Predicciones de amenazas avanzadas para 2025

En el Equipo Global de Investigación y Análisis de Kaspersky monitoreamos más de 900 grupos y operaciones de APT (Amenazas Persistentes Avanzadas). Al final de cada año, hacemos una retrospectiva para evaluar los ataques más complejos y sofisticados que han perfilado el panorama de amenazas. Esto nos permite anticipar las tendencias emergentes y construir una imagen más clara de cómo puede ser el panorama de APT en el próximo año.

En esta parte de la serie de KSB, revisaremos las tendencias del año pasado, reflexionaremos sobre las predicciones que hicimos para 2024 y ofreceremos información sobre lo que podemos esperar para 2025.

Un vistazo a las predicciones del año pasado

El auge de los exploits creativos para dispositivos móviles, vestibles e inteligentes

Nuestro descubrimiento de la Operación Triangulación el año pasado reveló una cadena de ataques única que involucra exploits para dispositivos Apple, incluidos los que operan en iOS y watchOS. Estos exploits aprovechaban múltiples vulnerabilidades en componentes como WebKit y el kernel de XNU, así como el procesador de Apple.

Tal como habíamos previsto, los ataques que involucran exploits para dispositivos Apple continuaron en 2024. Por ejemplo, en enero, Apple informó que CVE-2024-23222, una vulnerabilidad de ejecución remota de código en el motor de navegación de Safari, podría haber sido utilizada en ciberataques. Además, este otoño Apple reveló otros dos exploits probablemente utilizados de forma abierta, CVE-2024-23225 para el kernel XNU y CVE-2024-23296 para RTKit.

En cuanto a los dispositivos Android, siguen siendo objetivos lucrativos para los actores de amenazas sofisticadas. En noviembre, Google informó sobre dos vulnerabilidades que “pueden estar bajo explotación limitada y selectiva”: CVE-2024-43093 y CVE-2024-43047. Curiosamente, esta última vulnerabilidad, al igual que una de las utilizadas en la Operación Triangulación, explota una falla en un procesador de hardware. Como podemos ver, los actores de amenazas específicas están cada vez más interesados en explotar las vulnerabilidades en componentes de hardware de dispositivos móviles.

Veredicto: predicción cumplida✅

Construcción de nuevas botnets con software y dispositivos de consumidor y corporativos

A medida que la comunidad internacional de ciberseguridad realiza notables esfuerzos para neutralizar los servidores de comando y control, los actores de amenazas, incluso los más avanzados, van sumando dificultades para llevar a cabo actividades maliciosas prolongadas desde sus infraestructuras. Para frustrar los esfuerzos de los investigadores, varios actores de amenazas avanzadas han optado por desarrollar sus propias botnets para lanzar sus ciberataques.

Por ejemplo, en enero, el gobierno de EE. UU. neutralizó una botnet compuesta por enrutadores comprometidos del sistema operativo Ubiquiti Edge y operada por el actor de amenazas Sofacy (alias APT28). Los dispositivos se infectaron inicialmente con Moobot, un malware basado en Mirai, que luego se utilizó para implementar scripts adicionales y facilitar ataques dirigidos contra una serie de entidades, recopilar credenciales, redireccionar el tráfico de red, establecer túneles SSH inversos, alojar páginas de destino falsificadas y controlar otros sistemas remotos infectados con una puerta trasera escrita en Python.

Además, en 2024 observamos que múltiples actores de habla china utilizan botnets para lanzar ataques selectivos. Una de esas botnets detectadas en este año fue Quad7, instalada en enrutadores comprometidos por el actor Storm-0940 para realizar ataques de password spraying. Otro ejemplo observado de una botnet similar es KV-Botnet, implementada en firewalls, enrutadores y cámaras IP vulnerables, y utilizada para ocultar las actividades maliciosas de Volt Typhoon, el actor detrás de ella.

Veredicto: predicción cumplida✅

Las barreras para la ejecución de código a nivel de kernel se están evadiendo cada vez más (gracias a que los rootkits de kernel están se han vuelto a poner de moda)

Cada vez que un actor de amenazas logra infiltrarse en una máquina, busca escalar sus privilegios tanto como sea posible. Específicamente, un privilegio que los actores aspiran obtener es el acceso al kernel. Se lo consiguen, pueden deshabilitar o alterar las soluciones de seguridad e instalar implantes de rootkits para llevar a cabo sus actividades maliciosas de forma sigilosa.

