Viejo libro de jugadas, nuevo punto de referencia: Mientras los defensores siguen las tendencias, los atacantes optimizan los fundamentos
A la industria de la seguridad le encanta hablar de “nuevas” amenazas. Ataques impulsados por IA. Cifrado resistente a lo cuántico. Arquitecturas de confianza cero. Pero si miramos a nuestro alrededor, parece que los ataques más efectivos en 2025 son en gran medida los mismos que en 2015. Los atacantes están explotando los mismos puntos de entrada que funcionaron, pero lo están haciendo mejor.
Cadena de suministro: sigue cayendo en cascada
Como nos mostró la campaña NPM de Shai Hulud, la cadena de suministro sigue siendo un problema importante. Un único paquete comprometido puede atravesar un árbol de dependencias completo y afectar a miles de proyectos posteriores. El vector de ataque no ha cambiado. Lo que ha cambiado es la eficiencia con la que los atacantes pueden identificar y explotar oportunidades.
La IA ha derribado la barrera de entrada. Así como la IA ha permitido que proyectos de software unipersonales creen aplicaciones sofisticadas, lo mismo ocurre con el ciberdelito. Lo que antes requería operaciones grandes y organizadas ahora puede lograrse mediante equipos ágiles, incluso individuos. Sospechamos que algunos de estos ataques a paquetes NPM, incluido Shai-Hulud, pueden ser en realidad operaciones de una sola persona.
A medida que los proyectos de software se vuelven más fáciles de desarrollar y los actores de amenazas demuestran la capacidad de jugar a largo plazo (como con el ataque XZ Utils), es probable que veamos más casos en los que los atacantes lanzan paquetes legítimos que generan confianza con el tiempo y luego, un día, inyectan capacidades maliciosas a todos los usuarios intermedios con solo hacer clic en un botón.
Phishing: todavía a un clic de distancia
El phishing sigue funcionando por la misma razón de siempre: los humanos siguen siendo el eslabón más débil. Pero lo que está en juego ha cambiado dramáticamente. El reciente ataque a la cadena de suministro de NPM muestra el efecto dominó: un desarrollador hizo clic en un enlace roto, ingresó sus credenciales y su cuenta quedó comprometida. Se envenenaron paquetes con decenas de millones de descargas semanales. Aunque el desarrollador informó públicamente del incidente a npm, la mitigación llevó algún tiempo y, durante ese período, el ataque se extendió a gran escala.
Tiendas oficiales: todavía no estoy seguro
Quizás lo más frustrante es que el malware sigue eludiendo a los guardianes oficiales. Nuestra investigación sobre extensiones maliciosas de Chrome que roban conversaciones de ChatGPT y DeepSeek reveló algo que ya sabemos de las tiendas de aplicaciones móviles: las revisiones automatizadas y los moderadores humanos no pueden seguir el ritmo de la sofisticación de los atacantes.
El problema de los permisos debería resultarle familiar porque ya se ha resuelto. Android e iOS ofrecen a los usuarios un control granular: pueden permitir el acceso a la ubicación pero bloquear el micrófono y solo permitir el acceso a la cámara cuando una aplicación está abierta, no en segundo plano. Chrome podría implementar el mismo modelo para las extensiones: la tecnología existe. Se trata de priorización e implementación.
En cambio, los usuarios se enfrentan a una elección binaria con extensiones que solicitan permiso para “leer información de todos los sitios web”. En la mayoría de los casos, cuando una extensión solicita este nivel de acceso, se utiliza con fines maliciosos o se actualiza posteriormente en consecuencia.
Los atacantes no tienen el síndrome de la herramienta brillante
Cuando llegó la IA, los atacantes no descartaron su manual: lo automatizaron. Todavía están explotando las cadenas de suministro, los desarrolladores de phishing y ocultando malware a los auditores. Lo hacen con sólo una décima parte de los recursos.
No deberíamos perseguir nuevas y brillantes estrategias de defensa mientras los fundamentos no funcionan. Modelos de autorización correctos. Verificación segura de la cadena de suministro. Haga que la autenticación sea resistente al phishing como estándar. Los conceptos básicos son más importantes ahora, no menos.
Los atacantes han optimizado los conceptos básicos. ¿Qué deberían priorizar los defensores? Únete a OX nuestro próximo seminario web: Actualización de Threat Intelligence: ¿Qué funcionó para los piratas informáticos y qué hicieron los buenos?
Analizamos qué técnicas de ataque prevalecen, qué las detiene realmente y qué priorizar cuando los recursos son limitados. Regístrese aquí.
Regístrese aquí.
Nota: Este artículo fue escrito y contribuido exclusivamente por Moshe Siman Tov Bustan, jefe del equipo de investigación de seguridad de OX.
About The Author
