Vieja estrategia, nueva escala: mientras los defensores persiguen tendencias, los atacantes optimizan los fundamentos.
A la industria de la seguridad le encanta hablar de «nuevas» amenazas. Ataques usando IA. Cifrado resistente a lo cuántico. Arquitectura de confianza cero. Pero si miras a tu alrededor, parece que los ataques más efectivos en 2025 serán más o menos los mismos que en 2015. Los atacantes están explotando los mismos puntos de entrada que han funcionado antes, sólo que con métodos mejorados.
Cadena de suministro: todavía en cascada aguas abajo
Como ha demostrado la campaña del MNP de Shai Huld, las cadenas de suministro siguen siendo un problema importante. Si un solo paquete se ve comprometido, puede afectar a todo el árbol de dependencias, afectando a miles de proyectos posteriores. El vector de ataque no ha cambiado. Lo que ha cambiado es la eficacia con la que los atacantes pueden identificar y explotar oportunidades.
La IA ha derribado las barreras de entrada. Así como la IA ha hecho posible que proyectos de software unipersonales creen aplicaciones sofisticadas, lo mismo ocurre con el ciberdelito. Lo que antes requería trabajo organizado a gran escala ahora lo pueden realizar personas individuales o equipos reducidos. Creemos que algunos de estos ataques con paquetes de NPM, incluido Shai-Hulud, pueden ser en realidad una operación de una sola persona.
A medida que los proyectos de software se vuelven más fáciles de desarrollar y los atacantes demuestran la capacidad de jugar a largo plazo (como en el ataque XZ Utils), es posible que veamos más casos en los que los atacantes publican paquetes legítimos que generan confianza con el tiempo y algún día inyectan funcionalidad maliciosa en todos los usuarios intermedios con solo hacer clic en un botón.
Phishing: solución con un solo clic
El phishing sigue funcionando por las mismas razones que siempre. Es que los humanos siguen siendo el eslabón más débil. Pero lo que está en juego ha cambiado dramáticamente. El reciente ataque a la cadena de suministro de npm muestra las ramificaciones. Un desarrollador hace clic en un enlace malicioso e ingresa sus credenciales, lo que hace que su cuenta se vea comprometida. Los paquetes que se descargan decenas de millones de veces cada semana se vieron comprometidos. Aunque el desarrollador informó públicamente del incidente a npm, la mitigación llevó tiempo, tiempo durante el cual el ataque se extendió a gran escala.
Tienda oficial: aún no es segura
Quizás lo más frustrante es que el malware continúa eludiendo a los guardianes oficiales. Nuestra investigación sobre extensiones maliciosas de Chrome que roban conversaciones de ChatGPT y DeepSeek revela lo que ya sabemos de las tiendas de aplicaciones móviles. Eso significa que las revisiones automatizadas y los moderadores humanos no han estado a la altura de la sofisticación de los atacantes.
Esto debería resultarle familiar ya que el problema de los permisos ya se ha resuelto. Android e iOS brindan a los usuarios más control. Puedes permitir el acceso a tu ubicación y bloquear tu micrófono, o permitir el acceso a tu cámara solo cuando la aplicación esté abierta y no en segundo plano. Chrome puede implementar el mismo modelo para las extensiones. La tecnología existe. Es una cuestión de priorización y ejecución.
En cambio, los usuarios se enfrentan a una elección binaria en la que la extensión solicita permiso para «leer información de todos los sitios web». Si una extensión solicita ese nivel de acceso, lo más probable es que se utilice con fines maliciosos o se actualice posteriormente para hacerlo.
Los atacantes no tienen el síndrome de la herramienta brillante
Cuando apareció la IA, los atacantes no abandonaron sus manuales, sino que los automatizaron. Todavía explotan las cadenas de suministro, los desarrolladores de phishing y ocultan malware a los revisores. Simplemente lo están haciendo con una décima parte de los recursos.
No busques estrategias defensivas nuevas y brillantes mientras los conceptos básicos aún no funcionen. Arreglar el modelo de permiso. Fortalecer la verificación de la cadena de suministro. Haga que la autenticación resistente al phishing sea la predeterminada. Los fundamentos son cada vez más importantes, no menos.
El atacante ha optimizado lo básico. ¿Qué deberían priorizar los defensores? Únase a OX para un próximo seminario web: Threat Intelligence Latest: ¿Qué están haciendo los piratas informáticos y qué están haciendo los buenos?
Conozca las técnicas de ataque que están ganando terreno, qué es lo que realmente detiene los ataques y qué priorizar cuando los recursos son limitados. Por favor regístrese aquí.
Por favor regístrese aquí.
Nota: Este artículo fue escrito y contribuido únicamente por Moshe Siman Tov Bustan, líder del equipo de investigación de seguridad de OX.
Source link
