La ciberseguridad está entrando en “una nueva fase” a medida que las herramientas de inteligencia artificial han madurado y han dado a los defensores de TI mucho menos tiempo para responder a los ciberataques y otras amenazas, según un nuevo informe publicado el lunes.

El informeescrito por el contratista federal Booz Allen Hamilton, concluye que los actores de amenazas han adoptado la IA más rápidamente que los gobiernos y las empresas privadas la adoptaron para la ciberdefensa.

Señala múltiples incidentes en los últimos dos años, como ataques llevados a cabo con la ayuda de Claude de Anthropic, que muestran que tanto los ciberdelincuentes como los grupos de piratería patrocinados por el estado se están moviendo y escalando más rápido que nunca.

Brad Medairy, vicepresidente ejecutivo y líder de la práctica de negocios cibernéticos de Booz Allen, dijo a CyberScoop que una de las mayores ventajas que los LLM han brindado a los atacantes es la capacidad de identificar lugares donde las ventanas están «ligeramente abiertas» (debilidades oscuras en un sistema como una vulnerabilidad perimetral) y luego usar rápidamente un exploit para establecer persistencia.

«Si tienes una vulnerabilidad en tu perímetro y el adversario se mete dentro del muro, en ese momento se moverá a la velocidad de la máquina», dijo.

El informe de Booz Allen sostiene que la mayoría de las operaciones defensivas de ciberseguridad, por el contrario, todavía dependen de procesos más lentos y orientados a los humanos que pueden tener dificultades para mantener ese ritmo más rápido.

Por ejemplo, cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad agrega un CVE a su lista de vulnerabilidades explotadas conocidas, los defensores tienen plazos de 15 días para implementar un parche. Eso sería insuficiente para algo como HexStrike, un marco de seguridad de inteligencia artificial de código abierto popular entre los ciberdelincuentes que explotó “miles” de productos Citrix Netscaler en menos de 10 minutos utilizando un único CVE crítico.

Booz Allen Hamilton vende herramientas de ciberseguridad de IA, pero las conclusiones principales del informe coinciden con lo que dicen otros expertos en ciberseguridad independientes y externos, a saber, que los grandes modelos lingüísticos han sido de gran ayuda para los ciberdelincuentes y los Estados-nación.

El informe describe dos modelos generales que tienen los actores maliciosos para utilizar la IA.

En uno, se convierte en un amplificador para sus operaciones de piratería individuales. Este enfoque utiliza LLM para agregar velocidad y escala a lo que los piratas informáticos ya están haciendo, mientras mantiene al ser humano informado sobre las decisiones clave. Con este enfoque, «un solo operador que utilice herramientas agentes puede ejecutar acciones de reconocimiento, explotación y seguimiento en docenas de objetivos a la vez».

El otro modelo, llamado “orquestación”, se parece más a la codificación de vibraciones, conectando el LLM a herramientas de seguridad ofensivas, apuntándolo a un objetivo y estableciendo los límites y parámetros del agente.

Medairy dijo que es probable que la regulación y las políticas en torno a la IA sigan rezagadas con respecto a su desarrollo, lo que obligará a los funcionarios de ciberseguridad a tomar decisiones difíciles sobre el cambio a defensas automatizadas y asistidas por IA para mantenerse al día. En este escenario, las organizaciones planificarían y ejecutarían ejercicios teóricos con anticipación para determinar cómo sus agentes de IA deberían responder a un ataque en curso, qué límites o parámetros establecer y qué activos priorizar.

Pero existen riesgos reales al traspasar funciones cibernéticas o de TI críticas a un sistema de inteligencia artificial. Amazon tiene tratado con múltiples interrupciones relacionadas con cambios de software realizados de forma automatizada a través de IA, y recientemente requirió que sus ingenieros senior aprobaran personalmente cualquier cambio de código asistido por IA.

Medairy reconoció los riesgos, pero señaló que “el adversario obtiene un voto” y ya ha tomado medidas para explotar los sistemas de inteligencia artificial para la seguridad ofensiva, por lo que los defensores tendrán que reevaluar cómo es la “tolerancia aceptable al riesgo” cuando se trata de defensa a la velocidad de la máquina.

«Creo que nos veremos obligados a salir de nuestra zona de confort y realmente adoptar parte de esta remediación más automatizada mucho más rápido de lo que probablemente nos sentimos cómodos», dijo.

El ransomware sigue siendo un flagelo que muestra algunos signos de ceder, pero los equipos de respuesta a incidentes y los cazadores de amenazas están más ocupados que nunca a medida que más atacantes con motivaciones financieras se apoyan exclusivamente en el robo de datos para extorsionar.

Los ataques que solo implican el robo de datos con fines de extorsión pueden no ser más frecuentes que el ransomware tradicional cuando los atacantes cifran los sistemas, pero el impulso se está moviendo en esa dirección, dijo a CyberScoop Genevieve Stark, jefa de inteligencia sobre delitos cibernéticos de Google Threat Intelligence Group.

«Cuando miras a los actores del mundo clandestino de habla inglesa, casi todos ellos se centran en la extorsión por robo de datos en este momento», añadió Stark. Esto incluye grupos como Scattered Spider, ShinyHunters, Clop y otros grupos que han sido responsables de algunos de los ataques más grandes y de mayor alcance en los últimos años.

El informe de investigación de Google Threat Intelligence Group sobre ransomware, que compartió exclusivamente y discutió con CyberScoop antes de su lanzamiento, subraya cómo la evolución y propagación del cibercrimen puede nublar una comprensión colectiva del ransomware, o ataques que utilizan malware para cifrar o bloquear sistemas.

