Atacantes patrocinados por el Estado ruso comprometieron más de 18.000 enrutadores repartidos en más de 120 países para obtener un acceso más profundo a redes sensibles para una campaña de espionaje a gran escala antes de que fuera neutralizada recientemente, dijeron investigadores y autoridades el martes.

Forest Blizzard, también conocido como APT28 y Fancy Bear, aprovechó vulnerabilidades conocidas para robar credenciales de miles de enrutadores TP-Link globalmente. El grupo de amenazas, que se atribuye a la Unidad Militar 26165 de la Dirección Principal de Inteligencia del Estado Mayor General (GRU) de Rusia, secuestró la configuración del sistema de nombres de dominio y robó credenciales y tokens adicionales a través del tráfico redirigido, dijo el Departamento de Justicia.

El grupo de amenazas estableció una extensa red de espionaje mediante sistemas intrusos de más de 200 organizacionesafectando al menos a 5.000 dispositivos de consumo, dijo Microsoft Threat Intelligence en un informe.

Operación Mascarada, una operación de derribo colaborativa dirigida por el FBI, con la ayuda de fiscales federales, la sección Cibernética de Seguridad Nacional de la División de Seguridad Nacional, Laboratorios del Loto Negro de Lumen y Microsoft Threat Intelligence, implicó una serie de comandos diseñados para restablecer la configuración de DNS y evitar que el grupo de amenazas explote aún más su medio de acceso inicial.

«Los actores del GRU comprometieron enrutadores en Estados Unidos y en todo el mundo, secuestrándolos para realizar espionaje. Dada la escala de esta amenaza, hacer sonar la alarma no fue suficiente», dijo en un comunicado Brett Leatherman, subdirector de la división cibernética del FBI. «El FBI llevó a cabo una operación autorizada por el tribunal para reforzar los enrutadores comprometidos en todo Estados Unidos».

La campaña generalizada de Forest Blizzard involucró ataques de adversario intermedio contra dominios que imitaban servicios legítimos, incluido Microsoft Outlook Web Access. Esto permitió a los atacantes interceptar contraseñas, tokens de OAuth, credenciales de cuentas de Microsoft y otros servicios y contenido alojado en la nube.

Microsoft insiste en que los activos o servicios de propiedad de la empresa no se vieron comprometidos como parte de la campaña.

El grupo de amenazas apuntó a dispositivos de borde de red, incluidos enrutadores TP-Link y MicroTik, de manera oportunista antes de identificar objetivos sensibles de interés de inteligencia para el gobierno ruso, incluidas personas en los sectores militar, gubernamental y de infraestructura crítica.

Las víctimas, según los investigadores, incluyen agencias gubernamentales y organizaciones de los sectores de TI, telecomunicaciones y energía. Lumen identificó a otras víctimas asociadas con el gobierno de Afganistán y otras vinculadas con asuntos exteriores y agencias nacionales de aplicación de la ley en el norte de África, América Central y el sudeste asiático. La plataforma de identidad nacional de un país europeo anónimo también se vio afectada, dijo la compañía.

Lumen no encontró evidencia de ninguna agencia gubernamental estadounidense comprometida como parte de esta campaña, pero advirtió que la actividad representa una grave amenaza a la seguridad nacional.

Si bien el alcance total de los logros de Forest Blizzard sigue bajo investigación, los investigadores confían en que la difusión de información confidencial se ha detenido.

«La campaña ha cesado», dijo a CyberScoop Danny Adamitis, distinguido ingeniero de Black Lotus Labs. «Hemos observado una disminución gradual en las comunicaciones asociadas con esta infraestructura durante las últimas semanas».

Lumen dijo que observó una explotación generalizada de enrutadores y redirección de DNS a partir de agosto, el día después de que el Centro Nacional de Seguridad Cibernética del Reino Unido publicara un informe de análisis de malware sobre una herramienta utilizada para robar credenciales de Microsoft Office. El NCSC del Reino Unido publicó el martes detalles sobre La campaña de secuestro de DNS de APT28incluidos indicadores de compromiso.

El Departamento de Justicia y el FBI, actuando por orden judicial, remediaron los enrutadores comprometidos en los Estados Unidos después de recopilar evidencia sobre la actividad de Forest Blizzard. El FBI dijo que el GRU de Rusia utilizó enrutadores propiedad de estadounidenses en más de 23 estados para robar información confidencial gubernamental, militar y de infraestructura crítica.

Los piratas informáticos del gobierno iraní están lanzando ciberataques disruptivos contra la infraestructura energética y hídrica estadounidense, advirtieron “urgentemente” el martes agencias del gobierno estadounidense.

Los piratas informáticos apuntan a dispositivos y sistemas que controlan procesos industriales y han dañado a víctimas en el último mes tras el inicio de los ataques de Estados Unidos e Israel contra Irán, según el alerta conjunta del FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Protección Ambiental, el Departamento de Energía y el Comando Cibernético.

“Los actores de amenazas persistentes avanzadas (APT) afiliados a Irán están llevando a cabo actividades de explotación dirigidas a dispositivos de tecnología operativa (OT) conectados a Internet, incluidos controladores lógicos programables (PLC) fabricados por Rockwell Automation/Allen-Bradley”, afirma la alerta. «Esta actividad ha provocado interrupciones de PLC en varios sectores de infraestructura crítica de EE. UU. a través de interacciones maliciosas con el archivo del proyecto y la manipulación de datos en la interfaz hombre-máquina (HMI) y en las pantallas de control de supervisión y adquisición de datos (SCADA)».

agencias gubernamentales de EE. UU. he advertido antes sobre piratas informáticos iraníes que persiguen objetivos similares con métodos similares. La primera advertencia de este tipo se produjo después de que un grupo vinculado al gobierno iraní se atribuyera el mérito de atacar una instalación de agua de Pensilvania a finales de 2023.

Sin embargo, desde marzo de este año, las agencias dijeron que han visto surgir nuevas víctimas de un grupo de amenaza persistente avanzado vinculado a Irán.

«Las agencias autoras identificaron (a través de compromisos con organizaciones de víctimas) un grupo APT afiliado a Irán que interrumpió el funcionamiento de los PLC», se lee en la alerta. «Estos PLC se implementaron en múltiples sectores de infraestructura crítica de EE. UU. (incluidos servicios e instalaciones gubernamentales, WWS y sectores de energía) dentro de una amplia variedad de procesos de automatización industrial. Algunas de las víctimas experimentaron interrupciones operativas y pérdidas financieras».

