No es noticia que los ciberataques son cada vez más sofisticados. Los delincuentes están perfeccionando tanto sus tácticas que cada vez resulta más difícil distinguir una amenaza real de una actividad informática aparentemente legítima. El último gran análisis realizado por HP durante los tres primeros meses del año, basado en dispositivos protegidos por el servicio Wolf Security revela que los atacantes están consiguiendo eludir los sistemas tradicionales de ciberseguridad desde la intrusión en herramientas habituales en las compañías.
Ciberataques en las herramientas del trabajo en remoto
Entre esas herramientas marcadas en rojo, destacan aquellas que se utilizan frecuentemente para el trabajo en remoto. Esta es la puerta de entrada para muchas amenazas y sobre ellas HP está lanzando esta voz de aviso.
Programas como LogMeIn o ScreenConnect, están siendo empleados por los atacantes para tomar el control de los dispositivos sin despertar sospechas. Una vez pasa esa puerta, se han detectado campañas desde correos electrónicos de phishing relacionados con procesos empresariales habituales, como el cierre del ejercicio fiscal, o a través de descargas falsas de aplicaciones. Esta es la vía desde la que posteriormente quede instalado software malicioso en los dispositivos de los empleados.
Los archivos ejecutables concentraron el 39 % de las amenazas detectadas, seguidos muy de cerca por los archivos comprimidos, con un 38 %. Los documentos PDF representaron un 10 % de los ataques, aumentando su presencia respecto a periodos anteriores mediante el uso de señuelos como notificaciones judiciales, comunicaciones administrativas o avisos relacionados con pagos y bonificaciones.
Asimismo, el informe destaca que al menos un 11 % de las amenazas distribuidas por correo electrónico consiguió evadir uno o más sistemas de filtrado de seguridad en las pasarelas de correo corporativo.
“Lo que más llama la atención de estas campañas es la facilidad con la que herramientas legítimas de acceso remoto pueden convertirse en puntos de entrada para los atacantes”, explica Patrick Schläpfer, investigador principal de amenazas de HP Security Lab.
El reto de diferenciar lo legítimo de lo malicioso
Para los expertos de HP, el principal desafío actual es que muchos de estos ataques descritos imitan comportamientos normales dentro de una organización. Ya no se presentan como intrusiones evidentes, sino que se integran en los flujos habituales de trabajo y aprovechan herramientas de confianza para operar sin levantar alertas.
“Estos ataques no tienen el aspecto de una intrusión tradicional; parecen actividad empresarial habitual. Se integran en las operaciones normales de TI y evitan muchas de las señales de alerta asociadas al malware”, añade Alex Holland, investigador principal de amenazas de HP Security Lab.
Esta evolución obliga a replantear las estrategias de protección. Los especialistas recomiendan limitar privilegios innecesarios, controlar de forma estricta la instalación de software y aislar actividades consideradas de riesgo, como la apertura de enlaces desconocidos o la descarga de archivos procedentes de fuentes no verificadas.
Estafas dirigidas a usuarios de criptomonedas
Además, las campañas anteriores, el análisis de HP también alerta sobre una creciente oleada de fraudes dirigidos a personas que intentan recuperar criptomonedas perdidas. Los atacantes distribuyen supuestas herramientas de recuperación de carteras digitales que prometen localizar fondos extraviados, pero cuyo verdadero objetivo es robar credenciales, datos de monederos virtuales e información del sistema.
Estas aplicaciones fraudulentas suelen difundirse a través de plataformas de intercambio de código y páginas de descarga de contenidos. Los investigadores destacan además que parte del código empleado presenta indicios de haber sido desarrollado mediante técnicas de programación asistidas por inteligencia artificial, conocidas como vibe coding.
Malware oculto en archivos de audio
Otra de las campañas detectadas aprovecha la popular técnica denominada ClickFix, que en esta ocasión esconde malware dentro de archivos de audio para dificultar su identificación.
Las víctimas son dirigidas a páginas web fraudulentas que muestran verificaciones CAPTCHA aparentemente legítimas. Al interactuar con ellas, se ejecutan comandos maliciosos que activan silenciosamente cargas de malware ocultas en segundo plano, permitiendo la infección del dispositivo sin que el usuario perciba ninguna señal evidente.
