El informe anual de ciberamenazas de ReliaQuest revela que los cibercriminales están acelerando sus tiempos de ataque y evolucionando sus tácticas para burlar las defensas empresariales. El estudio, basado en datos recopilados a lo largo de 2024, destaca que las amenazas como el phishing, el secuestro de sesiones y el abuso de herramientas legítimas están en auge, mientras que la exfiltración de datos ha superado al cifrado como la principal estrategia de ransomware.
El phishing sigue reinando: credenciales robadas y BEC en alza
El informe confirma que el phishing fue la técnica de acceso inicial más utilizada por segundo año consecutivo. Un preocupante 30 % de los correos electrónicos de phishing contenían recolectores de credenciales, con portales falsos de Microsoft como el señuelo más común.
“El phishing no solo sigue siendo el arma más efectiva de los atacantes, sino que suplantar plataformas de confianza como Microsoft Teams ha incrementado el número de víctimas significativamente”, señala el informe.
Además, los ataques de Business Email Compromise (BEC) han alcanzado un nuevo nivel de sofisticación. ReliaQuest descubrió que en el 100% de los casos exitosos de BEC, los atacantes lograron evadir la autenticación multifactor (MFA) mediante el secuestro de sesiones, lo que les permitió acceder a cuentas corporativas sin necesidad de robar credenciales o dispositivos físicos.
“El robo de sesiones ha pasado de ser una táctica especializada a una técnica estándar en los kits de phishing avanzados”
Las amenazas evolucionan: malware y acceso inicial en manos de atacantes
El estudio también señala que el malware sigue mutando, con SocGholish liderando la lista de amenazas gracias a sus nuevas tácticas basadas en Python. Por otro lado, el troyano remoto AsyncRAT escaló hasta la segunda posición gracias a su capacidad de infiltración mediante herramientas legítimas como ScreenConnect.
El abuso de servicios remotos como VPNs y RDP (Remote Desktop Protocol) representó el 45 % de las intrusiones manuales, mientras que la explotación de aplicaciones expuestas en Internet fue responsable del 23 % de los accesos iniciales.
En el informe también se advierte que “los atacantes se están moviendo a velocidades sin precedentes, alcanzando el movimiento lateral en apenas 48 minutos en promedio tras el acceso inicial”.
La exfiltración de datos supera a la encriptación en ransomware
El informe destaca un cambio significativo en las tácticas de ransomware: el 80 % de los ataques ya no cifran datos, sino que los roban para extorsionar a las empresas. Este giro obedece a la mayor resiliencia de las organizaciones ante la encriptación gracias a las copias de seguridad.
“Los actores de amenazas han entendido que la filtración de información confidencial es un método de presión más efectivo que el cifrado de datos”, señala el estudio. El tiempo más rápido registrado de exfiltración de datos fue de solo 4 horas y 29 minutos, lo que deja un margen de respuesta muy limitado a los equipos de seguridad.
Recomendaciones para las empresas: inteligencia artificial y automatización
Para combatir estas amenazas, el informe insta a las empresas a adoptar la IA y la automatización en sus operaciones de seguridad. ReliaQuest destaca que sus clientes que implementaron Automated Response Playbooks redujeron el tiempo medio de contención (MTTC) de las amenazas a tan solo 3 minutos, en comparación con las 6,3 horas de quienes no lo hicieron.
“Los atacantes están utilizando IA y automatización para potenciar sus ataques. Las empresas deben responder con la misma estrategia para no quedar en desventaja”, concluye el informe.