La campaña anterior comprometió al menos 75 dispositivos, según la alerta.

Las últimas interrupciones incluyen «interactuar maliciosamente con archivos de proyectos y manipular datos mostrados en pantallas HMI y SCADA», según la advertencia de las agencias.

Después de que comenzó el conflicto entre Estados Unidos e Israel con Irán, los piratas informáticos conectados a Teherán se cobraron víctimas, incluida la importante empresa de tecnología médica Stryker, gobiernos locales y más.

El FBI advirtió el mes pasado que piratas informáticos iraníes estaban implementando malware en la aplicación Telegram, aunque esa campaña también es anterior al actual conflicto con Irán.

El actor de amenazas vinculado a Rusia conocido como APT28 (también conocido como Forest Blizzard) ha sido vinculado a una nueva campaña que ha comprometido enrutadores inseguros MikroTik y TP-Link y ha modificado su configuración para convertirlos en infraestructura maliciosa bajo su control como parte de una campaña de ciberespionaje desde al menos mayo de 2025.

La campaña de explotación a gran escala ha sido nombre en clave FrostArmada por Black Lotus Labs de Lumen, con Microsoft describiendo como un esfuerzo por explotar dispositivos de Internet vulnerables en hogares y pequeñas oficinas (SOHO) para secuestrar el tráfico DNS y permitir la recopilación pasiva de datos de red.

«Su técnica modificó la configuración de DNS en los enrutadores comprometidos para secuestrar el tráfico de la red local para capturar y exfiltrar las credenciales de autenticación», dijo Black Lotus Labs en un informe compartido con The Hacker News.

«Cuando un usuario solicitó dominios específicos, el actor redirigió el tráfico a un nodo de atacante intermedio (AitM), donde esas credenciales fueron recolectadas y exfiltradas. Este enfoque permitió un ataque casi invisible que no requirió interacción por parte del usuario final».

La infraestructura asociada con la campaña ha sido interrumpida y desconectada como parte de una operación conjunta en colaboración con el Departamento de Justicia de EE. UU., la Oficina Federal de Investigaciones y otros socios internacionales.

Se estima que la actividad comenzó en mayo de 2025 con una capacidad limitada, seguida de una explotación generalizada de enrutadores y una redirección de DNS a partir de principios de agosto. En su punto máximo en diciembre de 2025, se encontraron más de 18.000 direcciones IP únicas de no menos de 120 países comunicándose con la infraestructura APT28.

Estos esfuerzos se centraron principalmente en agencias gubernamentales, como ministerios de relaciones exteriores, fuerzas del orden y proveedores externos de servicios de nube y correo electrónico en países del norte de África, Centroamérica, el sudeste asiático y Europa.

El equipo de Microsoft Threat Intelligence, en su análisis de la campaña, atribuyó la actividad a APT28 y su subgrupo rastreado como Storm-2754. El gigante tecnológico dijo que identificó más de 200 organizaciones y 5.000 dispositivos de consumo afectados por la infraestructura DNS maliciosa del actor de amenazas.

«Para los actores de los estados-nación como Forest Blizzard, el secuestro de DNS permite una visibilidad y un reconocimiento a escala persistente y pasivo», dijo Redmond. «Al comprometer los dispositivos de borde que están aguas arriba de objetivos más grandes, los actores de amenazas pueden aprovechar activos menos monitoreados o administrados para pivotar hacia entornos empresariales».

La actividad de secuestro de DNS también ha facilitado los ataques AitM que hicieron posible facilitar el robo de contraseñas, tokens OAuth y otras credenciales para servicios web y relacionados con el correo electrónico, poniendo a las organizaciones en riesgo de sufrir un compromiso más amplio.

El desarrollo marca la primera vez que se observa que el colectivo adversario utiliza el secuestro de DNS a escala para admitir conexiones AiTM de Transport Layer Security (TLS) después de explotar dispositivos de borde, agregó Microsoft.

En un nivel alto, la cadena de ataque implica que APT28 obtenga acceso administrativo remoto a dispositivos SOHO y cambie las configuraciones de red predeterminadas para usar solucionadores de DNS bajo su control. La reconfiguración maliciosa hace que los dispositivos envíen sus solicitudes de DNS a servidores controlados por actores.

Esto, a su vez, hace que el servidor DNS malicioso resuelva las búsquedas de DNS para aplicaciones de correo electrónico o páginas de inicio de sesión. Luego, el actor de amenazas intenta realizar ataques AitM contra esas conexiones para robar las credenciales de las cuentas de los usuarios engañando a las víctimas para que se conecten a una infraestructura maliciosa.

Algunos de estos dominios están asociados con Microsoft Outlook en la web. Microsoft dijo que también identificó actividad de AitM dirigida a servidores no alojados por Microsoft en al menos tres organizaciones gubernamentales en África.

«Se cree que las operaciones de secuestro de DNS son de naturaleza oportunista, ya que el actor obtiene visibilidad de un gran grupo de usuarios objetivo candidatos y luego filtra a los usuarios en cada etapa de la cadena de explotación para clasificar a las víctimas de probable valor de inteligencia», dijo el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) dicho.

Se dice que APT28 aprovechó los enrutadores TP-Link WR841N para sus operaciones de envenenamiento de DNS probablemente aprovechando CVE-2023-50224 (Puntuación CVSS: 6,5), una vulnerabilidad de omisión de autenticación que podría usarse para extraer credenciales almacenadas a través de solicitudes HTTP GET especialmente diseñadas.

Se ha descubierto que un segundo grupo de servidores recibe solicitudes de DNS a través de enrutadores comprometidos y posteriormente las reenvía a servidores remotos propiedad de los actores. También se considera que este grupo ha participado en operaciones interactivas dirigidas a un pequeño número de enrutadores MikroTik ubicados en Ucrania.

«El secuestro de DNS de Forest Blizzard y la actividad AitM permiten al actor realizar recopilación de DNS en organizaciones sensibles en todo el mundo y es consistente con el mandato de larga data del actor de recopilar espionaje contra objetivos de inteligencia prioritarios», dijo Microsoft.

«Aunque sólo hemos observado que Forest Blizzard utiliza su campaña de secuestro de DNS para recopilar información, un atacante podría utilizar una posición AiTM para obtener resultados adicionales, como la implementación de malware o la denegación de servicio».

