Si hay una constante en la ciberseguridad, es que los adversarios siempre están innovando. El auge de la IA ofensiva está transformando las estrategias de ataque y haciendo que sean más difíciles de detectar. Grupo de inteligencia de amenazas de Google , informó recientemente sobre adversarios que utilizaban modelos de lenguaje grande (LLM) para ocultar código y generar scripts maliciosos sobre la marcha, lo que permitía al malware cambiar de forma en tiempo real para evadir las defensas convencionales. Un análisis más profundo de estos novedosos ataques revela tanto una sofisticación como un engaño sin precedentes.

En noviembre de 2025, Anthropic informó sobre lo que describió como la primera «campaña de ciberespionaje orquestada por IA» conocida. Esta operación contó con una IA integrada en todas las etapas del ataque, desde el acceso inicial hasta la exfiltración, que fue ejecutada en gran medida de forma autónoma por la propia IA.

Otra tendencia reciente se refiere a Ataques relacionados con ClickFix utilizando técnicas de esteganografía (ocultando el malware en los archivos de imagen) que no pasaban por alto los escaneos basados en firmas. Estos ataques, hábilmente disfrazados de pantallas de actualización de software o CAPTCHA legítimas, engañaban a los usuarios para que utilizaran troyanos de acceso remoto (RAT), ladrones de información y otros tipos de malware en sus propios dispositivos.

Los adversarios también están explotando formas de activar y comprometer las reglas de exclusión de los antivirus (AV) mediante una combinación de técnicas de ingeniería social, ataques intermedios e intercambio de tarjetas SIM. Basado en una investigación de El equipo de amenazas de Microsoft a partir de octubre de 2025 , el actor de amenazas al que llaman Octo Tempest convenció a sus víctimas de que desactivaran varios productos de seguridad y eliminaran automáticamente las notificaciones por correo electrónico. Estas medidas permitieron que su malware se propagara por una red empresarial sin que se activaran las alertas de los terminales. Los actores también se despliegan fácilmente de forma dinámica y adaptativa herramientas que se especializan en detectar y deshabilitar el software antivirus en los terminales .

Todas estas técnicas comparten un hilo conductor: la capacidad de evadir las defensas heredadas, como la detección y respuesta de puntos finales (EDR), exponiendo las limitaciones de confiar únicamente en EDR . Su éxito ilustra dónde la EDR, si actúa por sí sola y sin medidas defensivas adicionales, puede ser vulnerable. Se trata de nuevos ataques en todos los sentidos de la palabra, que utilizan la automatización y la inteligencia de la IA para subvertir las defensas digitales. Este momento marca un cambio fundamental en el panorama de las ciberamenazas y está impulsando rápidamente un cambio en la estrategia defensiva.

NDR y EDR, trabajando juntos

Tanto la detección y respuesta de red (NDR) como la EDR brindan diferentes beneficios de protección . El EDR, por su naturaleza, se centra en lo que ocurre dentro de cada punto final específico, mientras que el NDR monitorea continuamente el entorno de red y detecta las amenazas a medida que atraviesan la organización. Se destaca por detectar lo que la EDR no detecta, identificando las anomalías de comportamiento y las desviaciones con respecto a los patrones de red típicos.

En la era de las amenazas basadas en la inteligencia artificial, es necesario que ambos tipos de sistemas funcionen juntos, especialmente porque estos ataques pueden operar a mayor velocidad y escala. Algunos sistemas EDR no se diseñaron para la velocidad y la escala de los ataques impulsados por la inteligencia artificial. La NDR puede detectar estas anomalías de la red, fortalecer las defensas y obtener información más profunda a partir de los datos de esta red, aprovechando la protección adicional que puede brindar esta tecnología complementaria.

