{"id":377,"date":"2026-03-26T16:01:47","date_gmt":"2026-03-26T16:01:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/26\/como-los-piratas-informaticos-y-los-falsificadores-de-arte-perfeccionan-el-arte-del-engano-cyberdefensa-mx\/"},"modified":"2026-03-26T16:01:47","modified_gmt":"2026-03-26T16:01:47","slug":"como-los-piratas-informaticos-y-los-falsificadores-de-arte-perfeccionan-el-arte-del-engano-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/26\/como-los-piratas-informaticos-y-los-falsificadores-de-arte-perfeccionan-el-arte-del-engano-cyberdefensa-mx\/","title":{"rendered":"C\u00f3mo los piratas inform\u00e1ticos y los falsificadores de arte perfeccionan el arte del enga\u00f1o \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Desenmascarar a los impostores es algo que el mundo del arte ha enfrentado durante d\u00e9cadas, y hay lecciones valiosas de las obras de Elmyr de Hory que pueden aplicarse al mundo de la ciberseguridad defensiva. Durante la d\u00e9cada de 1960, De Hory gan\u00f3 fama como falsificador de primer nivel, haciendo pasar obras maestras falsificadas de Picasso, Matisse y Renoir a coleccionistas desprevenidos y museos de renombre. Durante las siguientes d\u00e9cadas, m\u00e1s de mil de sus obras pasaron desapercibidas para los expertos que confiaban en firmas confiables, patrones familiares y procedencia acreditada.<\/p>\n<p>No es diferente a los desaf\u00edos que enfrentan los SOC ahora. Estamos firmemente en la Era de la Imitaci\u00f3n. Los ciberatacantes, equipados con inteligencia artificial, est\u00e1n dominando el arte de imitar lo familiar, haci\u00e9ndose pasar por usuarios confiables y enmascarando su actividad dentro de procesos leg\u00edtimos y tr\u00e1fico de red ordinario. Como muestra la historia, a menudo es m\u00e1s f\u00e1cil identificar a los impostores cuando sabes qu\u00e9 buscar.<\/p>\n<h2 style=\"text-align: left;\"><strong>Conclusiones clave para los defensores:<\/strong><\/h2>\n<ul>\n<li>El mimetismo es la nueva normalidad: <a href=\"https:\/\/go.crowdstrike.com\/2026-global-threat-report.html\" rel=\"noopener\" target=\"_blank\">El 81% de los ataques est\u00e1n libres de malware<\/a><\/li>\n<li>La IA agente ayuda a los atacantes a esconderse de manera m\u00e1s efectiva dentro del tr\u00e1fico y comportamientos inocentes de la red.<\/li>\n<li>La defensa por capas ahora requiere m\u00e1s capas para extender la protecci\u00f3n a trav\u00e9s de las cadenas de suministro de software y las identidades federadas.<\/li>\n<li><a href=\"https:\/\/www.corelight.com\/cp\/elitedefense\" rel=\"noopener\" target=\"_blank\">NDR<\/a> mejora la visibilidad para detectar y neutralizar \u00abfalsificaciones\u00bb<\/li>\n<\/ul>\n<h3 style=\"text-align: left;\"><strong>El auge del mimetismo en los ataques modernos <\/strong><\/h3>\n<p>As\u00ed como De Hory reutiliz\u00f3 lienzos y pigmentos viejos para hacer que sus pinturas parecieran m\u00e1s aut\u00e9nticas, los atacantes emplean m\u00e9todos similares en el \u00e1mbito digital, aprovechando herramientas y credenciales confiables para mezclar su actividad maliciosa. Y si bien las t\u00e9cnicas basadas en la imitaci\u00f3n han sido durante mucho tiempo un elemento b\u00e1sico del manual del atacante, en los \u00faltimos a\u00f1os se han vuelto m\u00e1s sofisticadas. Los ataques Living-off-the-Land (LotL) y las herramientas de ataque mejoradas con IA han elevado el list\u00f3n de la falsificaci\u00f3n. <a href=\"https:\/\/go.crowdstrike.com\/2026-global-threat-report.html\" rel=\"noopener\" target=\"_blank\">Informe de amenazas globales 2026 de CrowdStrike<\/a> afirma que el 81% de los ataques ahora est\u00e1n libres de malware y se basan en herramientas y t\u00e9cnicas leg\u00edtimas, que es el sello distintivo de las t\u00e1cticas de LotL. Detectar estas falsificaciones r\u00e1pidamente no es s\u00f3lo una opci\u00f3n: es una de las mejores posibilidades de interrumpir un ataque antes de que cause un da\u00f1o real.