La evolución de los ataques basados en IA exige una defensa integral
Publicado el
La amenaza de la IA en la ciberseguridad
La ciberseguridad enfrenta un desafío constante debido a la innovación de los adversarios. Con el auge de la IA ofensiva, las estrategias de ataque están transformándose, volviéndose más sofisticadas y difíciles de detectar. Recientemente, el grupo de Inteligencia de Amenazas de Google informó sobre el uso de Modelos de Lenguaje Grande (LLMs) por parte de los atacantes para ocultar código y generar scripts maliciosos en tiempo real, lo que permite a los malware adaptarse y evadir las defensas convencionales.
En noviembre de 2025, Anthropic reveló la primera campaña de ciberespionaje orquestada por IA, en la que la IA gestionó casi todos los aspectos del ataque desde el acceso inicial hasta la exfiltración de datos. Además, se han observado ataques relacionados con ClickFix que utilizan técnicas de esteganografía para ocultar malware en archivos de imagen, logrando eludir los escaneos basados en firmas. Estos ataques engañan a los usuarios, haciéndoles instalar troyanos de acceso remoto (RAT) y otros tipos de malware.
Los atacantes también están utilizando métodos para activar y comprometer las reglas de exclusión de los antivirus mediante una combinación de ingeniería social, ataques en medio y técnicas de SIM swapping. Según la investigación del equipo de amenazas de Microsoft en octubre de 2025, un actor conocido como Octo Tempest convenció a sus víctimas para que desactivaran diversos productos de seguridad y eliminaran automáticamente las notificaciones por correo electrónico, permitiendo así que su malware se propagara sin activar alertas en los puntos finales.
### Vulnerabilidades de las defensas tradicionales
Estas técnicas comparten un hilo común: la capacidad de evadir defensas tradicionales como la detención y respuesta en puntos finales (EDR). Su éxito pone de manifiesto las limitaciones de confiar únicamente en EDR, que puede ser vulnerable si actúa sin medidas defensivas adicionales. Estas nuevas amenazas utilizan la automatización y la inteligencia de la IA para socavar las defensas digitales, marcando un cambio fundamental en el panorama de las amenazas cibernéticas.
### Importancia de NDR y EDR juntos
La combinación de detección y respuesta de red (NDR) y EDR aporta beneficios complementarios. Mientras EDR se centra en lo que ocurre en cada punto final, NDR supervisa continuamente el entorno de red, detectando amenazas a medida que se desplazan por la organización. Esta dualidad es crucial en la era de las amenazas basadas en IA, ya que los ataques operan a mayores velocidades y escalas. Algunos sistemas EDR no están diseñados para manejar la rapidez de los ataques impulsados por IA. NDR puede identificar anomalías en la red y fortalecer las defensas, proporcionando información más profunda a partir de los datos de red.
El aumento del trabajo remoto ha añadido otra capa de vulnerabilidad. Con el uso extendido de VPNs, un endpoint comprometido en una conexión de confianza puede introducir daños en el entorno de la organización. Si un EDR no detecta que un dispositivo local que ejecuta la VPN está infectado, el malware puede propagarse fácilmente una vez que se conecta a la red corporativa.
### Colaboración en la defensa
Los actores maliciosos aprovechan la complejidad del paisaje actual, combinando amenazas que cruzan diversos dominios, como identidad, puntos finales, cloud e infraestructura local. Esto requiere que los sistemas de seguridad en cada uno de estos ámbitos trabajen conjuntamente, compartiendo metadatos y señales para identificar y detener las amenazas. Por ejemplo, el grupo Blockade Spider, activo desde abril de 2024, utiliza estos dominios mixtos para llevar a cabo ataques de ransomware.
La detección continua mediante la colaboración entre EDR y NDR permite a los defensores identificar técnicas innovadoras de los adversarios y responder rápidamente a las amenazas emergentes. Con el desarrollo de la IA, los adversarios se volverán más capaces, haciendo que este enfoque combinado sea esencial para reducir riesgos y mejorar la capacidad de respuesta de la organización.
### Herramientas para la detección
Plataformas como Corelight's Open NDR permiten a los centros de operaciones de seguridad (SOC) detectar nuevos tipos de ataques, incluyendo aquellos que utilizan técnicas de IA. Su enfoque de detección multinivel incluye la identificación de comportamientos anómalos que pueden señalar actividades inusuales en la red. A medida que los adversarios desarrollan nuevos métodos para evadir los sistemas EDR, la implementación de NDR puede reforzar la defensa de las empresas.