"El año del enemigo ingenioso": los hackers baten un nuevo récord de velocidad y sofisticación en sus ataques durante 2024

CrowdStrike ha publicado su informe Global Threat Report 2025, en el que señala un salto cualitativo en las tácticas de ciberdelincuentes y grupos patrocinados por estados. Según la compañía, 2024 fue “el año del adversario ingenioso”: los atacantes operaron como empresas consolidadas, adoptando innovaciones, estableciendo cadenas estables de suministro de accesos y utilizando de forma activa la inteligencia artificial.

Uno de los datos más reveladores es el tiempo de “breakout” —el lapso entre la intrusión inicial y el inicio del movimiento lateral en la red—, que alcanzó su mínimo histórico: 48 minutos de media frente a los 62 minutos del año anterior. El récord absoluto fue de apenas 51 segundos, dejando prácticamente sin margen de reacción a los defensores.

En el 79% de los incidentes detectados, los atacantes no recurrieron a malware tradicional, sino a herramientas legítimas de administración y operaciones manuales directamente sobre el teclado. Este enfoque les permite camuflarse como actividad normal de usuarios y evadir soluciones EDR. Entre los instrumentos más usados figuran plataformas de administración remota como Microsoft Quick Assist y TeamViewer.

Las campañas de vishing se dispararon un 442% en el segundo semestre de 2024 respecto al primero. Grupos como CURLY SPIDER, CHATTY SPIDER y PLUMP SPIDER emplearon llamadas telefónicas como vector inicial, a menudo combinadas con “spam bombing” —envío masivo de quejas falsas— para justificar una llamada supuestamente de soporte técnico. En algunos casos, estas tácticas culminaron con la instalación de puertas traseras y el despliegue del ransomware Black Basta.

También se popularizaron los ataques mediante ingeniería social a los centros de soporte técnico, en los que los delincuentes se hacen pasar por empleados legítimos para convencer a los operadores de que restablezcan contraseñas o desactiven la autenticación multifactor. Este método, utilizado por SCATTERED SPIDER, ya es uno de los principales mecanismos de compromiso de cuentas en la nube y aplicaciones SaaS.

El año marcó un punto de inflexión en el uso de IA generativa tanto por actores criminales como estatales. Modelos LLM se usaron para crear perfiles e imágenes falsas (como en el caso del grupo norcoreano FAMOUS CHOLLIMA), generar correos y páginas de phishing con un CTR un 54% superior al de textos escritos por humanos, producir deepfakes para fraudes BEC (en un caso se robaron 25,6 millones de dólares), escribir scripts maliciosos y desarrollar sitios señuelo en campañas como las de NITRO SPIDER.

Apareció un nuevo fenómeno: el “LLMJacking”, robo de credenciales de acceso a servicios corporativos de IA en la nube para su reventa o uso en otros ataques.

Las operaciones con origen en China crecieron de media un 150% y hasta un 200-300% en sectores como finanzas, medios, manufactura e ingeniería. Se identificaron nuevas agrupaciones especializadas —LIMINAL PANDA, LOCKSMITH PANDA, OPERATOR PANDA, VAULT PANDA y ENVOY PANDA— con objetivos que abarcan desde telecomunicaciones y banca hasta ministerios de exteriores. Los operadores chinos usan redes ORB formadas por cientos o miles de dispositivos comprometidos para ocultar su tráfico y combinan herramientas antes exclusivas, como el malware KEYPLUG.

FAMOUS CHOLLIMA amplió sus operaciones contratando falsos especialistas en TI para colocarlos en empresas extranjeras, obtener equipos corporativos y enviarlos a “granjas de portátiles” donde se instalan puertas traseras. CrowdStrike registró 304 incidentes relacionados, de los cuales el 40% implicaban amenazas internas.

Los ataques a entornos en la nube aumentaron un 26%, y el 35% comenzaron con el compromiso de cuentas activas sin cambiar las contraseñas para evitar alertas. Los atacantes obtienen credenciales mediante infostealers como Stealc o Vidar y explotan relaciones de confianza entre empresas.

Muchas campañas combinan el encadenamiento de exploits con el abuso de funciones legítimas de software. Un ejemplo es OPERATOR PANDA, que aprovechó una cadena de vulnerabilidades en Cisco IOS para atacar telecomunicaciones y consultoras en EE. UU.

CrowdStrike anticipa un crecimiento continuo en la velocidad de los ataques y en el uso masivo de IA, especialmente en ingeniería social y entornos en la nube. Para mitigar riesgos, recomienda priorizar la protección de identidades, planificar de forma proactiva la instalación de parches, reforzar el control de cuentas en la nube y utilizar herramientas de caza de amenazas basadas en inteligencia artificial.