Mostrar todo + Ocultar todo -

1. Complejidad de la seguridad: el asesino de la respuesta ante incidentes y las SecOps eficaces

Los entornos de TI y seguridad actuales a menudo se asemejan a una amalgama de aplicaciones heredadas, infraestructura añadida e iniciativas de transformación incompletas. Esto puede provocar que muchas organizaciones dependan de 50 herramientas de seguridad dispares o más. Adquiridas poco a poco para abordar amenazas individuales, estas herramientas por lo general carecen de integración, lo que crea silos de datos e impide que los equipos mantengan una visión unificada de sus entornos.

En el 75 % de los incidentes que investigamos, había evidencia crítica de la intrusión inicial en los registros. Sin embargo, debido a que había sistemas complejos y desconectados, no se podía acceder fácilmente a la información ni se operaba de forma eficaz, lo que permitía que los atacantes exploten las brechas sin ser detectados.

Al mismo tiempo, es esencial contar con múltiples fuentes de datos para detectar y responder correctamente. En cerca del 85 % de los incidentes, se necesitó correlacionar datos de múltiples fuentes para comprender el alcance y el impacto por completo. En casi la mitad (46 %), se debió correlacionar datos de cuatro fuentes o más. Cuando estos sistemas no se comunican (o la telemetría es incompleta), las pistas esenciales permanecen escondidas hasta que es demasiado tarde.

Caso en cuestión:
En un ataque de ransomware, el sistema de EDR capturó un movimiento lateral, mientras que la vulneración inicial se mantenía oculta en registros de red no supervisados. Esta visibilidad fragmentada retrasó la detección por un largo período, lo que dio a los atacantes tiempo de sobra para exfiltrar datos e implementar cargas útiles de ransomware.

2. Brechas en la visibilidad: no puede proteger lo que desconoce

Contar con una visibilidad de toda la empresa es esencial para lograr operaciones de seguridad eficaces. Sin embargo, las brechas continúan siendo habituales. En particular, los servicios en la nube suponen un gran desafío. Unit 42 descubrió que las organizaciones utilizan, en promedio, 300 servicios en la nube nuevos por mes. Sin una visibilidad en tiempo de ejecución adecuada, los equipos de SecOps no están al tanto de las exposiciones ni de los ataques. Los activos no gestionados y no supervisados, ya sean endpoints, aplicaciones o TI en la sombra, brindan a los atacantes un punto de acceso fácil al entorno de la organización.

De hecho, los problemas con la gestión y las herramientas de seguridad fueron un factor contribuyente en casi el 40 % de los casos. Estas brechas permiten que los atacantes establezcan un punto de apoyo, se muevan lateralmente y escalen privilegios sin ser detectados.

Caso en cuestión:
En un incidente, Muddled Libra usó una cuenta de usuario privilegiado para elevar permisos en el entorno de AWS del cliente, lo que le permitió exfiltrar datos. Dado que el servicio en la nube no estaba integrado en el SOC o la gestión de eventos e información de seguridad (SIEM) de la organización, la actividad sospechosa no fue detectada en un principio.

3. Demasiada confianza expande el impacto

El acceso demasiado permisivo es una desventaja peligrosa. En los incidentes a los que respondimos, los atacantes explotaban constantemente cuentas demasiado permisivas y controles de acceso insuficientes para escalar sus ataques.

De hecho, en el 41 % de los incidentes, había al menos un factor contribuyente relacionado con problemas de gestión de identidades y accesos, incluidas funciones y cuentas demasiado permisivas. Esto da lugar al movimiento lateral y al acceso a aplicaciones e información confidenciales y, por último, permite que los atacantes tengan éxito.

En este caso, los entornos en la nube también son especialmente vulnerables: investigadores de Unit 42 descubrieron que en casi la mitad de los incidentes relacionados con la nube había al menos un factor contribuyente relacionado con problemas de gestión de identidades y accesos, incluidas funciones y cuentas demasiado permisivas.