Los ataques de ransomware también suelen incluir el robo de datos como un punto de presión adicional para la extorsión (que ocurrió en el 77% de las intrusiones de ransomware que Google observó el año pasado, frente al 57% en 2024), pero técnicamente no es ransomware a menos que esté involucrado el cifrado.

«En las intrusiones investigadas por Mandiant, observamos una disminución en la implementación de ransomware tradicional coincidiendo con un aumento en la extorsión por robo de datos», dijeron los investigadores en el informe. «Además, algunos programas de ransomware como servicio ofrecen opciones de extorsión y robo de datos únicamente, además del ransomware, lo que puede reflejar la demanda de su base de clientes».

La compañía se negó a decir a cuántos ataques de ransomware respondió en 2025. «Dudamos en compartir la cantidad de casos en los que trabajamos, en términos cuantitativos, porque es muy difícil para todos ponerse de acuerdo sobre lo que constituye un incidente versus dos», dijo Chris Linklater, líder de práctica de Mandiant. «Como anécdota, nos mantenemos muy ocupados».

Stark reconoció que desafíos importantes impiden que la industria desarrolle una imagen clara y completa de la verdadera escala e impacto del ransomware. La información se limita en gran medida a lo que las empresas individuales de respuesta a incidentes ven en sus propios casos, y la información que se comparte generalmente se proporciona caso por caso, más bien de forma centralizada.

«No estamos haciendo un gran trabajo como industria al analizar el volumen. Creo que dependemos demasiado de cosas como el volumen de los sitios de fuga de datos, que tienen muchos problemas», afirmó.

Es probable que el aumento de la extorsión de datos esté impulsando un aumento de estas publicaciones. Al mismo tiempo, algunos grupos de amenazas hacen afirmaciones no creíbles o reciclan infracciones anteriores y las afirman como obra propia. «Los sitios de fuga de datos como medida son en realidad bastante pobres, y creo que como industria hemos confiado demasiado en eso», dijo Stark.

Sin embargo, los datos siguen siendo útiles para evaluar ciertas tendencias, como cambios en los objetivos o un aumento de presuntos ataques a sectores o regiones específicos, dijeron los investigadores.

Por si sirve de algo, Google dijo que la cantidad de publicaciones en sitios de fuga de datos aumentó un 48% respecto al año anterior a 7.784 publicaciones en 2025. Mientras tanto, la cantidad de sitios únicos de fuga de datos aumentó casi un 35% durante el mismo período a 128 sitios con al menos una publicación.

El informe de Google también se centra en las tácticas y los cambios que observó durante su respuesta a los ataques de ransomware el año pasado, incluidas las formas más comunes en que los atacantes irrumpieron en los sistemas, las familias de ransomware más destacadas y un mayor ataque a la infraestructura de virtualización.

Las vulnerabilidades explotadas fueron el principal vector de acceso inicial en los ataques de ransomware el año pasado, representando un tercio de todos los incidentes, seguidas de diversas formas de compromiso web y credenciales robadas. Los atacantes explotaron con mayor frecuencia vulnerabilidades en redes privadas virtuales y firewalls ampliamente utilizados de Fortinet, SonicWall, Palo Alto Networks y Citrix, dijeron los investigadores.

Zach Riddle, analista principal de inteligencia de amenazas en GTIG, dijo que esto no refleja tanto una tendencia creciente como un ciclo recurrente de diferentes vectores de acceso inicial, que aumentan y disminuyen año tras año por diversas razones.

Google mencionó específicamente 13 vulnerabilidades, muchas de ellas reveladas hace años, y clasificó esos defectos entre las vulnerabilidades más explotadas para ataques de ransomware el año pasado. Tres de esas vulnerabilidades afectan a los productos de Fortinet, seguidas de dos de Microsoft, dos de Veritas y una de SonicWall, Citrix, SAP, Palo Alto Networks, CrushFTP y Zoho.

Las credenciales robadas fueron el punto de acceso inicial en el 21% de las intrusiones de ransomware el año pasado, y los atacantes a menudo usaban esas credenciales para autenticarse en la VPN o el protocolo de escritorio remoto de la víctima, dijo Google en el informe.

Los atacantes también enfrentan más desafíos al implementar ransomware una vez que ingresan a las redes de las víctimas. «De hecho, estamos viendo una disminución en la implementación exitosa de ransomware», dijo Bavi Sadayappan, analista senior de inteligencia de amenazas de GTIG. Google observó una disminución año tras año del 54% en 2024 al 36% el año pasado.

Otro cambio histórico que se refleja en la actividad de ransomware en 2025 implica una mayor focalización en la infraestructura de virtualización, como los hipervisores VMware ESXi. Los atacantes se dirigieron a estos entornos en el 43% de las intrusiones de ransomware el año pasado, frente al 29% en 2024.

«Permite que el atacante ataque una gran cantidad de sistemas con un esfuerzo muy pequeño», dijo Linklater, y agregó que «hace que la investigación sea significativamente más difícil de lograr, porque se pierde mucha más evidencia forense cuando se ataca a esos hipervisores».

Las familias de ransomware más destacadas en 2025 incluyeron Agenda, Redbike, Clop, Playcrypt, Safepay, Inc, RansomHub y Fireflame, según Google. Las marcas de ransomware más activas el año pasado incluyeron Qilin, Akira, Clop, Play, Safepay, Inc, Lynx, RansomHub, DragonForce y Sinobi.

Un ciberataque que afirmó un grupo de hackers iraní se llevó a cabo contra el fabricante de dispositivos médicos Stryker podría marcar la primera acción cibernética significativa de Teherán desde el inicio del conflicto conjunto entre Estados Unidos e Israel.

Pero incluso eso puede haber sido un feliz accidente para los piratas informáticos iraníes en lo que ha sido un bajo nivel de actividad durante ese período de tiempo, con los atacantes obteniendo ganancias por casualidad y no a propósito.

