Actualment esteu veient Cuidado con la ciberseguridad: el hacker ya usa IA
Cuidado con la ciberseguridad

Cuidado con la ciberseguridad: el hacker ya usa IA

Aplicaciones personalizadasAgentes de inteligencia artificialSEO AvanzadoAuditoria digitalChatbots para empresasPrograma de control horarioPrograma de Aula Virtual con IAPrograma de reservas para restaurantesPrograma de citasPrograma de gestión de clientesCreación de videos corporativos

El informe Threat Hunting de CrowdStrike describe un cambio importante en la forma en que actúan los ciberdelincuentes. La amenaza ya no se limita al malware tradicional, a virus visibles o a ataques masivos fáciles de detectar. El nuevo escenario está marcado por adversarios que usan inteligencia artificial, credenciales robadas, ingeniería social, entornos cloud, herramientas legítimas y movimientos manuales para entrar, permanecer y avanzar dentro de las organizaciones.

La conclusión principal es clara: las defensas clásicas ya no son suficientes. Las empresas necesitan vigilancia activa, detección basada en comportamiento, protección de identidades, visibilidad sobre la nube y capacidad de respuesta rápida antes de que el atacante convierta un acceso inicial en una brecha grave.

1. La inteligencia artificial ya forma parte del ataque

Uno de los puntos más relevantes del informe es el uso creciente de la inteligencia artificial generativa por parte de los adversarios. La IA ya no se utiliza solo para crear correos de phishing más convincentes. Según CrowdStrike, algunos grupos la emplean para escalar operaciones, crear identidades falsas, automatizar tareas técnicas, generar contenido fraudulento y acelerar fases completas del ataque.

El caso más destacado es el de actores vinculados a Corea del Norte, especialmente el grupo conocido como FAMOUS CHOLLIMA. CrowdStrike indica que este tipo de adversarios han usado IA generativa en procesos de infiltración laboral, creación de currículums, entrevistas, identidades falsas y tareas técnicas realizadas dentro de empresas objetivo.

Esto cambia el riesgo para las organizaciones. Antes, muchas amenazas dependían de la capacidad técnica del atacante. Ahora, la IA reduce barreras, permite operar más rápido y facilita que actores menos sofisticados ejecuten acciones que antes requerían más conocimiento.

Qué significa para una empresa

  • Los correos falsos serán más creíbles y estarán mejor escritos.
  • Las identidades fraudulentas serán más difíciles de detectar.
  • Los ataques podrán adaptarse mejor al contexto de cada empresa.
  • Los ciberdelincuentes podrán automatizar tareas de reconocimiento y explotación.
  • Los equipos internos deberán verificar mejor a usuarios, proveedores, candidatos y accesos externos.

2. Los ataques sin malware son ya una amenaza dominante

CrowdStrike destaca que una gran parte de las intrusiones interactivas se realizan sin malware. Este dato es especialmente importante porque muchas empresas siguen basando su seguridad en antivirus, filtros básicos y soluciones pensadas para detectar archivos maliciosos.

En un ataque sin malware, el adversario puede utilizar credenciales válidas, herramientas administrativas, sesiones legítimas, escritorios remotos, comandos del sistema o servicios cloud ya autorizados. Desde fuera, parte de esa actividad puede parecer normal. El problema no es solo detectar un archivo peligroso, sino distinguir entre un usuario real y un atacante que actúa como si fuera ese usuario.

Por qué esto es peligroso

  • El atacante puede moverse usando herramientas que la empresa ya tiene permitidas.
  • El antivirus puede no detectar nada porque no hay malware evidente.
  • La intrusión puede parecer una sesión legítima de un empleado.
  • El robo de credenciales se convierte en una vía de entrada crítica.
  • La detección depende cada vez más del comportamiento, no solo de archivos o firmas.

3. La identidad se ha convertido en el nuevo perímetro

El informe refuerza una realidad que muchas empresas todavía no han interiorizado: el perímetro ya no es la oficina ni el firewall. El nuevo perímetro es la identidad. Un atacante que consigue credenciales válidas puede entrar en aplicaciones, paneles, correos, sistemas cloud, herramientas SaaS y entornos internos sin necesidad de romper una puerta técnica visible.

Esto afecta especialmente a empresas que trabajan con usuarios remotos, proveedores externos, aplicaciones en la nube, cuentas compartidas, permisos mal configurados o autenticación multifactor débil.