Las principales empresas de tecnología han unido fuerzas en un esfuerzo por utilizar inteligencia artificial avanzada para identificar y abordar fallas de seguridad en los sistemas de software más críticos del mundo, lo que marca un cambio significativo en la forma en que la industria aborda las amenazas de ciberseguridad.

Anthropic anunció el martes el Proyecto Glasswing, que reúne a Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft y Palo Alto Networks. La iniciativa se centra en Claude Mythos Preview, un modelo de IA inédito que Anthropic pondrá a disposición exclusivamente de los socios del proyecto y aproximadamente 40 organizaciones adicionales responsables de la infraestructura de software crítica.

Según Anthropic, el modelo ya ha identificado miles de vulnerabilidades previamente desconocidas en su fase de prueba inicial, incluidas fallas de seguridad que han existido en sistemas ampliamente utilizados durante décadas. Entre los descubrimientos se encuentra un error de hace 27 años en OpenBSDun sistema operativo conocido principalmente por su enfoque en la seguridad, y una vulnerabilidad de 16 años en FFmpegun programa de software de vídeo ampliamente utilizado que las herramientas de prueba automatizadas no pudieron detectar a pesar de ejecutar la línea de código afectada cinco millones de veces. La empresa se ha puesto en contacto con los encargados del mantenimiento del software correspondiente y se han solucionado todas las vulnerabilidades encontradas.

Anthropic comprometerá hasta 100 millones de dólares en créditos de uso para el proyecto, junto con 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto. La compañía ha declarado que no planea poner Mythos Preview a disposición del público en general, citando preocupaciones sobre el posible mal uso del modelo.

La iniciativa refleja la creciente preocupación dentro del sector tecnológico sobre la naturaleza de doble uso de los sistemas avanzados de IA. Si bien Mythos Preview no fue capacitado específicamente para fines de ciberseguridad, sus capacidades de codificación y razonamiento han demostrado ser efectivas para identificar fallas de seguridad sutiles que han eludido a los analistas humanos y las herramientas automatizadas convencionales.

«Aunque los riesgos de los ciberataques potenciados por la IA son graves, hay motivos para el optimismo: las mismas capacidades que hacen que los modelos de IA sean peligrosos en las manos equivocadas los hacen invaluables para encontrar y corregir fallas en software importante y para producir software nuevo con muchos menos errores de seguridad», dijo la compañía. en una publicación de blog. «El Proyecto Glasswing es un paso importante para brindar a los defensores una ventaja duradera en la próxima era de ciberseguridad impulsada por la IA».

El proyecto surge cuando la industria ha predicho que capacidades similares de IA pronto se generalizarán. Los ejecutivos de Anthropic han indicado que sin una acción coordinada, dichas herramientas podrían eventualmente llegar a actores que podrían implementarlas con fines maliciosos en lugar de trabajos de seguridad defensiva.

Las organizaciones participantes deberán compartir sus hallazgos con la industria en general. El proyecto pone especial énfasis en el software de código abierto, que forma la base de la mayoría de los sistemas modernos, incluida la infraestructura crítica, pero cuyos mantenedores históricamente han carecido de acceso a recursos de seguridad sofisticados.

«El software de código abierto constituye la gran mayoría del código en los sistemas modernos, incluidos los mismos sistemas que los agentes de IA utilizan para escribir nuevo software. Al brindar a los mantenedores de estas bases de código abierto críticas acceso a una nueva generación de modelos de IA que pueden identificar y corregir de manera proactiva vulnerabilidades a escala, el Proyecto Glasswing ofrece un camino creíble para cambiar esa ecuación», dijo Jim Zemlin, director ejecutivo de la Fundación Linux. «Así es como la seguridad aumentada por IA puede convertirse en un compañero confiable para todos los encargados del mantenimiento, no solo para aquellos que pueden permitirse costosos equipos de seguridad».

Además, Anthropic dice que ha entablado conversaciones en curso con funcionarios del gobierno de EE. UU. sobre las capacidades de Mythos Preview. La compañía ha enmarcado el proyecto en términos de seguridad nacional, argumentando que mantener el liderazgo en tecnología de inteligencia artificial representa una prioridad estratégica para Estados Unidos y sus aliados. Antrópico ha sido atrapado en una disputa de alto riesgo con el Departamento de Defensa sobre el uso por parte del ejército estadounidense del modelo Claude AI de la startup en operaciones del mundo real.

El éxito del proyecto dependerá en parte de si el enfoque colaborativo puede seguir el ritmo de los rápidos avances en las capacidades de IA. Anthropic ha indicado que es probable que los sistemas fronterizos de inteligencia artificial avancen sustancialmente en unos meses, creando potencialmente un entorno dinámico donde las capacidades defensivas y ofensivas evolucionan en paralelo.

«El Proyecto Glasswing es un punto de partida», escribió Anthropic en una publicación de blog. «Ninguna organización puede resolver estos problemas de ciberseguridad por sí sola: los desarrolladores de IA de vanguardia, otras empresas de software, los investigadores de seguridad, los mantenedores de código abierto y los gobiernos de todo el mundo tienen roles esenciales que desempeñar. El trabajo de defender la ciberinfraestructura mundial podría llevar años; es probable que las capacidades de IA de vanguardia avancen sustancialmente en los próximos meses. Para que los ciberdefensores salgan adelante, debemos actuar ahora».

Se ha revelado una vulnerabilidad de seguridad de alta gravedad en Docker Engine que podría permitir a un atacante eludir los complementos de autorización (AuthZ) en circunstancias específicas.

La vulnerabilidad, rastreada como CVE-2026-34040 (Puntuación CVSS: 8,8), surge de una solución incompleta para CVE-2024-41110, una vulnerabilidad de gravedad máxima en el mismo componente que salió a la luz en julio de 2024.

«Utilizando una solicitud API especialmente diseñada, un atacante podría hacer que el demonio Docker reenvíe la solicitud a un complemento de autorización sin el cuerpo», mantenedores de Docker Engine. dicho en un aviso publicado a finales del mes pasado. «El complemento de autorización puede permitir una solicitud que de otro modo habría rechazado si se le hubiera enviado el cuerpo».

«Cualquiera que dependa de complementos de autorización que introspeccionen el cuerpo de la solicitud para tomar decisiones de control de acceso se verá potencialmente afectado».