Las empresas de ciberseguridad, los rastreadores de inteligencia de amenazas y los propietarios de infraestructuras críticas han estado luchando para separar el ruido sobre los ataques proclamados desde Irán y las advertencias y amenazas relacionadas con el conflicto, de lo que realmente está sucediendo y representa un peligro significativo.

“Todo el mundo está luchando en este momento”, dijo Alex Orleans, analista de amenazas de Irán desde hace mucho tiempo y jefe de inteligencia de amenazas de Sublime Security. Otros dijeron que la naturaleza incipiente del conflicto dificulta las evaluaciones.

«Lo que vemos es bastante difícil de cuantificar o caracterizar sobre si ha habido un aumento o una disminución», dijo Saher Naumaan, investigador senior de amenazas en Proofpoint. «Creo que como solo llevamos un par de semanas en el conflicto y la cadencia regular de los actores iraníes no es muy consistente, necesariamente no tenemos suficientes datos ni suficiente tiempo para juzgar realmente».

Signos de actividad

En los primeros días del conflicto, hubo indicios de que ataques fisicos sobre Irán podría haber obstaculizado los esfuerzos de represalia iraníes u otras actividades cibernéticas, ya que aquellos que llevarían a cabo ataques cibernéticos probablemente estaban «escondidos en búnkeres», dijo Orleans, y como Irán sufrió cortes de internet.

Sin embargo, en los últimos días, el ataque Stryker y otros indicadores sugieren que la actividad cibernética iraní podría estar calentándose.

«Durante varios días después del estallido del conflicto, se notó una disminución en la actividad de amenazas cibernéticas provenientes de Irán», dijo un grupo de centros de análisis e intercambio de información de la industria. advirtió el miércoles. «Sin embargo, hay señales de vida en las operaciones cibernéticas ofensivas iraníes».

El ataque de Stryker destaca tanto por el tamaño como por la ubicación del objetivo, un fabricante de dispositivos médicos con sede en Michigan con más de 25 mil millones de dólares en ingresos en 2025.

Pero tanto Orleans como Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research, dijeron que el ataque tiene las características de ser oportunista en lugar de uno deliberado y enfocado. El grupo que se atribuye el mérito del ataque, Handala, un equipo vinculado al Ministerio de Inteligencia, es más conocido por aprovechar las debilidades que encuentra en lugar de hacerlo. persiguiendo obstinadamente objetivos particulares.

En particular, Stryker también es la clase de vehículo militar utilizado por las fuerzas estadounidenses. Esa conexión militar, incluso si se confunde con el fabricante de dispositivos médicos, posiblemente podría explicar por qué la empresa era un objetivo.

Aún así, “fue un ataque de mucho mayor perfil de lo que esperábamos de Handala”, dijo Shykevich. «Desafortunadamente, se puede definir como un éxito relativamente grande para ellos».

Ha habido informes de otras actividades cibernéticas que podrían estar relacionadas con el conflicto. Albania dijo el sistema de correo electrónico de su parlamento había sido atacado, y los piratas informáticos iraníes se habían atribuido el mérito. Estaba el orientación de cámaras de infraestructura vinculada a Irán en países a los que Irán luego lanzó misiles. Polonia dijo que era mirando hacia si Irán estuvo detrás de un intento de ciberataque a una instalación de investigación nuclear.

Algunas de las afirmaciones no coinciden con la realidad. «Hay muchos grupos hacktivistas que son muy activos en Telegram, pero en realidad no tienen ningún éxito significativo», dijo Shykevich.

También hay otros acontecimientos relacionados con la cibernética en el conflicto, como el espionajela proliferación de desinformación impulsada por la inteligencia artificial y la posibilidad de que Rusia o China ayudando en el ciberespacio en nombre de Irán, incluso si algunos expertos dudan de la probabilidad de que esto último ocurra.

Aún no está claro qué tan efectivo ha sido todo esto. Stryker, por ejemplo, dijo el ataque afectó principalmente a sus redes internas, aunque había señales También podría estar afectando las comunicaciones en los hospitales.

Pero el daño podría no venir al caso. Orleans dijo que los ataques podrían ser de naturaleza psicológica, destinados a producir miedo en el extranjero y afirmar la posición de los piratas informáticos ante los líderes nacionales en Irán durante el conflicto.

Incluso la desfiguración de bajo nivel o los ataques distribuidos de denegación de servicio pueden influir.

“Llegar al trabajo y encontrar una bandera iraní en su estación de trabajo sería un poco desconcertante, porque le hacen saber que 'puedo extender la mano y tocarlo'”, dijo Sarah Cleveland, directora senior de estrategia federal en ExtraHop y ex oficial cibernética de la Fuerza Aérea de EE. UU.

Posibles impactos posteriores

Si bien se la conoce principalmente como una empresa de suministros médicos, Stryker ha recibido contratos importantes con el ejército para equipos hospitalarios y suministros quirúrgicos, por ejemplo. No está claro si los piratas informáticos pretendían utilizar la conexión militar de Stryker para explotar los sistemas gubernamentales.

El Pentágono tiene advertido durante mucho tiempo de ciberataques cada vez mayores y complejos contra la base industrial de defensa, una vasta red de empresas -con niveles dispares de ciberseguridad- de las que depende el ejército para obtener desde armamento avanzado hasta camillas básicas. El DIB es a menudo visto por los adversarios como puerta trasera a los sistemas militares.

Si bien no abordó directamente el hackeo de Stryker, el principal asesor cibernético del Ejército, Brandon Pugh, describió algunos de los desafíos que enfrenta el DIB y la parte del servicio al tratar de protegerlo durante un seminario web el jueves en respuesta a una pregunta sobre el tema.

