Ahora, en el segundo semestre de 2025, el panorama de la ciberseguridad no sólo está activo; Es específico de la industria y tiene como objetivo la precisión. Los actores de amenazas sofisticados ya no adoptan un enfoque de “rociar y orar”.
En cambio, estudian su sector, explotan su modelo de negocio e incluso entrenan su malware para imitar su flujo de trabajo.
Director de estrategia y seguridad de la información, Concentric.ai.
Para burlar a los atacantes, los CISO deben comprender quién está apuntando a su industria, cómo lo están haciendo y por qué, y luego traducir ese conocimiento en acción con un sólido programa de inteligencia de amenazas (TIP).
Sin inteligencia sobre amenazas, sus defensas se basan en suposiciones. Los actores de amenazas conocen su industria, su entorno y sus usuarios. También deberían conocer su defensa.
El Programa de Inteligencia Esencial sobre Amenazas (TIP)
Una capacidad madura de inteligencia sobre amenazas no se trata solo de recopilar información, sino de traducir la información sobre amenazas en defensas procesables. Con un programa moderno, puedes:
– Identifique actores de amenazas y tácticas, estrategias y procedimientos (TTP) dirigidos a su industria con alta fidelidad.
– Utilice marcos como MITRE ATT&CK para reducir el riesgo.
– Mejorar la detección y la respuesta a través de la gestión de eventos e información de seguridad (SIEM), la orquestación, automatización y respuesta de seguridad (SOAR) y la detección y respuesta de endpoints (EDR).
– Personalizar la formación de concienciación según escenarios de ataque reales.
– Proporcionar informes preparados por ejecutivos que informen las decisiones.
Para desbloquear el valor de la inteligencia sobre amenazas, intégrela en su tejido de seguridad. Por ejemplo:
Ingeniería de identificación – Asigne TTP a MITRE, cree detecciones y enriquezca los protocolos SIEM/Detección y respuesta extendidas (XDR) con indicadores de actores (IoC) relevantes.
Respuesta automática (SOAR) – Etiquete alertas por actor y sector y active guías alineadas con los perfiles de amenazas.
Gestión de vulnerabilidades – Priorizar parches asociados con amenazas activas.
Conciencia de seguridad – Simule el phishing basado en actores (por ejemplo, QR-phishing de TA577) y capacite a los equipos contra ataques de voz deepfake.
Los CISO deben incluir actualizaciones de inteligencia sobre amenazas de la junta directiva y del equipo ejecutivo con actualizaciones programadas periódicamente para sus programas.
Deben incluir tendencias de amenazas de la industria y eventos de pares, objetivos de los actores y estrategias en evolución, y resultados de riesgos y necesidades de financiamiento.
Estos conocimientos enmarcan la ciberseguridad como estratégica y alineada con el negocio, no solo como reactiva.
Amenazas a los actores de la industria
Cada industria enfrenta amenazas particulares. A continuación se ofrece un resumen de algunos de los principales actores de amenazas, estrategias y tendencias por sector.
Actores de amenazas en la atención sanitaria
Los actores de amenazas incluyen Scattered Spider (UNC3944), Black Basta, RansomHub y NoEscape. Estos incluyen TTP, compromiso de plataformas basadas en la nube y SaaS para evitar la autenticación multifactor (MFA), el movimiento lateral a través del Protocolo de escritorio remoto (RDP) y puntos finales no controlados, y el abuso del acceso de proveedores externos.
Los actores que afectan la atención médica están (1) utilizando ingeniería social, como ofertas de trabajo falsas, para hacerse pasar por personas internas o proveedores; (2) eludir MFA abusando del servicio de asistencia técnica y del proceso de recuperación; y (3) instalaciones avanzadas de movimiento lateral como Living Off the Land Binaries (LOLBins), Windows Management Instrumentation (WMI) y PsExec para persistir en redes segmentadas.
El FBI ha advertido que los actores araña esporádicos están apuntando al software de asistencia sanitaria y eludiendo la autenticación de dos factores (2FA) haciéndose pasar por llamadas de soporte. Lifewire informa que la omisión de MFA se está convirtiendo en un punto de entrada común en las campañas de ransomware en el sector sanitario.
Servicios financieros: los actores incluyen APT38 (Lazarus), TA577 y Storm 1811. Los TTP incluyen fraude de voz habilitado para Deepfake, phishing QR dirigido a aplicaciones de banca móvil, implementación de aplicaciones de pago e inversión fraudulentas y abuso de procesadores de pagos de terceros.
Actores de amenazas en los servicios financieros
En los servicios financieros, los actores de amenazas utilizan estafas de voz deepfake para (1) autorizar transferencias fraudulentas; (2) lanzar phishing con códigos QR para robar credenciales financieras; y (3) difundir aplicaciones falsas para recopilar datos e implementar malware, aprovechando las brechas en capacitación, seguridad móvil y vulnerabilidad de los proveedores.
El FBI destacó recientemente el aumento de los esquemas de fraude de voz deepfake, que han resultado en pérdidas multimillonarias por fraude electrónico a instituciones financieras.
Las empresas de ciberseguridad han informado de un aumento en las campañas de phishing con códigos QR que se hacen pasar por los principales bancos, lo que lleva a compromisos de credenciales y apropiaciones de cuentas. Las alertas de la industria han notado el aumento de aplicaciones móviles fraudulentas que se hacen pasar por herramientas fintech legítimas, lo que aumenta la exposición al robo de credenciales y a infecciones de malware móvil.