Riesgos habituales relacionados con identidad

  • Contraseñas reutilizadas entre servicios.
  • Cuentas antiguas que siguen activas.
  • Usuarios con permisos excesivos.
  • Falta de revisión periódica de accesos.
  • Ausencia de autenticación multifactor robusta.
  • Dependencia excesiva del correo electrónico como canal de validación.

4. La nube es uno de los grandes campos de batalla

CrowdStrike señala un fuerte aumento de las intrusiones en entornos cloud. Esto confirma que los atacantes están desplazando parte de su actividad hacia infraestructuras, plataformas y servicios alojados en la nube.

El motivo es sencillo: muchas empresas han migrado procesos críticos a la nube, pero no siempre han adaptado sus controles de seguridad. Un entorno cloud mal configurado puede exponer datos, credenciales, paneles de administración, almacenamiento, APIs o servicios internos.

Errores frecuentes en entornos cloud

  • Permisos demasiado amplios.
  • Claves API sin rotación.
  • Repositorios o buckets expuestos.
  • Falta de registro y monitorización de actividad.
  • Configuraciones heredadas que nadie revisa.
  • Usuarios externos con acceso persistente.

En este escenario, el threat hunting en cloud no consiste solo en buscar malware, sino en identificar accesos anómalos, cambios de configuración, movimientos laterales, creación de cuentas sospechosas, uso inusual de claves y patrones de actividad que no encajan con el comportamiento normal del negocio.

5. El vishing y la ingeniería social ganan protagonismo

El informe también destaca el crecimiento del vishing, es decir, ataques de phishing realizados mediante llamadas telefónicas o voz. Esta técnica es especialmente peligrosa porque explota la confianza humana y puede dirigirse contra empleados, departamentos de soporte, administración, recursos humanos o equipos técnicos.

Los atacantes pueden hacerse pasar por empleados, proveedores, técnicos, directivos o usuarios bloqueados que necesitan recuperar una cuenta. Si consiguen convencer al personal de soporte, pueden lograr restablecimientos de contraseña, cambios de dispositivo MFA o acceso a sistemas internos.

Ejemplos de situaciones de riesgo

  • Una llamada que solicita resetear una contraseña con urgencia.
  • Un supuesto directivo que pide acceso a una herramienta.
  • Un falso proveedor que reclama credenciales o validaciones.
  • Una persona que intenta modificar el número de teléfono asociado a una cuenta.
  • Un atacante que presiona emocionalmente al empleado para saltarse el procedimiento.

6. Los adversarios actúan más rápido

Otro mensaje importante del informe es la velocidad. Los atacantes no solo son más sofisticados: también se mueven más rápido. En algunos casos, el tiempo entre el acceso inicial y el despliegue de acciones graves puede ser muy corto.

Esto obliga a cambiar la mentalidad defensiva. Ya no sirve revisar alertas días después, confiar en auditorías ocasionales o actuar solo cuando el incidente ya ha explotado. La detección debe ser continua y la respuesta debe estar preparada antes del ataque.

Implicaciones para la seguridad empresarial

  • Las alertas críticas deben revisarse con rapidez.
  • Los equipos deben tener procedimientos claros de contención.
  • Las cuentas comprometidas deben poder bloquearse de inmediato.
  • La empresa debe saber qué sistemas son prioritarios.
  • La recuperación debe estar ensayada, no improvisada.

7. Sectores especialmente expuestos

Aunque cualquier empresa puede ser objetivo, el informe muestra especial presión sobre sectores como gobierno, telecomunicaciones, servicios críticos, empresas con información sensible, organizaciones con infraestructura cloud y compañías que gestionan identidades o datos de terceros.

Para una pyme, esto no significa que esté fuera del radar. Muchas pequeñas y medianas empresas son atacadas porque tienen defensas más débiles, dependen de proveedores externos, usan herramientas SaaS sin control suficiente o forman parte de la cadena de suministro de compañías mayores.

8. Tabla resumen de amenazas destacadas

Amenaza Qué implica Riesgo para la empresa
IA generativa usada por atacantes Automatización, identidades falsas, phishing avanzado y soporte técnico para acciones maliciosas. Mayor volumen, mayor credibilidad y menor barrera técnica para atacar.
Ataques sin malware Uso de credenciales, herramientas legítimas y actividad manual. Las defensas tradicionales pueden no detectar la intrusión.
Compromiso de identidad Acceso mediante cuentas válidas o permisos mal gestionados. El atacante puede operar como si fuera un usuario real.
Intrusiones cloud Explotación de configuraciones débiles, claves, permisos y servicios expuestos. Riesgo de acceso a datos, infraestructura y aplicaciones críticas.
Vishing Manipulación mediante llamadas, suplantación y presión sobre empleados. Restablecimiento fraudulento de cuentas, robo de accesos y bypass de controles.