En 2024, la técnica BYOVD (Bring Your Own Vulnerable Driver, “trae tu propio controlador vulnerable”) siguió siendo la más utilizada para lograr el acceso al kernel, superando las estadísticas de años anteriores. Por ejemplo, en el segundo trimestre de 2024 informamos que el uso de BYOVD había aumentado en un 23%. Lo más probable es que este aumento se deba a que no existen métodos eficientes incorporados en el sistema operativo para contrarrestar esta técnica. Windows tiene una lista de controladores vulnerables que se actualiza rara vez (apenas una o dos veces al año), lo que hace que sea muy fácil para los actores explotar los controladores vulnerables conocidos.

Y a medida que algunas soluciones de seguridad intentan implementar mecanismos para impedir la explotación de controladores vulnerables, los actores de amenazas intentan adaptarse encontrando vulnerabilidades en los controladores de Windows ya instalados en el dispositivo que puedan utilizarse para realizar escalamientos de espacio en el kernel. Por ejemplo, este año Lazarus explotó CVE-2024-21338, una vulnerabilidad en el controlador AppLocker, fue usada para implementar el rootkit FudModule.

Veredicto: predicción cumplida✅

Crecimiento de ciberataques por actores patrocinados por gobiernos

Año tras año, vemos cada vez más ataques realizados por hábiles actores de amenazas, y 2024 no fue una excepción en este sentido. Por ejemplo, este año informamos sobre un aumento del 25% en las detecciones de ataques APT observados entre enero y junio. A lo largo de todo el año, hemos estado cubriendo el más interesante de estos ataques en nuestro blog.

Cabe resaltar que los actores sofisticados han aumentado no sólo la cantidad, sino también la calidad de sus campañas. Esto es especialmente notable en el caso de la APT Lazarus, en particular sus ataques contra los inversionistas en criptomonedas lanzados en mayo.

Estos ataques fueron orquestados con mucho cuidado: para llevarlos a cabo, Lazarus robó el código fuente de un juego de computadora relacionado con criptomonedas, promovió cuentas de redes sociales relacionadas con este juego y obtuvo acceso a una cadena exclusiva de exploits de día cero que usó para infectar a los objetivos que visitaban el sitio web del juego. Todas estas actividades deben haberle costado a este actor meses de esfuerzo, como lo evidencia el esfuerzo excepcional en su organización.

Veredicto: predicción cumplida✅

Hacktivismo en la ciberguerra: Una nueva normalidad en los conflictos geopolíticos

Como lo habíamos pronosticado, observamos un aumento en los ataques de grupos hacktivistas este año, específicamente aquellos que operan en contextos de los conflictos ruso-ucraniano e israelí-Hamas. En el caso del conflicto ruso-ucraniano, los grupos hacktivistas notables sobre los que informamos fueron Twelve, Head Mare y Crypt Ghouls. En general, observamos que los hacktivistas en el conflicto ruso-ucraniano se vuelven más hábiles y se centran más en atacar a grandes organizaciones, como agencias gubernamentales y empresas manufactureras y energéticas: al cambiar el enfoque en estos objetivos, los grupos hacktivistas hacen que las consecuencias de estos ataques afecten a la gente común.

También notamos el mismo patrón de actividad para los hacktivistas que operan en el área de conflicto entre Israel y Hamas. Por ejemplo, uno de los recientes ataques observados en esta área fue un ataque DDoS dirigido contra el sistema de pago con tarjetas de crédito de Israel. Lo que además resulta interesante sobre los ciberataques relacionados con este conflicto es que su lista de objetivos se ha expandido mucho más allá del área del conflicto. Por ejemplo, este año el grupo hacktivista pro-palestino BlackMeta atacó el sitio web de Internet Archive, que no está relacionado con esta contienda.

Veredicto: predicción cumplida ✅

Ataques a la cadena de suministro como servicio: Operadores que compran acceso al por mayor

Este año, no hemos visto ningún ataque a la cadena de suministro que haya causado grandes daños a sus objetivos. Sin embargo, un ataque a la cadena de suministro destacado este año fue la puerta trasera de XZ Utils que cubrimos en una publicación de tres partes en nuestro blog. Dado que la puerta trasera afectó a múltiples distribuciones populares de Linux, las consecuencias de este ataque habrían sido mucho peores de no haber sido detectado por la comunidad de ciberseguridad; tal vez habríamos observado la venta de accesos a las redes de empresas comprometidas a actores avanzados.