En muchos casos, los atacantes obtuvieron incluso más acceso que el que se debería haber otorgado a las funciones que comprometieron. Una vez que se obtiene el acceso inicial (a través del phishing, el robo de credenciales o la explotación de vulnerabilidades), este exceso de confianza permite que los atacantes escalen los privilegios, exfiltren datos e interrumpan las operaciones con rapidez.

Caso en cuestión:
En el caso de una empresa de servicios de TI, los atacantes explotaron cuentas de administrador demasiado permisivas para moverse de forma lateral y escalar los privilegios tras realizar un ataque de fuerza bruta en una VPN sin autenticación de varios factores. Este exceso de confianza permitió a los atacantes implementar ransomware en 700 servidores de ESXI y, en última instancia, interrumpir las principales operaciones comerciales de la empresa y afectar más de 9000 sistemas.

4.2. Recomendaciones para los defensores

Si eliminan la complejidad, las brechas en la visibilidad y el exceso de confianza, las organizaciones pueden reducir en gran medida el riesgo e impacto de los ciberataques. Esto no solo evita sufrir un tiempo de inactividad prolongado y pagar una costosa remediación de la violación de seguridad, sino que también preserva la continuidad operativa y la confianza de las partes interesadas. A continuación, se recomiendan estrategias para abordar estos problemas sistémicos.

Mostrar todo +

1. Fortalezca las operaciones de seguridad para detectar más y responder más rápido

El SOC es su última línea de defensa. Cuando se produce un fallo en los controles de aplicaciones, endpoints, identidades o redes, este equipo necesita las herramientas y las capacidades para detectar y responder rápido, antes de que las amenazas escalen. Fortalezca su SOC con una visibilidad integral de toda la empresa y la tecnología necesaria para identificar la señal detrás de todo el ruido.

Recopile todos los datos de seguridad relevantes: agrupe y normalice la telemetría de la infraestructura de la nube, los sistemas que se encuentran en las instalaciones, las identidades, los endpoints y las aplicaciones con el objetivo de crear una única fuente de información verdadera. Esta visión unificada no solo acorta brechas, sino que también reduce la complejidad de lidiar con múltiples herramientas. Elabore un esquema de la superficie de ataque interna y externa para crear un inventario de todos los activos y propietarios, e integre la inteligencia sobre amenazas a fin de priorizar los indicadores de alto riesgo.
Detecte y priorice amenazas con capacidades impulsadas por IA: use inteligencia artificial y aprendizaje automático para analizar grandes conjuntos de datos e identificar amenazas ocultas y comportamientos anómalos. Los análisis de comportamientos asistidos por IA ayudan a predecir los ataques antes de que sucedan por completo. El SOC debe medir el MTTD para estimar las mejoras. Detectar amenazas y correlacionar señales de múltiples fuentes de forma regular puede ayudar a solucionar el problema de “la aguja en el pajar”.
Responda ante las amenazas en tiempo real con la automatización: es fundamental automatizar los flujos de trabajo de respuesta ante incidentes para contener las amenazas a velocidad de máquina, antes de que un atacante pueda escalar privilegios o exfiltrar datos sensibles. El SOC debe hacer un seguimiento del MTTR para impulsar la mejora continua. Una integración perfecta de las plataformas de SOC, los sistemas de TI y las aplicaciones comerciales también elimina los cuellos de botella manuales que retrasan la remediación.
Pase de una seguridad reactiva a una proactiva: combine ejercicios de equipo rojo, simulación de incidentes y evaluaciones continuas de la seguridad para perfeccionar los manuales de respuesta y lógica de detección. Este ciclo de retroalimentación constante permite que el SOC se adapte a medida que surgen nuevas amenazas. Mejorar las capacidades del SOC a través de una formación avanzada cierra las brechas en el conocimiento y garantiza que su organización esté preparada para la próxima ola de ataques.
Amplíe su equipo con expertos en IR: tener un equipo de IR dedicado a disposición, como Unit 42, le permite tener apoyo de expertos en marcación rápida para cuando escalen los incidentes. Más allá de la respuesta ante emergencias, los créditos del anticipo pueden financiar servicios proactivos como la búsqueda de amenazas, ejercicios de simulación y evaluaciones de equipo púrpura, lo que fortalece la preparación y perfecciona las defensas antes de que los ataquen.

