Resumen de buceo:
- El phishing fue la forma más común en que los piratas informáticos violaron sus objetivos en el primer trimestre de 2026, después de casi un año fuera del primer puesto. El equipo de inteligencia de amenazas Talos de Cisco dijo en un informe publicado el miércoles.
- Según el informe, casi el 20% de los compromisos de respuesta a incidentes de Cisco involucraron las etapas preliminares de un ataque de ransomware, una cifra significativamente menor que en los dos primeros trimestres de 2025, cuando fue del 50%.
- Cisco también dijo que vio a piratas informáticos utilizando IA para mejorar los ataques de phishing.
Información de buceo:
Cisco describió un esquema de recolección de credenciales en el que los atacantes utilizaron la plataforma Softr AI para crear un sitio web que imitaba la página de inicio de sesión de Outlook Web Access. Cisco dijo que esta era «la primera vez que documentamos el uso de una herramienta de inteligencia artificial específica por parte de un adversario en una campaña de phishing». La compañía dijo que estaba bastante segura de que los atacantes han estado utilizando Softr para sitios web de recolección de credenciales desde mayo de 2023 “y lo han hecho con cada vez más frecuencia hasta la fecha”.
Los piratas informáticos podrían incluso haber conectado su página de inicio de sesión falsa a un servicio de terceros como Google Sheets para la recopilación automática de credenciales robadas, con notificaciones cada vez que alguien intentaba iniciar sesión, todo sin escribir una sola línea de código.
«Este incidente demuestra cómo las herramientas de inteligencia artificial pueden reducir la barrera de entrada para actores menos sofisticados y/o acelerar la velocidad de las campañas de phishing y recolección de credenciales», escribieron los investigadores de Cisco.
Según el informe, las agencias gubernamentales y las organizaciones de atención médica empataron en los objetivos más comunes en el primer trimestre de 2026. El sector gubernamental reclamó por primera vez el primer puesto en los datos de Cisco en el tercer trimestre de 2025 y lo ha mantenido desde entonces. Las agencias gubernamentales, que a menudo carecen de fondos suficientes y están llenas de equipos obsoletos, «pueden tener acceso a datos confidenciales, así como una baja tolerancia al tiempo de inactividad», dijo Cisco, «lo que las hace atractivas para grupos de amenazas centrados en el espionaje y motivados financieramente».
Después del gobierno y los sectores de atención médica, los objetivos más comunes fueron el sector de servicios profesionales, científicos y técnicos, según el informe.
Autenticación multifactor deficiente fue la debilidad de seguridad más común que provocó intrusiones en el primer trimestre, según Cisco, que dijo que el 35% de sus compromisos involucraron ese problema. A veces, MFA no estaba activado; otras veces, estaba activo pero mal configurado.
«Los adversarios pudieron eludir MFA registrando nuevos dispositivos en cuentas previamente comprometidas y, en un caso, configurando clientes Outlook para conectarse directamente a servidores Exchange, eludiendo los requisitos de MFA», escribieron los investigadores. «Abordar estas debilidades, especialmente restringiendo la inscripción de autoservicio en MFA y aplicando políticas de autenticación centralizadas y sólidas, es esencial para reducir el riesgo y fortalecer la resiliencia organizacional».
Otros problemas comunes que Cisco vio en el primer trimestre incluyeron una infraestructura vulnerable de acceso a Internet (25% de las interacciones) y capacidades de registro inadecuadas (18%).
Fuente