AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El uso ilegítimo de credenciales y herramientas legítimas, el nuevo paradigma de las intrusiones avanzadas**

admin

### Introducción

El panorama de amenazas en ciberseguridad está experimentando un cambio fundamental: las intrusiones modernas ya no dependen mayoritariamente de vulnerabilidades explotadas o malware sofisticado, sino del abuso de credenciales válidas y el uso de herramientas legítimas de administración remota. Un adelanto del próximo informe de amenazas de Blackpoint Cyber revela que técnicas como el abuso de VPN, la manipulación de Remote Monitoring and Management (RMM) y la ingeniería social están detrás de la mayoría de incidentes recientes, obligando a los profesionales de la seguridad a replantear sus estrategias de defensa.

### Contexto del Incidente o Vulnerabilidad

Tradicionalmente, los equipos de ciberseguridad centraban su vigilancia en la detección de exploits y malware. Sin embargo, el informe de Blackpoint Cyber, basado en la monitorización de miles de entornos empresariales durante 2023 y 2024, evidencia que el 82% de las intrusiones analizadas comenzaron con el acceso a cuentas legítimas, muchas de ellas obtenidas mediante campañas de phishing, ataques de ingeniería social o compra de credenciales filtradas en foros clandestinos. Este enfoque «living off the land» (LOTL), donde los atacantes emplean herramientas y accesos ya presentes en los sistemas, permite evadir muchas soluciones tradicionales de detección.

### Detalles Técnicos

La investigación destaca tres vectores predominantes:

**1. Abuso de VPN**:
Los atacantes explotan cuentas válidas para acceder a redes corporativas a través de VPN, saltándose así la mayoría de controles perimetrales. Las VPNs afectadas incluyen OpenVPN (2.5.x, 2.6.x), Fortinet FortiGate (versión 7.0.x y 7.2.x) y Cisco AnyConnect, donde la configuración débil de MFA o la ausencia de controles de acceso granular han facilitado el compromiso.

**2. Herramientas RMM (Remote Monitoring and Management)**:
El uso de aplicaciones como ConnectWise, AnyDesk, TeamViewer o incluso PowerShell y PsExec, permite a los atacantes persistir y moverse lateralmente sin levantar sospechas. Se han detectado casos en los que los atacantes desplegaron scripts PowerShell (táctica T1059 según MITRE ATT&CK) para descargar cargas maliciosas y establecer canales de comando y control (C2) a través de herramientas legítimas.

**3. Ingeniería social y phishing**:
El acceso inicial suele conseguirse mediante campañas dirigidas de spear phishing (T1566), que instalan troyanos de acceso remoto (RAT) o solicitan directamente las credenciales a usuarios desprevenidos. Se ha documentado el empleo de frameworks como Cobalt Strike y Metasploit, tanto para la post-explotación como para la exfiltración de datos.

**Indicadores de compromiso (IoC) y TTPs**:
– Uso anómalo de VPN fuera de horarios habituales.
– Instalación no autorizada de RMM en endpoints.
– Creación de cuentas administrativas fuera de procesos habituales.
– Conexiones C2 a dominios o IPs previamente ligados a campañas de ransomware.

### Impacto y Riesgos

El impacto de estas intrusiones es significativo. Según Blackpoint Cyber, el 67% de los incidentes en los que se utilizó RMM derivaron en el despliegue de ransomware, con pérdidas económicas medias de 175.000 euros por incidente y tiempos de recuperación superiores a 12 días. La explotación de credenciales válidas complica la atribución y ralentiza la detección, incrementando el riesgo de exfiltración de datos personales o sensibles, lo que expone a las organizaciones a sanciones conforme al RGPD y, próximamente, la NIS2.

### Medidas de Mitigación y Recomendaciones

Ante este contexto, las recomendaciones para los equipos de seguridad incluyen:

– **Implementar MFA robusto**: Obligar a la autenticación multifactor para todos los accesos remotos y críticos.
– **Segregar y monitorizar accesos VPN**: Limitar el acceso VPN por perfiles y horarios, e integrar sistemas de detección de anomalías en los logs de VPN.
– **Controlar el uso de RMM**: Inventariar y restringir las herramientas RMM autorizadas, monitorizando la instalación y ejecución de nuevas instancias.
– **Formación continua en ingeniería social**: Actualizar los programas de concienciación para empleados, simulando ataques de phishing y revisando procedimientos de verificación de identidad.
– **Zero Trust y segmentación de red**: Implementar modelos de acceso mínimo y segmentación, reduciendo la superficie de ataque lateral.
– **Auditoría y respuesta temprana**: Habilitar auditoría avanzada de eventos y automatizar respuestas ante patrones anómalos.

### Opinión de Expertos

Eduardo Pérez, CISO de una multinacional española, señala: “La confianza en herramientas y credenciales es el talón de Aquiles de la infraestructura digital actual. La tendencia a utilizar técnicas LOTL requiere una monitorización continua y el abandono de la confianza implícita en usuarios o dispositivos internos”.

Por su parte, la analista de amenazas del CCN-CERT, María González, alerta: “No basta con parchear sistemas; la visibilidad sobre el uso de credenciales y herramientas administrativas es crucial. El reto está en distinguir entre el uso legítimo y el malicioso en tiempo real”.

### Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente sus políticas de acceso remoto y administración, evaluando la exposición de sus VPN y RMM, e invirtiendo en soluciones de análisis de comportamiento y detección de anomalías. Los usuarios, por su parte, deben extremar precauciones ante correos sospechosos y seguir buenas prácticas de higiene de contraseñas, ya que el robo de credenciales es el vector más común.

Las implicaciones legales son notables: un incidente de este tipo puede derivar en notificaciones a la AEPD por fuga de datos personales, penalizaciones bajo el RGPD, y vulnerabilidades en infraestructuras críticas afectadas por la nueva directiva NIS2.

### Conclusiones

La era del exploit como principal puerta de entrada está dando paso a una nueva realidad donde el abuso de credenciales válidas y herramientas de uso cotidiano predomina. La detección y respuesta deben evolucionar hacia modelos basados en contexto y comportamiento, priorizando la monitorización de accesos y la gestión proactiva de identidades. La implantación de Zero Trust, la auditoría continua y la concienciación de empleados son claves para mitigar estos riesgos y adaptarse a las demandas regulatorias emergentes.

(Fuente: www.bleepingcomputer.com)