Si alinea su SOC con estos principios fundamentales, su organización puede superar a los adversarios, contener rápidamente los incidentes y mantener las defensas por delante de los riesgos emergentes.

2. Acelere su recorrido hacia la Confianza Cero

La Confianza Cero es un modelo de seguridad estratégico centrado en eliminar la confianza implícita y validar continuamente a todos los usuarios, dispositivos y aplicaciones sin importar la ubicación o plataforma. Si bien la adopción completa puede ser compleja, incluso un avance progresivo permitirá reducir el riesgo, proteger datos sensibles y desarrollar resiliencia. Estas recomendaciones de alto nivel se aplican sobre los tres factores contribuyentes comunes (complejidad, brechas en la visibilidad y exceso de confianza) a fin de garantizar que su recorrido hacia la Confianza Cero aborde directamente estos puntos débiles.

Identifique y verifique a todos los usuarios, dispositivos y aplicaciones: Antes de conceder acceso, ya sea remoto o en las instalaciones, autentique constantemente a cada entidad, ya sea humana o automática. De este modo, se cierran las brechas y se reduce la complejidad al crear una única fuente de información verdadera sobre la identidad. Se debe supervisar todo el tiempo a las entidades verificadas, lo que minimiza el acceso no autorizado.
Implemente políticas estrictas de acceso con privilegios mínimos: otorgue a las funciones únicamente el acceso necesario y aplique reglas basadas en el contexto que tengan en cuenta la identidad, la postura del dispositivo y la sensibilidad de los datos. De este modo, se limita el alcance del daño en caso de que una cuenta se vea comprometida para neutralizar el problema del “exceso de confianza”. Además, la segmentación de la red aísla los activos críticos y evita que los atacantes se muevan de forma lateral.
Inspeccione la seguridad de forma global: analice el tráfico de red, incluidos los flujos cifrados, a fin de prevenir y detectar amenazas activas sin perjudicar el rendimiento. Adapte los controles en función de los diferentes entornos (p. ej., en la nube, IoT) para reducir la complejidad operativa y evitar crear brechas en la visibilidad. Este enfoque de inspección integrada impulsa la precisión en la detección de amenazas y acelera la respuesta ante incidentes.
Controle el movimiento y el acceso a los datos: clasifique los datos e implemente políticas de manejo sólidas para proteger la información confidencial. Las tecnologías de prevención de pérdida de datos (DLP) supervisan los flujos y detienen las transferencias no autorizadas, lo que protege a su organización contra el robo de propiedad intelectual, las infracciones de cumplimiento y las repercusiones financieras.

Si adopta estos principios de Confianza Cero (incluso un paso a la vez), no solo abordará los principales factores que favorecen a los atacantes, sino que también desarrollará un modelo de seguridad sostenible que su equipo ejecutivo podrá respaldar.

3. Proteja las aplicaciones y la nube desde su desarrollo hasta el tiempo en ejecución

A medida que los adversarios atacan los entornos en la nube y las cadenas de suministro de software, es crucial integrar la seguridad en Operaciones de Desarrollo (DevOps), obtener visibilidad de los errores en la configuración y las vulnerabilidades en tiempo real y permitir que el equipo de SecOps supervise continuamente los ataques basados en la nube y responda a ellos para mantenerse un paso por delante de la amenaza. En las siguientes recomendaciones, se detalla cómo integrar la seguridad en cada etapa, lo que permite evitar las vulneraciones antes de la producción y contener las amenazas rápidamente en tiempo real.