Dijo que los adversarios, «con razón o sin ella», ven a las empresas «como una extensión del ejército» y creen que un ataque a la industria privada tendría un impacto secundario en las fuerzas armadas.

«Algunas son empresas multinacionales muy grandes y sofisticadas», dijo, señalando que las necesidades de seguridad en todo el DIB no son universales. «Otras son empresas muy pequeñas que tienen suerte de tener un director de TI, y mucho menos un equipo cibernético sofisticado, y creo que ahí es donde es realmente importante apoyarse».

Pugh dijo que agencias de todo el gobierno federal han estado trabajando con el DIB para aumentar su resistencia a los ataques, y que el esfuerzo cibernético del Ejército enfatiza afianzar la ciberseguridad desde el comienzo del proceso de adquisición.

«Lo cibernético no puede ser una ocurrencia tardía, no digo que lo sea», añadió Pugh. “Yo diría que el Ejército hace un gran trabajo aquí, pero asegurándose de que nunca se olvide y siempre se lo considere de esa manera”.

Matt Tait, director ejecutivo y presidente de MANTECH, dijo en respuesta a una pregunta sobre el ataque Stryker y las protecciones DIB que defenderse contra tales incidentes incluye aprovechar los acuerdos y el acceso gubernamentales, como con la NSA, y compartir información rápidamente después de un ataque.

«Para mí, se trata de compartir información en tiempo real», dijo. “Cuando te atacan, necesitas compartir información en tiempo real para poder compartir esa información con el resto de la industria, así como con el gobierno, porque ellos pueden compartir esa información entre” entidades federales de ciberseguridad.

«Si quieres realizar un trabajo tecnológico centrado en una misión, este es el mundo en el que tienes que vivir y deberías compartir esta información en tiempo real», añadió. «24 horas después, 48 ​​horas después, llamo a esa ambulancia que me persigue. Eso es demasiado posterior al hecho desde una perspectiva cibernética».

Autoridades de múltiples países. Calcetines desmanteladosEscortuna red de proxy residencial que los ciberdelincuentes utilizaron para cometer fraude a gran escala, reclamando acceso a alrededor de 369.000 direcciones IP desde 2020, dijo el jueves el Departamento de Justicia.

Europol, que ayudó en la investigación junto con varias agencias policiales, Black Lotus Labs de Lumen y la Fundación Shadowserver, dijo que el servicio proxy malicioso enrutadores y dispositivos IoT comprometidos en 163 países. Los funcionarios dijeron que la plataforma de pago de la red proxy recibió alrededor de 5,8 millones de dólares de sus clientes.

La acción coordinada globalmente, denominada Operación Relámpago, derribó y confiscó 34 dominios y 23 servidores en siete países. Los funcionarios estadounidenses congelaron un total de 3,5 millones de dólares en criptomonedas supuestamente vinculadas a la botnet que se creó a partir de dispositivos infectados.

«El ciberdelito se nutre del anonimato», dijo en un comunicado Catherine De Bolle, directora ejecutiva de Europol. «Los servicios proxy como SocksEscort brindan a los delincuentes la cobertura digital que necesitan para lanzar ataques, distribuir contenido ilegal y evadir la detección».

Según los funcionarios, los operadores de SocksEscort ensamblaron la botnet explotando una vulnerabilidad en módems residenciales de un proveedor no identificado.

La operación de delito cibernético defraudó a estadounidenses y empresas estadounidenses por millones de dólares, dijo el Departamento de Justicia. Más de una cuarta parte de los 8.000 enrutadores infectados que SocksEscort anunció en febrero tenían su sede en Estados Unidos.

SocksEscort comenzó a operar en 2009 y su infraestructura de comando y control pasó desapercibida para la mayoría de las herramientas durante mucho tiempo, dijo a CyberScoop Ryan English, ingeniero de seguridad de la información en Black Lotus Labs.

La infraestructura de la botnet, impulsada por el malware AVRecon, fue difícil de alcanzar y mantuvo un volumen constantemente alto, cobrando un promedio de 20.000 víctimas semanales desde principios de 2024. Su impacto alcanzó su punto máximo en enero de 2025, cuando atrapó a más de 15.000 víctimas diariamente, según Investigación de Black Lotus Labs.

La compañía dijo que observó 280.000 IP únicas como víctimas de la red proxy desde principios de 2025, y más de la mitad de las víctimas de SocksEscort se encontraban en los Estados Unidos y el Reino Unido.

«Dado el gran volumen de generación de víctimas, no me sorprendería si eventualmente encontraran algo realmente importante que los hiciera ascender en la lista de redes a perseguir», dijo a CyberScoop Chris Formosa, ingeniero senior de seguridad de la información en Black Lotus Labs.

«Estaban comercializando exclusivamente para ciberdelincuentes y en ningún otro lugar», añadió. «Con una red como esta, una vez que las fuerzas del orden obtienen acceso legal a la infraestructura backend, pueden brindarles mucha inteligencia sobre otros actores de amenazas además de los operadores de botnets».

Varias agencias de Austria, Bulgaria, Eurojust, Francia, Alemania, Hungría, Países Bajos y Rumanía ayudaron en la investigación y el desmantelamiento.

Hace dos años, se reveló que piratas informáticos chinos habían comprometido al menos diez empresas de telecomunicaciones estadounidenses, dándoles amplio acceso a datos telefónicos que afectaban a casi todos los estadounidenses. Desde entonces, los funcionarios públicos encargados de responder a la campaña y reforzar las ciberdefensas del país han informado de un problema común.

Muchos de sus electores luchan por entender por qué los ataques –llevados a cabo por un grupo llamado Salt Typhoon– deberían figurar entre sus principales preocupaciones, o cómo impactan en su vida cotidiana.

