Si hay una constante en la ciberseguridad es que los adversarios están innovando constantemente. El auge de la IA agresiva está cambiando las estrategias de ataque y haciendo que los ataques sean más difíciles de detectar. El Threat Intelligence Group de Google informó recientemente que los atacantes están utilizando modelos de lenguaje grande (LLM) para ocultar código, generar scripts maliciosos sobre la marcha y cambiar la forma del malware en tiempo real para evadir las defensas tradicionales. Una mirada más cercana a estos nuevos ataques revela una sofisticación y un engaño sin precedentes.
En noviembre de 2025, Anthropic informó sobre lo que describió como la primera «operación de ciberespionaje orquestada por IA» conocida. Esta operación integró la IA durante toda la fase de ataque, desde el acceso inicial hasta la exfiltración, y fue ejecutada de forma casi autónoma por la propia IA.
Otra tendencia reciente se refiere a los ataques relacionados con ClickFix que utilizan técnicas de esteganografía (ocultar malware dentro de archivos de imágenes) para eludir los análisis basados en firmas. Estos ataques se disfrazan inteligentemente como pantallas de actualización de software legítimas o CAPTCHA para engañar a los usuarios para que implementen troyanos de acceso remoto (RAT), robo de información u otras cargas útiles de malware en sus dispositivos.
Los atacantes también están aprovechando una combinación de ingeniería social, ataques de intermediario y técnicas de intercambio de SIM para activar y comprometer las reglas de exclusión de antivirus (AV). Según una investigación de Microsoft Threat Team de octubre de 2025, un atacante llamado Octo Tempest convenció a las víctimas para que desactivaran varios productos de seguridad y eliminaran automáticamente las notificaciones por correo electrónico. Estos pasos permitieron que el malware se propagara por toda la red corporativa sin activar alertas en los terminales. Además, los atacantes están implementando fácilmente herramientas dinámicas y adaptables diseñadas específicamente para detectar y deshabilitar el software antivirus en los terminales.
Todas estas tecnologías tienen algo en común. Es la capacidad de eludir las defensas tradicionales, como la detección y respuesta de endpoints (EDR), lo que revela las limitaciones de depender únicamente de EDR. Su éxito demuestra que los EDR que actúan solos y sin defensas adicionales pueden ser vulnerables. Se trata de nuevos ataques en todos los sentidos de la palabra, que aprovechan la automatización y la inteligencia de la IA para alterar las defensas digitales. Este momento marca un cambio fundamental en el panorama de las amenazas cibernéticas y las estrategias defensivas están cambiando rápidamente.
Integración de NDR y EDR
La detección y respuesta de red (NDR) y EDR ofrecen diferentes beneficios de protección. Mientras que EDR, por su naturaleza, se centra en lo que sucede dentro de cada punto final específico, NDR monitorea continuamente el entorno de la red y detecta amenazas a medida que pasan por la organización. Detecta lo que EDR no puede y destaca en la identificación de anomalías de comportamiento y desviaciones de los patrones típicos de la red.
En la era de las amenazas basadas en IA, ambos tipos de sistemas deben trabajar juntos, especialmente porque estos ataques pueden ejecutarse más rápido y a mayor escala. Algunos sistemas EDR no se diseñaron teniendo en cuenta la velocidad y la escala de los ataques impulsados por IA. NDR puede aprovechar la protección adicional que esta tecnología complementaria puede proporcionar para detectar estas anomalías de la red para fortalecer las defensas y obtener información más profunda a partir de los datos de esta red.
El desafío se ve agravado por la creciente y más compleja superficie de ataque actual. Los actores de amenazas sofisticados combinan amenazas que se mueven a través de diferentes dominios, creando combinaciones letales para comprometer identidades, puntos finales, la nube y la infraestructura local. Esto significa que los sistemas de seguridad para cada una de estas áreas de enfoque deben trabajar juntos y compartir metadatos y otras señales para descubrir y detener estas amenazas. Los atacantes se esconden detrás de esta complejidad para maximizar el alcance, ampliar el radio de explosión y proporcionar cobertura mientras asumen diferentes roles y se concentran en diferentes objetivos intermedios utilizando diferentes herramientas de piratería.
Blockade Spider es un grupo que ha estado activo desde abril de 2024 y utiliza estos dominios mixtos para ataques de ransomware. Después de localizar y obtener acceso a un sistema no administrado, se mueve lateralmente dentro de la red, buscando colecciones de archivos para cifrar e intentando extraer el rescate. Su enfoque es claro utilizando NDR para obtener visibilidad de las propiedades de los sistemas virtuales y las nubes, y EDR tan pronto como un ataque cruza la red y llega a los puntos finales administrados.
Una de las variantes más notorias es la utilizada en el ataque Volt Typhoon observado por Microsoft en 2023. Se cree que se trata de una técnica LoTL (Living Off the Land) que ayuda a los atacantes patrocinados por el estado chino a evadir la detección de puntos finales. Su objetivo eran dispositivos de red no administrados, como enrutadores SOHO y otro hardware de Internet de las cosas (IoT). Los atacantes pudieron modificar los paquetes salientes para que pareciera que provenían de un módem por cable en Texas, en lugar de un enlace directo a una dirección IP en China. Fue el tráfico de la red lo que acabó con el juego. Aunque logramos evadir EDR, los cambios en la cantidad de tráfico de red detectado por NDR indicaron que el tráfico del módem por cable de origen en realidad ocultaba algo mucho más malicioso. En este caso, NDR sirvió como red de seguridad al detectar actividad maliciosa que se filtraba a través del sistema EDR.
El aumento del trabajo remoto también aumenta las vulnerabilidades. Las VPN se han utilizado ampliamente para ayudar a los trabajadores remotos, creando nuevas oportunidades de abuso. La falta de visibilidad en redes remotas significa que un punto final comprometido en una conexión confiable puede causar daños al entorno de una organización. Si EDR no detecta que la máquina local que ejecuta la VPN ya está infectada con malware, el malware puede propagarse fácilmente por toda la empresa una vez que esa máquina se conecte a la red corporativa. Una VPN comprometida también puede ocultarse dentro de operaciones de red comunes y herramientas de administración para ocultar el movimiento lateral de la red. Por ejemplo, dos violaciones recientes de la cadena de suministro de Salesforce se lograron mediante el uso de inteligencia artificial para recopilar credenciales de OAuth y obtener acceso no autorizado a varias cuentas de clientes. NDR ayuda a identificar puntos de entrada y tránsito vulnerables e identificar las áreas de mayor riesgo para remediar primero. EDR también puede compartir evidencia de cuentas comprometidas que se utilizan como puntos de pivote.
Estos y otros exploits resaltan los beneficios del monitoreo continuo, donde EDR y NDR trabajan en conjunto, lo que permite a los defensores descubrir técnicas adversas innovadoras y responder rápida y decisivamente a las amenazas emergentes. A medida que los adversarios se vuelven más capaces a medida que evoluciona la IA, este enfoque combinado será esencial para reducir el riesgo y mejorar la capacidad de una organización para responder de manera rápida y decisiva.
La plataforma Open NDR de Corelight permite a los SOC detectar nuevos tipos de ataques, incluidos aquellos que aprovechan las técnicas de IA. Su enfoque de detección de múltiples capas incluye detección de comportamiento y anomalías que puede identificar una variedad de actividades de red únicas y anómalas. A medida que los adversarios desarrollan nuevas formas de eludir los sistemas EDR, los equipos de seguridad que implementan NDR pueden fortalecer sus estrategias de defensa empresarial. Para obtener más información, visite corelight.com/elitedefense.
Source link