Evite que los problemas de seguridad lleguen a la producción: integre la seguridad de forma temprana en el ciclo de vida de desarrollo. Fortalezca las herramientas de DevOps y desarrollo, controle los componentes de código abierto y de terceros, y realice escaneos continuos durante el proceso de integración continua y entrega continua (CI/CD). Este enfoque de desplazamiento a la izquierda descubre las vulnerabilidades antes de que lleguen a la producción.
Corrija los puntos débiles en materia de seguridad recién descubiertos: supervise continuamente la infraestructura de la nube para detectar errores en la configuración, vulnerabilidades y permisos excesivos. El escaneo automatizado y la remediación basada en riesgos garantizan que, una vez que surjan problemas, se identifiquen y contengan rápido. Esto es esencial para detener a los atacantes antes de que establezcan una posición inicial.
Identifique y bloquee ataques de tiempo en ejecución: proteja aplicaciones, API y cargas de trabajo con controles de detección y prevención de amenazas en tiempo real. La supervisión continua ayuda a neutralizar la actividad maliciosa en curso, minimizar la interrupción de las operaciones y vencer a los atacantes antes de que las amenazas escalen.
Automatice la detección y respuesta en la nube: aproveche los servicios nativos de la nube y las herramientas de seguridad de terceros para crear una respuesta ante incidentes automatizada. Si elimina los cuellos de botella manuales, reduce el tiempo que los atacantes tienen para desplazarse, exfiltrar datos o escalar privilegios.

Enfocarse en estas capacidades contrarresta las amenazas emergentes en la cadena de suministro de software y la nube, lo que permite detener a tiempo los intentos de vulnerar su entorno.

5. Apéndice: Técnicas de MITRE ATT&CK^® organizadas por táctica, tipos de investigación y otros datos de los casos

5.1 Descripción general de las técnicas de MITRE ATT&CK observadas organizadas por táctica

En los siguientes gráficos (Figuras 5-16), se muestran las técnicas de MITRE ATT&CK® observadas en relación con tácticas específicas. Tenga en cuenta que los porcentajes que se muestran representan la prevalencia de cada técnica en comparación con otros tipos de técnicas identificadas para cada táctica correspondiente. Estos porcentajes no representan la frecuencia con la que aparecieron estas técnicas en los casos.

Acceso inicial

Figura 5: Prevalencia relativa de las técnicas observadas en relación con la táctica de acceso inicial

5.2. Datos por región e industria

El tipo de investigación más común que realizamos en 2024 fue la intrusión de red (aproximadamente en el 25 % de los casos). Es una buena noticia ver tantos casos de este tipo de investigación, ya que usamos esta clasificación con la intrusión de red cuando es la única actividad maliciosa que observamos. Creemos que el aumento de este tipo de investigación implica que, al menos en algunos casos, los clientes se comunican con nosotros en una etapa anterior de la cadena de ataque, lo que puede permitir que detengamos a los atacantes antes de que tengan éxito en sus objetivos.

Si bien los defensores de todas las industrias y las regiones comparten muchas inquietudes, observamos algunas variaciones en función de la región y la industria.

En América del Norte, la vulneración de los correos electrónicos comerciales siguió de cerca la intrusión de red (el 19 % de los casos en comparación con el 23 %). En Europa, Oriente Medio y África, si tenemos en cuenta todos los tipos de extorsión (con y sin cifrado), la extorsión supera levemente a la intrusión de red en nuestros datos (el 31 % de los casos en comparación con el 30 %).

Tras observar los datos de nuestra industria, se torna evidente lo preocupante que es la extorsión. En la industria de la tecnología avanzada, la extorsión con y sin cifrado también fue el tipo de investigación principal (22 %). Lo mismo sucede en la industria de la manufactura, la industria más comúnmente representada en los sitios de filtración en la web oscura de grupos de ransomware (25 %).