Para agravar el desafío, la superficie de ataque actual se está expandiendo y es cada vez más compleja. Actores de amenazas sofisticados en la actualidad combine amenazas que se mueven a través de una variedad de dominios , comprometiendo la identidad, los puntos finales, la nube y la infraestructura local en una combinación letal. Esto significa que los sistemas de seguridad correspondientes a cada una de estas áreas de interés deben trabajar en conjunto y compartir metadatos y otras señales para encontrar y detener estas amenazas. Los delincuentes se esconden detrás de esta complejidad para maximizar su alcance, aumentar su radio de ataque y protegerse mientras utilizan diferentes herramientas de hackeo para asumir diferentes funciones y centrarse en diferentes objetivos intermedios.

Araña de bloqueo , un grupo activo desde abril de 2024, utiliza estos dominios mixtos para los ataques de ransomware. Tras conseguir acceso mediante la búsqueda de sistemas no gestionados, se desplazan lateralmente por la red en busca de una colección de archivos para cifrarla e intentar obtener un rescate. Descubrieron todo el alcance de su enfoque al utilizar la NDR para obtener visibilidad de los sistemas virtuales y las propiedades de la nube, y luego utilizar la EDR tan pronto como el ataque se extendió por la red a los puntos finales gestionados.

Una de las variantes más infames es la que se utilizó en el Ataque Volt Typhoon observado por Microsoft en 2023. Se atribuye a actores patrocinados por el estado chino que utilizaron técnicas de vivir de la tierra (LoTL), que les ayudaron a evitar la detección de terminales. Sus objetivos eran los dispositivos periféricos de red no gestionados, como los enrutadores SOHO y otros equipos de Internet de las cosas (IoT). Los actores lograron modificar los paquetes de origen para que parecieran proceder de un módem de cable de Texas, en lugar de un enlace directo a una dirección IP china. Lo que delató el juego fue el tráfico de la red. Si bien lograron evitar la EDR, las variaciones en el volumen del tráfico de red detectadas por la NDR indicaron que el tráfico del módem por cable originario en realidad ocultaba algo mucho más nefasto. En este caso, el NDR sirvió como red de seguridad al detectar actividades malintencionadas que se escapaban de los sistemas EDR.

El aumento del trabajo remoto también añade vulnerabilidad. A medida que las VPN se utilizan cada vez más para apoyar a los trabajadores remotos, plantean nuevas oportunidades de explotación. La falta de visibilidad en las redes remotas significa que un punto final comprometido en una conexión confiable puede dañar el entorno de la organización. Si una EDR no detecta que una máquina local que ejecuta la VPN ya está infectada con malware, puede propagarse fácilmente por toda la empresa una vez que la máquina se conecte a la red corporativa. Las VPN comprometidas también pueden ocultar el movimiento lateral de la red, que se disfraza entre las herramientas de gestión y operaciones de red habituales. Por ejemplo, dos infracciones recientes de las cadenas de suministro de Salesforce se lograron mediante el uso de inteligencia artificial para recopilar credenciales de OAuth y obtener acceso no autorizado a varias cuentas de clientes. NDR puede identificar los puntos de entrada y tránsito débiles, lo que ayuda a identificar primero las áreas más riesgosas, y EDR puede compartir las pruebas de que una cuenta comprometida se está utilizando como punto de partida.

Estas y otras vulnerabilidades resaltan los beneficios de la supervisión continua con EDR y NDR trabajando en conjunto, lo que permite a los defensores detectar técnicas adversas innovadoras y responder de manera rápida y decisiva a las amenazas emergentes. Los adversarios adquirirán más capacidad a medida que la IA evolucione, por lo que este enfoque combinado es esencial para reducir los riesgos y mejorar la capacidad de su organización de responder de forma rápida y decisiva.

Plataforma NDR abierta de Corelight permite a los SoC detectar tipos de ataques novedosos, incluidos los que utilizan técnicas de IA. Su enfoque de detección de varios niveles incluye detecciones de comportamiento y anomalías que pueden identificar una variedad de actividades de red únicas e inusuales. A medida que los adversarios desarrollan nuevos métodos para evadir los sistemas de EDR, los equipos de seguridad que implementan la NDR pueden reforzar el juego defensivo de su empresa. Visita corelight.com/elitedefense para obtener más información.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.