“Nuestro último Informe sobre el panorama global de amenazas destaca cómo los ciberdelincuentes están aprovechando la IA y la automatización para acelerar sus ataques a una velocidad y escala sin precedentes”, afirmó Derek Manky, vicepresidente de investigación de amenazas globales y estrategia de ciberseguridad en FortiGuard Labs. Las estrategias de seguridad tradicionales ya no son suficientes. Las organizaciones deberán adoptar rápidamente una estrategia de defensa proactiva que incorpore IA, confianza cero y gestión continua de amenazas para anticiparse a los atacantes en el cambiante panorama actual de amenazas.

Cabe destacar que el escaneo automatizado alcanzó un nivel récord ya que los atacantes intentaron identificar objetivos expuestos de manera temprana. Para aprovechar las vulnerabilidades recién descubiertas, los ciberdelincuentes están implementando escaneo automatizado a escala global. FortiGuard Labs observa y registra miles de millones de escaneos por mes, lo que equivale a 36.000 escaneos por segundo. Esto demuestra que los atacantes se centran especialmente en mapear servicios expuestos como SIP y RDP y protocolos OT/IoT como Modbus TCP.

El creciente “mercado negro” de la Darknet ha facilitado el acceso a kits de herramientas de ataque prediseñados. En 2024, los foros de delitos cibernéticos comenzaron a actuar cada vez más como mercados para kits de explotación, y se agregaron más de 40 000 nuevas vulnerabilidades a la Base de Datos Nacional de Vulnerabilidades, un aumento del 39 % con respecto a 2023.

Además de las vulnerabilidades de día cero que circulan en la darknet, los brokers ofrecen cada vez más credenciales de autenticación corporativa (20%), acceso remoto RDP (19%), consolas administrativas (13%) y shells web (12%). Cabe destacar que FortiGuard Labs ha observado un aumento del 500% durante el último año en los registros disponibles de sistemas comprometidos por malware de robo de credenciales, con 1.700 millones de registros de credenciales robadas compartidos en estos foros clandestinos.

Las operaciones de ciberdelincuencia impulsadas por inteligencia artificial se están expandiendo rápidamente. Los actores de amenazas de ciberseguridad están explotando la IA para mejorar la autenticidad de sus fraudes y evadir los controles de seguridad tradicionales, lo que hace que los ciberataques sean más efectivos y más difíciles de detectar. Herramientas como FraudGPT, BlackmailerV3 y ElevenLabs están haciendo que las campañas de ataque sean más escalables, confiables y efectivas, evitando las limitaciones de las herramientas de IA disponibles.

Los ataques dirigidos a zonas críticas están en aumento. Industrias como la manufactura, la atención médica y los servicios financieros siguen viendo un aumento en los ataques cibernéticos personalizados, con exploits específicos planificados e implementados para cada sector.

En 2024, los sectores más priorizados son la manufactura (17%), los servicios empresariales (11%), la construcción (9%) y el comercio minorista (9%). Los actores de estados nacionales y los grupos de delitos cibernéticos basados ​​en ransomware como servicio (RaaS) están centrando sus esfuerzos en estas verticales. Estados Unidos fue el más afectado por estos ataques (61%), seguido por el Reino Unido (6%) y Canadá (5%).

Los riesgos de seguridad de la nube y del IoT están aumentando. Los entornos de computación en la nube siguen siendo un objetivo principal, y los atacantes explotan constantemente debilidades como servicios de almacenamiento abiertos, identidades con exceso de aprovisionamiento y servicios mal configurados. En el 70% de los incidentes observados, los atacantes obtuvieron acceso a través de credenciales de geografías desconocidas, lo que llama la atención sobre la importancia del monitoreo de identidad en la defensa de la nube.

Las credenciales son el “activo” de los ciberdelincuentes. En 2024, los ciberdelincuentes compartieron más de 100 mil millones de registros comprometidos en foros clandestinos, un aumento del 42 % interanual, debido en gran medida al aumento de "listas mixtas" que contienen nombres de usuario, contraseñas y direcciones de correo electrónico robados. Más de la mitad de las publicaciones en la darknet involucraban bases de datos filtradas, lo que permitía a los atacantes automatizar ataques de robo de credenciales a gran escala.

Grupos populares como BestCombo, BloddyMery y ValidMail fueron los grupos cibercriminales más activos durante este tiempo. Siguen reduciendo la barrera a los ataques al ofrecer paquetes de servicios listos para credenciales, lo que lleva a un aumento en la apropiación de cuentas, el fraude financiero y el espionaje corporativo.

Frente a la situación anterior, el informe ofrece recomendaciones en materia de defensa de la seguridad para los CISO, haciendo hincapié en una serie de áreas estratégicas en las que es necesario centrarse como:

Pasar de la detección de amenazas tradicional a la “gestión continua de la exposición a amenazas”: este enfoque proactivo se centra en la gestión continua de la superficie de ataque, la simulación del comportamiento de adversarios en el mundo real, la priorización de la remediación basada en riesgos y la automatización de las respuestas de detección y defensa.

Simule ataques del mundo real: realice ejercicios de simulación de adversarios, incorpore equipos Rojo y Púrpura, y aproveche MITRE ATT&CK para probar defensas contra amenazas como ransomware y campañas de espionaje.

Reducir la superficie de ataque: implemente herramientas de gestión de la superficie de ataque (ASM) para detectar activos expuestos, credenciales filtradas y vulnerabilidades explotables mientras monitorea continuamente los foros de la darknet para detectar amenazas emergentes.

Priorizar las vulnerabilidades de alto riesgo: centre los esfuerzos de remediación en las vulnerabilidades discutidas activamente por los grupos cibercriminales y aproveche la información de priorización basada en riesgos, como EPSS y CVSS, para administrar los parches de manera eficaz.

Aproveche la inteligencia de la Dark Web: monitoree los mercados de la Dark Web en busca de servicios de ransomware emergentes y haga un seguimiento de los esfuerzos coordinados de los piratas informáticos para mitigar amenazas como DDoS y ataques de desfiguración de sitios web.

Fuente: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243