A algunos funcionarios estatales y federales les preocupa que esta falta de interés esté privando a los formuladores de políticas de la presión pública necesaria para generar impulso para tomar medidas más contundentes para mejorar la ciberseguridad de las telecomunicaciones del país.

Mike Geraghty, CISO y director de la Célula de Comunicaciones y Ciberseguridad de Nueva Jersey, dijo que Nueva Jersey es el estado más densamente poblado del país, con una alta concentración de infraestructura crítica y una importante huella de telecomunicaciones. Por esa razón, una campaña como Salt Typhoon debería, en teoría, ser de gran interés para los residentes de Garden State.

«Sin embargo, si hablas con una persona en la calle en Nueva Jersey, te dirá a quién le importa que los chinos estén mirando, ya sabes, ¿a qué números llamo?». dijo el miércoles en la Cumbre de Ciberseguridad Local y Estatal de Billington. «Tiene un papel importante que desempeñar en mi trabajo, pero tratar de que la gente entienda lo que eso significa para Nueva Jersey es realmente difícil».

El Congreso no ha aprobado una legislación integral sobre privacidad en décadas. Mientras tanto, los ataques cibernéticos que exponen datos confidenciales están muy extendidos y las empresas estadounidenses recopilan y venden rutinariamente información personal de los clientes. Algunos funcionarios especulan que, en conjunto, estas tendencias han dejado a los estadounidenses insensibles al robo de datos y al uso de datos con fines de lucro, por lo que las filtraciones adicionales se sienten como una gota más en el océano.

Mischa Beckett, subdirectora de seguridad de la información y directora de inteligencia sobre amenazas cibernéticas de GDIT, dijo que el enfoque de Salt Typhoon en los datos de telecomunicaciones puede parecer una amenaza abstracta para muchos estadounidenses. Por el contrario, otras campañas de piratería chinas, como Volt Typhoon, sugieren daños potenciales a las plantas de agua y a las redes eléctricas que son más fáciles de detectar.

«Quizás sea un poco más fácil descartar una pérdida de datos… y seguir adelante, como desafortunado pero no gran cosa», dijo Beckett. «Creo que ese argumento es mucho más difícil de defender cuando hablamos de posicionamiento previo e infraestructura crítica, cosas que afectan nuestras vidas todos los días».

El año pasado, un exfuncionario de inteligencia de la Oficina del Director de Inteligencia Nacional dijo a CyberScoop que la falta de indignación del público tras los ataques del Salt Typhoon estaba frenando el impulso para una regulación o reformas más amplias de la ciberseguridad de las telecomunicaciones.

“No podemos aceptar este nivel de espionaje en nuestras redes”, dijo Laura Galante, quien dirigió el Centro de Integración de Inteligencia de Amenazas Cibernéticas bajo la administración Biden. “Si tuvieras 50 chinos [Ministry of State Security] espías o contratistas sentados dentro de una importante [telecom company’s] edificio, serían expulsados ​​y sería un esfuerzo a gran escala. Eso es a grandes rasgos lo que ha sucedido, pero el acceso fue digital”.

Un hombre de 41 años del sur de Florida está acusado de realizar al menos 10 ataques de ransomware y extorsionar por un total combinado de 75,25 millones de dólares en pagos de rescate mientras trabajaba como negociador de ransomware para DigitalMint.

Cinco de las presuntas víctimas de Angelo John Martino III contrataron a DigitalMint, que asignó a Martino para llevar a cabo negociaciones sobre ransomware en nombre de sus clientes, colocándolo en una posición para jugar en ambos lados, como el criminal responsable del ataque y el negociador principal de sus presuntas víctimas, según registros judiciales federales revelados el miércoles.

Martino supuestamente obtuvo una cuenta de afiliado en ALPHV, también conocida como BlackCat, y conspiró con otros exprofesionales de ciberseguridad para irrumpir en las redes de las víctimas, robar y cifrar datos y extorsionar a las empresas para pedir rescates durante un período de seis meses en 2023.

Martino fue un cómplice anónimo en una acusación presentada en noviembre de 2025 contra Kevin Tyler Martin, otro exnegociador de ransomware en DigitalMint, y Ryan Clifford Goldberg, exgerente de respuesta a incidentes en Sygnia. Goldberg y Martin se declararon culpables en diciembre de participar en una serie de ataques de ransomware y su sentencia está programada para el 30 de abril.

Los fiscales acusan a Martino de proporcionar información confidencial sobre negociaciones de ransomware a los co-conspiradores de ALPHV para maximizar el pago del rescate. Su abogado no respondió de inmediato a una solicitud de comentarios.

Las cinco víctimas con sede en EE. UU. que contrataron a DigitalMint y, sin saberlo, recurrieron a Martino para supuestamente llevar a cabo negociaciones de ransomware con él y sus co-conspiradores incluyen una organización sin fines de lucro y empresas de las industrias hotelera, de servicios financieros, minorista y médica. Las cinco víctimas pagaron un rescate.

Goldberg y Martin no fueron nombrados específicamente como co-conspiradores en esos ataques. Los fiscales dijeron anteriormente que solo extorsionaron con éxito un pago financiero de una de sus víctimas por casi 1,3 millones de dólares.

Firma de ciberseguridad que contrató a Martino responde

DigitalMint dijo que suspendieron el acceso de Martino a los sistemas cuando el Departamento de Justicia notificó a la compañía que lo estaban investigando el 3 de abril y lo despidió al día siguiente. La compañía, que no está acusada de ningún conocimiento o participación en los delitos, agregó que no tenía conocimiento de que Martino y Martin ya estuvieran involucrados en esquemas relacionados con ransomware antes de ser contratados.