Amenazas a los actores de fabricación y OT
Los actores de amenazas aquí incluyen Volt Typhoon, Sandworm, Lockbit 3.0 y Modled Libra Scattered Spider. Los TTP incluyen técnicas de subsistencia que utilizan WMI y PsExec, recolección de credenciales, manipulación de protocolos ICS (Sistema de control industrial) y explotación de protocolos heredados y específicos de OT.
En esta vertical, Volt Typhoon se dirige a entornos híbridos de tecnología de la información (TI) y tecnología operativa (OT), aprovechando la débil segmentación y los controles de identidad para mantener el acceso a largo plazo y permitir disrupciones futuras. Varias agencias gubernamentales confirman que Volt Typhoon está posicionando previamente las redes de TI para que pasen a OT en caso de posible sabotaje (Aviso CISA).
Los analistas informaron que Volt Typhoon mantuvo acceso encubierto a la red OT de una pequeña empresa de servicios públicos estadounidense durante casi un año, lo que demuestra una persistencia sofisticada y un secreto. La continua persecución de los gusanos de arena en los sistemas de control industrial pone de relieve el creciente riesgo para los sectores manufacturero y de infraestructura crítica.
Actores de amenazas en el comercio minorista y el comercio electrónico
Los actores aquí incluyen Magecart Group 6, Storm‑0539 (también conocido como ATLAS LION) y LAPSUS$. TTP incluye ataques asistidos por información interna para el secuestro de pagos a través de complementos del navegador y maquinadores JS, apropiación de cuentas mediante robo de credenciales o sesiones y acceso directo al sistema.
Los actores de amenazas minoristas están aprovechando las credenciales de los empleados comprometidas y las campañas de phishing (a menudo a través de QR y SMS) para inyectar skimmers de tarjetas de pago, secuestrar flujos de pago y crear tarjetas de regalo fraudulentas.
Cada vez más, estas operaciones combinan técnicas de reclutamiento interno y phishing basadas en inteligencia artificial para eludir MFA, comprometer los sistemas POS y recopilar datos de pago de los clientes durante períodos prolongados. Los estafadores de Magecart están robando tarjetas de pago de sitios de comercio electrónico y resurgiendo en sistemas de pago basados en JS.
Microsoft observa la campaña de phishing y smishing Storm-0539 dirigida a los flujos de trabajo de tarjetas de regalo en minoristas de EE. UU., lo que permite eludir MFA a través de una página de phishing asistida por IA (Microsoft). Las alertas de CISA y los estudios de casos revelan que LAPSUS$ está reclutando personas con información privilegiada y abusando de cuentas legítimas para la extorsión de datos sin rescate entre entidades minoristas (CISA).
Actores de amenazas en tecnología y SaaS
Los actores aquí incluyen Midnight Blizzard (APT29), UNC5537 y UNC3886. Los TTP incluyen la exfiltración de tokens de OAuth, el envenenamiento de la cadena de suministro de CI/CD (por ejemplo, acciones de GitHub) y la descarga de archivos DLL.
Las APT de tecnología y SaaS se dirigen a canalizaciones nativas de la nube, aprovechando los tokens de OAuth y los flujos de trabajo de integración continua (CI)/entrega/implementación continua (CD), mientras utilizan la descarga lateral de la biblioteca de vínculos dinámicos (DLL) para una persistencia y escalamiento sigilosos.
APT29 continúa aprovechando el robo de tokens de OAuth para una penetración profunda de los servicios en la nube y entornos SaaS (Microsoft). Los ataques recientes a la cadena de suministro se han centrado en los flujos de trabajo de acción de GitHub, envenenando los canales de construcción para insertar puertas traseras (Alerta CISA). Se ha descubierto que UNC5537 y UNC3886 utilizan la descarga de DLL para eludir la lista blanca de aplicaciones y ejecutar malware bajo la apariencia de software legítimo (CrowdStrike).
Energía e infraestructura crítica: los actores incluyen a Volt Typhoon, Chamelgang, Xenotime y Dark Tortilla. Los TTP incluyen implantes de firmware, ataques de abrevadero a portales de proveedores y robo de credenciales de ingenieros de campo.
Los actores de amenazas que apuntan a infraestructuras críticas utilizan implantes de firmware, atacan pozos de agua de proveedores y roban credenciales de ingenieros de campo, explotando vulnerabilidades de identidad y de la cadena de suministro. Vault continúa aprovechando el robo de tokens de OAuth para una penetración profunda de los servicios en la nube y entornos SaaS (CISA) de Typhoon.
Xenotime se destaca por implementar malware dirigido a sistemas de control industrial, utilizando credenciales robadas de trabajadores de campo para mejorar el acceso (Dragos).
Palabras finales: No te limites a proteger, lucha contra el oponente.
Sin inteligencia sobre amenazas, sus defensas son conjeturas. Los actores de amenazas conocen su industria, su software y sus sistemas. Su defensa también debe conocerlos y usted debe comunicar esta información a su junta directiva o equipo ejecutivo.
Las organizaciones deberían construir sus programas de ciberseguridad en torno a sus adversarios, no en suposiciones. Los actores de amenazas están muy centrados en la industria, por lo que es esencial construir un motor de inteligencia de amenazas centralizado que proporcione detección, respuesta y capacitación.
Por último, los equipos deberían utilizar inteligencia respaldada por noticias para informes urgentes y realizar reuniones informativas ejecutivas trimestrales.
Consulte nuestra lista de las mejores soluciones de gestión de identidad.
