Adam Meyers es el responsable de operaciones contra adversarios en CrowdStrike. Con él analizamos cómo están cambiando las tácticas de los atacantes, el papel cada vez más relevante de la inteligencia artificial en el cibercrimen y qué deben hacer los equipos de seguridad para proteger sus organizaciones frente a amenazas cada vez más sofisticadas. Advierte que el cibercrimen está entrando en una nueva etapa marcada por tres grandes vectores: el abuso de identidades, el uso de herramientas nativas en la nube y el impacto creciente de la inteligencia artificial.
Según explicó, grupos como Scattered Spider ya no dependen del malware para conseguir sus objetivos. En su lugar, recurren a técnicas como el voice phishing —llamadas a los equipos de soporte para robar credenciales— o al uso de accesos heredados y dispositivos no gestionados. Una vez dentro, se mueven hacia la nube y aprovechan vulnerabilidades en hipervisores, un terreno donde no es posible desplegar herramientas tradicionales de EDR, lo que convierte al ransomware en una amenaza especialmente efectiva.
Identidades en el centro de la ciberseguridad
Meyers detalló que el abuso de identidades se ha convertido en el vector más crítico para mantener el acceso persistente. La proliferación de credenciales y permisos en entornos híbridos facilita este tipo de ataques, mientras que la falta de visibilidad en la nube y en cuentas SaaS multiplica los puntos ciegos. “Muchas organizaciones aún no ven la nube como lo que realmente es: una infraestructura crítica”, apuntó durante un encuentro online.
Los datos recopilados por CrowdStrike muestran la magnitud del problema. Sólo en los primeros cinco meses de 2025, las intrusiones en la nube crecieron un 136 % respecto a todo 2024. A ello se suma un aumento del 150 % en la actividad de intrusión de origen chino, con picos de entre el 200 y el 300 % en sectores como la industria manufacturera, los servicios financieros o los medios de comunicación.
También mencionó el caso de Corea del Norte, con el grupo Famous Chollima, que recurre a desarrolladores impulsados por IA y asistentes de codificación para avanzar en sus operaciones. Según explicó, estos actores llegaron a crear perfiles falsos en LinkedIn que les permitieron infiltrarse en un centenar de empresas estadounidenses haciéndose pasar por empleados reales. Este tipo de maniobras, apoyadas en técnicas de social engineering y automatización, muestran hasta qué punto la frontera entre amenazas internas y externas se difumina cuando los adversarios se apoyan en inteligencia artificial.
Inteligencia Artifical en acción
La inteligencia artificial aparece como otro de los grandes factores de cambio. Según Meyers, los atacantes más sofisticados ya están integrándola en sus tácticas, desde la creación de malware hasta campañas de desinformación multilingües. “Estamos en las primeras fases del uso de IA por parte de los adversarios”, advirtió, aunque destacó que su potencial para acelerar operaciones es evidente. CrowdStrike ha experimentado con modelos como DeepSeek-R1 y Qwen-32B, sometiéndolos a decenas de miles de prompts, y ha observado un mayor riesgo de generar código vulnerable cuando las peticiones entran en conflicto con la ideología del Partido Comunista Chino.
En paralelo, Meyers insistió en que la defensa también debe apoyarse en la inteligencia artificial para comprimir los tiempos de respuesta y desplazar a los adversarios hacia los márgenes. La compañía, dijo, está integrando estas capacidades en toda su plataforma para reforzar la detección en la nube y en la identidad, así como para mejorar la protección de dispositivos heredados y entornos poco gestionados.
Los imprescindibles de Mellers
Al ser preguntado por los imprescindibles para un CISO, Meyers fue claro: la identidad debe situarse en el centro de la estrategia. Explicó que los adversarios siguen explotando credenciales y permisos porque las empresas aún no tienen la visibilidad ni los controles suficientes. Por eso, insistió, el Identity Threat Detection and Response (ITDR) “ya no es opcional, es esencial”.
El ITDR se ha consolidado como un componente crítico porque permite detectar y responder a ataques que se basan en el abuso de identidades legítimas, algo que las defensas tradicionales no alcanzan a ver. Con estas soluciones es posible identificar desde accesos anómalos hasta técnicas avanzadas como pass-the-hash, golden ticket o el bypass de la autenticación multifactor, antes de que el atacante consiga moverse lateralmente o consolidar persistencia.
CrowdStrike ha ido reforzando esta capacidad dentro de su plataforma Falcon. A través del módulo Identity Protection, la compañía combina telemetría de endpoint e identidad para correlacionar señales en tiempo real y exponer patrones de abuso. En los últimos meses, además, han ampliado la cobertura con la integración de Active Directory directamente desde el sensor y con la protección de identidades en la nube como Microsoft Entra ID, lo que permite aplicar ITDR también en entornos híbridos y en el propio flujo de autenticación. “Sin esa visibilidad, los atacantes siempre tendrán ventaja”, advirtió.
