Presenta esta semana Picus Security la quinta edición de su Red Report 2025, un análisis anual de amenazas que revela un “aumento masivo en el malware de robo de información y las campañas ‘heist-style’ de múltiples etapas que están superando los límites del sigilo y la persistencia, mientras que los ataques reales impulsados por IA siguen siendo más exageración que realidad”.
Algunos datos destacados del informe:
- Se detectó un incremento de tres veces en el malware dirigido a las credenciales almacenadas en bóvedas y administradores de contraseñas.
- El 93 % de todas las acciones maliciosas se asignan a solo 10 técnicas de MITRE ATT&CK, fundamentales para que los atacantes se infiltren y profundicen en el entorno de la víctima.
- Aún no hay un uso significativo de la IA en campañas de malware del mundo real.
- Aumento de los infostealers estilo «SneakThief» que se basan en el sigilo, la automatización y la persistencia.
- El malware ahora ejecuta un promedio de 14 acciones maliciosas.
El informe de este año analiza una nueva variante de malware para el robo de información, denominada «SneakThief». Esta amenaza se destaca por una secuencia de ataque muy efectiva, que incluye infiltración en múltiples etapas, inyección avanzada de procesos, exfiltración a través de canales seguros y persistencia en el inicio del sistema. Como resultado, existe la posibilidad de que credenciales valiosas y redes completas sean comprometidas sin que se detecten alarmas.
El malware que apunta a los almacenes de credenciales, como administradores de contraseñas y datos de inicio de sesión del navegador, se ha multiplicado por tres. “Los atacantes no solo abren su bóveda, sino que también buscan las llaves maestras dentro”, aseguran desde Picus, esxplicando que, con sus credenciales, pueden moverse lateralmente y escalar privilegios fácilmente.
“Es fácil sentirse abrumado por los cientos de técnicas de MITRE ATT&CK que existen en la naturaleza. Pero si se concentrara solo en las 10 principales, habría abordado el 93 % de la actividad de malware que observamos en 2024”, aseguran desde la compañía. La T1055, o Inyección de procesos, tiene una prevalencia del 31 % y permite a los atacantes ocultar código malicioso en procesos legítimos. Otros métodos comunes son T1059 (Intérprete de comandos y scripts) para scripts maliciosos, T1071 (Protocolo de capa de aplicación) para exfiltración cifrada y T1547 (Ejecución de inicio automático) por su persistencia tras reinicios. Estos forman la base de los ataques modernos.
Contra todo pronóstico, Red Report 2025 no muestra evidencia de que el malware impulsado por IA sea crucial en las campañas activas. Los atacantes usan capacidades similares a la IA para crear señuelos de phishing o depurar código, pero no se han visto nuevos vectores de ataque basados en la IA.