Si hay una constante en la ciberseguridad es que los adversarios siempre están innovando. El auge de la IA ofensiva está transformando las estrategias de ataque y haciéndolas más difíciles de detectar. Grupo de inteligencia de amenazas de Googleinformó recientemente sobre adversarios que utilizan modelos de lenguaje grande (LLM) para ocultar código y generar scripts maliciosos sobre la marcha, permitiendo que el malware cambie de forma en tiempo real para evadir las defensas convencionales. Una mirada más profunda a estos novedosos ataques revela una sofisticación y un engaño sin precedentes.
En noviembre de 2025, Antrópico informado sobre lo que describió como la primera «campaña de ciberespionaje orquestada por IA» conocida. Esta operación contó con IA integrada en todas las etapas del ataque, desde el acceso inicial hasta la exfiltración, que fue ejecutada en gran medida de forma autónoma por la propia IA.
Otra tendencia reciente preocupa Ataques relacionados con ClickFix utilizando técnicas de esteganografía (ocultar malware dentro de archivos de imagen) que eludieron los análisis basados en firmas. Estos ataques, hábilmente disfrazados de pantallas de actualización de software legítimas o CAPTCHA, engañaron a los usuarios para que implementaran troyanos de acceso remoto (RAT), ladrones de información y otras cargas útiles de malware en sus propios dispositivos.
Los adversarios también están explotando formas de activar y luego comprometer las reglas de exclusión de antivirus (AV) mediante el uso de una combinación de técnicas de ingeniería social, ataque en el medio e intercambio de SIM. Basado en investigaciones de El equipo de amenazas de Microsoft a partir de octubre de 2025el actor de amenazas al que llaman Octo Tempest convenció a sus víctimas de desactivar varios productos de seguridad y eliminar automáticamente las notificaciones por correo electrónico. Estos pasos permitieron que su malware se propagara a través de una red empresarial sin activar las alertas de los terminales. Los actores también están implementando fácilmente soluciones dinámicas y adaptativas. Herramientas que se especializan en detectar y deshabilitar software AV en terminales..
Todas estas técnicas comparten un hilo común: la capacidad de evadir defensas heredadas como la detección y respuesta de endpoints (EDR), exponiendo las limitaciones de depender únicamente de EDR. Su éxito ilustra dónde la EDR, actuando sola y sin medidas defensivas adicionales, puede ser vulnerable. Se trata de nuevos ataques en todos los sentidos de la palabra, que utilizan la automatización y la inteligencia artificial para subvertir las defensas digitales. Este momento señala un cambio fundamental en el panorama de las amenazas cibernéticas y está impulsando rápidamente un cambio en la estrategia defensiva.
NDR y EDR, trabajando juntos
La detección y respuesta de red (NDR) y la EDR aportan diferentes beneficios de protección. EDR, por su naturaleza, se centra en lo que sucede dentro de cada punto final específico, mientras que NDR monitorea continuamente el entorno de la red, detectando amenazas a medida que atraviesan la organización. Destaca por captar lo que EDR no capta, identificando anomalías de comportamiento y desviaciones de los patrones típicos de la red.
En la era de las amenazas basadas en IA, es necesario que ambos tipos de sistemas funcionen juntos, especialmente porque estos ataques pueden operar a velocidades más altas y a mayor escala. Algunos sistemas EDR no fueron diseñados para la velocidad y escala de los ataques impulsados por IA. NDR puede detectar estas anomalías de la red, fortalecer las defensas y obtener conocimientos más profundos de los datos de esta red, aprovechando la protección adicional que esta tecnología complementaria puede proporcionar.
