Tag: ciberamenazas

Un grupo norcoreano utiliza tácticas basadas en IA para infiltrarse en empresas

Un grupo de amenazas vinculado a Corea del Norte, conocido como Jasper Sleet, está empleando tácticas sofisticadas para infiltrarse en empresas legítimas mediante la creación de identidades profesionales falsas. Este actor ha aprovechado el aumento del trabajo remoto impulsado por la pandemia de COVID-19, el cual ha transformado el panorama de contratación y acceso a recursos dentro de las organizaciones.

Aprovechándose del teletrabajo

La dependencia creciente de entornos online y herramientas de acceso remoto ha generado nuevas oportunidades para los actores maliciosos. Jasper Sleet utiliza tecnologías de inteligencia artificial para desarrollar identidades digitales personalizadas y se prepara meticulosamente para parecer un candidato auténtico, adaptando sus solicitudes conforme a los requisitos específicos de cada puesto.

De acuerdo con un análisis de Microsoft, el grupo utiliza flujos de trabajo en software de recursos humanos como Workday a través de llamadas a APIs programáticas para acceder a datos sobre ofertas de trabajo y aplicaciones activas. Esta técnica se distingue por su precisión y repetitividad, lo que indica un enfoque más calculado que el de un solicitante común.

Una vez contratado, Jasper Sleet tiene acceso a diversas herramientas colaborativas y entornos en la nube de la organización, lo que le permite mover libremente entre archivos sensibles, llevando eventualmente a la posible sustracción de datos o extorsión. Microsoft ha observado patrones de actividad sospechosos, incluidos alertas de “viajes imposibles” en los meses posteriores a la incorporación de nuevos empleados.

Para contrarrestar esta amenaza, se recomienda que los equipos de seguridad y recursos humanos colaboren estrechamente y que implementen medidas de formación sobre ingeniería social. Identificar señales de alerta en el proceso de contratación puede resultar más efectivo que intentar detectar la amenaza una vez que el actor ya tiene acceso a la información sensible.

Los ciberdelincuentes cambian de táctica: Exfiltración y extorsión de datos en aumento

En un reciente informe de Arctic Wolf se destaca un cambio significativo en las tácticas de los atacantes cibernéticos, quienes han comenzado a abandonar la encriptación en favor de la exfiltración y extorsión de datos. Este giro se ha presentado como una respuesta a la búsqueda de mejores retornos económicos, contribuyendo a una nueva ola de ataques donde el ransomware ya no es el único enfoque. De hecho, el ransomware ha representado el 44% de los incidentes de respuesta durante el periodo analizado.

Nuevas estrategias de los delincuentes

El sector manufacturero se ha convertido en el más afectado, seguido de bufetes de abogados, escuelas, instituciones financieras y organizaciones de salud. Estos sectores concentran la mayor parte de los ataques, lo que refleja el impacto creciente de las ciberamenazas en las industrias clave de la economía. Además, las bandas de ransomware han adoptado modelos de afiliación, permitiendo una mayor interconexión entre diferentes grupos, lo que las hace más competitivas y difícil de detener.

El informe señala que las interacciones policiales han debilitado a grupos como LockBit, ALPHV/BlackCat y BlackSuit, sugiriendo que los esfuerzos de las fuerzas del orden han tenido cierto efecto en su operatividad. Sin embargo, otros tipos de ataques, como los de compromiso de correo electrónico empresarial, han proliferado, representando el 26% de los casos investigados por Arctic Wolf. La mayoría de estos ataques se han dirigido a organizaciones financieras y legales, con un uso notable del phishing por correo electrónico como método de acceso inicial en el 85% de los casos comparados.

Además, los atacantes han mostrado una especial preferencia por comprometer herramientas de acceso remoto, como el Protocolo de Escritorio Remoto y software de gestión remota, lo que representa dos tercios de los casos no relacionados con BEC, un aumento significativo respecto a años anteriores. Este cambio en las tácticas subraya la adaptabilidad y madurez operativa de los cibercriminales en un paisaje tecnológico en constante evolución.

