CIBERSEGURIDAD. Los atacantes están dejando de depender de malware fácilmente detectable para optar por el uso de accesos legítimos que les permiten pasar desapercibidos y evadir los controles de seguridad.
El hurto de credenciales y el uso de cuentas válidas se han convertido en recursos cada vez más eficaces para los ciberdelincuentes, según un reciente informe global de Kaspersky Security Services sobre las tácticas más utilizadas contra las organizaciones.
Esta tendencia refleja un cambio estratégico en el comportamiento de los atacantes, quienes están dejando de depender de malware fácilmente detectable para optar por el uso de accesos legítimos que les permiten pasar desapercibidos y evadir los controles de seguridad.
“Anatomy of a Cyber World” es un informe global basado en datos recopilados por los servicios de Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment y SOC Consulting de Kaspersky. El reporte analiza las técnicas, herramientas y escenarios de detección más utilizados por los actores maliciosos, además de identificar las principales características de los incidentes observados a nivel mundial.
Según el informe, una parte significativa de las técnicas de ataque más frecuentemente detectadas gira en torno a la gestión de credenciales e identidades. El análisis realizado examina las tasas de conversión[1] de diversos indicadores de ataque (IoA) y destaca las siguientes tácticas maliciosas más frecuentes:
● Adivinar las contraseñas (34.8%)
Esta técnica consiste en que los atacantes prueban sistemáticamente diferentes combinaciones de contraseñas hasta lograr acceder a una cuenta. Encabeza la lista de métodos más efectivos debido a su frecuente aparición tanto en ataques reales como en evaluaciones de seguridad autorizadas, lo que la convierte en una amenaza persistente en el panorama actual de ciberseguridad. El uso de contraseñas débiles, predecibles o reutilizadas por parte de las organizaciones sigue facilitando el éxito de esta estrategia, una de las más antiguas, pero aún vigentes.
● Creación de cuentas locales (34.7%)
Una vez que logran ingresar a un sistema, los atacantes suelen crear nuevas cuentas locales para mantener el acceso incluso si el punto de entrada original es detectado y eliminado. Esta técnica se observa con frecuencia tanto en incidentes reales como en ejercicios de seguridad y puede ser identificada, pero solo cuando las organizaciones cuentan con los mecanismos adecuados de monitoreo y visibilidad, algo que aún sigue siendo una carencia común en muchas infraestructuras.
● Abuso de cuentas válidas (34.5%)
En lugar de desplegar malware, los atacantes utilizan credenciales robadas o comprometidas para iniciar sesión y mezclarse con la actividad normal de los usuarios. Esto dificulta considerablemente su detección, ya que el acceso parece legítimo. La alta efectividad de esta técnica demuestra por qué las credenciales comprometidas continúan siendo uno de los vectores de ataque más peligrosos para las organizaciones.
● Manipulación de cuentas (32%)
Los atacantes modifican cuentas existentes para consolidar y ampliar su acceso al entorno comprometido. Esto puede incluir la activación de cuentas deshabilitadas, cambios en los grupos de usuarios o la elevación de privilegios. Esta práctica refuerza una tendencia cada vez más común: en lugar de introducir nuevas herramientas o malware, los ciberdelincuentes aprovechan los recursos y accesos que ya existen dentro de la organización para fortalecer su control y pasar desapercibidos.
● Reconocimiento de la red (31.2%).
Antes de lanzar un ataque más profundo, los ciberdelincuentes exploran la infraestructura de la organización para identificar sistemas vulnerables y rutas de acceso. Detectar estas señales tempranas puede marcar la diferencia entre un incidente contenido y una brecha de seguridad de mayor impacto.
“El reporte resalta cuatro técnicas relacionadas con abuso de credenciales y una relacionada con descubrimiento en el top 5. El abuso de credenciales sigue siendo efectivo porque aprovecha una brecha crítica en la seguridad de las organizaciones: la dificultad para distinguir entre un acceso legítimo y uno malicioso. Cuando un atacante entra con una cuenta válida, sus movimientos pueden parecer parte de la actividad normal del negocio, lo que le permite pasar desapercibido, escalar privilegios y mantenerse dentro del entorno comprometido. Este escenario demuestra que proteger una organización ya no consiste únicamente en bloquear malware, sino en entender cómo se comportan los usuarios, detectar anomalías y reaccionar antes de que un acceso comprometido se convierta en un incidente mayor”, afirma Eduardo Chavarro, director para Américas del Equipo Global de Respuestas a Incidentes en Kaspersky.
Le recomendamos: El futuro sin contraseñas ya está aquí
Para reducir este riesgo, los expertos recomiendan:
· Fortalecer la gestión de identidades y accesos: La seguridad no depende solo de crear usuarios y contraseñas. Las empresas deben revisar con frecuencia sus cuentas activas, controlar permisos, eliminar accesos inactivos y limitar los privilegios para que cada empleado solo pueda ingresar a la información necesaria para su trabajo.
· ➡️ Reforzar los controles de autenticación: La autenticación multifactor y las políticas sólidas de contraseñas reducen el riesgo asociado al robo de credenciales. Aunque un atacante logre obtener una clave, una verificación adicional puede bloquear su ingreso a los sistemas críticos de la organización.
· ➡️ Contar con capacidades avanzadas de detección y respuesta: servicios como Managed Detection and Response, Incident Response y el soporte de un SOC permiten monitorear de forma continua el comportamiento dentro de la red, identificar actividades sospechosas, responder rápidamente ante incidentes y contener amenazas antes de que escalen.
La ciberseguridad también empieza por una buena gestión de accesos. Si esta información puede ayudar a prevenir riesgos en su empresa o equipo de trabajo, compártala, ➡️ y si desea saber más sobre las tácticas y técnicas utilizadas por los ciberdelincuentes, las características de los incidentes detectados y su distribución por regiones y sectores industriales, consulte el informe completo.
#Ciberseguridad #CredencialesRobadas
____________________________________ 
[1] La conversión es la relación entre las alertas clasificadas como verdaderos positivos y el número total de alertas correspondientes a una técnica específica de MITRE ATT&CK.
