La velocidad de los ataques aumenta cuando fallan los controles de identidad
Ha llegado el primer informe anual de ciberamenazas de este año. Luego de investigar miles de incidentes durante el año 2025, este análisis ha revelado cómo han entrado los ciberdelincuentes, sus movimientos posteriores y qué ha logrado detenerlos.
Desde un ataque de día cero, detectado por diversas firmas de seguridad, hasta malware generado por inteligencia artificial que ha roto toda confianza en el software, pasando por operativos de Corea del Norte infiltrados mediante identidades falsas de TI; el 2025 ha demostrado que vulnerar la confianza es más eficaz que atacar la infraestructura.
Al poner la identidad como prioridad, los atacantes obtienen privilegios elevados desde el comienzo. Esto les permite omitir fases lentas como la escalada de privilegios y cumplir objetivos con inédita rapidez, mientras la automatización y la IA amplifican el peligro generando señuelos masivos.
Sin embargo, el reloj sigue corriendo, pero esto no es solo una carrera. Esto debido a que los adversarios informáticos dividen su estrategia entre sprints de 4 minutos y persistencia silenciosa, obligando a los defensores a luchar en dos frentes simultáneos.
Al capturar credenciales válidas con altos privilegios, el tiempo de reacción se ha desplomado. El año pasado, el tiempo medio de irrupción, del acceso inicial al movimiento lateral, cayó 34 minutos. Pero los promedios ocultan el peligro real; las intrusiones más veloces alcanzaron el movimiento lateral en solo 4 minutos, una aceleración de más del 80% respecto al año pasado.
Lo que es peor, la exfiltración de datos ahora ocurre en seis minutos. Esta velocidad la impulsa el acceso inicial, en donde los atacantes cambiaron tácticas ruidosas de “romper y llevar” por entradas silenciosas de alto privilegio. En el 45% de los incidentes, aseguraron privilegios altos antes de tocar la red. Esto les permite saltar la escalada, camuflarse en el tráfico y reutilizar herramientas legítimas, por lo que rastrear un solo IOC es un camino sin salida el día de hoy.
Los hackers maliciosos no descansan y ahora emplean la IA para automatizar sus procesos maliciosos y poder exfiltrar datos en corto tiempo y sin que los equipos de seguridad se den cuenta de inmediato. Ante esta preocupante situación, TIC Defense ofrece un conjunto de productos y soluciones corporativas enfocadas en la prevención y dar respuesta rápida ante todo tipo de incidentes.
No obstante, la rapidez es solo la mitad de la historia. Los defensores se encuentran atrapados entre dos extremos ocultos en la actividad legítima; irrupciones a velocidad de máquina que exfiltran en minutos y operaciones estatales de “combustión lenta” que persisten durante meses.
Esta realidad transforma el rol de la automatización, debido a que la automatización tradicional basada en manuales depende de mantenimiento constante y supervisión humana. Simplemente es demasiado lenta para un ataque de cuatro minutos y muy rígida para detectar una anomalía de meses.
Con tiempos de irrupción de cuatro minutos, el análisis manual es una batalla perdida. Para liderar, las organizaciones deben integrar IA agéntica y manuales automatizados que gestionen señales masivas y contengan amenazas a velocidad de procesamiento.
Para adelantarse a los acontecimientos, es necesario utilizar manuales automatizados para desactivar usuarios o aislar hosts de forma instantánea ante amenazas de alta confianza, eliminando retrasos manuales. Además, se debe automatizar investigaciones de nivel 1 y 2 en señales como reinicios de MFA y manipulación de EDR para mantener decisiones consistentes y rápidas.