<\/p>\n<h2 style=\"text-align: left;\"><strong>Una gu\u00eda de campo para la falsificaci\u00f3n de redes:<\/strong><\/h2>\n<h3 style=\"text-align: left;\"><strong>Actores agentes asistidos por IA<\/strong><\/h3>\n<p><em>Aut\u00f3nomos o semiaut\u00f3nomos, generan identidades falsas, c\u00f3digos e imitan comportamientos a escala.<\/em><\/p>\n<p>de Hory contaba con una compleja red de apoyo para vender sus pinturas, en la que participaban marchantes de arte y otros representantes de muchos pa\u00edses y ciudades. Cuando algunos compradores potenciales empezaron a sospechar, empez\u00f3 a vender sus obras bajo diversos seud\u00f3nimos. Esto es similar a lo que est\u00e1 sucediendo ahora con el uso de agentes de IA econ\u00f3micos. Estos no s\u00f3lo est\u00e1n acostumbrados a<a href=\"https:\/\/news.usps.com\/2026\/03\/02\/theres-a-new-way-scammers-are-targeting-victims\/\" rel=\"noopener\" target=\"_blank\"> forjar identidades cre\u00edbles<\/a> para realizar fraude, pero ahora se utilizan para producir<a href=\"https:\/\/www.theverge.com\/tech\/879088\/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt\" rel=\"noopener\" target=\"_blank\"> explotar c\u00f3digo para filtrar secretos<\/a> y scripts para infectar puntos finales, formando la base de un ataque a mayor escala. Agentes sofisticados y de autoaprendizaje observan el comportamiento de la red y ajustan continuamente su propio tr\u00e1fico, reflejando sus patrones para enga\u00f1ar las detecciones de anomal\u00edas. Cambian el tr\u00e1fico C2 en r\u00e1fagas que coinciden con picos leg\u00edtimos y manipulan sus se\u00f1ales lo suficiente para evitar destacarse. Y se est\u00e1n utilizando agentes leg\u00edtimos como orquestadores de otras herramientas de explotaci\u00f3n para automatizar y ampliar los ataques.<\/p>\n<h3 style=\"text-align: left;\"><strong>Impostores de la cadena de suministro y la nube<\/strong><\/h3>\n<p><em>Componentes falsificados o comprometidos que se hacen pasar por software, actualizaciones o servicios en la nube confiables.<\/em><\/p>\n<p>Los atacantes utilizan agentes de inteligencia artificial maliciosos para crear una capa de complejidad para las cadenas de suministro de software. Los agentes sustituyen software malicioso y disfrazan este c\u00f3digo como otra actualizaci\u00f3n benigna, lo que hace que los or\u00edgenes del exploit y las causas fundamentales sean m\u00e1s dif\u00edciles de descubrir. Este tipo de exploits significa que los atacantes no necesitan enga\u00f1ar directamente a los defensores de la red o a los desarrolladores de software. esto es lo que<a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/12\/09\/shai-hulud-2-0-guidance-for-detecting-investigating-and-defending-against-the-supply-chain-attack\/\" rel=\"noopener\" target=\"_blank\"> Investigadores de Microsoft encontraron el gusano Shai Hulud v2<\/a>. Los atacantes modificaron cientos de paquetes de software para proporcionar un ecosistema coordinado para recolectar credenciales de desarrollador y secretos de API, luego aumentaron su potencia propag\u00e1ndose a trav\u00e9s de recursos compartidos de red internos confiables, todo mientras se hac\u00edan pasar por actualizaciones de software leg\u00edtimas. Si bien los ataques a la cadena de suministro existen desde hace muchos a\u00f1os (piense en SolarWinds), los agentes de inteligencia artificial han hecho que su producci\u00f3n y distribuci\u00f3n sean m\u00e1s r\u00e1pidas.<\/p>\n<p>El enga\u00f1o basado en la nube tambi\u00e9n se ha acelerado. Durante a\u00f1os, los atacantes han utilizado p\u00e1ginas de inicio de sesi\u00f3n falsas y repositorios en la nube falsificados que imitan el dise\u00f1o y la marca de servicios leg\u00edtimos para enga\u00f1ar a los usuarios para que entreguen sus credenciales. Las herramientas impulsadas por IA tienen el potencial de intensificar la creaci\u00f3n de estas falsificaciones convincentes, permitiendo a los atacantes generar sitios fraudulentos m\u00e1s r\u00e1pidamente y a mayor escala.