Durante 2024, los ciberataques dirigidos a identidades de usuario representaron el principal vector de entrada para los delincuentes informáticos, según el informe anual del equipo de Respuesta a Incidentes (IR) de Cisco Talos, la división de ciberinteligencia de Cisco.
Estas amenazas se materializaron, en la mayoría de los casos, mediante técnicas como el robo de credenciales, secuestro de ID de sesión, uso indebido de claves API o de certificados digitales.
“Los datos actuales subrayan la necesidad de contar con medidas robustas de protección de la identidad”, afirma Ángel Ortiz, Director de Ciberseguridad en Cisco España. “Otro problema relevante es la explotación de vulnerabilidades antiguas, algunas de las cuales tienen décadas de antigüedad, que suelen encontrarse en software y hardware de uso generalizado. Algunas de las vulnerabilidades de red más atacadas afectan a dispositivos antiguos para los que ya no se desarrollan parches”.
Persistencia del ransomware y uso de IA como herramienta táctica
El ransomware mantuvo su presencia como amenaza destacada. El grupo LockBit volvió a encabezar, por tercer año consecutivo, la lista de actores con mayor volumen de datos filtrados en la dark web, a pesar de los intentos por desarticular su actividad en marzo de 2024. A LockBit le siguió RansomHub, una agrupación emergente centrada en grandes corporaciones y con demandas económicas elevadas.
La inteligencia artificial, por su parte, fue utilizada para optimizar prácticas ya existentes en lugar de generar técnicas nuevas. Según el informe, los atacantes aplicaron IA para tareas de automatización, elaboración de mensajes en campañas de ingeniería social o mejora de scripts maliciosos, sin introducir estrategias radicalmente distintas en sus operaciones.
Identidades como punto de entrada y explotación de entornos vulnerables
Del total de incidentes atendidos por Talos IR en 2024, un 44% de los ciberataques basados en identidad estuvieron orientados contra servicios de Active Directory, mientras que un 20% afectó a aplicaciones en la nube, siendo las interfaces de programación de aplicaciones (API) uno de los principales objetivos. El acceso que estas proporcionan a información sensible las convierte en un componente crítico de seguridad para muchas organizaciones.
En paralelo, los atacantes mostraron una preferencia constante por explotar vulnerabilidades conocidas, muchas de ellas antiguas y presentes en software y hardware de uso extendido. Ejemplos citados en el informe incluyen Apache Log4j y el lenguaje de scripting Bash. Esta situación se agrava por la falta de actualizaciones en equipos obsoletos, que siguen operando sin parches disponibles.
Educación, administración y sanidad, entre los sectores más afectados
En términos sectoriales, la educación superior fue el entorno más frecuentemente atacado por ransomware durante el año, en parte debido a presupuestos limitados y una superficie de ataque amplia. Le siguieron organismos de la administración pública, el sector de fabricación y los servicios sanitarios.
Además de explotar configuraciones erróneas o terminales desprotegidos, los atacantes lograron, en muchos casos, desactivar las soluciones de seguridad de las víctimas antes de ejecutar el cifrado de archivos o la exfiltración de datos, según el informe.
Recomendaciones estratégicas de Cisco Talos
Cisco Talos identifica cinco líneas de actuación prioritarias para mitigar este tipo de amenazas:
-
Aplicación inmediata de actualizaciones y parches en sistemas, aplicaciones y dispositivos.
-
Implementación de autenticación multifactor (MFA) y contraseñas complejas como barrera frente a accesos no autorizados.
-
Adopción de controles de acceso estrictos, segmentación de redes internas y formación específica del personal.
-
Cifrado del tráfico interno, no solo para proteger la información, sino también para mejorar la visibilidad del comportamiento de red.
-
Reforzamiento de la infraestructura de red, incluyendo la revisión periódica de configuraciones y la eliminación de servicios innecesarios.
Tendencias para 2025: continuidad de tácticas y refuerzo de la prevención
A pesar del incremento de herramientas automatizadas y del uso de inteligencia artificial, los datos recogidos por Cisco Talos apuntan a que los grupos cibercriminales siguen centrando sus esfuerzos en perfeccionar técnicas conocidas en lugar de crear nuevas. El uso repetido de vulnerabilidades antiguas y la explotación de credenciales válidas pone de manifiesto que muchas organizaciones continúan sin aplicar medidas básicas de protección.
La gestión de identidades, la vigilancia activa de los accesos y la protección frente a vulnerabilidades persistentes se presentan como ejes fundamentales para los equipos de ciberseguridad en el año actual. El uso táctico de la IA por parte de los atacantes puede añadir velocidad y volumen a sus campañas, pero no reemplaza las brechas estructurales que hacen posible su éxito.