Aumentan los ataques automatizados dirigidos a servidores PHP

Investigadores de ciberseguridad han alertado sobre un aumento significativo en los ataques automatizados dirigidos a servidores PHP, dispositivos IoT y puertas de enlace en la nube, impulsados por botnets como Mirai, Gafgyt y Mozi. Según un informe de la Unidad de Investigación de Amenazas de Qualys, estos ataques automatizados se aprovechan de vulnerabilidades conocidas y configuraciones inadecuadas en la nube, lo que permite a los atacantes tomar el control de sistemas expuestos y expandir de esta manera sus redes de botnets.

Algunas medidas sencillas para evitar los ataques

Los servidores PHP se han convertido en los principales objetivos de estas campañas debido a la popularidad de sistemas de gestión de contenido (CMS) como WordPress y Craft CMS. La exposición de estos servidores a configuraciones incorrectas y plugins desactualizados amplía su superficie de ataque. Los investigadores destacan que algunos de los métodos utilizados por los atacantes involucran la cadena de consulta ‘/?XDEBUG_SESSION_START=phpstorm’, lo que permite iniciar sesiones de depuración que, si son dejadas activas en entornos de producción, pueden facilitar la extracción de datos sensibles.

Además, se ha observado que los atacantes buscan credenciales, claves API y tokens de acceso en servidores expuestos a internet, y también aprovechan fallos de seguridad en dispositivos IoT. La actividad de escaneo suele originarse en infraestructuras de nube como AWS y Google Cloud, lo que evidencia cómo los ciberdelincuentes abusan de servicios legítimos para ocultar sus verdaderas ubicaciones.

Los expertos advierten que incluso los atacantes de bajo nivel pueden causar daños significativos gracias a las herramientas de explotación y los kits de botnets ampliamente disponibles. Para mitigar estos riesgos, se aconseja a los usuarios mantener sus sistemas actualizados, eliminar herramientas de desarrollo en entornos de producción y restringir el acceso público a su infraestructura en la nube.

Este auge en las capacidades de las botnets se ve reflejado en la reciente clasificación de NETSCOUT, que identificó al botnet AISURU como una nueva clase de malware capaz de lanzar ataques DDoS que superan los 20 terabits por segundo. AISURU combina capacidades de ataque DDoS con funciones adicionales, permitiendo actividades ilícitas como el uso de proxies residenciales para ocultar la actividad maliciosa.

La importancia crucial de la seguridad de la identidad en la era de la IA

La rápida evolución de los agentes de inteligencia artificial ha transformado la seguridad empresarial, convirtiendo la gestión de identidad en un componente esencial para proteger las organizaciones de amenazas modernas. A medida que estos agentes ejecutan tareas de manera autónoma y sin supervisión, el riesgo de errores catastróficos aumenta significativamente. Un fallo en la lógica o un acceso indebido puede convertir la automatización efectiva en un desastre operativo, resaltando la vulnerabilidad que conllevan las implementaciones de IA poco reguladas.

La transformación de la seguridad empresarial

Actualmente, menos del 40% de los agentes de IA cuentan con políticas de seguridad de identidad. Esto deja a las organizaciones expuestas a una serie de ataques potenciales, ya que estos sistemas operan con privilegios de acceso a datos sensibles. De acuerdo con el informe SailPoint Horizons of Identity Security 2025-2026, la situación se ha vuelto crítica, ya que las antiguas medidas de seguridad, como los firewalls, ya no son suficientes frente a los nuevos modelos de amenazas impulsados por la identidad.

El informe destaca que el 63% de las organizaciones se encuentran en niveles tempranos de madurez en seguridad de identidad, lo que incrementa su riesgo ante ataques. Las empresas que implementan programas de seguridad de identidad maduros no solo logran un mayor retorno de inversión, sino que también se benefician de una mejor eficiencia operativa y capacidades empresariales transformadoras.