<\/p>\n<h3 style=\"text-align: left;\"><strong>T\u00faneles encubiertos<\/strong><\/h3>\n<p><em>T\u00e9cnicas que ocultan el tr\u00e1fico malicioso dentro de protocolos permitidos o canales cifrados<\/em><\/p>\n<p>de Hory ampli\u00f3 su red utilizando galer\u00edas y otros representantes para enmascarar sus transacciones y vender sus falsificaciones. Los atacantes actuales hacen algo similar: ocultan sus conversaciones de red mediante t\u00faneles IP para ocultar la actividad maliciosa dentro del tr\u00e1fico que parece leg\u00edtimo. Otro mecanismo de encubrimiento utiliza solicitudes y respuestas intencionalmente no coincidentes, como solicitar datos web confidenciales desde un destino previamente desconocido para evadir la detecci\u00f3n. Los atacantes tambi\u00e9n utilizan estos m\u00e9todos para desactivar las protecciones de seguridad y luego permanecen inactivos dentro de una red corporativa durante meses, esperando el momento adecuado para atacar. A estos m\u00e9todos se suman las tiendas de aplicaciones m\u00f3viles, que han estado plagadas durante a\u00f1os de aplicaciones falsas que contienen malware, como este ejemplo m\u00e1s reciente de un<a href=\"https:\/\/annex.security\/blog\/pixel-perfect\/\" rel=\"noopener\" target=\"_blank\"> herramienta de b\u00fasqueda visual que oculta un exploit de ejecuci\u00f3n remota<\/a>.<\/p>\n<h3 style=\"text-align: left;\"><strong>Infraestructura fraudulenta<\/strong><\/h3>\n<p><em>Servidores, dominios o servicios controlados por atacantes dise\u00f1ados para imitar infraestructura leg\u00edtima.<\/em><\/p>\n<p>De Hory evadi\u00f3 la detecci\u00f3n movi\u00e9ndose con frecuencia, de ciudad en ciudad, alrededor del mundo. Los ciberatacantes emplean una estrategia similar: ponen bajo su control servidores, dominios y servicios similares que se hacen pasar por una infraestructura confiable. Reciente<a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/03\/02\/oauth-redirection-abuse-enables-phishing-malware-delivery\/\" rel=\"noopener\" target=\"_blank\"> investigaci\u00f3n de microsoft<\/a> muestra actores de amenazas que atraen a los usuarios con mensajes falsos de reuniones de Teams que condujeron a sitios de recolecci\u00f3n de credenciales disfrazados de p\u00e1ginas de inicio de sesi\u00f3n leg\u00edtimas. Conexiones falsas como esta pueden ser precursoras de una serie de movimientos para tomar el control de los recursos y datos de su red. Luego se pueden emplear servidores falsos para comprometer y extraer datos confidenciales, y luego aprovechar la informaci\u00f3n para lanzar una campa\u00f1a de ransomware.<\/p>\n<h3 style=\"text-align: left;\"><strong>Finalmente, el phishing<\/strong><\/h3>\n<p>Y la falsificaci\u00f3n es el n\u00facleo de cualquier campa\u00f1a de phishing. Las campa\u00f1as actuales utilizan todo tipo de falsificaciones, incluido el uso de direcciones de correo electr\u00f3nico falsas que parecen ser parte de su dominio pero que son parte de<a href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2017\/10\/out-of-character-homograph-attacks-explained\" rel=\"noopener\" target=\"_blank\"> ataques de homoglifos u hom\u00f3grafos<\/a>. Estos ataques pueden falsificar dominios leg\u00edtimos con caracteres sustitutos similares para redirigir conversaciones bajo el control de un pirata inform\u00e1tico o usarse como parte de campa\u00f1as de phishing posteriores. De Hory estar\u00eda encantado, ya que se esforz\u00f3 mucho en copiar las pinceladas, las opciones de color y los estilos de los maestros en sus falsificaciones. <\/p>\n<h2 style=\"text-align: left;\"><strong>C\u00f3mo NDR puede exponer las falsificaciones<\/strong><\/h2>\n<p>Los paralelismos entre las falsificaciones de De Hory y los ciberataques modernos son sorprendentes. Ambos se basan en el mimetismo, el movimiento y la explotaci\u00f3n de sistemas confiables. De Hory finalmente qued\u00f3 expuesto cuando los expertos compararon m\u00faltiples obras y detectaron las huellas estil\u00edsticas que no pod\u00eda ocultar. La detecci\u00f3n y respuesta de red (NDR) puede detectar a los atacantes de la misma manera, al observar patrones de comportamiento y anomal\u00edas que delatan lo que realmente est\u00e1 sucediendo en la red.