En la presentación de su 13º Global Threat Report, CrowdStrike ha puesto de manifiesto la creciente sofisticación de los actores de amenazas y la velocidad con la que operan. Adam Myers, jefe de operaciones de contrainteligencia de la compañía, destacó que 2024 ha sido “el año del adversario emprendedor”, una tendencia que continuará en 2025 con atacantes cada vez más eficaces en evadir herramientas de seguridad modernas.
“Hemos visto un incremento del 442 % en ataques de vishing (voice phishing), lo que indica que los atacantes están recurriendo a métodos más creativos para el acceso inicial”, explicó Myers. A esto se suma un aumento del 50 % en la actividad de intermediarios de acceso, lo que sugiere una economía subterránea saludable en la compraventa de credenciales comprometidas.
El 35% de las intrusiones en la nube usan credenciales robadas
Otro dato alarmante es la reducción del tiempo de propagación lateral de los ataques. En 2024, el tiempo promedio de ‘breakout’ (el tiempo que tarda un atacante en moverse a otros sistemas tras el acceso inicial) fue de 48 minutos, frente a los 62 minutos de 2023. “El ataque más rápido que detectamos tuvo una propagación en apenas 51 segundos”, alertó Myers, asegurando que esta rapidez complica la tarea de los defensores, que deben actuar con extrema velocidad para contener la intrusión antes de que se expanda.
El informe también destaca la proliferación de actores estatales en el panorama de amenazas, con China liderando el incremento de actividad con un 150 % más de ataques registrados. Aseguraba Mayers que China “ha invertido décadas en sus capacidades cibernéticas, poniéndose al nivel de otras potencias mundiales”, y que la especialización de los atacantes chinos en sectores específicos, como telecomunicaciones o servicios financieros, “es una tendencia preocupante”. En particular, se ha observado un aumento en la actividad de actores como Vault Panda y Operator Panda, que han desarrollado técnicas avanzadas para infiltrarse en infraestructuras críticas.
IA, nube e identidad
Por otro lado, la utilización de inteligencia artificial (IA) por parte de los atacantes es un fenómeno en auge. Según CrowdStrike, los correos de phishing generados por IA tienen un 54 % de tasa de clics, comparado con el 12 % de los escritos por humanos, lo que demuestra que la IA “está reduciendo la barrera de entrada para atacantes menos experimentados y está ampliando el espectro de amenazas”, advirtió Myers. En algunos casos, se han detectado ataques que combinan IA con técnicas de desinformación y manipulación de medios, como deepfakes, para suplantar identidades y engañar a empleados clave.
Finalmente, el informe subraya la necesidad de que las empresas refuercen la seguridad en la nube, dada la creciente explotación de credenciales válidas por parte de los atacantes. “El 35% de las intrusiones en la nube utilizan credenciales robadas. La protección de identidades y l monitorización de SaaS deben ser prioritarios”, comentó Myers, añadiendo que se ha observado un aumento del 25 % en las intrusiones en la nube, con actores maliciosos enfocándose en explotar credenciales de inicio de sesión y acceder a entornos críticos dentro de plataformas como Microsoft 365 y Google Workspace.
CrowdStrike recomienda un enfoque de seguridad que incluya detección de amenazas basada en identidad, visibilidad cross-domain y una priorización de vulnerabilidades basada en inteligencia de amenazas, en lugar de en criterios de severidad estáticos. Además, Myers enfatizó la importancia de entrenar a los equipos de seguridad para responder rápidamente ante incidentes y mejorar la resiliencia de las organizaciones frente a amenazas emergentes.