El tiempo para detener un ataque se achica: por qué la prevención es clave
Los atacantes están usando IA para potenciar técnicas ya conocidas. Con amenazas que avanzan cada vez más rápido, los equipos de ciberseguridad deben replantear su estrategia
Nos encontramos en un momento particular dentro de la interminable carrera entre atacantes y defensores. Los primeros están usando IA, automatización y una variedad de técnicas con efectos a veces devastadores. De hecho, un reporte señala que el 80% de los grupos de ransomware‑as‑a‑service (RaaS) ya ofrecen funciones basadas en IA o automatización y, por supuesto, también existe un mercado muy activo de herramientas diseñadas específicamente para evadir soluciones de seguridad. Como resultado, las brechas de datos y los costos asociados se han disparado.
Pero, al mismo tiempo, los actores de amenazas continúan haciendo lo que ya hacían antes: potenciar tácticas, técnicas y procedimientos (TTPs) existentes para acelerar sus ataques. El tiempo entre el acceso inicial y el movimiento lateral, por ejemplo, ahora se mide en minutos. Para los defensores acostumbrados a trabajar en ventanas de horas o incluso días, esto exige un cambio.
Una ventana de media hora
La velocidad con la que un atacante pasa del acceso inicial al movimiento lateral (breakout time) es crítica: si los equipos de seguridad no detienen al adversario en esta etapa, una intrusión inicial puede escalar rápidamente a un incidente mayor. El tiempo promedio para moverse lateralmente es hoy de unos 30 minutos —aproximadamente un 29% más rápido que el año anterior— aunque algunos investigadores han observado casos donde ocurre en menos de un minuto desde el acceso inicial.
Varias razones explican por qué la ventana de acción se está cerrando tan rápido. Los actores de amenazas están:
Perfeccionando el robo, crackeo o phishing de credenciales legítimas.
Contraseñas débiles, reutilizadas o que no se rotan facilitan ataques de fuerza bruta. La falta de MFA agrava el problema. También están mejorando los ataques de vishing para restablecimiento de contraseñas, ya sea haciéndose pasar por el helpdesk o llamando al helpdesk haciéndose pasar por empleados. Con credenciales válidas, pueden hacerse pasar por usuarios sin activar alertas internas.
Aprovechando vulnerabilidades zero‑day en dispositivos perimetrales
como Ivanti EPMM, para obtener acceso inicial sin ser detectados por herramientas de seguridad internas.
Mejorando el reconocimiento previo
usando técnicas de código abierto e IA para buscar información pública sobre objetivos de alto valor (con credenciales privilegiadas). Obtienen datos sobre estructura organizacional, procesos internos y ambientes de TI para optimizar ataques y diseñar guiones de ingeniería social.
Automatizando actividades de post‑explotación
mediante scripts impulsados por IA para cosecha de credenciales, living off the land e incluso generación de malware.
Explotando brechas entre equipos aislados y soluciones puntuales.
Actividades que parecen legítimas para un equipo pueden parecer sospechosas para otro, pero sin visibilidad integral estos casos pasan inadvertidos. En algunos casos, incluso desactivan o evaden EDR de manera deliberada.
Utilizando técnicas living‑off‑the‑land (LOTL)
para permanecer ocultos: credenciales válidas, herramientas de acceso remoto legítimas y protocolos como SMB o RDP que se mezclan con el tráfico habitual.
Detectar a los atacantes en esta etapa es crítico, especialmente porque la exfiltración también se está acelerando gracias a la IA. El caso más rápido registrado el año pasado fue de solo seis minutos, comparado con 4 horas 29 minutos en 2024.
Combatir el fuego con fuego (de IA)
Si los atacantes logran acceder a tu red con privilegios elevados, permanecer ocultos en endpoints sin monitoreo y moverse lateralmente sin generar alertas, la respuesta humana suele ser demasiado lenta. Es necesario limitar la ingeniería social, mejorar la postura defensiva para detectar comportamientos sospechosos y acelerar los tiempos de respuesta.
Las soluciones de detección y respuesta extendida (XDR) y detección y respuesta gestionada (MDR) impulsadas por IA pueden ayudar al identificar automáticamente comportamientos sospechosos, mejorar la fidelidad de alertas y corregirlas cuando es necesario. Las ofertas avanzadas también pueden ayudar agrupando las alertas y generando respuestas automatizadas para los equipos SOC, liberando su tiempo para trabajar en tareas de alto valor como la caza de amenazas.
Contar con un proveedor unificado con visibilidad transversal sobre endpoint, red, nube y otras capas también permite iluminar esos vacíos entre soluciones puntuales y obtener visibilidad completa de posibles rutas de ataque. Asegúrese de que estas herramientas también tengan visibilidad de los dispositivos periféricos y funcionen a la perfección con sus herramientas de gestión de eventos e información de seguridad (SIEM) y de orquestación y respuesta de seguridad (SOAR).
La inteligencia de amenazas y el threat hunting también son esenciales para seguir el ritmo de adversarios apoyados por IA. Una estrategia que combine ambas permitirá a los equipos enfocarse en lo que realmente importa: cómo están siendo atacados y hacia dónde se moverá el adversario. Con el tiempo, los agentes de IA podrían asumir más de estas tareas de forma autónoma, acelerando aún más los tiempos de respuesta.
Recuperar la iniciativa
Hay otras formas de acelerar los tiempos de respuesta, entre ellas:
- El monitoreo continuo y la visibilidad en endpoints, redes y entornos en la nube.
- Acciones automatizadas —como finalizar sesiones, restablecer contraseñas o aislar un host— que deben ejecutarse para responder a actividad sospechosa y, cuando corresponde, análisis automatizado combinado con evaluación humana para investigar alertas y definir los pasos necesarios para contener una amenaza rápidamente.
- Seguridad centrada en la identidad, basada en credenciales fuertes y únicas administradas en un gestor de contraseñas, y respaldada por MFA resistente al phishing.
- Medidas anti‑vishing, incluyendo procesos actualizados en el helpdesk (por ejemplo, validaciones fuera de banda) y capacitación efectiva en concientización.
- Protección contra ataques de fuerza bruta que bloqueen intentos automatizados de adivinación de contraseñas desde el inicio.
- Monitoreo continuo de redes sociales y dark web para identificar información expuesta de empleados o de la empresa que pueda ser utilizada por atacantes.
- Supervisión de scripts y procesos a medida que se “desocultan” en memoria, para detectar y bloquear comportamiento LOTL.
- Ejecución en sandbox en la nube de archivos sospechosos, para mitigar amenazas asociadas a exploits zero‑day.
Ninguna de estas medidas por sí sola es una solución definitiva. Pero cuando se combinan y se apoyan en servicios MDR/XDR impulsados por IA de un proveedor confiable, pueden ayudar a los defensores a recuperar la iniciativa. Es una carrera armamentista, sí, pero una que no tiene un final claro. Eso significa que aún hay tiempo para ponerse al día.