La vulneración de los correos electrónicos comerciales sigue siendo una gran amenaza, en particular para los servicios financieros (el 25 % de los casos), los servicios profesionales y legales (23 %) y el comercio mayorista y minorista (21 %).

Aparte de la proporción sustancial de casos que involucran o perjudican los servicios en la nube de las organizaciones, vemos una tendencia pequeña pero creciente de casos centrados principalmente en la vulneración del plano de datos o del plano de control de la nube. Esto incluye el 4 % de los casos en general, pero la cifra es superior en industrias como la tecnología avanzada y los servicios profesionales y legales (el 9 % de los casos para ambas). Estos ataques específicamente enfocados en la nube tienen el potencial de causar un impacto significativo. En el caso de los ataques sobre el plano de control de la nube, los atacantes obtienen acceso a toda la infraestructura de la nube de una organización. Los ataques sobre el plano de datos pueden recopilar una gran cantidad de datos confidenciales, debido al tipo y alcance de los datos usualmente almacenados en la nube.

Seguir leyendo Leer menos

Tipo de investigación por región

América del Norte

Figura 17: Tipo de investigación por región: América del Norte

Tipo de investigación por industria

En las Figuras 19-24 a continuación, se muestra un desglose de los principales tipos de investigación en relación con las seis industrias más representadas en nuestros datos de respuesta ante incidentes.

Tecnología avanzada

Figura 19: Tipo de investigación por industria: tecnología avanzada

6. Datos y metodología

Para este informe, recopilamos datos de más de 500 casos a los que Unit 42 respondió entre octubre de 2023 y diciembre de 2024, así como de otros casos que se remontan al año 2021.

Entre nuestros clientes, hay desde pequeñas organizaciones con menos de 50 empleados hasta organizaciones gubernamentales y empresas que forman parte de Fortune 500 y Global 2000, con más de 100 000 empleados.

Las organizaciones afectadas se encuentran ubicadas en 38 países. Aproximadamente el 80 % de las organizaciones afectadas en estos casos se encuentran en EE. UU. Los casos relacionados con organizaciones con sede en Europa, Oriente Medio y Asia-Pacífico representan el 20 % restante del análisis. Con frecuencia, los ataques generan un impacto que va más allá de la ubicación de las organizaciones.

Combinamos los datos de estos casos con información de nuestra investigación sobre amenazas, que se basa en la telemetría de productos y en observaciones de sitios de filtración en la web oscura y otros datos de código abierto.

Además, los encargados de responder ante incidentes compartieron sus observaciones respecto a las tendencias clave en relación con su trabajo directo con los clientes.

Varios factores pueden afectar la naturaleza de nuestros datos, incluida una tendencia hacia el trabajo con organizaciones más grandes que tienen posturas de seguridad más maduras. También elegimos destacar casos que creemos que revelan tendencias emergentes, lo que para algunos temas significa centrarse en segmentos más pequeños del conjunto de datos.

En algunos temas, decidimos filtrar datos para remover factores que podrían sesgar los resultados. Por ejemplo, ofrecimos nuestros servicios de respuesta ante incidentes para ayudar a nuestros clientes a investigar los posibles impactos de CVE-2024-3400, lo que causó que esa vulnerabilidad estuviera sobrerrepresentada en nuestro conjunto de datos. En algunos casos, corregimos los datos para eliminar esta sobrerrepresentación.

Nuestro principio rector a lo largo de este proceso fue proporcionar al lector información sobre el panorama actual y futuro de las amenazas, lo que permite mejorar la defensa.