«Condenamos enérgicamente el comportamiento criminal de estos ex empleados, que violaron nuestros valores, estándares éticos y la ley», dijo el director ejecutivo de DigitalMint, Jonathan Solomon, en una declaración a CyberScoop.

«DigitalMint ha cooperado plenamente con las autoridades desde el principio y no espera más cargos», añadió Solomon. «Si bien ninguna organización puede eliminar por completo el riesgo interno, nos tomamos incidentes como este extremadamente en serio y hemos reforzado las salvaguardas y los controles internos para reducir aún más la probabilidad de conductas similares».

DigitalMint no respondió directamente a las preguntas sobre si reembolsó a sus clientes que supuestamente fueron víctimas de Martino. «No podemos discutir relaciones específicas con clientes o acuerdos de honorarios debido a obligaciones de confidencialidad», dijo un portavoz en un comunicado. «Seguimos comprometidos con nuestros clientes y hemos abordado cualquier asunto comercial directamente con esas partes».

La compañía también se negó a describir las circunstancias bajo las cuales fue contratada y asignó a Martino para llevar a cabo negociaciones de ransomware sobre los ataques que supuestamente cometió. Sin embargo, en una declaración señaló: “Los documentos de acusación no alegan que Martino haya remitido o llevado a estas víctimas a DigitalMint”.

El caso contra Martino muestra un ejemplo extremo, aunque raro, del punto más oscuro de la negociación de ransomware como práctica. Los peligros de la negociación de ransomware son excesivos y estas negociaciones de canal secundario, que en gran medida no se analizan, pueden salir mal por varias razones.

Las autoridades confiscan alrededor de 12 millones de dólares en activos y fijan una fianza de 500.000 dólares

Martino está acusado de conspiración para interferir con el comercio mediante extorsión y enfrenta hasta 20 años de prisión. Está previsto que se declare culpable el 19 de marzo.

Las autoridades confiscaron casi 9,2 millones de dólares en cinco tipos de criptomonedas de 21 carteras controladas por Martino. Otros artículos incautados a Martino incluyen un Nissan Skyline de 1999, un Polaris RZR de 2024, un remolque de 2023 y una embarcación de 29 pies fabricada en 2023.

Los funcionarios también confiscaron dos propiedades propiedad de Martino en Nokomis, Florida, incluida una casa frente a la bahía con un valor estimado de 1,68 millones de dólares y una segunda casa unifamiliar con un valor estimado de 396.000 dólares. La casa frente a la bahía fue reportada como la Segunda transacción inmobiliaria más grande de la semana. cuando Martino y su esposa compraron la casa por $1,791 millones en febrero de 2024.

Martino se entregó a los alguaciles estadounidenses en Miami el martes y fue liberado con una fianza de 500.000 dólares. Tiene restringido viajar fuera del Distrito Sur de Florida y tiene prohibido trabajar en la industria de la ciberseguridad.

ALPHV/BlackCat era un notorio grupo de ransomware y extorsión vinculado a una serie de ataques a proveedores de infraestructura crítica. La variante de ransomware apareció por primera vez a finales de 2021 y luego se utilizó en decenas de ataques a organizaciones del sector de la salud.

El grupo detrás de la cepa de ransomware también se atribuyó la responsabilidad del ataque de febrero de 2024 a la filial de UnitedHealth Group, Change Healthcare, que pagó un rescate de 22 millones de dólares y se convirtió en la mayor filtración de datos de atención médica registrada, comprometiendo los datos de alrededor de 190 millones de personas.

Dos de las presuntas víctimas de Martino pagaron rescates aún mayores en 2023, según los fiscales, incluido un pago de casi 26,8 millones de dólares de la organización sin fines de lucro no identificada y un pago de casi 25,7 millones de dólares de la empresa de servicios financieros no identificada.

Puede leer los cargos formales que los fiscales presentaron contra Martino a continuación.

Los cazadores de amenazas y un grupo de víctimas no confirmadas están respondiendo a una serie de ataques dirigidos a clientes de Salesforce, que el proveedor reveló en un aviso de seguridad Sábado.

«Salesforce está monitoreando activamente la actividad de amenazas dirigida a sitios públicos de Experience Cloud, incluidos los intentos de aprovechar configuraciones de usuarios invitados demasiado permisivas», dijo la compañía en la alerta.

La campaña marca el tercer ataque generalizado dirigido a clientes de Salesforce en aproximadamente seis meses.

El número de víctimas atrapadas por los últimos ataques no está verificado, pero ShinyHunters, el grupo de amenazas que se atribuye la responsabilidad de los ataques, afirma que unas 100 empresas ya se han visto afectadas.

Los investigadores dijeron a CyberScoop que confían en que el grupo de amenazas detrás de la campaña está asociado con ShinyHunters, un equipo que anteriormente robó datos de instancias de Salesforce para intentos de extorsión.

Salesforce no atribuyó los ataques, pero culpó a un «grupo conocido de actores de amenazas», y agregó que el problema es no debido a una vulnerabilidad en la plataforma de la empresa.

La compañía dijo que la actividad de amenazas refleja una tendencia más amplia de ataques basados ​​en identidad, en este caso configuraciones de usuario invitado configuradas por el cliente que exponen los sitios de Experience Cloud de acceso público a posibles ataques.

«Somos conscientes de un actor de amenazas que intenta identificar configuraciones erróneas dentro de las instancias de Salesforce Experience Cloud», dijo en un comunicado Charles Carmakal, director de tecnología de Mandiant Consulting. «Estamos trabajando estrechamente con Salesforce y nuestros clientes para proporcionar las reglas de detección y telemetría necesarias para mitigar el riesgo potencial».

