El malware tipo infostealer, la exposición de datos en la nube y los riesgos geopolíticos encabezan el panorama global de ciberamenazas según el último análisis de Mandiant

El informe anual M-Trends 2025, elaborado por Mandiant, empresa de inteligencia de amenazas integrada en Google Cloud, presenta un análisis exhaustivo sobre las principales tácticas, grupos y vulnerabilidades explotadas por ciberdelincuentes en 2024. Basado en más de 450.000 horas de investigaciones de respuesta a incidentes, este informe revela una realidad inquietante: los atacantes están perfeccionando sus métodos, ampliando sus objetivos y aprovechando cada brecha para infiltrarse en redes corporativas.

Aumento de los infostealers: credenciales como moneda de acceso

Uno de los hallazgos más significativos del informe es el crecimiento sostenido del uso de malware tipo infostealer. Este tipo de software malicioso está diseñado para robar credenciales, cookies, datos del navegador y carteras de criptomonedas. Modelos como VIDAR, RACCOON y REDLINESTEALER están siendo utilizados activamente para facilitar accesos no autorizados.

Mandiant detectó que las credenciales robadas fueron utilizadas en el 16 % de las intrusiones durante 2024, lo que supone un repunte tras la caída al 10 % registrada en 2023. Estas credenciales se venden en masa en foros clandestinos, representando una amenaza persistente, incluso años después de su robo original.

Vectores de entrada: exploits y phishing siguen dominando

En el 33 % de los casos analizados, los atacantes aprovecharon vulnerabilidades conocidas (exploits) como punto de entrada. El phishing, aunque menos prevalente, sigue siendo un método efectivo (14 %), especialmente en campañas complejas donde se combinan con robo de credenciales.

Las amenazas internas también ganaron protagonismo, particularmente en campañas atribuidas a trabajadores de TI norcoreanos (UNC5267) que, bajo identidades falsas, obtuvieron empleos remotos para acceder a sistemas corporativos sensibles.

La nube y los datos mal asegurados, en el punto de mira

La migración a entornos en la nube sin una adecuada configuración ha propiciado numerosos compromisos. Mandiant detectó múltiples incidentes relacionados con errores de configuración y accesos privilegiados sin supervisión. Asimismo, se reportaron numerosos casos de repositorios de datos mal protegidos, explotados por atacantes para extraer información crítica.

El informe también alerta sobre ataques específicos contra plataformas Web3 y sistemas de criptomonedas, motivados por la rápida adopción de estas tecnologías y la promesa de altos beneficios financieros.

Tiempo medio de permanencia y sectores más afectados

Por primera vez desde 2010, el tiempo global medio de permanencia de los atacantes aumentó, pasando de 10 días en 2023 a 11 días en 2024. Este dato, aunque inferior a los 16 días registrados en 2022, refleja una mayor sofisticación en las tácticas de evasión y persistencia dentro de las redes comprometidas.

El sector financiero volvió a ser el más atacado, con más del 17 % del total de investigaciones, seguido por sectores como tecnología, telecomunicaciones y salud.

Amenazas geopolíticas: Corea del Norte e Irán, bajo el radar

El informe dedica un apartado especial a las amenazas geopolíticas. Se identificaron campañas activas de actores vinculados a Irán, en medio de la inestabilidad en Oriente Medio. También se detallan operaciones encubiertas de trabajadores de TI de Corea del Norte, que, tras infiltrarse en empresas internacionales, accedieron a datos confidenciales e incluso extorsionaron a las compañías tras ser descubiertos.

Recomendaciones clave de Mandiant

El informe concluye con una serie de recomendaciones estratégicas para fortalecer la postura de seguridad de las organizaciones:

• Asegurar la nube: revisar configuraciones, controlar accesos y monitorizar entornos híbridos.
• Mitigar el riesgo interno: implementar filtros de contratación más estrictos y supervisión continua.
• Proteger los datos sensibles: cifrado, etiquetado de datos, auditorías y segmentación por niveles de riesgo.
• Reforzar la educación del personal: capacitar a los empleados para detectar intentos de ingeniería social y uso inadecuado de sistemas personales.

En palabras de Mandiant, “los atacantes no solo aprovechan oportunidades: también las crean”. En un panorama digital tan dinámico, el conocimiento compartido es la mejor defensa. El informe completo está disponible en Google Cloud M-Trends.