<\/p>\n<p>Estas son algunas de las formas en que NDR ayuda a exponer actividades maliciosas ocultas a simple vista:<\/p>\n<ul>\n<li><strong>Detecci\u00f3n de anomal\u00edas de comportamiento:<\/strong> Identificar desviaciones de las l\u00edneas de base de red establecidas, como tiempos de inicio de sesi\u00f3n inusuales, transferencias de datos at\u00edpicas o movimientos laterales inesperados que pueden indicar que un impostor est\u00e1 trabajando, incluso cuando las credenciales parecen leg\u00edtimas.<\/li>\n<li><strong>Revelar inconsistencias de protocolo y metadatos:<\/strong> Detectar discrepancias que los atacantes no pueden ocultar f\u00e1cilmente, como combinaciones extra\u00f1as de protocolos, tr\u00e1fico a dominios hom\u00f3grafos o reci\u00e9n registrados, o sesiones cifradas con detalles de certificados sospechosos.<\/li>\n<li><strong>Proporcionar contexto:<\/strong> Enriquecer el tr\u00e1fico sin procesar con metadatos que expliquen el panorama m\u00e1s amplio, como d\u00f3nde se originan las conexiones, c\u00f3mo se comportan a lo largo del tiempo y si se ajustan a patrones normales, para que los analistas puedan separar r\u00e1pidamente las amenazas reales del ruido, como<a href=\"https:\/\/www.youtube.com\/watch?v=jSYkVitRwVA\" rel=\"noopener\" target=\"_blank\"> este ejemplo, que muestra c\u00f3mo un analista de SOC puede probar varias hip\u00f3tesis<\/a> para descubrir un ataque.<\/li>\n<\/ul>\n<p>A medida que los atacantes se vuelven m\u00e1s sofisticados y aprovechan la IA para ampliar su enga\u00f1o, los defensores necesitan herramientas que puedan ver a trav\u00e9s del ruido. NDR, en colaboraci\u00f3n con otros productos de seguridad, brinda a los SOC la visibilidad necesaria para detectar estas amenazas de manera temprana, antes de que causen da\u00f1os reales.<\/p>\n<p><a href=\"https:\/\/corelight.com\/elitedefense?utm_source=feedly&amp;utm_medium=retail-march&amp;utm_campaign=awareness-wave-2\" rel=\"noopener\" target=\"_blank\">Plataforma NDR abierta de Corelight<\/a> permite a los SOC detectar amenazas emergentes, incluidas aquellas que aprovechan las t\u00e9cnicas de IA. Su enfoque de detecci\u00f3n de m\u00faltiples capas incluye detecciones de comportamiento y anomal\u00edas que pueden identificar una variedad de actividades de red \u00fanicas e inusuales. A medida que los adversarios desarrollan nuevos m\u00e9todos de ataque, los equipos de seguridad que implementan NDR pueden fortalecer el juego defensivo de su empresa. Visita <a href=\"https:\/\/corelight.com\/elitedefense?utm_source=feedly&amp;utm_medium=retail-march&amp;utm_campaign=awareness-wave-2\" rel=\"noopener\" target=\"_blank\">corelight.com\/elitedefense<\/a> para aprender m\u00e1s.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en <a href=\"https:\/\/news.google.com\/publications\/CAAqLQgKIidDQklTRndnTWFoTUtFWFJvWldoaFkydGxjbTVsZDNNdVkyOXRLQUFQAQ\" rel=\"noopener\" target=\"_blank\">noticias de google<\/a>, <a href=\"https:\/\/twitter.com\/thehackersnews\" rel=\"noopener\" target=\"_blank\">Gorjeo<\/a> y <a href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" rel=\"noopener\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Desenmascarar a los impostores es algo que el mundo del arte ha enfrentado durante d\u00e9cadas, y hay lecciones valiosas de las obras de Elmyr de Hory que pueden aplicarse al mundo de la ciberseguridad defensiva. Durante la d\u00e9cada de 1960, De Hory gan\u00f3 fama como falsificador de primer nivel, haciendo pasar obras maestras falsificadas de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1310,86,24,70,1312,1309,540,52,1311,539],"class_list":["post-377","post","type-post","status-publish","format-standard","hentry","category-noticias","category-trending","tag-arte","tag-como","tag-cyberdefensa-mx","tag-del","tag-engano","tag-falsificadores","tag-informaticos","tag-los","tag-perfeccionan","tag-piratas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=377"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/377\/revisions"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}