Los atacantes están dejando de depender de malware fácilmente detectable para optar por el uso de accesos legítimos que les permiten pasar desapercibidos y evadir los controles de seguridad.
Según un reciente informe global de Kaspersky Security Services, el robo y abuso de credenciales, así como los ataques basados en el uso de cuentas válidas, se encuentran entre las tácticas más efectivas utilizadas por los ciberdelincuentes. Esta tendencia refleja un cambio estratégico en el comportamiento de los atacantes, quienes están dejando de depender de malware fácilmente detectable para optar por el uso de accesos legítimos que les permiten pasar desapercibidos y evadir los controles de seguridad.
“Anatomy of a Cyber World” es un informe global basado en datos recopilados por los servicios de Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment y SOC Consulting de Kaspersky. El reporte analiza las técnicas, herramientas y escenarios de detección más utilizados por los actores maliciosos, además de identificar las principales características de los incidentes observados a nivel mundial.
Según el informe, una parte significativa de las técnicas de ataque más frecuentemente detectadas gira en torno a la gestión de credenciales e identidades. El análisis realizado examina las tasas de conversión[1] de diversos indicadores de ataque (IoA) y destaca las siguientes tácticas maliciosas más frecuentes:
- Adivinar las contraseñas (34.8%)
Esta técnica consiste en que los atacantes prueban sistemáticamente diferentes combinaciones de contraseñas hasta lograr acceder a una cuenta. Encabeza la lista de métodos más efectivos debido a su frecuente aparición tanto en ataques reales como en evaluaciones de seguridad autorizadas, lo que la convierte en una amenaza persistente en el panorama actual de ciberseguridad. El uso de contraseñas débiles, predecibles o reutilizadas por parte de las organizaciones sigue facilitando el éxito de esta estrategia, una de las más antiguas, pero aún vigentes.
- Creación de cuentas locales (34.7%)
Una vez que logran ingresar a un sistema, los atacantes suelen crear nuevas cuentas locales para mantener el acceso incluso si el punto de entrada original es detectado y eliminado. Esta técnica se observa con frecuencia tanto en incidentes reales como en ejercicios de seguridad y puede ser identificada, pero solo cuando las organizaciones cuentan con los mecanismos adecuados de monitoreo y visibilidad, algo que aún sigue siendo una carencia común en muchas infraestructuras.
- Abuso de cuentas válidas (34.5%)
En lugar de desplegar malware, los atacantes utilizan credenciales robadas o comprometidas para iniciar sesión y mezclarse con la actividad normal de los usuarios. Esto dificulta considerablemente su detección, ya que el acceso parece legítimo. La alta efectividad de esta técnica demuestra por qué las credenciales comprometidas continúan siendo uno de los vectores de ataque más peligrosos para las organizaciones.
- Manipulación de cuentas (32%)
Los atacantes modifican cuentas existentes para consolidar y ampliar su acceso al entorno comprometido. Esto puede incluir la activación de cuentas deshabilitadas, cambios en los grupos de usuarios o la elevación de privilegios. Esta práctica refuerza una tendencia cada vez más común: en lugar de introducir nuevas herramientas o malware, los ciberdelincuentes aprovechan los recursos y accesos que ya existen dentro de la organización para fortalecer su control y pasar desapercibidos.
- Reconocimiento de la red (31.2%).
Antes de lanzar un ataque más profundo, los ciberdelincuentes exploran la infraestructura de la organización para identificar sistemas vulnerables y rutas de acceso. Detectar estas señales tempranas puede marcar la diferencia entre un incidente contenido y una brecha de seguridad de mayor impacto.
Además, el informe clasifica las técnicas utilizadas por los atacantes según la frecuencia con la que las actividades observadas derivaron en incidentes maliciosos confirmados. De acuerdo con los expertos de Kaspersky, si bien el marco MITRE ATT&CK® documenta una amplia variedad de tácticas empleadas por los actores de amenazas, una detección efectiva requiere priorizar aquellos comportamientos con mayor probabilidad de representar una actividad maliciosa, evitando al mismo tiempo generar un exceso de falsos positivos.
“El reporte resalta cuatro técnicas relacionadas con abuso de credenciales y una relacionada con descubrimiento en el top 5. El abuso de credenciales sigue siendo efectivo porque aprovecha una brecha crítica en la seguridad de las organizaciones: la dificultad para distinguir entre un acceso legítimo y uno malicioso. Cuando un atacante entra con una cuenta válida, sus movimientos pueden parecer parte de la actividad normal del negocio, lo que le permite pasar desapercibido, escalar privilegios y mantenerse dentro del entorno comprometido. Este escenario demuestra que proteger una organización ya no consiste únicamente en bloquear malware, sino en entender cómo se comportan los usuarios, detectar anomalías y reaccionar antes de que un acceso comprometido se convierta en un incidente mayor”, asegura Eduardo Chavarro, director para Américas del Equipo Global de Respuestas a Incidentes en Kaspersky.
Para reducir este riesgo, los expertos de Kaspersky recomiendan:
- Fortalecer la gestión de identidades y accesos: no basta con crear usuarios y contraseñas. Las organizaciones deben revisar periódicamente qué cuentas siguen activas, qué permisos tienen, si existen usuarios inactivos o privilegios excesivos, y aplicar el principio de mínimo privilegio para que cada persona acceda únicamente a lo que necesita para cumplir sus funciones.
- Reforzar los controles de autenticación: la autenticación multifactor, junto con políticas robustas de contraseñas, ayuda a reducir el impacto del robo o reutilización de credenciales. Incluso si un atacante obtiene una contraseña, una segunda capa de verificación puede impedir que acceda a los sistemas críticos de la organización.
- Contar con capacidades avanzadas de detección y respuesta: servicios como Managed Detection and Response, Incident Response y el soporte de un SOC permiten monitorear de forma continua el comportamiento dentro de la red, identificar actividades sospechosas, responder rápidamente ante incidentes y contener amenazas antes de que escalen. Esto es clave porque, frente al abuso de credenciales, el reto no siempre es detectar un archivo malicioso, sino reconocer comportamientos anómalos realizados desde cuentas aparentemente legítimas.
[1] La conversión es la relación entre las alertas clasificadas como verdaderos positivos y el número total de alertas correspondientes a una técnica específica de MITRE ATT&CK.