Veredicto: predicción no cumplida ❌

El spear-phishing se expandirá gracias a la accesibilidad de IA generativa

Desde la aparición de la IA generativa, múltiples actores de amenazas, tanto motivados financieramente como patrocinados por gobiernos, han comenzado a utilizar esta tecnología para asegurar el éxito de sus ataques. En particular, este es el caso de los ataques de phishing, ya que las herramientas generativas de IA ahora son capaces de crear correos electrónicos de phishing bien redactados e ilustrados.

Un caso notable que puso en evidencia la utilización de la IA en una campaña dirigida fue el ataque fallido contra la empresa KnowBe4, en el cual, un pirata informático, que supuestamente es del actor de amenazas Lazarus, usó la IA para engañar al departamento de recursos humanos de la empresa mientras fingía solicitar un trabajo: como parte de su solicitud de empleo, utilizó una foto de archivo editada con herramientas de IA para que resultara menos evidente que la foto era falsa. Con ayuda de la IA, logró engañar a la empresa, obtener el puesto y acceder a la red interna. Sin embargo, el SOC de la organización detectó rápidamente los ataques del hacker que vinieron después.

Veredicto: predicción cumplida ✅

Aparición de más grupos que ofrecerán servicios de hackeo por encargo

Si bien vimos surgir nuevos grupos de hack-for-hire en el mundo del crimeware, no hemos observado ningún nuevo actor de amenazas comercialmente motivado para realizar ciberataques sofisticados, similares a los que comúnmente realizan las APT.

Veredicto: predicción no cumplida ❌

Sistemas MFT a la vanguardia de las amenazas cibernéticas

El año pasado, los incidentes relacionados con los sistemas MFT, como MOVEit y GoAnywhere, causaron graves daños a las organizaciones comprometidas. Aunque estos ataques ocurrieron hace un año, sus consecuencias siguen afectando a las empresas afectadas hasta la fecha. Por ejemplo, hace algunos días, los datos personales relacionados con los empleados de Amazon, que supuestamente fueron robados en el transcurso del ataque de vulnerabilidad MOVEit, se filtraron en un foro de ciberpiratería.

Asimismo, este año, la comunidad de la ciberseguridad descubrió varias vulnerabilidades en los sistemas MFT que se utilizan de forma abierta. Uno de ellos es CVE-2024-0204, que permite omitir la autenticación en la MFT de GoAnywhere. Otro ejemplo es CVE-2024-5806, una vulnerabilidad similar en MOVEit Transfer. Sin embargo, este año la comunidad de ciberseguridad ha estado mucho mejor preparada para contrarrestar los ataques del sistema MFT y, por ende, las consecuencias de los ataques contra estas vulnerabilidades no fueron tan drásticas como el año pasado.

Veredicto: predicción parcialmente cumplida

Predicciones de APT para 2025

Las alianzas hacktivistas aumentarán en 2025

En los últimos años, los grupos hacktivistas han comenzado a vincular estrechamente sus operaciones con los conflictos sociopolíticos. Si bien sus primeros esfuerzos se centraron en llamar la atención, ahora estamos viendo que persiguen objetivos más sustanciales con impacto en el mundo real, como los sistemas GNSS.

Este año hemos visto cómo ha evolucionado el hacktivismo con alianzas entre grupos y foros con motivaciones comunes. Estas alianzas no se limitan a los conflictos militares, como se vio con la formación de la “Liga Santa”, que buscaba unir a 70 grupos de hackers activos. Las alianzas hacktivistas también surgen en respuesta a eventos que se desarrollan rápidamente, como el arresto del CEO de Telegram, Pavel Durov, cuando los hacktivistas se unieron para alterar determinados sitios web franceses.

Si bien un objetivo común puede unir y motivar actos maliciosos, el intercambio de herramientas e infraestructuras es también un factor importante de dicha alianza que permite alcanzar objetivos aún más ambiciosos.

El hacktivismo se ha fortalecido con esta estrategia, por lo que podemos esperar campañas más organizadas e impactantes, entre ellas el despliegue de ransomware. En ocasiones, los ataques hacktivistas dejan al descubierto las carencias en el financiamiento de la seguridad de las estructuras atacadas. El IoT se convertirá en un vector de ataque creciente para las APT en 2025

La rápida expansión de los dispositivos del IoT, que se prevé que crezca de los 18 mil millones actuales a 32 mil millones para 2030, trae consigo innovación y a la vez mayores desafíos de seguridad. A medida que los dispositivos inteligentes como cámaras, interruptores y conectores se vuelven más comunes, agregan innumerables conexiones nuevas a Internet, cada una con sus propias vulnerabilidades potenciales.