Salesforce dijo que el actor de amenazas está utilizando una versión modificada de la herramienta de código abierto desarrollada por Mandiant. AuraInspector para buscar sitios públicos de Experience Cloud y robar datos de instancias con un perfil de usuario invitado.

Esta configuración está diseñada para proporcionar a los usuarios no autenticados acceso a datos destinados al consumo público. Sin embargo, los perfiles de invitados con permisos excesivos permiten a los atacantes ver datos adicionales consultando directamente los objetos de Salesforce CRM sin iniciar sesión, explicó la compañía.

Salesforce no dijo cuándo ni cómo se enteró de la última campaña dirigida a sus clientes, ni cuántas empresas ya se han visto afectadas. «No tenemos nada más que agregar en este momento», dijo Nicole Aranda, gerente senior de comunicaciones corporativas de Salesforce.

La empresa recomendó a los clientes que se aseguren de que las configuraciones de los usuarios invitados estén restringidas adecuadamente.

«Cualquier sistema expuesto a Internet debe configurarse con la expectativa de que será escaneado continuamente», dijo en un correo electrónico Shane Barney, director de seguridad de la información de Keeper Security.

“En esencia, se trata de una cuestión de gobernanza del acceso”, añadió. «Las cuentas de invitado, las cuentas de servicio y las integraciones de API deben tratarse con la misma disciplina que los usuarios privilegiados. Aplicar privilegios mínimos, restringir el acceso a la API y auditar continuamente los permisos son controles de seguridad fundamentales».

Los clientes de Salesforce se enfrentaron a un par de ataques que involucraron a proveedores externos el año pasado. Google Threat Intelligence Group dijo en ese momento que tenía conocimiento de más de 200 instancias de Salesforce potencialmente afectadas vinculadas a actividad maliciosa en aplicaciones Gainsight conectadas a entornos de clientes de Salesforce en noviembre.

Una ola de ataques posteriores más extensa descubierta en agosto afectó a más de 700 empresas que integraron el agente de chat de IA Salesloft Drift en sus entornos de Salesforce. ShinyHunters o grupos de amenazas afiliados al grupo de extorsión también participaron en ambas campañas.

Washington ha redescubierto las consecuencias. Simplemente no de manera consistente.

El 6 de marzo orden ejecutiva se basa en una idea simple y correcta: el fraude cibernético persiste porque es rentable, escalable y con demasiada frecuencia tolerado. Entonces la respuesta del gobierno es aumentar el costo. Más coordinación. Más perturbaciones. Más procesamientos. Más presión diplomática sobre los estados que acogen estas operaciones.

Bien.

Pero hace semanas, un memorando de la OMB anuló memorandos federales anteriores sobre la cadena de suministro de software emitidos durante la administración Biden. En la práctica, eso se alejó del modelo anterior centrado en la certificación e hizo que herramientas como el Formulario de certificación de desarrollo de software seguro y las solicitudes SBOM fueran opciones opcionales en lugar de expectativas duraderas.

Dicho claramente, nos estamos volviendo más duros con las personas que explotan los sistemas digitales y al mismo tiempo nos estamos volviendo más suaves con las condiciones que hacen que esos sistemas sean tan fáciles de explotar.

La orden ejecutiva acierta en algo importante. El fraude cibernético no es una colección de molestias aleatorias en línea. Es una forma industrializada de depredación: ransomware, phishing, suplantación de identidad, sextorsión y fraude financiero que se ejecuta como modelos de negocios repetibles, a menudo transnacionales y a veces protegidos por estados permisivos. La orden responde con una postura federal más centralizada basada en la disrupción, la coordinación, el intercambio de inteligencia, el procesamiento, la resiliencia y la presión internacional.

Eso es direccionalmente correcto. Los ecosistemas criminales no retroceden porque publiquemos mejores orientaciones. Se retiran cuando aumenta el costo de hacer negocios.

Pero luego llegamos al software.

La crítica al antiguo régimen federal de garantía no es del todo errónea. El cumplimiento puede convertirse en teatro. Las burocracias son muy buenas para convertir objetivos de seguridad legítimos en rituales de recopilación de formularios y gestión de casillas de verificación. Se justificaba cierto escepticismo. La OMB lo dice explícitamente, argumentando que el modelo anterior se volvió oneroso y priorizaba el cumplimiento sobre la inversión genuina en seguridad.

Aún así, el fracaso del mal cumplimiento no es prueba de que la rendición de cuentas en sí fuera el problema.

Ahí es donde se rompe la lógica. La administración está claramente dispuesta a creer que los actores criminales responden a la disuasión. Está dispuesto a utilizar procesamientos, sanciones, restricciones de visas y presión coordinada en sentido descendente. Pero aguas arriba, donde la tecnología insegura da forma al terreno que explotan esos delincuentes, la teoría cambia repentinamente. Allí se nos dice que confiemos en la discreción. Juicio local. Decisiones flexibles y basadas en riesgos.

A veces eso es sabiduría. A menudo es simplemente una forma más elegante de decir que nadie quiere un requisito estricto.

Por eso también mi posición no ha cambiado. en un publicación que escribí en 2024sostuve que la industria no necesitaba expectativas más suaves ni otra ronda de estímulo cortés. Se necesitaban acciones más concretas y consecuencias lo suficientemente fuertes como para cambiar los incentivos. El problema nunca fue que exigiéramos demasiada responsabilidad. El problema era que el software inseguro seguía siendo demasiado barato para distribuirse.

Ésa es la cuestión más profunda. El cibercrimen a gran escala no prospera sólo porque existan delincuentes. Prospera porque el medio ambiente los recompensa. Los sistemas de identidad débiles, el software frágil, las cadenas de dependencia en expansión, la mala visibilidad y la rendición de cuentas difusa hacen que la depredación sea más barata. Las personas que conllevan riesgos evitables rara vez absorben el costo total del mismo. Todos los demás lo hacen.