Para agravar el desafío, la superficie de ataque actual se está expandiendo y volviéndose más compleja. Actores de amenazas sofisticados ahora combinar amenazas que se mueven a través de una variedad de dominioscomprometiendo la identidad, el punto final, la nube y la infraestructura local en una combinación letal. Esto significa que los sistemas de seguridad correspondientes en cada una de estas áreas de enfoque deben trabajar juntos, compartiendo metadatos y otras señales, para encontrar y detener estas amenazas. Los malos actores se esconden detrás de esta complejidad para maximizar su alcance, aumentar el radio de su explosión y proporcionar cobertura mientras utilizan diferentes herramientas de piratería para asumir diversos roles y centrarse en diferentes objetivos intermedios.
Araña de bloqueoun grupo activo desde abril de 2024, utiliza estos dominios mixtos para ataques de ransomware. Después de obtener acceso mediante la búsqueda de sistemas no administrados, se mueven lateralmente a través de una red, buscando una colección de archivos para cifrar e intentar extraer un rescate. La amplitud total de su enfoque se descubrió mediante el uso de NDR para obtener visibilidad de los sistemas virtuales y las propiedades de la nube, y luego utilizando EDR tan pronto como el ataque atravesó la red hasta los puntos finales administrados.
Una de las variantes más infames es la que se utilizó en el Ataque del tifón Volt observado por Microsoft en 2023. Se atribuye a actores patrocinados por el estado chino que utilizaron técnicas de vida de la tierra (LoTL) que les ayudaron a evitar la detección de puntos finales. Sus objetivos eran dispositivos de red no administrados, como enrutadores SOHO y otro hardware de Internet de las cosas (IoT). Los actores pudieron alterar los paquetes de origen para que pareciera que provenían de un módem por cable en Texas, en lugar de un enlace directo a una dirección IP china. Lo que delató el juego fue el tráfico de la red. Si bien lograron evitar el EDR, las variaciones en el volumen de tráfico de la red detectadas por el NDR indicaron que el tráfico del módem por cable de origen en realidad ocultaba algo mucho más nefasto. En este caso, NDR sirvió como una red de seguridad al detectar actividad maliciosa que pasó por alto los sistemas EDR.
El aumento del trabajo remoto también añade vulnerabilidad. A medida que las VPN se utilizan cada vez más para apoyar a las fuerzas laborales remotas, plantean nuevas oportunidades de explotación. La falta de visibilidad en redes remotas significa que un punto final comprometido en una conexión confiable puede dañar el entorno de la organización. Si un EDR no detecta que una máquina local que ejecuta la VPN ya está infectada con malware, puede propagarse fácilmente por toda la empresa una vez que la máquina se conecta a la red corporativa. Las VPN comprometidas también pueden ocultar el movimiento lateral de la red que se disfraza entre las operaciones de red y las herramientas de administración típicas. Por ejemplo, dos violaciones recientes de las cadenas de suministro de Salesforce se lograron mediante el uso de IA para recopilar credenciales de OAuth para obtener acceso no autorizado a varias cuentas de clientes. NDR puede identificar puntos de entrada y tránsito débiles, lo que ayuda a identificar las áreas más riesgosas que se deben solucionar primero, y EDR puede compartir la evidencia de que una cuenta comprometida se utiliza como punto de pivote.
Estos y otros exploits resaltan los beneficios del monitoreo continuo con EDR y NDR trabajando en conjunto, lo que permite a los defensores detectar técnicas adversas innovadoras y responder rápida y decisivamente a las amenazas emergentes. Los adversarios se volverán más capaces a medida que la IA evolucione, lo que hace que este enfoque combinado sea esencial para reducir el riesgo y mejorar la capacidad de su organización para responder de manera rápida y decisiva.
Plataforma NDR abierta de Corelight permite a los SOC detectar nuevos tipos de ataques, incluidos aquellos que aprovechan técnicas de IA. Su enfoque de detección de múltiples capas incluye detecciones de comportamiento y anomalías que pueden identificar una variedad de actividades de red únicas e inusuales. A medida que los adversarios desarrollan nuevos métodos para evadir los sistemas EDR, los equipos de seguridad que implementan NDR pueden fortalecer el juego defensivo de su empresa. Visita corelight.com/elitedefense para aprender más.