Los actores de amenazas están utilizando la IA para potenciar los TTP probados y comprobados. Cuando los ataques avanzan tan rápido, los ciberdefensores deben repensar su propia estrategia.
07 de abril de 2026
•
,
4 min. leer
Nos encontramos en un punto interesante de la interminable carrera armamentista entre atacantes y defensores. Los primeros utilizan la inteligencia artificial, la automatización y una variedad de técnicas con efectos a veces devastadores. De hecho, un informe afirma que el 80% de los grupos de ransomware como servicio (RaaS) ahora ofrecen inteligencia artificial o automatización como características y, por supuesto, también hay un mercado próspero con herramientas diseñadas específicamente para evadir las herramientas de seguridad. Como resultado, las violaciones de datos y los costos asociados han aumentado.
Pero, por otro lado, los actores de amenazas simplemente están haciendo lo que han hecho antes: potenciar las tácticas, técnicas y procedimientos (TTP) existentes para acelerar los ataques. El tiempo entre el acceso inicial y el movimiento lateral (tiempo de fuga), por ejemplo, ahora se mide en minutos. Para los defensores acostumbrados a trabajar en horas o días, las cosas deben cambiar.
Un aviso de media hora
El tiempo de ruptura es importante, porque si los defensores de la red no pueden detener a sus adversarios en este punto, entonces una intrusión inicial puede convertirse muy rápidamente en un incidente importante. El tiempo medio para estallar lateralmente es ahora de unos 30 minutos (un 29 % más rápido que el año anterior), aunque algunos observadores lo he visto suceder en menos de un minuto después del acceso inicial.
Hay varias razones por las que la ventana para la acción se está cerrando rápidamente. Los actores de amenazas son:
- Mejorar en el robo/crackeo/phishing de credenciales legítimas de sus empleados. Las contraseñas débiles, reutilizadas y rotadas con poca frecuencia les ayudan en este sentido (es decir, facilitando los ataques de fuerza bruta). Al igual que la falta de autenticación multifactor (MFA). También están mejorando en los ataques vishing para restablecer contraseñas, ya sea haciéndose pasar por el servicio de asistencia técnica o llamando al servicio de asistencia técnica haciéndose pasar por empleados. Con inicios de sesión legítimos, pueden hacerse pasar por usuarios sin activar ninguna alarma interna.
- Usar exploits de día cero para atacar dispositivos periféricos, como Ivanti EPMM para afianzarse en las redes y permanecer oculto a las herramientas de seguridad internas.
- Mejorar el reconocimiento, utilizando técnicas de código abierto e inteligencia artificial para buscar en la web información disponible públicamente sobre objetivos de alto valor (con credenciales privilegiadas). Recopilan información sobre la estructura organizacional, los procesos internos y el entorno de TI para optimizar los ataques y diseñar scripts de ingeniería social.
- Automatizar la actividad posterior a la explotación utilizando scripts impulsados por IA para la recolección de credenciales, la vida de la tierra e incluso la generación de malware.
- Explotar las brechas entre equipos aislados y soluciones puntuales. Como resultado, una actividad que a los primeros les parece legítima puede parecer inusual a los segundos, pero sin una visibilidad holística, es posible que los casos extremos no se investiguen. En algunos casos, los actores de amenazas toman medidas deliberadas para desactivar o evadir la EDR.
- Utilizar técnicas de vida de la tierra (LOTL) para permanecer oculto. Eso significa utilizar credenciales válidas, herramientas legítimas de acceso remoto y protocolos como SMB y RDP, lo que significa que se integran con la actividad habitual.
Detectar a los actores de amenazas en este punto es esencial, especialmente porque la IA también está acelerando la exfiltración (cuando comienza). El caso más rápido registrado el año pasado fue de sólo seis minutos; en comparación con 4 horas 29 minutos en 2024.
Combatir el fuego con fuego (IA)
Si los atacantes pueden acceder a su red con privilegios elevados o permanecer ocultos en puntos finales no observados y luego moverse lateralmente sin generar ninguna alarma, la respuesta humana a menudo será demasiado lenta. Es necesario limitar la ingeniería social, actualizar la postura defensiva para mejorar la detección de comportamientos sospechosos y acelerar los tiempos de respuesta.
Impulsado por IA detección y respuesta extendidas (XDR) y detección y respuesta gestionadas (MDR) puede ayudar aquí al marcar automáticamente comportamientos sospechosos, utilizar datos contextuales para mejorar la fidelidad de las alertas y corregir cuando sea necesario. Ofertas avanzadas También puede ayudar al agrupar alertas y generar respuestas automatizadas para equipos SOC sobrecargados, liberando su tiempo para trabajar en tareas de alto valor como la búsqueda de amenazas.
Un proveedor único y unificado con información sobre endpoints, redes, nube y otras capas también puede arrojar luz sobre las brechas que existen entre las soluciones puntuales, para una visibilidad completa de las posibles rutas de ataque. Asegúrese de que dichas herramientas también tengan visibilidad de los dispositivos perimetrales y funcionen perfectamente con sus herramientas de gestión de eventos e información de seguridad (SIEM) y de orquestación y respuesta de seguridad (SOAR).
La inteligencia y la caza de amenazas también son vitales para seguir el ritmo de los adversarios respaldados por la IA. Un enfoque que aproveche ambos ayudará a los equipos a centrarse en lo que importa: cómo los atacan los atacantes y hacia dónde podrían moverse a continuación. Con el tiempo, los agentes de IA podrían asumir más de estas tareas de forma autónoma para acelerar aún más los tiempos de respuesta.
Recuperando la iniciativa
Hay otras formas de acelerar los tiempos de respuesta, que incluyen:
- Monitoreo y conciencia continuos en endpoints, redes y entornos de nube.
- Pasos automatizados (como la finalización de la sesión, el restablecimiento de la contraseña o el aislamiento del host) que se deben tomar para abordar actividades sospechosas y, cuando corresponda, análisis automatizados combinados con evaluación humana para investigar alertas e informar los pasos necesarios para contener una amenaza rápidamente.
- Políticas de acceso con privilegios mínimos, microsegmentación y otras características distintivas de Zero Trust para garantizar controles de acceso estrictos y minimizar el radio de explosión de los ataques.
- Seguridad mejorada centrada en la identidad basada en credenciales sólidas y únicas administradas en un administrador de contraseñas y respaldadas por MFA resistente al phishing.
- Medidas anti-vishing que incluyen procesos de asistencia técnica actualizados (p. ej., devoluciones de llamadas fuera de banda) y capacitación efectiva en concientización
- Protección de fuerza bruta que bloquea los ataques automatizados de adivinación de contraseñas en la entrada.
- Monitoreo continuo de las redes sociales y la web oscura en busca de información expuesta de los empleados y de la empresa que pueda usarse como arma.
- Monitoreo de scripts y procesos a medida que se «desvelan» en la memoria, para detectar y bloquear el comportamiento LOTL.
- Ejecución en la nube de archivos sospechosos para mitigar las amenazas de exploits de día cero.
Ninguno de estos pasos por sí solo es una solución milagrosa. Pero cuando se combinan en capas y dependen de MDR/XDR con tecnología de inteligencia artificial de un proveedor confiable, pueden ayudar a los defensores a recuperar la iniciativa. Puede que sea una carrera armamentista, pero básicamente no tiene un final a la vista. Eso significa que hay tiempo para ponerse al día.
Acerca del autor