A múltiples vulnerabilidades de seguridad, incluidas Asim Viladi Oglu Manizada, Cody, Oleh Konko y Vladimir Tokarev, se les atribuye el mérito de descubrir e informar el error de forma independiente. El problema se solucionó en la versión 29.3.1 de Docker Engine.

Según un informe publicado por el investigador Tokarev de Cyera Research Labs, la vulnerabilidad se debe al hecho de que la solución para CVE-2024-41110 no manejó adecuadamente los cuerpos de solicitud HTTP de gran tamaño, abriendo así la puerta a un escenario en el que se puede utilizar una única solicitud HTTP rellenada para crear un contenedor privilegiado con acceso al sistema de archivos host.

En un escenario de ataque hipotético, un atacante que tiene el acceso a la API de Docker restringido por un complemento AuthZ puede socavar el mecanismo al rellenar una solicitud de creación de contenedor a más de 1 MB, lo que provoca que se elimine antes de llegar al complemento.

«El complemento permite la solicitud porque no ve nada que bloquear», Tokarev dicho en un informe compartido con The Hacker News. «El demonio Docker procesa la solicitud completa y crea un contenedor privilegiado con acceso raíz al host: sus credenciales de AWS, claves SSH, configuraciones de Kubernetes y todo lo demás en la máquina. Esto funciona con todos los complementos de AuthZ en el ecosistema».

Es más, un agente codificador de inteligencia artificial (IA) como OpenClaw ejecutándose dentro de una zona de pruebas basada en Docker se puede engañar para que ejecute una inyección rápida oculta dentro de un repositorio GitHub específicamente diseñado como parte de un flujo de trabajo normal del desarrollador, lo que resulta en la ejecución de código malicioso que explota CVE-2026-34040 para eludir la autorización utilizando el enfoque anterior y crear un contenedor privilegiado y montar el sistema de archivos host.

Con este nivel de acceso, el atacante puede extraer credenciales para servicios en la nube y abusar de ellas para tomar el control de cuentas en la nube, clústeres de Kubernetes e incluso SSH en servidores de producción.

No termina ahí. Cyera también advirtió que los agentes de IA pueden descubrir el bypass por su cuenta y activarlo mediante la construcción de una solicitud HTTP rellenada al encontrar errores al intentar acceder a archivos como kubeconfig como parte de una tarea de depuración legítima emitida por un desarrollador (por ejemplo, depurar el problema de falta de memoria del K8). Este enfoque elimina la necesidad de instalar un repositorio envenenado que contenga instrucciones maliciosas.

«El complemento AuthZ negó la solicitud de montaje», explicó Cyera. «El agente tiene acceso a la API de Docker y sabe cómo funciona HTTP. CVE-2026-34040 no requiere ningún código de explotación, privilegios o herramientas especiales. Es una única solicitud HTTP con relleno adicional. Cualquier agente que pueda leer la documentación de la API de Docker puede construirla».

Como solución temporal, se recomienda evitar el uso de complementos de AuthZ que dependen de la inspección del cuerpo de solicitud para tomar decisiones de seguridad, limitar el acceso a la API de Docker a partes confiables siguiendo el principio de privilegio mínimo o ejecutar Docker en modo desarraigado.

«En el modo sin raíz, incluso la ‘raíz’ de un contenedor privilegiado se asigna a un UID de host sin privilegios», dijo Tokarev. «El radio de explosión cae de ‘compromiso total del host’ a ‘usuario comprometido sin privilegios’. Para entornos que no pueden desraizarse por completo, –userns-remap proporciona un mapeo de UID similar».

Cuando se habla de seguridad de credenciales, la atención suele centrarse en la prevención de infracciones. Esto tiene sentido cuando Informe de IBM sobre el costo de una vulneración de datos en 2025 sitúa el coste medio de una infracción en 4,4 millones de dólares. Evitar incluso un incidente importante es suficiente para justificar la mayoría de las inversiones en seguridad, pero esa cifra principal oscurece los problemas más persistentes causados ​​por incidentes recurrentes de credenciales.

Los bloqueos de cuentas y las credenciales comprometidas no son noticia. Se manifiestan como tickets repetidos del servicio de asistencia técnica, flujos de trabajo interrumpidos y pérdida de tiempo para trabajos de mayor valor. Individualmente, cada incidente parece menor, pero colectivamente ponen una constante carga para los equipos de TI y el negocio en general.

El costo real no reside sólo en la brecha que usted podría evitar, sino también en la interrupción diaria que ya enfrenta.

Los incidentes repetidos equivalen a costos repetidos

Si una organización sufre ataques basados ​​en credenciales o ataques repetidos a sus cuentas, la respuesta obvia es endurecer las políticas de contraseñas. Sin embargo, muchas organizaciones luchan por equilibrar la seguridad con la usabilidad. Y cuando algo no funciona, el servicio de asistencia técnica recibe la llamada.

Estimaciones de Forrester ese restablecimiento de contraseña representa hasta el 30% de todos los tickets del servicio de asistencia técnica, y cada uno cuesta alrededor de $70 si se tiene en cuenta el tiempo del personal y la pérdida de productividad. Para una organización mediana, se trata de un costo operativo significativo y continuo vinculado directamente a los incidentes de credenciales.

Interrupciones como estas se acumulan y significan que los equipos de TI pasan la mayor parte de su tiempo apagando incendios, mientras que los usuarios finales pierden impulso. La organización absorbe el costo de maneras que son fáciles de pasar por alto, pero difíciles de eliminar.

Cómo las malas políticas de contraseñas contribuyen a los incidentes de credenciales

Cuando los usuarios reciben mensajes de error vagos como «no cumple con los requisitos de complejidad», se quedan con dudas. ¿Qué regla rompieron? ¿Qué está faltando? Después de algunos intentos fallidos, la mayoría de los usuarios dejan de intentar comprender la política y comienzan a buscar la forma más rápida de superarla.

La gente recurre a reutilizar contraseñas antiguas con pequeños ajustes o a almacenar credenciales de forma insegura sólo para evitar volver a realizar el proceso. Nada de esto es malicioso, pero aumenta la probabilidad de que se repitan incidentes relacionados con credencialesdesde bloqueos hasta compromiso de cuentas.

Sin ningún tipo de control de contraseñas violadas, las organizaciones dependen de restablecimientos basados ​​en el tiempo para gestionar el riesgo. Pero una contraseña no deja de ser insegura porque sea antigua. Se vuelve inseguro cuando está expuesto.