No obstante, solo el 25% de las organizaciones considera la gestión de identidad como un facilitador estratégico. Esta visión limitada impide que muchas empresas aprovechen todo el potencial transformador que la seguridad de identidad puede ofrecer. A medida que el paisaje de amenazas continúa evolucionando, es imperativo que las organizaciones evalúen su posición actual en cuanto a la seguridad de identidad y consideren seriamente su preparación para manejar el acceso de sistemas automatizados y agentes de IA.

El crecimiento de la IA expone a las organizaciones a nuevos riesgos cibernéticos

En un mundo cada vez más dominado por la inteligencia artificial, Josh Lemos, experto de GitLab, ha subrayado la urgente necesidad de que las organizaciones reevalúen sus estrategias en gestión de identidades y protección de datos. En un reciente comunicado, Lemos advirtió que el crecimiento exponencial de los agentes de IA presenta amenazas únicas que requieren enfoques innovadores en la seguridad cibernética.

Tiempo de cambio

Según Lemos, las organizaciones deben desarrollar nuevos métodos para salvaguardar sus redes, ya que los actuales sistemas de seguridad podrían resultar inadecuados frente a los riesgos emergentes que conlleva la inteligencia artificial. La integración de la IA en vastos procesos empresariales ha expandido las vulnerabilidades, lo que aumenta la urgencia de una revisión exhaustiva de las políticas de seguridad existentes.

La implementación de medidas sólidas para proteger los datos es más esencial que nunca. Lemos instó a las empresas a reconocer que la IA no solo transforma la forma en que se gestionan las operaciones, sino que también puede ser un vector para ataques sofisticados si no se maneja adecuadamente. El ejecutivo de GitLab reiteró que garantizar la seguridad en este nuevo entorno no es solo una opción, sino una necesidad fundamental para la continuidad del negocio.

La conversación sobre la seguridad en la era de la inteligencia artificial no es nueva, pero las ideas de Lemos ponen de manifiesto la importancia de actuar ahora. Las organizaciones que continúan confiando en métodos tradicionales sin adaptaciones específicas para los desafíos que presenta la IA podrían hallar sus sistemas cada vez más expuestos a brechas y amenazas cibernéticas. En este sentido, es crucial adoptar un enfoque proactivo y estratégico hacia la ciberseguridad.

La gestión de identidades como clave para proteger los datos en la nube

En el contexto actual de entornos de nube complejos y centrados en datos, la mayor amenaza para las organizaciones no radica únicamente en la posibilidad de filtraciones de datos, sino en la erosión de la confianza en la gestión de esos mismos datos. Esta preocupación se intensifica conforme las organizaciones trasladan aplicaciones y datos sensibles al ámbito digital, lo que ha llevado a situar la identidad como el nuevo punto de control para asegurar el acceso y proteger información crítica.

La erosión de la confianza

Sin embargo, muchas empresas todavía enfrentan serios desafíos, que incluyen sistemas de identidad aislados y políticas de acceso inconsistentes. Además, el panorama de amenazas es cada vez más amplio, abarcando desde configuraciones erróneas hasta fraudes impulsados por inteligencia artificial. La falta de un marco de identidad robusto puede dejar a las organizaciones vulnerables ante estas amenazas emergentes.

En este contexto, Rob Otto, CTO de EMEA en Ping Identity, enfatiza la importancia de las estrategias de seguridad centradas en la identidad. Durante la reciente Cumbre Virtual de Seguridad en la Nube, Otto explicó cómo las empresas globales están reestableciendo el control, simplificando el acceso a la nube y protegiendo datos críticos sin sacrificar la experiencia del usuario. Se destacó que la implementación de la identidad adaptativa puede fundamentar una postura resiliente en la nube y potenciar iniciativas de confianza cero.

La sesión se diseñó para proporcionar conocimientos clave sobre cómo la gestión adecuada de la identidad puede no solo garantizar la seguridad, sino también aumentar la confianza en cada interacción digital. Este enfoque es crucial para que las organizaciones mantengan su integridad y estabilidad en un mundo cada vez más digitalizado, donde la confianza se convierte en el activo más valioso.