Las contraseñas ya no te protegen: los hackers ahora acceden por puertas traseras en tus aplicaciones
Las empresas ya no disponen de semanas para parchear fallos de seguridad: el tiempo se mide en horas.
Según un nuevo informe de Google Cloud, los hackers comenzaron a atacar servicios en la nube casi inmediatamente después de la publicación de vulnerabilidades. Si antes entre la divulgación del problema y los primeros ataques pasaban semanas, ahora a los delincuentes les bastan pocos días.
El documento Cloud Threat Horizons Report H1 2026 muestra un cambio notable en la táctica de los ataques. En la segunda mitad de 2025 los atacantes recurrieron cada vez más a vulnerabilidades en software de terceros instalado por los usuarios en la nube. Estos ataques representaron el 44,5% de los casos de acceso inicial. En comparación, a principios del año la proporción era solo del 2,9%. Al mismo tiempo, los ataques mediante contraseñas débiles o ausentes disminuyeron del 47,1% al 27,2%.
Además se redujo el tiempo entre la publicación de una vulnerabilidad y su explotación activa. En un caso, el minero XMRig comenzó a propagarse aproximadamente 48 horas después de la divulgación del error crítico React2Shell. Según los especialistas, los delincuentes cada vez más automatizan la búsqueda y la explotación de aplicaciones vulnerables alojadas en entornos en la nube.
El objetivo principal de los ataques sigue siendo el robo de datos. En el 83% de los incidentes investigados los atacantes obtuvieron acceso mediante la compromisión de cuentas, y en el 73% de los casos intentaron sustraer información. A menudo utilizan canales y herramientas legítimas para actuar de forma discreta y mantener su presencia en la infraestructura durante largos periodos.
Ha aumentado de forma notable el número de ataques que emplean ingeniería social por teléfono. En estos esquemas los atacantes llaman a empleados de las empresas o al servicio de soporte y persuaden para cambiar parámetros de la autenticación multifactor o conceder acceso a una cuenta. Estas operaciones las realizaron, por ejemplo, las agrupaciones UNC3944, UNC6040 y UNC5356.
Los insiders representan una amenaza aparte. El análisis de más de mil casos judiciales mostró que en el 91% de los casos los infractores internos sustrajeron datos corporativos. Antes solían utilizar correo electrónico o soportes externos, pero ahora crece con rapidez el uso de almacenamientos en la nube, tanto corporativos como cuentas personales en servicios como Google Drive o Dropbox.
El informe también describe un ataque del grupo norcoreano UNC4899 contra una empresa de criptomonedas. Los atacantes engañaron a un desarrollador para que descargara un archivo con código malicioso, luego penetraron en la red corporativa, obtuvieron acceso a un clúster de Kubernetes y modificaron la configuración de los servicios. Como resultado, los atacantes accedieron a la base de datos y extrajeron criptomonedas por varios millones de dólares.
Otro incidente descrito mostró cómo un ataque a la cadena de suministro de software puede llevar a la toma de una infraestructura en la nube. El paquete malicioso QUIETVAULT en el repositorio NPM robó el token de un desarrollador de GitHub. A través del sistema de integración continua los atacantes obtuvieron claves de acceso temporales a la plataforma en la nube y en menos de 72 horas alcanzaron privilegios de administrador. Después descargaron datos del almacenamiento en la nube y destruyeron parte de la infraestructura.
Según las previsiones de los autores del informe, la presión sobre la seguridad en la nube seguirá aumentando. Ante conflictos geopolíticos, grandes eventos internacionales y nuevos requisitos regulatorios, las empresas se enfrentarán con mayor frecuencia a ataques a servicios en la nube, fugas de datos y intentos de sabotaje de los registros de eventos que se utilizan en la investigación de incidentes.