Incluso con períodos de vencimiento cortos, los usuarios pueden continuar iniciando sesión con credenciales que ya han quedado expuestas en violaciones. Esas cuentas son vulnerabilidades que esperan ser explotadas, pero sin visibilidad sobre ellas, en realidad lo estás dejando al azar.

Al mismo tiempo, los equipos de TI todavía están lidiando con el impacto operativo de los reinicios innecesarios sin abordar el riesgo subyacente. Sin la capacidad de detectar credenciales expuestas, las organizaciones deben gestionar los síntomas en lugar de la causa raíz, y el ciclo de incidentes continúa.

Es aquí donde herramientas como Política de contraseñas de Specops ayuda. Su función Protección de contraseña infringida analiza continuamente sus cuentas de usuario con una base de datos de más de 5,8 mil millones de contraseñas comprometidas. Si aparece una contraseña en nuestra base de datos, alertas personalizables solicitan a los usuarios que la restablezcan, acortando la ventana de oportunidad para que los atacantes abusen de esas credenciales.

Política de contraseñas de Specops

Restablecimientos periódicos obligatorios de problemas de contraseña compuestos

Durante muchos años, el restablecimiento forzoso de contraseñas se consideró una medida de seguridad básica. En la práctica, tienden a crear más problemas de los que resuelven.

Cuando se exige a los usuarios que cambien sus contraseñas cada 60 o 90 días, el comportamiento se vuelve previsible. Las personas realizan pequeños cambios incrementales en las contraseñas existentes o eligen algo fácil de recordar bajo presión de tiempo. El resultado no son credenciales más sólidas, sino más vulnerables.

Más allá de crear contraseñas más débiles, estos intervalos de vencimiento fijos introducen interrupciones regulares en la jornada laboral. Cada reinicio es un bloqueo potencial, que se suma a la creciente pila de tickets del servicio de asistencia técnica que agotan sus recursos sin mejorar realmente su postura de seguridad.

Esta es la razón por la que la orientación de organismos como NIST se ha alejado de los cambios periódicos obligatorios y se ha centrado únicamente en restablecer las contraseñas cuando hay evidencia de una infracción. Si bien eliminar por completo el restablecimiento de contraseñas requiere una consideración cuidadosa, las pautas actualizadas deberían incitar a repensar las fechas de vencimiento arbitrarias.

Las políticas de contraseñas sólidas establecen la base para la seguridad de la identidad

Es fácil tratar las contraseñas como un problema heredado y algo que se debe minimizar a medida que se avanza hacia autenticación sin contraseña. Sin embargo, las contraseñas aún sustentan la seguridad de la identidad. Si esa base es débil, el impacto se nota en todas partes.

Las contraseñas comprometidas o simplistas introducen riesgos en la capa de identidad, donde los atacantes pueden obtener acceso legítimo y moverse lateralmente sin generar alarmas inmediatas.

Al imponer requisitos sólidos y fáciles de usar e identificar tempranamente las credenciales expuestas, se reduce la cantidad de puntos de entrada débiles en su entorno. Esto se vuelve especialmente importante a medida que las organizaciones evolucionan en sus estrategias de autenticación.

Specops Breached Password Protection bloquea continuamente más de 5 mil millones de contraseñas violadas

La opción sin contraseña todavía depende de credenciales subyacentes sólidas. Sin una base sólida, se corre el riesgo de trasladar las debilidades existentes a nuevos sistemas.

Menos cuentas comprometidas significan menos incidentes, menos tiempo dedicado a la reparación y menos interrupciones en las operaciones diarias.

Evite el costo de los repetidos incidentes de credenciales

Los controles estrictos de contraseñas ayudarán a reducir el riesgo. Pero la verdadera recompensa operativa radica en reducir el tiempo y los recursos dedicados a resolver un flujo constante de incidentes en toda la organización.

Cuando se tienen en cuenta menos bloqueos, menos solicitudes de reinicio y menos tiempo dedicado a lidiar con credenciales comprometidas, verá el impacto en una reducción de las interrupciones diarias tanto para los equipos de TI como para los usuarios finales.

Si los incidentes recurrentes con credenciales se están volviendo muy comunes en su entorno, vale la pena echarles un vistazo más de cerca.

¿Quiere ver cómo Specops puede ayudarle a fortalecer la seguridad de su identidad? Reserva una demostración para ver nuestras soluciones en acción.

Una nueva investigación académica ha identificado múltiples ataques RowHammer contra unidades de procesamiento de gráficos (GPU) de alto rendimiento que podrían explotarse para aumentar los privilegios y, en algunos casos, incluso tomar el control total de un host.

Los esfuerzos han recibido el nombre en clave. Incumplimiento de GPU, GDDRMartilloy GeForge.

GPUBreach va un paso más allá que GPUHammer, demostrando por primera vez que los cambios de bits de RowHammer en la memoria de la GPU pueden inducir mucho más que corrupción de datos y permitir una escalada de privilegios y llevar a un compromiso total del sistema.

«Al corromper las tablas de páginas de la GPU a través de cambios de bits GDDR6, un proceso sin privilegios puede obtener lectura/escritura arbitraria de la memoria de la GPU y luego encadenarla en una escalada completa de privilegios de la CPU, generando un shell raíz, explotando errores de seguridad de la memoria en el controlador NVIDIA», Gururaj Saileshwar, uno de los autores del estudio y profesor asistente en la Universidad de Toronto, dicho en una publicación en LinkedIn.

Lo que hace notable a GPUBreach es que funciona incluso sin tener que desactivar la unidad de administración de memoria de entrada-salida (IOMMU), un componente de hardware crucial que garantiza la seguridad de la memoria al prevenir ataques de acceso directo a la memoria (DMA) y aislando cada periférico en su propio espacio de memoria.

«GPUBreach muestra que no es suficiente: al corromper el estado confiable del controlador dentro de los buffers permitidos por IOMMU, activamos escrituras fuera de límites a nivel del kernel, evitando por completo las protecciones de IOMMU sin necesidad de desactivarlo», agregó Saileshwar. «Esto tiene serias implicaciones para la infraestructura de IA en la nube, las implementaciones de GPU multiinquilino y los entornos HPC».

RowHammer es un error de confiabilidad de la memoria dinámica de acceso aleatorio (DRAM) de larga data donde los accesos repetidos (es decir, martilleo) a una fila de memoria pueden causar interferencia eléctrica que invierte bits (cambiando de 0 a 1 m o viceversa) en filas adyacentes. Esto socava las garantías de aislamiento fundamentales para los sistemas operativos y sandboxes modernos.

