La IA y la automatización cambian el equilibrio de la ciberseguridad a favor de los atacantes

Según Fortinet, los actores de amenazas están aprovechando cada vez más la automatización, las herramientas comercializadas y la inteligencia artificial para erosionar sistemáticamente las ventajas tradicionales de los defensores.

“Nuestro último Informe sobre el panorama de amenazas globales deja una cosa clara: los ciberdelincuentes están acelerando sus esfuerzos, utilizando inteligencia artificial y automatización para operar a una velocidad y escala sin precedentes”, afirmó Derek Manky , estratega jefe de seguridad y vicepresidente global de inteligencia de amenazas de Fortinet FortiGuard Labs.

“El manual de seguridad tradicional ya no es suficiente. Las organizaciones deben adoptar una estrategia de defensa proactiva, basada en inteligencia artificial, con tecnología de confianza cero y gestión continua de la exposición a amenazas”, añadió Manky.

Los actores de amenazas se desplazan a la izquierda, lo que impulsa los niveles de escaneo de registros

Para aprovechar las nuevas vulnerabilidades descubiertas, los ciberdelincuentes están implementando análisis automatizados a escala global. El análisis activo en el ciberespacio alcanzó niveles sin precedentes en 2024, con un aumento interanual del 16,7 % a nivel mundial, lo que pone de manifiesto una recopilación masiva y sofisticada de información sobre la infraestructura digital expuesta. FortiGuard Labs observó miles de millones de análisis mensuales, equivalentes a 36 000 análisis por segundo, lo que revela un mayor enfoque en el mapeo de servicios expuestos, como SIP y RDP, y protocolos OT/IoT como Modbus TCP.

En 2024, los foros de ciberdelincuentes funcionaron cada vez más como sofisticados mercados para kits de explotación, con más de 40.000 nuevas vulnerabilidades añadidas a la Base de Datos Nacional de Vulnerabilidades, un aumento del 39% con respecto a 2023. Además de las vulnerabilidades de día cero que circulan en la darknet, los intermediarios de acceso inicial ofrecen cada vez más credenciales corporativas (20%), acceso RDP (19%), paneles de administración (13%) y shells web (12%). Asimismo, los investigadores observaron un aumento del 500% durante el último año en los registros disponibles de sistemas comprometidos por malware de robo de información, con 1.700 millones de registros de credenciales robadas compartidos en estos foros clandestinos.

Los actores de amenazas están aprovechando la IA para mejorar el realismo del phishing y evadir los controles de seguridad tradicionales, lo que hace que los ciberataques sean más efectivos y difíciles de detectar. Herramientas como FraudGPT, BlackmailerV3 y ElevenLabs impulsan campañas más escalables, creíbles y efectivas, sin las restricciones éticas de las herramientas de IA disponibles públicamente.

Industrias como la manufactura, la atención médica y los servicios financieros siguen experimentando un aumento de ciberataques personalizados, con adversarios que implementan exploits específicos para cada sector. En 2024, los sectores más atacados fueron la manufactura (17%), los servicios empresariales (11%), la construcción (9%) y el comercio minorista (9%). Tanto los actores estatales como los operadores de ransomware como servicio (RaaS) concentraron sus esfuerzos en estos sectores, siendo Estados Unidos el más afectado (61%), seguido del Reino Unido (6%) y Canadá (5%).

Los entornos en la nube siguen siendo un objetivo prioritario, ya que los adversarios explotan vulnerabilidades persistentes como buckets de almacenamiento abiertos, identidades con permisos excesivos y servicios mal configurados. En el 70 % de los incidentes observados, los atacantes obtuvieron acceso mediante inicios de sesión desde ubicaciones desconocidas, lo que pone de relieve la importancia crucial de la monitorización de identidades en la defensa de la nube.

En 2024, los ciberdelincuentes compartieron más de 100 000 millones de registros comprometidos en foros clandestinos, un aumento interanual del 42 %, impulsado principalmente por el auge de las «listas combinadas» que contenían nombres de usuario, contraseñas y direcciones de correo electrónico robadas. Más de la mitad de las publicaciones en la darknet involucraban bases de datos filtradas, lo que permitió a los atacantes automatizar ataques de robo de credenciales a gran escala.

Grupos conocidos como BestCombo, BloddyMery y ValidMail fueron los grupos cibercriminales más activos durante este tiempo y continúan reduciendo la barrera de entrada al empaquetar y validar estas credenciales, lo que impulsa un aumento en la apropiación de cuentas, el fraude financiero y el espionaje corporativo.

Manual de estrategias del CISO para la defensa contra adversarios

Este informe destaca algunas áreas estratégicas en las que centrarse:

Transición de la detección tradicional de amenazas a la gestión continua de la exposición a amenazas: Este enfoque proactivo prioriza la gestión continua de la superficie de ataque, la emulación del comportamiento del adversario en situaciones reales, la priorización de la remediación basada en riesgos y la automatización de las respuestas de detección y defensa. El uso de herramientas de simulación de brechas y ataques (BAS) para evaluar periódicamente las defensas de los endpoints, la red y la nube frente a escenarios de ataque reales garantiza la resiliencia frente al movimiento lateral y la explotación.
Simulación de ataques del mundo real: realice ejercicios de emulación de adversarios, trabaje en equipo rojo y morado, y aproveche MITRE ATT&CK para probar las defensas contra amenazas como ransomware y campañas de espionaje.
Reducir la exposición de la superficie de ataque: implementar herramientas de gestión de la superficie de ataque (ASM) para detectar activos expuestos, credenciales filtradas y vulnerabilidades explotables mientras se monitorea continuamente los foros de la darknet para detectar amenazas emergentes.
Priorizar vulnerabilidades de alto riesgo: centrar los esfuerzos de remediación en las vulnerabilidades discutidas activamente por los grupos de delitos cibernéticos, aprovechando los marcos de priorización basados en riesgos como EPSS y CVSS para una gestión eficaz de parches.
Aprovechar la inteligencia de la dark web: monitorear los mercados de la dark web en busca de servicios de ransomware emergentes y rastrear los esfuerzos de coordinación de hacktivistas para mitigar de manera preventiva amenazas como ataques DDoS y de desfiguración web.

Fuente y redacción: helpnetsecurity.com

Los actores de amenazas se desplazan a la izquierda, lo que impulsa los niveles de escaneo de registros

Manual de estrategias del CISO para la defensa contra adversarios

WormGPT: la nueva herramienta de IA permite a los ciberdelincuentes lanzar ataques cibernéticos sofisticados

Ingeniería social impulsada por IA: herramientas y técnicas complementarias

3 razones por las que la seguridad SaaS es el primer paso imperativo para garantizar el uso seguro de IA