Saltar a contenido
Empezar
Open search

Informe ejecutivo sobre inteligencia de amenazas – Volumen 2025, número 3

En este número del informe bimestral de alto nivel de la Counter Threat Unit se analizan las novedades más destacadas del panorama de amenazas durante los meses de marzo y abril.

Julio 7, 2025

Sophos Iberia

Escrito por Sophos Iberia

Threat ResearchBlack BastafeaturedGOLD REBELLIONpost-quantum cryptography

Resumen ejecutivo

El equipo de investigación de la Counter Threat Unit™ (CTU) analiza las amenazas de seguridad para ayudar a las organizaciones a proteger sus sistemas. Basándose en las observaciones realizadas en marzo y abril, los investigadores de CTU identificaron los siguientes problemas y cambios destacados en el panorama global de amenazas:

  • Lecciones de ciberseguridad para RR. HH.

  • Las filtraciones de Black Basta proporcionaron información estratégica

  • Para garantizar la ciberseguridad en el futuro, empieza ahora

Lecciones de ciberseguridad para RR. HH.

Los actores maliciosos se centran cada vez más en los departamentos de las empresas en los que la ciberseguridad no es siempre la primera prioridad.

Los investigadores de CTU siguen investigando la campaña norcoreana, en curso y en expansión, para infiltrar trabajadores fraudulentos en organizaciones occidentales. El Gobierno norcoreano tiene múltiples objetivos: generar ingresos a través de los salarios para eludir las sanciones, llevar a cabo ciberespionaje, obtener acceso para robar criptomonedas y llevar a cabo operaciones de extorsión. En una posible reacción a la mayor concienciación de las organizaciones con sede en Estados Unidos, los grupos de amenazas patrocinados por el Estado norcoreano, como NICKEL TAPESTRY, también han aumentado sus ataques contra organizaciones europeas y japonesas. Además de hacerse pasar por candidatos estadounidenses, los trabajadores fraudulentos que solicitan puestos en Japón y Estados Unidos están adoptando identidades vietnamitas, japonesas y singapurenses en sus currículos.

Entre los indicios sospechosos de que un candidato no es quien dice ser se incluyen fotos de archivo manipuladas digitalmente, cambios de nombre o de voz durante el proceso de solicitud, un historial laboral imposible de verificar y la solicitud de utilizar sus propios dispositivos y una infraestructura de escritorio virtual. Los solicitantes utilizan cada vez más la inteligencia artificial para manipular fotos, generar currículos y participar en entrevistas, y ha aumentado el número de identidades femeninas. Una vez contratados, estos trabajadores pueden robar datos o carteras de criptomonedas e implementar malware en el sistema. Es esencial que los profesionales de recursos humanos y de contratación sean capaces de identificar a los candidatos fraudulentos para protege a sus organizaciones.

NICKEL TAPESTRY y otros grupos como GOLD BLADE también se están centrando en el personal de RR. HH. y los reclutadores. Los investigadores de CTU observaron que GOLD BLADE se dirigía al personal de adquisición de talento en ataques de phishing que probablemente formaban parte de operaciones de espionaje corporativo. Los currículos en PDF subidos al sitio web externo de solicitud de empleo de la víctima contenían código malicioso que acabó comprometiendo el sistema. Los ataques afectaron a organizaciones de Canadá, Australia y el Reino Unido.

Los investigadores de CTU recomiendan a las organizaciones que formen a los empleados de RR. HH. sobre los riesgos asociados a los ataques de phishing y de ingeniería social y, en concreto, sobre los peligros que plantean los trabajadores norcoreanos fraudulentos. Las organizaciones deben establecer procesos para denunciar a los candidatos sospechosos y otras actividades maliciosas.

Checkmark icon for the 'What to do next' sectionsQué debes hacer

Asegúrate de que tus reclutadores realicen comprobaciones de verificación de los candidatos y toma medidas adicionales para verificar la identidad durante el proceso de contratación y después de la incorporación.

Las filtraciones de Black Basta proporcionaron información estratégicas

Los registros de chat expuestos públicamente revelaron detalles de las operaciones del ransomware Black Basta.

El análisis de los registros de chat de Black Basta, que se publicaron primero en un servicio de intercambio de archivos y luego en Telegram, no cambió radicalmente la comprensión de los investigadores de la CTU sobre el panorama del ransomware. Sin embargo, los registros contienen información sobre el funcionamiento del grupo de amenazas GOLD REBELLION. También refuerzan las lecciones sobre la importancia de que las organizaciones mantengan buenas ciberdefensas. Los ataques de ransomware siguen siendo en gran medida oportunistas, incluso si grupos como GOLD REBELLION realizan una selección tras obtener el acceso inicial para evaluar la viabilidad de la víctima como objetivo del ransomware. Las organizaciones no pueden permitirse relajar sus defensas.

Los grupos de ransomware y extorsión innovan cuando les conviene; por ejemplo, Anubis ofrece una gama inusual de opciones a sus afiliados y DragonForce intentó cambiar su imagen para presentarse como un cártel. Sin embargo, los enfoques y tácticas probados siguen siendo populares. Las filtraciones confirmaron que GOLD REBELLION es uno de los muchos grupos de ransomware que explotan vulnerabilidades antiguas para obtener acceso. Identificar y explotar vulnerabilidades de día cero requiere tanto habilidades técnicas como recursos, pero estas inversiones son innecesarias cuando siguen existiendo numerosos sistemas sin parches susceptibles a fallos antiguos. Los registros de chat también mostraron que los miembros de GOLD REBELLION explotaban regularmente credenciales robadas para acceder a las redes. Los registros contenían nombres de usuario y contraseñas de múltiples organizaciones. Para defenderse de estos ataques, las organizaciones deben parchear las vulnerabilidades lo antes posible y proteger las redes contra los infostealers que capturan credenciales.

