### Los ciberdelincuentes prefieren ataques masivos y de bajo esfuerzo frente a objetivos de alto valor
#### Introducción
En el actual panorama de amenazas, la percepción popular de que los atacantes se centran principalmente en grandes empresas o individuos de alto perfil está siendo desmentida por los propios datos. Un reciente estudio revela que los ciberdelincuentes priorizan la escalabilidad y la facilidad de ejecución sobre la rentabilidad potencial de los objetivos, optando por enfoques de ataque que permiten obtener beneficios rápidos y con un riesgo reducido de ser detectados.
#### Contexto del Incidente o Vulnerabilidad
La investigación, basada en encuestas a cientos de profesionales de ciberseguridad y análisis de incidentes recientes, confirma una tendencia creciente: los atacantes prefieren explotar vectores de ataque ampliamente disponibles, con barreras técnicas mínimas y una elevada tasa de éxito. Este cambio estratégico responde tanto al endurecimiento de las medidas defensivas en grandes organizaciones como a la proliferación de herramientas automatizadas que facilitan ataques a gran escala.
En vez de dirigirse selectivamente a ejecutivos de alto rango o a infraestructuras críticas —sometidas a estrictos controles de seguridad y monitorización—, los actores maliciosos focalizan sus esfuerzos en targets masivos, como empleados con escasa formación, dispositivos IoT vulnerables o servicios expuestos sin la debida protección.
#### Detalles Técnicos
La explotación de vulnerabilidades conocidas —particularmente aquellas identificadas con un CVE (Common Vulnerabilities and Exposures) de alta prevalencia— sigue siendo la táctica predilecta. Destacan, por ejemplo, CVE-2023-34362 (MOVEit Transfer), CVE-2024-20328 (Cisco ASA), y CVE-2023-23397 (Microsoft Outlook), cuya explotación se ha visto facilitada por la disponibilidad de exploits públicos y módulos para frameworks como Metasploit o Cobalt Strike.
En cuanto a Tácticas, Técnicas y Procedimientos (TTP), los atacantes suelen emplear técnicas mapeadas en MITRE ATT&CK como:
– **Initial Access (T1190, Exploit Public-Facing Application)**
– **Phishing (T1566)**
– **Credential Dumping (T1003)**
– **Lateral Movement (T1021)**
Los Indicadores de Compromiso (IoC) varían, pero predominan las direcciones IP asociadas a botnets, hashes de malware comúnmente usados (Emotet, QakBot) y dominios de phishing genéricos.
El uso de kits de phishing automatizados y Ransomware-as-a-Service (RaaS) permite a actores poco sofisticados lanzar campañas masivas con bajo coste y esfuerzo, generando un elevado retorno de la inversión incluso si el porcentaje de éxito es bajo.
#### Impacto y Riesgos
Este enfoque masivo y automatizado multiplica el número de víctimas potenciales, especialmente entre organizaciones con recursos limitados y usuarios finales sin formación en ciberseguridad. El estudio estima que alrededor del 70% de las brechas reportadas en el último año tuvieron su origen en ataques no dirigidos, sino masivos, con pérdidas económicas medias de entre 50.000 y 250.000 euros por incidente en pymes.
A nivel legal, la falta de protección adecuada puede suponer sanciones severas bajo normativas como el RGPD (Reglamento General de Protección de Datos) y la inminente NIS2, que exige una mayor resiliencia y reporte temprano de incidentes para sectores críticos.
#### Medidas de Mitigación y Recomendaciones
Para reducir la superficie de ataque, los expertos recomiendan:
– Aplicar parches de forma proactiva, priorizando CVEs con exploits conocidos.
– Implementar soluciones de EDR (Endpoint Detection and Response) con capacidad de respuesta automática.
– Desplegar autenticación multifactor (MFA) en todos los accesos remotos y aplicaciones críticas.
– Monitorizar logs de acceso y tráfico de red en busca de patrones anómalos asociados a ataques automatizados.
– Realizar simulacros de phishing y concienciación periódica para empleados.
– Segmentar la red y limitar privilegios según el principio de mínimo privilegio.
#### Opinión de Expertos
Según Marta Sánchez, CISO de una entidad financiera española, “el mito del ‘target de alto valor’ está obsoleto; el verdadero riesgo hoy es la automatización del cibercrimen y la falta de recursos de miles de organizaciones para una defensa efectiva”. En la misma línea, el analista SOC Javier Romero destaca que “los atacantes buscan densidad y facilidad, no necesariamente el mayor botín inmediato”.
#### Implicaciones para Empresas y Usuarios
Las organizaciones deben asumir que la probabilidad de ser atacadas ya no depende de su tamaño o sector, sino de factores como la exposición de servicios, la gestión de parches y la formación interna. Esta democratización del riesgo obliga a replantear estrategias de defensa, priorizando la reducción de “low-hanging fruits” y la detección temprana de actividad anómala.
Para los usuarios, la concienciación sobre la proliferación de campañas de phishing y la importancia de la higiene digital es fundamental, ya que los ataques masivos suelen buscar el eslabón más débil.
#### Conclusiones
El cibercrimen evoluciona hacia modelos de negocio basados en volumen y automatización, donde la facilidad y el bajo riesgo priman sobre la selectividad. Las organizaciones deben adoptar un enfoque proactivo, asegurando una protección básica robusta y adaptando sus políticas a las nuevas exigencias regulatorias y tendencias de ataque.
(Fuente: www.darkreading.com)