.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
En un mundo en el que todo cambia tan rápidamente, puede resultar interesante e informativo identificar cuándo las cosas permanecen igual. A lo largo de 2025, muchas personas afirmaron, como lo han hecho durante un par de años, que este iba a ser el año en el que la IA iba a marcar una diferencia significativa en el panorama de las amenazas.
Aparte de algunos usos demostrables de la IA para potenciar el phishing y otras estafas sociales, y un buen número de titulares exagerados, eso simplemente no sucedió. El Informe sobre Adversarios Activos de este año detalla lo que ocurrió realmente, incluido un cambio que sí es realmente importante.
Los atacantes de este año utilizaron las mismas herramientas, técnicas y procedimientos (TTP) que llevan años utilizando. El abuso de herramientas legítimas se mantuvo constante, al igual que la falta de categorías de bloqueo de herramientas que los atacantes suelen utilizar de forma indebida. La falta de telemetría siguió dificultando a los equipos azules la detección de la señal entre el ruido, y la falta de autenticación multifactorial (MFA) resistente al phishing proporcionó a los delincuentes una vía de acceso discreta.
Mientras tanto, el cambio más preocupante también se ha ido gestando durante años: el predominio de las causas fundamentales relacionadas con la identidad (ataques de fuerza bruta, phishing y otras tácticas de credenciales comprometidas) para lograr un acceso inicial exitoso. Esta serie de tácticas aprovecha las debilidades que no pueden abordarse con simples parches de seguridad y, en ocasiones, actúa como un multiplicador adicional para los ataques en curso, tal y como documenta el estudio de este año.
Aunque la detección y la respuesta han demostrado ser fiables en la lucha contra los atacantes, no podemos olvidar el papel que puede desempeñar la prevención. El informe de este año resume lo que observamos durante las investigaciones de respuesta a incidentes y puede servir de guía para prevenir algunas de las TTP más comunes de los atacantes.
Conclusiones clave
- GenAI añade velocidad, volumen y ruido al panorama de amenazas... pero, por ahora, eso es todo.
- Las tácticas relacionadas con la identidad, como las credenciales comprometidas, los ataques de fuerza bruta y el phishing, son, con diferencia, la razón más común por la que los atacantes obtienen acceso inicial.
- Los atacantes han realizado pocos cambios en herramientas, tácticas o procedimientos específicos, aunque un extraño truco de bloqueo puede suponer una gran diferencia para muchas empresas.
- Ahorrar dinero minimizando la recopilación de telemetría puede parecer una medida sensata, pero sin duda es una tontería.
- La prevención sigue siendo mejor que la detección, tanto en resultados como en tiempo y esfuerzo dedicados a la defensa.
Lee el artículo completo en inglés aquí.