Los fabricantes de DRAM han implementado mitigaciones a nivel de hardware, como el Código de corrección de errores (ECC) y la Actualización de fila de destino (TRR), para contrarrestar esta línea de ataque.

Sin embargo, una investigación publicada en julio de 2025 por investigadores de la Universidad de Toronto amplió la amenaza a las GPU. GPUHammer, como se llama, es el primer ataque práctico RowHammer dirigido a GPU NVIDIA que utilizan memoria GDDR6. Emplea técnicas como el martilleo paralelo de subprocesos múltiples para superar los desafíos arquitectónicos inherentes a las GPU que anteriormente las hacían inmunes a los cambios de bits.

La consecuencia de un exploit exitoso de GPUHammer es una caída en la precisión del modelo de aprendizaje automático (ML), que puede degradarse hasta en un 80% cuando se ejecuta en una GPU.

GPUBreach extiende este enfoque para corromper las tablas de páginas de la GPU con RowHammer y lograr una escalada de privilegios, lo que resulta en lectura/escritura arbitraria en la memoria de la GPU. Más importante aún, se ha descubierto que el ataque filtró claves criptográficas secretas de NVIDIA CUPQCorganizar ataques de degradación de la precisión del modelo y obtener una escalada de privilegios de CPU con IOMMU habilitado.

«La GPU comprometida emite DMA (utilizando los bits de apertura en los PTE) en una región de la memoria de la CPU que permite el IOMMU (los propios buffers del controlador de la GPU)», dijeron los investigadores. «Al corromper este estado confiable del controlador, el ataque desencadena errores de seguridad de la memoria en el controlador del kernel de NVIDIA y obtiene una primitiva de escritura del kernel arbitraria, que luego se usa para generar un shell raíz».

Esta divulgación de GPUBreach coincide con otros dos trabajos simultáneos, GDDRHammer y GeForge, que también giran en torno a la corrupción de la tabla de páginas de la GPU a través de GDDR6 RowHammer y facilitan la escalada de privilegios del lado de la GPU. Al igual que GPUBreach, ambas técnicas se pueden utilizar para obtener acceso arbitrario de lectura/escritura a la memoria de la CPU.

Lo que GPUBreach se distingue es que también permite una escalada completa de privilegios de CPU, lo que lo convierte en un ataque más potente. GeForge, en particular, requiere que IOMMU esté deshabilitado para que funcione, mientras que GDDRHammer modifica el campo de apertura de la entrada de la tabla de páginas de la GPU para permitir que los usuarios sin privilegios CUDA kernel para leer y escribir toda la memoria de la CPU del host.

«Una diferencia principal es que GDDRHammer explota la tabla de páginas de último nivel (PT) y GeForge explota el directorio de páginas de último nivel (PD0)», dijeron los equipos detrás de los dos exploits de memoria de GPU. «Sin embargo, ambos trabajos pueden lograr el mismo objetivo de secuestrar la traducción de la tabla de páginas de la GPU para obtener acceso de lectura/escritura a la GPU y a la memoria del host».

Una mitigación temporal para hacer frente a estos ataques es habilitar ECC en la GPU. Dicho esto, cabe señalar que se ha descubierto que los ataques RowHammer como ECCploit y ECC.fail superan esta contramedida.

«Sin embargo, si los patrones de ataque inducen cambios de más de dos bits (que se muestran factibles en sistemas DDR4 y DDR5), el ECC existente no puede corregirlos e incluso puede causar una corrupción silenciosa de los datos; por lo que ECC no es una mitigación infalible contra GPUBreach», dijeron los investigadores. «En las GPU de escritorio o portátiles, donde ECC no está disponible actualmente, no conocemos mitigaciones».

Un actor de amenazas con sede en China conocido por implementar el ransomware Medusa ha sido vinculado al uso como arma de una combinación de vulnerabilidades de día cero y día N para orquestar ataques de «alta velocidad» e irrumpir en sistemas susceptibles conectados a Internet.

«El alto ritmo operativo del actor de amenazas y su habilidad para identificar activos perimetrales expuestos han demostrado ser exitosos, con intrusiones recientes que han impactado fuertemente a las organizaciones de atención médica, así como a aquellas en los sectores de educación, servicios profesionales y finanzas en Australia, el Reino Unido y los Estados Unidos», dijo el equipo de Microsoft Threat Intelligence. dicho.

Ataques montados por Tormenta-1175 También han aprovechado exploits de día cero, en algunos casos, antes de que se revelaran públicamente, así como vulnerabilidades reveladas recientemente para obtener acceso inicial. Algunos incidentes han involucrado al actor de amenazas encadenando múltiples exploits (por ejemplo, OWASSRF) para una actividad posterior al compromiso.

Una vez que logra afianzarse, el actor cibercriminal con motivación financiera actúa rápidamente para exfiltrar datos e implementar el ransomware Medusa en un lapso de unos pocos días o, en incidentes selectos, dentro de 24 horas.

Para ayudar en estos esfuerzos, el grupo crea persistencia creando nuevas cuentas de usuario, implementando web shells o software legítimo de administración y monitoreo remoto (RMM) para el movimiento lateral, realizando robo de credenciales e interfiriendo con el funcionamiento normal de las soluciones de seguridad, antes de eliminar el ransomware.

Desde 2023, Storm-1175 se ha relacionado con la explotación de más de 16 vulnerabilidades:

Se dice que tanto CVE-2025-10035 como CVE-2026-23760 fueron explotados como días cero antes de ser divulgados públicamente. A finales de 2024, el equipo de hackers ha demostrado habilidad para atacar sistemas Linux, incluida la explotación de instancias vulnerables de Oracle WebLogic en varias organizaciones. Sin embargo, aún se desconoce la vulnerabilidad exacta que se utilizó como arma en estos ataques.

«Storm-1175 rota los exploits rápidamente durante el tiempo entre la divulgación y la disponibilidad o adopción del parche, aprovechando el período en el que muchas organizaciones permanecen desprotegidas», dijo Microsoft.