Al igual que otros grupos ciberdelincuentes, como GOLD HARVEST, GOLD REBELLION también utilizó técnicas de ingeniería social en sus ataques. Los actores maliciosos se hicieron pasar por trabajadores del servicio de asistencia técnica informática para ponerse en contacto con las víctimas a través de Microsoft Teams. Los registros de chat contenían múltiples conversaciones sobre técnicas eficaces para utilizar en estos ataques. Las organizaciones deben mantenerse al día sobre las artimañas de ingeniería social y cómo contrarrestarlas. Las organizaciones también deben asegurarse de que las defensas de segunda línea puedan identificar y detener los ataques si las técnicas de ingeniería social tienen éxito.

La publicación de estos registros puede haber provocado que GOLD REBELLION cesara su actividad, ya que no ha publicado víctimas en su sitio web de filtraciones desde enero de 2025. Sin embargo, los miembros del grupo y sus afiliados tienen otras opciones: pueden migrar a otras operaciones de ransomware o incluso llevar a cabo ataques por su cuenta. Los defensores de la red pueden aplicar las lecciones aprendidas de los registros de chat a la lucha más amplia contra la amenaza del ransomware.

Checkmark icon for the 'What to do next' sectionsQué debes hacer

Forma a los empleados para que reconozcan y resistan las técnicas de ingeniería social en constante evolución con el fin de contrarrestar un vector de acceso inicial significativo.

Para garantizar la ciberseguridad en el futuro, empieza ahora

La migración a tecnologías compatibles con la criptografía poscuántica requiere que las organizaciones empiecen a planificar ahora.

Defender una organización contra las ciberamenazas puede parecer como mantener las defensas contra una ola constante de problemas que deben abordarse de inmediato. Puede ser tentador posponer el pensamiento sobre amenazas que parecen estar a años de distancia, como la computación cuántica. Sin embargo, mitigar estas amenazas puede requerir una preparación extensa.

Desde 2020, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha publicado una serie de documentos sobre la amenaza que representa la computación cuántica y cómo prepararse para ella. La probable capacidad de la computación cuántica para descifrar los métodos de cifrado actuales obligará a las organizaciones a actualizarse a una tecnología que pueda soportar la criptografía postcuántica (PQC). Esta actualización es necesaria para mantener la confidencialidad e integridad de sus sistemas y datos. La normalización técnica ya ha comenzado: el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó las tres primeras normas pertinentes en agosto de 2024.

En marzo de 2025, el NCSC publicó una guía sobre los plazos para la migración a la PQC. Esta información está dirigida principalmente a las grandes organizaciones de infraestructuras nacionales críticas. Es probable que las organizaciones más pequeñas reciban orientación y ayuda de los proveedores, pero deben ser conscientes del problema. La fecha límite para la migración completa a la PQC es 2035, pero se han fijado objetivos intermedios para definir los objetivos de la migración, llevar a cabo el descubrimiento y elaborar un plan inicial para 2028, y para iniciar la migración de máxima prioridad y realizar los ajustes necesarios en el plan para 2031. La guía indica que el objetivo principal es integrar la PQC sin aumentar los riesgos de ciberseguridad, lo que requiere una planificación temprana y exhaustiva.

La guía reconoce que la migración será una tarea importante para muchas organizaciones, especialmente en entornos que incluyen sistemas antiguos. Es igualmente explícito que la migración no se puede evitar. Las organizaciones que decidan retrasarla se expondrán a riesgos sustanciales derivados de los ataques de computación cuántica. Aunque la guía está dirigida a organizaciones del Reino Unido, también es útil para organizaciones de otros países y puede ser beneficiosa para otros grandes proyectos de migración tecnológica.

Checkmark icon for the 'What to do next' sectionsQué debes hacer

Lee la guía del NCSC y considera el impacto que la PQC puede tener en tu inversión tecnológica y en tus planes de crecimiento para los próximos 10 años.

Conclusión

El panorama de las ciberamenazas fluctúa constantemente, pero muchas de esas fluctuaciones son predecibles. Pueden surgir de la estandarización de nuevas tecnologías que darán lugar a diferentes tipos de amenazas, o de que los actores maliciosos sigan aprovechando las antiguas brechas de seguridad. Mantenerse al día con la inteligencia sobre amenazas es una parte importante de la planificación de la estrategia de seguridad.

Acerca del autor

Sophos Iberia

Sophos Iberia

Leer artículos similares

Sophos generated

#SophosLife

Computerworld reconoce a Sophos como una de las mejores empresas para trabajar en TI en 2026

diciembre 9, 2025

Sophos obtiene los mejores resultados de su historia en la evaluación MITRE ATT&CK Enterprise 2025 - image

Products & Services

featured

MITRE

MITRE ATT&K

Sophos EDR

Sophos Endpoint

Sophos XDR

Sophos obtiene los mejores resultados de su historia en la evaluación MITRE ATT&CK Enterprise 2025

diciembre 17, 2025

Shanya, un empaquetador como servicio que impulsa los ataques modernos

X-ops

threat response

EDR killer

featured

packer

shanya

Shanya, un empaquetador como servicio que impulsa los ataques modernos

diciembre 16, 2025