Viejo libro de jugadas, nueva escala: Mientras los defensores persiguen las tendencias, los atacantes optimizan los conceptos básicos
A la industria de la seguridad le encanta hablar de «nuevas» amenazas. Ataques impulsados por IA. Cifrado resistente a lo cuántico. Arquitecturas de confianza cero. Pero mirando a nuestro alrededor parece que Los ataques más efectivos en 2025. son prácticamente los mismos que en 2015. Los atacantes están explotando los mismos puntos de entrada que funcionaron, solo que lo están haciendo mejor.
Cadena de suministro: sigue en cascada aguas abajo
Como nos mostró la campaña del MNP de Shai Hulud, la cadena de suministro sigue siendo un problema importante. Un único paquete comprometido puede atravesar todo un árbol de dependencias y afectar a miles de proyectos posteriores. El vector de ataque no ha cambiado. Lo que ha cambiado es la eficacia con la que los atacantes pueden identificar y explotar oportunidades.
La IA ha derribado la barrera de entrada. Así como la IA ha permitido que proyectos de software unipersonales creen aplicaciones sofisticadas, lo mismo ocurre con el ciberdelito. Lo que antes requería operaciones grandes y organizadas ahora puede ser ejecutado por equipos ágiles, incluso individuos. Sospechamos que algunos de estos ataques a paquetes NPM, incluido Shai-Hulud, podrían en realidad ser operaciones de una sola persona.
A medida que los proyectos de software se vuelven más simples de desarrollar y los actores de amenazas muestran la capacidad de jugar a largo plazo (como con el ataque XZ Utils), es probable que veamos más casos en los que los atacantes publican paquetes legítimos que generan confianza con el tiempo y luego, un día, con solo hacer clic en un botón, inyectan capacidades maliciosas a todos los usuarios intermedios.
Phishing: todavía a solo un clic de distancia
El phishing sigue funcionando por la misma razón de siempre: los humanos siguen siendo el eslabón más débil. Pero lo que está en juego ha cambiado dramáticamente. El reciente ataque a la cadena de suministro de npm demuestra el efecto dominó: un desarrollador hizo clic en un enlace incorrecto, ingresó sus credenciales y su cuenta quedó comprometida. Se envenenaron paquetes con decenas de millones de descargas semanales. A pesar de que el desarrollador informó públicamente el incidente a npm, la mitigación llevó tiempo y, durante ese período, el ataque se extendió a gran escala.
Tiendas oficiales: todavía no son seguras
Quizás lo más frustrante es que el malware sigue eludiendo a los guardianes oficiales. Nuestra investigación sobre extensiones maliciosas de Chrome que roban conversaciones de ChatGPT y DeepSeek reveló algo que ya sabemos de las tiendas de aplicaciones móviles: las revisiones automatizadas y los moderadores humanos no siguen el ritmo de la sofisticación de los atacantes.
El problema de los permisos debería resultarte familiar porque ya está solucionado. Android e iOS brindan a los usuarios un control granular: puede permitir el acceso a la ubicación pero bloquear el micrófono, permitir el acceso a la cámara solo cuando una aplicación está abierta, no en segundo plano. Chrome podría implementar el mismo modelo para las extensiones: la tecnología existe. Es una cuestión de priorización e implementación.
En cambio, los usuarios se enfrentan a una elección binaria con extensiones que solicitan permiso para «leer información de todos los sitios web». Si una extensión solicita ese nivel de acceso, en la mayoría de los casos se utilizará con fines maliciosos o se actualizará posteriormente para hacerlo.
Los atacantes no tienen el síndrome de la herramienta brillante
Los atacantes no abandonaron su manual cuando llegó la IA, sino que lo automatizaron. Todavía están explotando las cadenas de suministro, los desarrolladores de phishing y ocultando malware a los revisores. Sólo lo están haciendo con una décima parte de los recursos.
No deberíamos estar persiguiendo nuevas y brillantes estrategias de defensa mientras lo básico todavía no funciona. Arreglar modelos de permisos. Fortalecer la verificación de la cadena de suministro. Haga que la autenticación resistente al phishing sea la predeterminada. Los fundamentos importan más ahora, no menos.
Los atacantes optimizaron lo básico. ¿Qué deberían priorizar los defensores? Únase a OX para nuestro próximo seminario web: Actualización de inteligencia sobre amenazas: ¿Qué ha funcionado para los piratas informáticos y qué han estado haciendo los buenos?
Cubriremos las técnicas de ataque que están ganando terreno, qué las detiene realmente y qué priorizar cuando los recursos son limitados. Regístrese aquí.
Nota: Este artículo fue escrito y contribuido exclusivamente por Moshé Simán Tov Bustánlíder del equipo de investigación de seguridad en OX.