Así que estas dos medidas políticas, tomadas en conjunto, revelan algo incómodo. El gobierno parece creer en las consecuencias para los ciberdelincuentes, pero no del todo en las consecuencias para una producción insegura. Quiere disuasión para el estafador, pero discreción para el proveedor.

Una estrategia cibernética coherente lograría ambas cosas. Interrumpiría agresivamente las redes criminales y también crearía una presión significativa para una producción y adquisición seguras desde el diseño. Reconocería que castigar a los atacantes es importante, pero también lo es cambiar el terreno que sigue haciendo que el ataque sea rentable.

La administración tiene razón en una cosa: el cibercrimen no disminuirá hasta que aumenten los costos de la depredación.

La pregunta sin respuesta es por qué esa lógica debería detenerse en el borde del centro de estafa.

Brian Fox es el cofundador y director de tecnología de Sonatype.

La inteligencia artificial puede estar potenciando las amenazas cibernéticas, pero el enfoque defensivo ante esos ataques amplificados por la IA sigue siendo el mismo, dijo el martes un alto funcionario del FBI.

«Hemos visto actores tanto criminales como de estados-nación, que están utilizando absolutamente la IA para su beneficio», dijo Jason Bilnoski, subdirector adjunto de la división cibernética del FBI. «Pero la forma en que se desarrollan los ataques no ha cambiado. Los ciberataques todavía siguen pasos básicos. Simplemente se vuelven a una velocidad increíble ahora».

La mejor manera de lidiar con esos ataques es implementar todas las defensas tradicionales, como las que el FBI ha estado enfatizando como parte de su campaña mediática Operación Winter SHIELD, dijo.

«No se preocupen por la velocidad y la capacidad» de los ataques de IA, dijo Biloski en una conferencia sobre ciberseguridad en Billington. «Si te concentras en lo básico, ayudarás a evitar que ocurra la intrusión real».

Es un mensaje que también compartió en la conferencia el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Nick Andersen. Hay atacantes sofisticados por ahí, dijo, pero la reciente directiva operativa vinculante de la agencia para que las agencias federales se deshagan de los dispositivos periféricos no compatibles era una forma de apuntalar las vulnerabilidades básicas.

«Seguimos viendo que se siguen explotando días distintos de cero en este entorno», dijo. «Lo mínimo que podemos hacer es reforzar esa ventaja y hacer que sea un poco más difícil aprovechar esa ventaja en ese sentido».

Su consejo a los funcionarios estatales y locales fue adoptar un enfoque de “vuelta a lo básico”, como adoptar la autenticación multifactor.

Bilnoski también ofreció más advertencias sobre la amenaza.

«La identidad es el nuevo perímetro. Estás buscando tráfico legítimo en tu red», dijo. «Así que ya no vemos caer el malware. Ya no vemos estos TTP tan ruidosos [tactics, techniques and procedures]. Son credenciales legítimas que se mueven lateralmente por la red, como si fuera un usuario legítimo en la red. Necesitas cazar a los adversarios como si ya estuvieran en tu red, porque ese es el tipo de actividad que estás buscando”.

Microsoft abordó 83 vulnerabilidades que abarcan su amplia cartera de software empresarial y servicios subyacentes en su última actualización de seguridad. El lanzamiento del martes de parches de la compañía no contenía vulnerabilidades de día cero explotadas activamente y seis defectos que describió como más propensos a ser explotados.

El lote de parches del proveedor marca la primera actualización mensual sin un día cero explotado activamente en seis meses.

La «falta de errores bajo ataque activo es un cambio agradable con respecto al mes pasado», cuando Microsoft informó seis vulnerabilidades explotadas activamente, dijo Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro, en un publicación de blog Martes.

Dos vulnerabilidades abordadas este mes: CVE-2026-21262 y CVE-2026-26127 – figuraban como de conocimiento público en el momento de su publicación. “Estos insectos ladran más que muerden”, dijo Satnam Narang, ingeniero de investigación senior de Tenable.

Más de la mitad de los defectos de la actualización de este mes pueden provocar privilegios elevados, y seis de esas vulnerabilidades… CVE-2026-23668, CVE-2026-24289, CVE-2026-24291, CVE-2026-24294, CVE-2026-25187 y CVE-2026-26132 – fueron calificados como más propensos a ser explotados, añadió Narang.

Un defecto de divulgación de información en Microsoft Excel: CVE-2026-26144 — muestra un escenario de ataque que probablemente ocurra con más frecuencia, según Childs. «Un atacante podría usarlo para hacer que el agente Copilot extraiga datos del objetivo», esencialmente convirtiéndolo en una operación sin clic, escribió.

Los investigadores también se centraron en un par de defectos en Microsoft Office con calificaciones CVSS de 8,4: CVE-2026-26110 y CVE-2026-26113 – que los atacantes pueden activar para ejecutar código arbitrario. El plano de vista previa de Microsoft Office puede servir como vector de ataque para ambas vulnerabilidades.

«Las vulnerabilidades de ejecución remota de código en las aplicaciones de Office plantean riesgos importantes para las organizaciones, ya que los documentos se comparten ampliamente por correo electrónico, archivos compartidos y plataformas de colaboración», dijo en un correo electrónico Mike Walters, presidente y cofundador de Action1.

«Si son explotados, los atacantes podrían hacerse con el control de los sistemas de los usuarios, implementar ransomware, robar datos corporativos o moverse lateralmente a través de redes internas», añadió. «Incluso un solo documento malicioso podría comprometer un punto final y dar a los atacantes un punto de apoyo dentro de la organización».

La lista completa de vulnerabilidades abordadas este mes está disponible en Centro de respuesta de seguridad de Microsoft.