9. Qué es realmente el threat hunting

El threat hunting es una práctica proactiva de búsqueda de amenazas dentro de una organización. A diferencia de un sistema que espera a que salte una alerta, el threat hunting parte de una hipótesis: “¿y si ya hay alguien dentro?”, “¿y si una cuenta está comprometida?”, “¿y si una actividad aparentemente normal es en realidad movimiento lateral?”.

Su objetivo es encontrar señales débiles antes de que se conviertan en incidentes graves. Esto requiere datos, contexto, experiencia, correlación entre sistemas y una visión completa de endpoints, identidades, red, cloud y aplicaciones.

Diferencia entre seguridad reactiva y threat hunting

Seguridad reactiva Threat hunting
Espera alertas evidentes. Busca señales antes de que el ataque sea visible.
Se centra en malware conocido. Analiza comportamientos, identidades y movimientos anómalos.
Actúa después del incidente. Intenta detectar y contener antes del impacto.
Depende de reglas estáticas. Combina hipótesis, inteligencia y análisis continuo.

10. Recomendaciones prácticas para empresas

A partir de las conclusiones del informe, cualquier organización debería revisar su estrategia de ciberseguridad en cinco áreas principales: identidad, nube, comportamiento, respuesta e inteligencia.

1. Reforzar la identidad

  • Activar autenticación multifactor robusta.
  • Eliminar cuentas antiguas o inactivas.
  • Revisar permisos de usuarios y proveedores.
  • Evitar cuentas compartidas.
  • Supervisar inicios de sesión anómalos.

2. Vigilar la nube

  • Auditar configuraciones cloud.
  • Revisar accesos externos.
  • Controlar claves API y secretos.
  • Activar logs y alertas de actividad crítica.
  • Detectar cambios no autorizados en permisos o servicios.

3. Detectar comportamiento anómalo

  • Monitorizar movimientos laterales.
  • Detectar uso inusual de herramientas administrativas.
  • Observar patrones de acceso fuera de horario.
  • Relacionar eventos entre usuario, dispositivo, ubicación y aplicación.

4. Preparar la respuesta

  • Definir qué hacer ante una cuenta comprometida.
  • Tener procedimientos de bloqueo y recuperación.
  • Realizar simulacros internos.
  • Documentar responsables y prioridades.
  • Probar copias de seguridad y restauración.

5. Formar al equipo

  • Entrenar al personal frente a phishing y vishing.
  • Crear protocolos para llamadas sospechosas.
  • Evitar que soporte técnico realice cambios críticos sin verificación.
  • Concienciar sobre el riesgo de la IA en ataques de suplantación.

11. Qué deberían hacer las pymes

Aunque el informe está basado en amenazas globales y operaciones sofisticadas, muchas conclusiones son directamente aplicables a pequeñas y medianas empresas. Una pyme puede no ser el objetivo principal de un actor avanzado, pero sí puede ser una puerta de entrada, una víctima de ransomware, un objetivo de fraude o un punto débil dentro de una cadena de suministro.

Para una pyme, el enfoque práctico debería ser progresivo. Primero, ordenar identidades y accesos. Después, proteger dispositivos y copias de seguridad. Luego, revisar servicios cloud, formar al equipo y establecer procedimientos de respuesta. Finalmente, incorporar monitorización y análisis más avanzado.

Prioridades mínimas para una pyme

  • Inventario de usuarios, dispositivos y aplicaciones críticas.
  • Autenticación multifactor en correo, administración y herramientas clave.
  • Copias de seguridad separadas y probadas.
  • Revisión de permisos en Google Workspace, Microsoft 365, CRM, hosting y cloud.
  • Formación básica contra phishing, vishing y suplantación.
  • Procedimiento interno para validar cambios de cuenta, pagos o accesos.
  • Monitorización de accesos sospechosos.

Fuente: CrowdStrike

Cada empresa tiene procesos distintos, y muchas veces las soluciones estándar se quedan cortas. Por eso desarrollamos aplicaciones personalizadas adaptadas a cada proyecto , combinando automatización, integración y herramientas digitales a medida.

Etiquetes: