El phishing ya no era tan común en 2024 como antes, según el informe de amenaza global de CrowdStrike 2025. Los actores de amenazas huyen para acceder a cuentas legítimas a través de técnicas de ingeniería social como el phishing de voz (Vishing), el phishing de devolución de llamada y los ataques de ingeniería social de la mesa de ayuda.
Estamos dentro de la era de lo que CrowdStrike de tecnología de ciberseguridad llamó “el adversario emprendedor”, con malware como un servicio y ecosistemas criminales que reemplazan la imagen antigua del actor de amenaza solitaria. Los atacantes también están utilizando herramientas legítimas de administración y monitoreo remotos donde alguna vez podrían haber elegido malware.
Los actores de amenaza aprovechan la IA generativa
Los actores de amenaza están utilizando una IA generativa para crear correos electrónicos de phishing y llevar a cabo otros ataques de ingeniería social. CrowdStrike encontró a los actores de amenaza que usaban IA generativa para:
- Cree perfiles ficticios de LinkedIn en los esquemas de contratación como los realizados por Corea del Norte.
- Crea videos y clones de voz de Deepfake para cometer fraude.
- Difundir la desinformación en las redes sociales.
- Crea campañas de correo electrónico spam.
- Escriba el código y los comandos de shell.
- Escribir hazañas.
Algunos actores de amenaza siguieron obteniendo acceso a los propios LLM, particularmente modelos alojados en Amazon Bedrock.
CrowdStrike destacó a los actores de estado-nación asociados con China y Corea del Norte
China sigue siendo el estado-nación para ver, incluso los nuevos grupos de China-Nexus emergen en 2025 y un aumento del 150% en las operaciones cibernéticas. Industrias altamente específicas, incluidos servicios financieros, medios de comunicación, fabricación e ingeniería, vio aumentos de hasta el 300%. Los adversarios chinos aumentaron su tempo en 2024 en comparación con 2023, dijo CrowdStrike.
Los actores de amenaza de Corea del Norte realizaron actividades de alto perfil, incluidas las estafas de trabajadores de TI destinados a recaudar dinero.
Los actores de amenaza favorecen los puntos de entrada que parecen un comportamiento legítimo
El malware no es necesario para el 79% de los ataques, dijo CrowdStrike; En su lugar, los ataques de robo de identidad o acceso usan cuentas legítimas para comprometer sus objetivos.
Las cuentas válidas fueron un medio principal para que los atacantes lanzaran intrusiones en la nube en 2024; De hecho, las cuentas válidas fueron el vector inicial para el 35% de los incidentes de nubes en la primera mitad del año.
La intrusión interactiva, una técnica de ataque en la que un atacante imita o ingenieros sociales a una persona para que realice entradas de teclado de aspecto legítimo, está en aumento. Los atacantes pueden engañar a los usuarios legítimos a través de la ingeniería social realizada por teléfono, como publicar, ya que ayuda al personal de la mesa (a menudo suplorando a Microsoft) o solicitar una tarifa falsa o un pago vencido.
CrowdStrike recomendó lo siguiente para evitar la ingeniería social de la mesa de ayuda:
- Requerir autenticación de video con identificación gubernamental para los empleados que llaman a solicitar restos de contraseña de autoservicio.
- Entrene a los empleados de la mesa de ayuda para tener precaución al tomar contraseña y reiniciar las llamadas telefónicas de reinicio de MFA realizadas fuera del horario comercial, o cuando reciben una gran cantidad de solicitudes en un período de tiempo corto.
- Use factores de autenticación no basados en empujes como FIDO2 para evitar el compromiso de la cuenta.
- Monitorear por más de un usuario que registre el mismo dispositivo o número de teléfono para MFA.
Ver: Solo el 6% de los investigadores y profesionales de seguridad encuestados por CrowdStrike en diciembre de 2024 activamente usado AI generativo.
La divulgación de información puede ser una espada de doble filo: algunos atacantes investigaron “investigación de vulnerabilidad disponible públicamente, como divulgaciones, blogs técnicos y hazañas de prueba de concepto (POC), para ayudar a su actividad maliciosa”, escribió Crowdstrike.
El año pasado, hubo un aumento en los corredores de acceso, que se especializan en la venta de acceso violado a los fabricantes de ransomware u otros actores de amenazas. Los accesos anunciados aumentaron en casi un 50% en comparación con 2023.
Consejos para asegurar su organización
CrowdStrike dijo que las organizaciones deberían:
- Asegúrese de que todo su sistema de identidad esté cubierto por soluciones de MFA resistentes a phishing.
- Recuerde que la nube es infraestructura central y la defiende como tal.
- Disgima estrategias modernas de detección y respuesta.
- Regularmente parche o actualice los sistemas críticos.