Algunas de las tacticas notables observadas en estos ataques son las siguientes:

• Uso de binarios que viven fuera de la tierra (LOLBins), incluidos PowerShell y PsExec, junto con Impacket para movimiento lateral.
• Confiar en PDQ Deployer tanto para el movimiento lateral como para la entrega de carga útil, incluido el ransomware Medusa, en toda la red.
• Modificar las políticas de Firewall de Windows para habilitar el Protocolo de escritorio remoto (RDP) y enviar cargas útiles maliciosas a otros dispositivos.
• Realización de volcado de credenciales mediante Impacket y Mimikatz.
• Configurar las exclusiones de Microsoft Defender Antivirus para evitar que bloquee las cargas útiles de ransomware.
• Aprovechando Bandizip y Rclone para la recopilación y exfiltración de datos, respectivamente.

La implicación más importante aquí es que las herramientas RMM como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect o SimpleHelp se están convirtiendo en infraestructuras de doble uso para operaciones encubiertas, ya que permiten a los actores de amenazas combinar tráfico malicioso en plataformas cifradas y confiables y reducir la probabilidad de detección.

Fortinet lanzó una actualización de software de emergencia durante el fin de semana para abordar una vulnerabilidad explotada activamente en FortiClient EMS, una herramienta de administración de terminales para dispositivos de clientes.

La vulnerabilidad de día cero CVE-2026-35616 – tiene una calificación CVSS de 9,8 y se agregó a la Agencia de Seguridad de Infraestructura y Ciberseguridad catálogo de vulnerabilidades explotadas conocidas Lunes.

Fortinet dijo un sábado aviso de seguridad que ha visto la vulnerabilidad siendo explotada activamente en la naturaleza. La compañía emitió una revisión y planea lanzar una actualización de software más completa más adelante, aunque esa actualización aún no está disponible.

El proveedor de seguridad no dijo cuándo ocurrió el primer exploit conocido ni cuántas instancias ya se han visto afectadas.

Se observó por primera vez a atacantes desconocidos intentando explotar la vulnerabilidad el 31 de marzo, dijo a CyberScoop Benjamin Harris, fundador y director ejecutivo de watchTowr.

«Los intentos de explotación y las investigaciones fueron inicialmente limitados, lo que refleja el deseo típico de los atacantes de intentar evitar el uso de un día cero desde el descubrimiento y la observación», añadió. «A partir del 6 de abril, dada la atención y Fortinet emitiendo una revisión, la explotación ha aumentado, lo que indica un creciente interés de los atacantes y probablemente un objetivo más amplio».

Escaneos de Shadowserver encontrados casi 2.000 casos expuestos públicamente de FortiClient EMS el domingo. No está claro cuántas de esas instancias ejecutan versiones vulnerables del software.

El día cero recientemente descubierto comparte similitudes con CVE-2026-21643otro defecto no autenticado de FortiClient EMS que Fortinet revelado 6 de febrero. El vendedor y autoridades cibernéticas La semana pasada advirtió que CVE-2026-21643 había sido explotado en estado salvaje.

Los investigadores aún tienen que encontrar un vínculo significativo entre las vulnerabilidades o atribuir los ataques a actores de amenazas conocidos, pero ambos defectos fueron explotados activamente en un corto período de tiempo y ambos permiten a los atacantes ejecutar código de forma remota.

«Las soluciones de Fortinet son objetivos populares para los actores de amenazas en general, por lo que la explotación no es necesariamente sorprendente», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck.

CISA ha añadido 10 defectos de Fortinet a su catálogo de vulnerabilidades explotadas conocidas desde principios de 2025.

Si bien no existe un parche completo para CVE-2026-35616, Harris le dio crédito a Fortinet por lanzar una revisión durante un fin de semana festivo, y agregó que refleja la urgencia con la que la compañía está tratando el asunto.

«El momento en el que se intensifica la explotación salvaje de este día cero probablemente no sea una coincidencia», afirmó. «Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad están a la mitad de sus efectivos, los ingenieros de guardia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Semana Santa, como cualquier otro día festivo, representa una oportunidad».

Un portavoz de Fortinet dijo que los esfuerzos de respuesta y remediación están en curso y que la compañía se está comunicando directamente con los clientes para asesorarlos sobre las acciones necesarias.

«El mejor momento para aplicar la revisión fue ayer», dijo Harris. «El segundo mejor momento es ahora».

Su superficie de ataque ya no reside en un sistema operativo, ni tampoco las campañas dirigidas a él. En entornos empresariales, los atacantes se mueven a través de terminales Windows, MacBooks ejecutivas, infraestructura Linux y dispositivos móviles, aprovechando el hecho de que muchos flujos de trabajo SOC todavía están fragmentados por plataforma.

Para los líderes de seguridad, esto crea una costosa brecha operativa: validación más lenta, visibilidad limitada en las primeras etapas, más escalaciones y más tiempo para que los atacantes roben credenciales, establezcan persistencia o profundicen antes de que comience completamente la respuesta.

El problema de los ataques a múltiples sistemas operativos para el que los SOC no están preparados

Un ataque a varios sistemas operativos puede convertir una amenaza en varias investigaciones diferentes a la vez. La campaña puede seguir un camino diferente según el sistema al que llegue, lo que rompe la velocidad y la coherencia de la que dependen los equipos SOC durante la clasificación inicial.

En lugar de pasar por un proceso de validación claro, el equipo termina saltando entre herramientas, reconstruyendo el comportamiento en todos los entornos e intentando ponerse al día mientras el ataque continúa.

Esto conduce rápidamente a problemas familiares dentro del SOC:

• Los retrasos en la validación aumentan la exposición empresarial ralentizando el momento en que el equipo puede confirmar el riesgo y contenerlo.
• La evidencia fragmentada reduce la claridad del incidente cuando se necesitan decisiones rápidas sobre el alcance, la prioridad y el impacto.
• El volumen de escalada crece porque muchos casos no pueden cerrarse con confianza en la etapa más temprana.
• La coherencia de la respuesta se rompe entre equipos y entornos, lo que dificulta la gestión de las investigaciones a escala.
• Los atacantes tienen más tiempo para moverse antes de que la organización tenga una idea clara de lo que está sucediendo.
• La eficiencia del SOC cae a medida que se pierde tiempo en el cambio de herramientas, la duplicación de esfuerzos y una toma de decisiones más lenta.

Cómo los principales SOC convierten la complejidad de múltiples sistemas operativos en una respuesta más rápida

Los equipos que manejan bien esto generalmente hacen una cosa diferente: hacen que la investigación multiplataforma sea más rápida, clara y consistente desde el principio. Con soluciones como Caja de arena ANY.RUNeso resulta mucho más fácil de hacer en todos los sistemas operativos empresariales.