Muchos dispositivos del IoT recurren a servidores remotos para el control, pero las prácticas de seguridad de las empresas que administran estos servidores a menudo no son claras, lo que abre potenciales superficies para nuevos vectores de ataque contra su infraestructura. Además, los dispositivos del IoT con frecuencia usan sistemas integrados con firmware que es fácil de analizar en busca de vulnerabilidades. Muchos dispositivos antiguos dependen de bibliotecas obsoletas con brechas de seguridad conocidas, lo que los hace susceptibles de explotación.

El aumento de aplicaciones móviles para controlar estos dispositivos añade otro nivel de riesgo. Con tantas aplicaciones disponibles, es difícil verificar su legitimidad, lo que crea oportunidades para que los atacantes introduzcan aplicaciones falsas para obtener el control de los dispositivos del IoT. Los riesgos que enfrenta la cadena de suministro también plantean preocupaciones; los actores malintencionados pueden implantar malware durante el proceso de producción, como se ve en algunas cajas de TV Android.

El principal problema es la falta de contramedidas. Los defensores tienen una visibilidad casi nula en estos dispositivos. En comparación con el año pasado, la situación no ha mejorado, lo que nos lleva a prever que los atacantes continúen aprovechando esta gran cantidad de dispositivos desprotegidos.

Más ataques contra la cadena de suministro en proyectos de código abierto

Una llamativa campaña de este año fue el backdooring de XZ, una herramienta de compresión de código abierto ampliamente utilizada en las populares distribuciones de Linux. Los atacantes emplearon técnicas de ingeniería social para obtener acceso persistente al entorno de desarrollo de software y permanecieron sin ser detectados durante años. Este caso pone en relieve algunos aspectos críticos del ecosistema actual de código abierto, donde muchos proyectos importantes son mantenidos por unos cuantos, o incluso un solo desarrollador, a menudo incapaz de defenderse contra sofisticados grupos de APT patrocinados por gobiernos.

El caso de XZ no es algo inesperado, pero devela un problema real. Su descubrimiento hizo que creciera la atención de la comunidad de ciberseguridad y de diferentes organizaciones, que probablemente comenzarán a mejorar el monitoreo de los proyectos de código abierto. Si bien es posible que no veamos un aumento en el número de ataques contra la cadena de suministro, definitivamente veremos un alza en el número de descubrimientos de ataques continuos contra la cadena de suministro.

El malware escrito en C++ y Go se adaptará al ecosistema de código abierto

A medida que los proyectos de código abierto vayan adoptando cada vez más versiones modernas de C++ y Go, los actores de amenazas deberán adaptar su malware para alinearse con estos lenguajes ampliamente utilizados. Para 2025, prevemos un aumento significativo de grupos de APT y ciberdelincuentes que migran a las últimas versiones de C++ y Go, aprovechando su creciente presencia en proyectos de código abierto.

Mientras otros lenguajes de programación seguirán siendo poco usados, C++ y Go se convertirán en los lenguajes más comunes para el desarrollo de malware, ya que los atacantes explotan las fortalezas y vulnerabilidades de estos lenguajes para infiltrarse en los sistemas y eludir las defensas de seguridad.

Aumentará el uso de la IA en manos de actores patrocinados por gobiernos

El año pasado, predijimos que los grupos APT usarían la IA para mejorar sus tácticas de spear-phishing. Desde entonces, OpenAI informó sobre la cancelación de cuentas vinculadas a actores de amenazas patrocinados por estados, destacando cómo los grupos de APT ya están utilizando modelos de lenguaje grandes (LLM) para spear-phishing, traducciones de texto, generación de scripts e investigación de código abierto con el fin de crear contenidos más específicos. Nuestro más reciente descubrimiento ha demostrado que Lazarus aprovechó las imágenes generadas por IA para promocionar un sitio de juegos falso que explotaba una vulnerabilidad de día cero de Chrome para robar criptomonedas.

Creemos que el uso de los LLM se convertirá en una práctica estándar de los atacantes, de la misma manera que los defensores han incorporado cada vez más herramientas de inteligencia artificial y aprendizaje automático en sus estrategias de ciberseguridad. Es probable que los atacantes usen los LLM para el reconocimiento: los LLM pueden automatizar el proceso de identificación de vulnerabilidades y recopilar información sobre tecnologías específicas, lo que les permite a los atacantes encontrar los puntos débiles en sus objetivos. Recurrirán cada vez más a la IA para crear scripts maliciosos y generar comandos durante las actividades posteriores a la explotación para aumentar sus posibilidades de éxito.

