[21/04/2025] IBM publicó el Índice de Inteligencia de Amenazas X-Force 2025 destacando que los ciberdelincuentes continuaron pivotando hacia tácticas más sigilosas, con un aumento en el robo de credenciales de bajo perfil, mientras que los ataques de ransomware en las empresas disminuyeron. IBM X-Force ha observado un aumento del 84% en los correos electrónicos que envían infosecuestros en el 2024 en comparación con el año anterior, un método muy utilizado por los ciberdelincuentes para ampliar los ataques de identidad.
El informe 2025 rastrea tendencias y patrones de ataque nuevos y existentes, a partir de respuestas a incidentes, la web oscura y otras fuentes de inteligencia sobre amenazas.
Algunas de las principales conclusiones del informe 2025 son:
- Las organizaciones de infraestructuras críticas representaron el 70% de todos los ataques a los que IBM X-Force respondió el año pasado, con más de una cuarta parte de estos ataques causados por la explotación de vulnerabilidades.
- Más ciberdelincuentes optaron por robar datos (18%) que por cifrarlos (11%), ya que las tecnologías de detección avanzadas y el aumento de los esfuerzos de las fuerzas de seguridad presionan a los ciberdelincuentes para que adopten vías de salida más rápidas.
- Casi uno de cada tres incidentes observados en el 2024 resultó en el robo de credenciales, ya que los atacantes invierten en múltiples vías para acceder rápidamente, exfiltrar y monetizar la información de inicio de sesión.
"La mayoría de las veces, los ciberdelincuentes están entrando sin romper nada: capitalizando las brechas de identidad que desbordan los complejos entornos de nube híbrida que ofrecen a los atacantes múltiples puntos de acceso”, señaló Mark Hughes, socio gerente global de Servicios de Ciberseguridad de IBM, en el comunicado de prensa. "Las empresas necesitan alejarse de una mentalidad de prevención ad hoc y centrarse en medidas proactivas como modernizar la gestión de la autenticación, tapar los agujeros de autenticación multifactor y llevar a cabo la caza de amenazas en tiempo real para descubrir amenazas ocultas antes de que expongan datos sensibles”.
Los problemas de parcheado exponen a los sectores de infraestructuras críticas a amenazas sofisticadas
El ejecutivo comentó que la dependencia de la tecnología heredada y los lentos ciclos de aplicación de parches demuestran ser un desafío duradero para las organizaciones de infraestructuras críticas, ya que los ciberdelincuentes explotaron vulnerabilidades en más de una cuarta parte de los incidentes a los que respondió IBM X-Force en este sector el año pasado.
"Al revisar las vulnerabilidades y exposiciones comunes (CVE) más mencionadas en los foros de la web oscura, IBM X-Force descubrió que cuatro de las diez principales han sido vinculadas a sofisticados grupos de actores de amenazas, incluidos adversarios de estados-nación, lo que aumenta el riesgo de interrupción, espionaje y extorsión financiera. Los códigos de explotación de estos CVE se intercambiaron abiertamente en numerosos foros, alimentando un mercado creciente de ataques contra redes eléctricas, redes sanitarias y sistemas industriales. Este intercambio de información entre adversarios con motivaciones financieras y Estados-nación pone de relieve la creciente necesidad de vigilar la Web oscura para ayudar a informar las estrategias de gestión de parches y detectar posibles amenazas antes de que sean explotadas”, anotó Hughes.
El robo automatizado de credenciales desencadena una reacción en cadena
En el 2024, IBM X-Force observó un repunte de los correos electrónicos de phishing que envían infostealers, y los primeros datos para el 2025 revelan un aumento aún mayor, del 180%, en comparación con el 2023. "Esta tendencia al alza que alimenta las tomas de cuentas subsiguientes puede atribuirse a que los atacantes aprovechan la IA para crear correos electrónicos de phishing a escala”, indicó el ejecutivo.
Hughes agregó que el phishing de credenciales y los infostealers han hecho que los ataques a la identidad sean baratos, escalables y muy rentables para los actores de amenazas. "Los infosecuestradores permiten la rápida exfiltración de datos, lo que reduce el tiempo que permanecen en el objetivo y deja pocos residuos forenses. En el 2024, solo los cinco principales infostealers tenían más de ocho millones de anuncios en la web oscura y cada listado puede contener cientos de credenciales. Los actores de amenazas también están vendiendo kits de phishing de adversario en el medio (AITM) y servicios de ataque AITM personalizados en la web oscura para eludir la autenticación multifactor (MFA). La disponibilidad desenfrenada de credenciales comprometidas y métodos para eludir la MFA indica una economía de alta demanda para el acceso no autorizado que no muestra signos de desaceleración”.
Los operadores de ransomware cambian a modelos de menor riesgo
Aunque el ransomware representó la mayor parte de los casos de malware en el 2024, con un 28%, IBM X-Force observó una reducción de los incidentes de ransomware en general en comparación con el año anterior, con un aumento de los ataques de identidad para llenar el vacío.
"Los esfuerzos internacionales de desmantelamiento están empujando a los actores del ransomware a reestructurar los modelos de alto riesgo hacia operaciones más distribuidas y de menor riesgo. Por ejemplo, IBM X-Force observó que familias de malware anteriormente bien establecidas, como ITG23 (alias Wizard Spider, Trickbot Group) e ITG26 (QakBot, Pikabot), han cerrado completamente sus operaciones o han recurrido a otro tipo de malware, incluido el uso de familias nuevas y efímeras, a medida que los grupos de ciberdelincuentes intentan encontrar sustitutos para las redes de bots que fueron desmanteladas el año pasado”.
Hughes señaló que otras conclusiones del informe 2025 son:
- Amenazas de IA en evolución. Aunque los ataques a gran escala contra las tecnologías de IA no se materializaron en el 2024, los investigadores de seguridad se apresuran a identificar y corregir las vulnerabilidades antes de que los ciberdelincuentes las exploten. "Problemas como la vulnerabilidad de ejecución remota de código que IBM X-Force descubrió en un marco para crear agentes de IA serán cada vez más frecuentes. Con una adopción que crecerá en el 2025, también lo harán los incentivos para que los adversarios desarrollen conjuntos de herramientas de ataque especializados dirigidos a la IA, por lo que es imperativo que las empresas protejan el proceso de la IA desde el principio, incluidos los datos, el modelo, el uso y la infraestructura que rodea a los modelos”, sostuvo el ejecutivo.
- Asia y Norteamérica son las regiones más atacadas. Asia (34%) y Norteamérica (24%), que en conjunto representaron casi el 60% de todos los ataques a los que respondió IBM X-Force a nivel mundial, experimentaron más ciberataques que cualquier otra región en el 2024.
- El sector manufacturero fue el más afectado por los ataques de ransomware. Por cuarto año consecutivo, el sector manufacturero fue el más atacado. "Enfrentado al mayor número de casos de ransomware el año pasado, el retorno de la inversión en cifrado es fuerte para este sector debido a su extremadamente baja tolerancia al tiempo de inactividad”, anotó Hughes.
- Amenazas para Linux. En colaboración con Red Hat Insights, IBM X-Force descubrió que más de la mitad de los entornos de los clientes de Red Hat Enterprise Linux tenían al menos una CVE crítica sin resolver, y el 18% se enfrentaba a cinco o más vulnerabilidades. Al mismo tiempo, IBM X-Force descubrió que las familias de ransomware más activas (por ejemplo, Akira, Clop, Lockbit y RansomHub) son ahora compatibles con versiones de Windows y Linux de su ransomware.
Franca Cavassa, CTOPerú