Aquí hay tres pasos prácticos para lograrlo:

Paso 1: hacer que el análisis multiplataforma forme parte de la clasificación temprana

La clasificación temprana se vuelve más lenta en el momento en que los equipos asumen que la misma amenaza se comportará de la misma manera en todas partes. A menudo no es así. Un archivo, script o enlace sospechoso que revele un patrón en Windows puede tomar una ruta diferente en macOS, depender de diferentes componentes nativos y crear un nivel de riesgo diferente. Eso hace que la validación multiplataforma sea esencial desde el principio.

Por ejemplo, macOS suele considerarse el lado más seguro del entorno empresarial, lo que puede convertirlo en un un lugar más fácil para que las amenazas pasen desapercibidas tempranamente. A medida que crece la adopción entre ejecutivos, desarrolladores y otros usuarios de alto valor, los atacantes tienen más motivos para adaptar campañas a ese entorno.

Los expertos de ANY.RUN analizaron una campaña reciente de ClickFix que es un buen ejemplo. Consulte su cadena de ataque completa a continuación:

Vea el reciente ataque dirigido a los usuarios de Claude Code.

Los atacantes aprovecharon una redirección de anuncios de Google para atraer a las víctimas a una página de documentación falsa de Claude Code y luego utilizaron un flujo ClickFix para enviar un comando de Terminal malicioso. Ese comando descargó un script codificado, instaló AMOS Stealer, recopiló datos del navegador, credenciales, contenidos del llavero y archivos confidenciales, y luego implementó una puerta trasera para acceso persistente.

Cuando el análisis multiplataforma comienza temprano, los equipos pueden:

• Reconocer cómo cambia una campaña en todos los sistemas operativos antes de que la investigación se divida
• Validar actividad sospechosa anterior en el entorno que realmente está siendo atacada
• Reducir la posibilidad de pasar por alto el comportamiento específico de la plataforma durante la clasificación temprana

Paso 2: Mantenga las investigaciones multiplataforma en un solo flujo de trabajo

Los ataques a múltiples sistemas operativos se vuelven más difíciles de contener cuando un caso obliga al equipo a realizar varios flujos de trabajo desconectados. Un vínculo sospechoso en un sistema, un script en otro y una ruta de ejecución diferente en otro lugar pueden convertir rápidamente un solo incidente en una investigación desordenada que se extiende a través de múltiples herramientas. Eso ralentiza la validación, hace que la evidencia sea más difícil de seguir y crea más espacio para que la amenaza siga moviéndose.

Las campañas de ClickFix, por ejemplo, muestran por qué esto es importante. Se ha utilizado la misma técnica para apuntar a diferentes sistemas operativos, desde Windows hasta macOS, siguiendo diferentes rutas de ejecución según el entorno.

Si cada versión tiene que analizarse en una herramienta separada, la investigación lleva más tiempo, requiere más esfuerzo y resulta mucho más difícil mantener la coherencia. ConCaja de arena ANY.RUNlos equipos pueden investigar estas amenazas dentro de un único flujo de trabajo en los principales sistemas operativos empresariales, lo que facilita comparar comportamientos, seguir la cadena de ataque y comprender cómo cambia la campaña de un entorno a otro sin cambiar constantemente de contexto.

Cuando las investigaciones permanecen en un flujo de trabajo, los equipos:

• Reducir los gastos operativos que las investigaciones multi-OS crean
• Mantener una vista conectada de la actividad de campaña en lugar de gestionar fragmentos de casos separados
• Apoyar un respuesta más estandarizada proceso a medida que el alcance del ataque se expande por toda la empresa

Paso 3: Convierta la visibilidad multiplataforma en una respuesta más rápida

Ver la actividad en los sistemas operativos solo ayuda si el equipo puede comprender rápidamente lo que importa y actuar en consecuencia. En los ataques a varios sistemas operativos, suele ser ahí donde la respuesta comienza a ralentizarse. Un comportamiento aparece en un entorno, otros artefactos aparecen en otro lugar y el equipo debe intentar reconstruir todo antes de poder tomar una decisión segura.

Lo que ayuda es tener la información correcta presentada de una manera que sea más fácil de procesar bajo presión. Con ANY.RUN Sandbox, los equipos pueden revisar informes generados automáticamente, seguir el comportamiento de los atacantes, examinar los IOC en pestañas dedicadas y utilizar el Asistente de IA integrado para acelerar el análisis y comprender la actividad sospechosa más rápidamente.

Eso hace que sea más fácil pasar de la actividad en bruto a una visión más clara de lo que está haciendo la amenaza, su gravedad y lo que debe suceder a continuación.

Cuando es más fácil trabajar con la visibilidad multiplataforma, los equipos pueden:

• Hacer decisiones más rápidas con evidencia que sea más fácil de revisar y actuar
• Reducir retrasos causado por hallazgos dispersos y reconstrucción manual
• Pasar a la contención con más confianza incluso cuando el ataque se comporta de manera diferente en distintos entornos

Deje de dar espacio para que se muevan los ataques contra múltiples sistemas operativos

Los ataques con múltiples sistemas operativos ganan cuando los defensores pierden tiempo. Cada flujo de trabajo adicional, cada validación retrasada y cada fragmento de contexto faltante le da a la amenaza más espacio para propagarse antes de que el equipo pueda contenerla.

Con La zona de pruebas basada en la nube de ANY.RUNlos equipos pueden reducir ese retraso integrando el análisis multiplataforma en un flujo de trabajo más consistente en los principales sistemas operativos empresariales. Esto brinda a los equipos de SOC un contexto más claro, decisiones más rápidas y ganancias operativas mensurables:

• Eficiencia SOC hasta 3 veces mayor en todos los flujos de trabajo de investigación
• 21 minutos menos MTTR por caso cuando las amenazas se validan más rápido
• El 94% de los usuarios reportan una clasificación más rápida en las operaciones diarias
• Hasta un 20% menos de carga de trabajo de Nivel 1 de un esfuerzo manual reducido
• 30% menos escalaciones del Nivel 1 al Nivel 2 durante el análisis inicial
• Menor exposición a infracciones mediante una detección y respuesta más tempranas
• Menos fatiga de alerta con acceso más rápido a información sobre amenazas

Ampliar la visibilidad multiplataforma para reducir los retrasos en la investigación, limitar la exposición empresarial y darle a su SOC más control sobre las amenazas a múltiples sistemas operativos.