También es probable que los atacantes intenten ocultar sus actividades a empresas como OpenAI creando LLM locales o enmascarando su comportamiento en plataformas públicas, utilizando múltiples cuentas, siendo cautelosos con sus entradas y minimizando los datos compartidos con plataformas corporativas como Google, OpenAI, Microsoft, etc.

Los grupos de APT utilizarán deepfakes

Se debe prestar especial atención al aumento de los deepfakes, que están evolucionando rápidamente y plantean grandes riesgos. Antes solíamos confiar en los videos, las imágenes y las voces como fuentes confiables de información. Sin embargo, a medida que la tecnología de deepfake mejora y se vuelve más accesible, esta confianza se ve cada vez más en la cuerda floja. En 2024 se utilizaron deepfakes en estafas de alto perfil, como videollamadas en las que se imitaba la voz de un CEO y se agregaban imágenes de YouTube de este CEO para engañar a los empleados o aquellas que contenían diferentes videos y otras imágenes disponibles públicamente para crear con IA un nuevo video falso de los participantes de una reunión para engañar, como fue el caso, a un empleado de una empresa de Hong Kong para que transfiriera alrededor de $ 25,5 millones.

La razón por la que tales ataques son tan efectivos tiene sus raíces en la psicología humana: cuando las personas escuchan una voz que reconocen, instintivamente confían en el mensaje. Históricamente, la suplantación de voz no se consideraba una amenaza importante, por lo que tales estafas resultan ser tan convincentes. Pero la llegada de las tecnologías de la IA ha cambiado por completo este paradigma. Hoy en día, los nuevos servicios permiten generar videos de deepfake y grabaciones de voz a partir de sólo algunas muestras reales que es fácil recopilar en los perfiles de las redes sociales o mediante otros métodos de reconocimiento.

Si bien vimos que los ciberdelincuentes usaron la clonación de voz con IA para estafar, prevemos que las APT incorporen cada vez más esta tecnología en su conjunto de herramientas para hacerse pasar por altos ejecutivos, creando mensajes o videos muy convincentes para engañar a los empleados, robar información confidencial o llevar a cabo otras actividades maliciosas.

Modelos de IA con backdoor

La adopción generalizada de modelos de IA por parte de empresas de una variedad de industrias hace que dichos modelos sean un objetivo cada vez más atractivo para los ciberdelincuentes y los actores de amenazas patrocinados por gobiernos. La amplia distribución de modelos de IA de código abierto y específicamente ajustados aumenta el riesgo de que estos modelos sean usados junto con troyanos o backdoors.

En 2025, lo más probable es que veamos grupos de APT dirigidos a modelos y conjuntos de datos populares de IA de código abierto, introduciendo códigos maliciosos o sesgos que podrían ser, por una parte, difíciles de detectar y, por otra, ampliamente compartidos.

El auge de exploits para BYOVD (trae tu propio controlador vulnerable) en campañas de APT

Como ya hemos mencionado, la técnica del BYOVD (trae tu propio conductor vulnerable) se convirtió en una tendencia en 2024. Esta técnica permite a los atacantes aprovechar las vulnerabilidades en los controladores para escalar privilegios, eludir las medidas de seguridad e implementar cargas útiles sofisticadas en campañas de ransomware y de APT.

Los controladores son una parte fundamental de la forma en que el hardware y el software se comunican, pero también pueden servir como una poderosa puerta de enlace para los atacantes, sobre todo cuando se explotan a nivel de kernel. Los controladores vulnerables permiten a los atacantes ejecutar códigos maliciosos con altos niveles de privilegios, lo que implica la posibilidad de espionaje a largo plazo, robo de datos e infiltraciones en redes. Aunque algunos proveedores de seguridad implementan diversos mecanismos para evitar este tipo de ataques, su nivel de sofisticación es difícil de contrarrestar con las medidas de seguridad tradicionales, ya que estos controladores son software legítimo, que puede ser necesario para el normal funcionamiento del sistema, y no es una tarea sencilla distinguir su uso legítimo de uno malicioso, ni hacer posible su uso sólo para fines legítimos y no para propósitos maliciosos.

En una perspectiva de futuro, prevemos que esta tendencia continúe en 2025. A medida que los atacantes se vuelvan más hábiles para aprovechar las vulnerabilidades de bajo nivel, es probable que la complejidad de dichos ataques aumente y es posible que veamos técnicas aún más refinadas, como la explotación de controladores obsoletos o de terceros que no suelen analizarse en busca de fallas de seguridad.