Colaboradores:

Aditi Adya, consultora

Jim Barber, consultor sénior

Richard Emerson, gerente de la Unidad de Respuesta de Inteligencia

Evan Gordenker, gerente sénior de Consultoría

Michael J. Graven, director de Operaciones Globales de Consultoría

Eva Mehlert, gerente sénior de Comunicaciones Internas y Ejecutivas de Unit 42

Lysa Myers, editora técnica sénior

Erica Naone, gerente sénior de Compromiso Externo de Unit 42

Dan O'Day, director de Consultoría

Prashil Pattni, investigador sénior de amenazas

Laury Rodriguez, consultora

Sam Rubin, vicepresidente sénior de Inteligencia sobre Amenazas y Consultoría de Unit 42

Doel Santos, investigador principal de amenazas

Mike Savitz, director sénior de Consultoría

Michael Sikorski, director tecnológico y vicepresidente de Ingeniería de Unit 42

Samantha Stallings, editora sénior de Producción

Jamie Williams, investigador principal de Inteligencia sobre amenazas

Informe de respuesta ante incidentes - 2025

Resumen ejecutivo

1. Introducción

SAM RUBIN

¿Todo listo para vencer a las ciberamenazas?

¡Permanezca un paso por delante con las actualizaciones de nuestro Informe de respuesta ante incidentes!

Manténgase informado, manténgase protegido.

2. Tendencias y amenazas emergentes

Ola 1: al comienzo, se utilizaba el cifrado

Ola 2: aumentar la apuesta con la exfiltración de datos

Ola 3: Interrupción intencionada de las operaciones

Contramedidas: cómo conservar la resiliencia de cara al aumento de las interrupciones de la actividad

Tendencia 2. Impacto creciente de los ataques a la nube y la cadena de suministro de software

Tendencia 3. Velocidad: los ataques se vuelven más rápidos, por lo que los defensores tienen menos tiempo para responder

Contramedidas: cómo defenderse de ataques más rápidos

Tendencia 4. Aumento de las amenazas internas: la ola de amenazas internas de Corea del Norte

Fuerza laboral contratada

Tácticas en evolución

Amenazas generadas por trabajadores de TI falsos

Contramedidas: cómo defenderse de amenazas internas

Tendencia 5. Aparición de ataques asistidos por IA

Mejorar las capacidades de ataque con GenAI

Velocidad e IA

Contramedidas: cómo defenderse de ataques asistidos por IA

3. Cómo logran tener éxito los actores de amenazas: tácticas, técnicas y procedimientos efectivos comunes

A menudo, los actores de amenazas atacan a las organizaciones desde varios frentes.

El explorador es un conducto clave para las amenazas.

3.1. Intrusión: creciente cantidad de ataques de ingeniería social, tanto generalizados como dirigidos

Contramedidas: cómo defenderse de ataques de ingeniería social

3.2. Información sobre técnicas de ataques de datos de los casos de Unit 42

Todos los accesos son importantes

Las técnicas de espionaje exitosas no siempre son nuevas o sofisticadas

La actividad posterior a la vulneración puede ser paciente y silenciosa

Contramedidas: defenderse de TTP efectivos comunes

4. Recomendaciones para los defensores

4.1. Factores contribuyentes comunes

1. Complejidad de la seguridad: el asesino de la respuesta ante incidentes y las SecOps eficaces

2. Brechas en la visibilidad: no puede proteger lo que desconoce

3. Demasiada confianza expande el impacto

4.2. Recomendaciones para los defensores

5. Apéndice: Técnicas de MITRE ATT&CK® organizadas por táctica, tipos de investigación y otros datos de los casos

5.1 Descripción general de las técnicas de MITRE ATT&CK observadas organizadas por táctica

5.2. Datos por región e industria

Tipo de investigación por región

Tipo de investigación por industria

6. Datos y metodología

Colaboradores:

Tendencia 4. Aumento de las amenazas internas:
la ola de amenazas internas de Corea del Norte

5. Apéndice: Técnicas de MITRE ATT&CK^® organizadas por táctica, tipos de investigación y otros datos de los casos