El robo de credenciales a gran escala se intensifica, mientras se reducen los ataques de ransomware a empresas

MADRID, 24 (Portaltic/EP)
Los cibercriminales han intensificado el robo de credenciales con métodos más sigilosos y perfeccionados con ayuda de la inteligencia artificial (IA), mientras que han han reducido los ataques de 'ransomware' a empresas.

Los ciberdelincuentes optaron más por robar datos (18%) que por cifrarlos (11%) ya que la mejora en tecnologías de detección y el aumento del esfuerzo por parte de los equipos de seguridad han obligado a los ciberdelincuentes a adoptar vías de salida más rápidas.

IBM X-Force observó en 2024 un repunte en los correos electrónicos de 'phishing' -que simulan proceder de una empresa u organización conocida- y los primeros datos para 2025 revelan un aumento superior al 180 por ciento en comparación con 2023.

Esta tendencia ascendente para hacerse con las cuentas de las empresas se puede atribuir a que los atacantes aprovechan la inteligencia artificial para crear 'emails' de 'phishing' a escala. También detectó un incremento del 84 por ciento en el envío de correos electrónicos procedentes de ladrones de información ('infostealers') en comparación con el año anterior.

El 'phishing' de credenciales y los 'infostealers' han hecho que los ataques de identidad sean baratos, escalables y muy rentables para los actores de amenazas, como apunta desde IBM X-Force. Estos programas permiten extraer datos de forma rápida, reduciendo el tiempo de permanencia del atacante en el sistema y dejando pocos rastros.

En 2024, solo los cinco principales 'infostealers' acumularon más de ocho millones de anuncios en la dark web, cada uno con cientos de credenciales.

Los ciberdelincuentes también están vendiendo kits de 'phishing' de adversario en el medio (AITM) y servicios de ataque AITM personalizados en la 'dark web' para eludir la autenticación multifactor (MFA).

La gran disponibilidad de credenciales comprometidas y métodos para eludir la autenticación multifactor pone en relieve la alta demanda que genera el acceso no autorizado, que no muestra signos de desaceleración.

Estos datos y conclusiones se extraen del 'Índice de Inteligencia de Amenazas X-Force 2025', que analiza las principales tendencias y patrones de ataque, a través de la recopilación de respuestas a incidentes, información sobre amenazas, dark web y otras fuentes.

LOS GRUPOS DE 'RANSOMWARE' CAMBIAN A MODELOS DE MENOR RIESGO
Si bien el 'ransomware' (28%) representó la mayor parte de los casos de 'malware' en 2024, IBM X-Force observó una reducción general en este tipo de ataques en comparación con el año anterior, a la vez que aumentaban los ataques centrados en la identidad.

Las operaciones internacionales de desmantelamiento han forzado a los grupos de 'ransomware' a abandonar estructuras de alto riesgo en favor de modelos más descentralizados y discretos.

Por ejemplo, IBM X-Force ha observado familias de 'malware' bien establecidas, como ITG23 (también conocido como Wizard Spider, Trickbot Group) y ITG26 (QakBot, Pikabot) que han cerrado sus operaciones o han recurrido a otro tipo de malware, a medida que los grupos de ciberdelincuentes intentan encontrar reemplazos para las redes de 'bots' que fueron desmanteladas el año pasado.

AMENAZAS MÁS SOFISTICADAS POR LOS PROBLEMAS EN EL PARCHEADO
El 70 por ciento de todos los ataques a los que IBM X-Force dio respuesta a nivel global el año pasado tuvieron como objetivo organizaciones de infraestructura crítica, y más de una cuarta parte de estos ataques fueron causados por la explotación de vulnerabilidades.

Al revisar las vulnerabilidades y exposiciones comunes (CVE) más mencionadas en foros de la 'dark web', IBM X-Force detectó que cuatro de las diez principales están relacionadas con grupos de actores de amenazas sofisticados, entre los que se incluyen atacantes de Estado-nación, lo que aumenta el riesgo de interrupción, espionaje y extorsión financiera.

Los códigos de explotación de estos CVE se comercializaron abiertamente en numerosos foros, lo que alimentó un mercado creciente de ataques contra infraestructuras críticas, como redes eléctricas, redes sanitarias y sistemas industriales.

Este intercambio de información entre adversarios con motivaciones económicas y enemigos estado-nación aumenta la creciente necesidad de vigilar la 'dark web' para ayudar a elaborar estrategias de gestión de parches y detectar posibles amenazas antes de que sean explotadas.

AMENAZAS A LA INFRAESTRUCTURA DE IA Y LINUX
El informe de IBM X-Force también destaca una evolución de las amenazas con inteligencia artificial. Vulnerabilidades como la ejecución remota de código serán cada vez más frecuentes, y la adopción creciente de esta tecnología en 2025 incrementará el atractivo de estos sistemas como objetivo, lo que obliga a las empresas a proteger la infraestructura de la IA desde el principio.

En colaboración con Red Hat Insights, IBM X-Force identificó que más de la mitad de los entornos de clientes de Red Hat Enterprise Linux tenían al menos un CVE crítico sin abordar y el 18 por ciento enfrentaba cinco o más vulnerabilidades.

Al mismo tiempo, IBM X-Force descubrió que las cinco familias de 'ransomware' más activas (por ejemplo, Akira, Clop, Lockbit y RansomHub) son ahora compatibles con versiones de Windows y Linux de su 'ransomware'.