La industria tecnológica se ha convertido en el principal objetivo de los ciberataques a nivel mundial. Según el último informe de Crowdstrike sobre amenazas al sector tecnológico, los grupos vinculados a China están intensificando sus campañas de espionaje con el objetivo de obtener capacidades de inteligencia artificial y propiedad intelectual que no pueden desarrollar al ritmo deseado por sí mismos.
La compañía señala que las empresas tecnológicas concentran algunos de los activos relacionados con la IA más valiosos del mundo, lo que las convierte en un objetivo prioritario para los actores estatales. De hecho, los grupos asociados a China fueron responsables de más del 58 % de las intrusiones patrocinadas por Estados dirigidas contra este sector.
China y Corea del Norte
Los grupos relacionados con China, entre ellos MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA y WARP PANDA, concentraron buena parte de su actividad en el sector tecnológico. CrowdStrike destaca que una única campaña de pulverización de contraseñas atribuida a MURKY PANDA llegó a afectar a más de 340 organizaciones estadounidenses.
El informe también advierte sobre las actividades de FAMOUS CHOLLIMA, un grupo vinculado a Corea del Norte que empleó identidades creadas o reforzadas mediante IA y empresas pantalla para conseguir puestos de trabajo remotos en compañías tecnológicas. Según CrowdStrike, este actor estuvo detrás del 47 % de las intrusiones interactivas patrocinadas por Estados detectadas en el sector, utilizando los ingresos obtenidos para financiar programas estratégicos del régimen norcoreano.
CrowdStrike señala que los ciberdelincuentes están utilizando herramientas basadas en IA para automatizar tareas como la extracción de credenciales o la eliminación de evidencias forenses, reduciendo significativamente los tiempos de respuesta disponibles para los equipos de seguridad. La firma también identifica la aparición de nuevas amenazas como Skrawl, un malware para macOS distribuido a través de falsas herramientas de IA y extensiones fraudulentas.
Ataques y cadena de suministro
Los ataques motivados por beneficios económicos representaron el 65 % de las operaciones interactivas registradas contra empresas tecnológicas. Los intermediarios de acceso inicial informaron de accesos comprometidos en 277 organizaciones del sector, lo que supone un incremento cercano al 30 %. Además, los grupos especializados en extorsión mediante ransomware publicaron los nombres de 572 compañías tecnológicas en sitios dedicados a este tipo de actividades.
Otra de las tendencias destacadas es el creciente interés de los atacantes por las cadenas de suministro de software. CrowdStrike cita el compromiso del paquete Axios de NPM por parte de STARDUST CHOLLIMA, una librería utilizada de forma masiva en el ecosistema de desarrollo. Asimismo, antes del desmantelamiento de la botnet Glassworm, los operadores consiguieron comprometer 350 repositorios de GitHub para introducir código malicioso en proyectos de JavaScript y Python.
Para Adam Meyers, responsable del grupo de Operaciones Contra Adversarios de CrowdStrike, la inteligencia artificial se ha convertido en uno de los principales objetivos de los actores maliciosos. En su opinión, cada avance en este ámbito genera nuevas oportunidades de negocio, pero también amplía la superficie de ataque. El directivo sostiene que tanto las organizaciones que desarrollan IA como aquellas que simplemente la adoptan deben incorporar la seguridad desde las primeras fases de sus proyectos.
