Antiguo manual de jugadas, nueva escala: Mientras los defensores persiguen las tendencias, los atacantes optimizan lo básico

A la industria de la seguridad le encanta hablar de «nuevas» amenazas. Ataques impulsados por inteligencia artificial. Cifrado con resistencia cuántica. Arquitecturas de confianza cero. Pero mirando a nuestro alrededor, parece los ataques más efectivos en 2025 son prácticamente los mismos que en 2015. Los atacantes están explotando los mismos puntos de entrada que funcionaban, solo que lo están haciendo mejor.

Cadena de suministro: sigue en cascada aguas abajo

Como nos mostró la campaña NPM de Shai Hulud, la cadena de suministro sigue siendo un problema importante. Un solo paquete comprometido puede extenderse por todo un árbol de dependencias y afectar a miles de proyectos posteriores. El vector de ataque no ha cambiado. Lo que ha cambiado es la eficacia con la que los atacantes pueden identificar y aprovechar las oportunidades.

La IA ha derribado la barrera de entrada. Del mismo modo que la IA ha permitido que los proyectos de software de una sola persona creen aplicaciones sofisticadas, lo mismo ocurre con la ciberdelincuencia. Lo que antes exigía operaciones grandes y organizadas ahora lo pueden ejecutar equipos reducidos, incluso de forma individual. Sospechamos que algunos de estos ataques con paquetes de NPM, incluido Shai-Hulud, podrían ser en realidad operaciones de una sola persona.

A medida que los proyectos de software se vuelven más fáciles de desarrollar y los actores de amenazas muestran su capacidad para jugar a largo plazo (como ocurrió con el ataque de XZ Utils), es probable que veamos más casos en los que los atacantes publiquen paquetes legítimos que generen confianza con el tiempo y, un día, con solo hacer clic en un botón, inyecten capacidades maliciosas a todos los usuarios intermedios.

Suplantación de identidad: aún está a un clic de distancia

El phishing sigue funcionando por la misma razón que siempre: los seres humanos siguen siendo el eslabón más débil. Sin embargo, lo que está en juego ha cambiado drásticamente. El reciente ataque a la cadena de suministro de npm demuestra el efecto dominó: un desarrollador hizo clic en un enlace erróneo, introdujo sus credenciales y su cuenta quedó comprometida. Los paquetes con decenas de millones de descargas semanales fueron envenenados. A pesar de que el desarrollador denunció públicamente el incidente a npm, la mitigación llevó tiempo y, durante ese período, el ataque se extendió a gran escala.

Tiendas oficiales: Still Not Safe

Quizás lo más frustrante es que el malware sigue eludiendo a los guardianes oficiales. Nuestra investigación sobre extensiones maliciosas de Chrome que roban conversaciones de ChatGPT y DeepSeek reveló algo que ya sabemos en las tiendas de aplicaciones móviles: las revisiones automatizadas y los moderadores humanos no están a la altura de la sofisticación de los atacantes.

El problema de los permisos debería resultarle familiar porque ya se ha resuelto. Android e iOS ofrecen a los usuarios un control detallado: puedes permitir el acceso a la ubicación pero bloquear el micrófono y permitir el acceso a la cámara solo cuando la aplicación está abierta, no en segundo plano. Chrome podría implementar el mismo modelo para las extensiones: la tecnología ya existe. Es una cuestión de priorización e implementación.

En cambio, los usuarios se enfrentan a una opción binaria con extensiones que solicitan permiso para «leer la información de todos los sitios web». Si una extensión solicita ese nivel de acceso, en la mayoría de los casos se utilizará con fines malintencionados o, posteriormente, se actualizará para hacerlo.

Los atacantes no tienen el síndrome de la herramienta brillante

Los atacantes no desecharon su manual de estrategias cuando llegó la IA, sino que lo automatizaron. Siguen explotando las cadenas de suministro, engañando a los desarrolladores y haciendo pasar el malware a escondidas por parte de los críticos. Solo lo hacen con una décima parte de los recursos.

No deberíamos perseguir estrategias de defensa nuevas y brillantes mientras lo básico siga sin funcionar. Corrija los modelos de permisos. Refuerce la verificación de la cadena de suministro. Establezca la autenticación resistente a la suplantación de identidad como predeterminada. Los fundamentos importan más ahora, no menos.

Los atacantes optimizaron lo básico. ¿Qué deben priorizar los defensores? Únase a OX para nuestro próximo seminario web: Actualización sobre inteligencia de amenazas: ¿qué ha funcionado para los piratas informáticos y qué han estado haciendo los buenos?

Cubriremos las técnicas de ataque que están ganando terreno, qué es lo que realmente las detiene y qué es lo que se debe priorizar cuando los recursos son limitados. Inscríbase aquí.

Inscríbase aquí.

Nota: Este artículo fue escrito y contribuido exclusivamente por Moshe Siman Tov Bustan , líder del equipo de investigación de seguridad en OX.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.