¿Sigue siendo el ransomware y el cifrado la cara de los ciberataques modernos, o la industria se ha distraído con el ruido y ha pasado por alto un cambio silencioso pero más preocupante?
Según el reciente Red Report 2026 de Picus Labs, que analizó más de 1,1 millones de archivos maliciosos y 15,5 millones de acciones adversas de 2025, los atacantes ya no buscan solo generar disrupción. Ahora, su objetivo es obtener acceso invisible a largo plazo.
Para aclarar, el ransomware no desaparecerá y los adversarios continúan innovando. Sin embargo, los datos indican un cambio estratégico significativo, alejándose de ataques ruidosos y destructivos hacia técnicas que evaden la detección, persisten en los entornos y explotan la identidad y la infraestructura de confianza de manera silenciosa. En lugar de destruir sistemas, los atacantes actuales tienden a actuar como parásitos digitales, infiltrándose en los sistemas, robando credenciales y servicios, y permaneciendo indetectados el mayor tiempo posible.
La atención pública a menudo se centra en las interrupciones drásticas y su impacto visible, pero el informe revela una historia más sutil, mostrando donde los defensores están perdiendo visibilidad.
La señal del ransomware se desvanece
En la última década, el cifrado de ransomware fue la principal señal de riesgo cibernético. Cuando los sistemas fallaban y las operaciones se detenían, la vulnerabilidad era innegable.
Sin embargo, esta señal está perdiendo relevancia. Los datos sobre cifrado por impacto (T1486) disminuyeron un 38% de 2024 a 2025, pasando del 21% al 12,94%. Esta reducción no implica una disminución en la capacidad de los atacantes, sino un cambio intencional en su estrategia.
En lugar de encriptar datos para forzar pagos, los delincuentes ahora se enfocan en la extorsión de datos como su modelo principal de monetización. Al evitar el cifrado, mantienen los sistemas operativos mientras:
- Exfiltran datos confidenciales en silencio
- Recolectan credenciales y tokens
- Permanecen en los entornos durante largos periodos
- Posteriormente ejercen presión mediante extorsión en lugar de interrupciones
La implicación es evidente: el impacto ya no se mide por sistemas bloqueados, sino por el tiempo que los atacantes pueden mantener el acceso sin ser detectados.
El robo de credenciales se convierte en el nuevo enfoque
Al elegir una persistencia silenciosa y prolongada, la identidad se ha vuelto el camino de control más efectivo.
El informe muestra que el robo de credenciales desde distintos almacenes (T1555) ocurre en casi uno de cada cuatro ataques (23,49%), convirtiendo el robo de credenciales en una de las actividades más comunes del último año.
En lugar de depender de métodos ruidosos para el robo de credenciales, los atacantes ahora las obtienen directamente de navegadores, llaveros y gestores de contraseñas. Una vez que tienen credenciales válidas, el escalado de privilegios y el movimiento lateral suelen estar a solo un paso de las herramientas administrativas nativas.
Las campañas de malware modernas operan como parásitos digitales, sin alarmas ni indicadores obvios. Esta lógica ahora también se refleja en la estrategia de los atacantes.
El 80% de las principales técnicas de ATT&CK priorizan el sigilo
A pesar del amplio marco MITRE ATT&CK®, la actividad de malware se concentra en un conjunto pequeño de técnicas que cada vez más priorizan la evasión y la persistencia.
El informe muestra un desequilibrio notable: ocho de las diez principales técnicas de MITRE ATT&CK están enfocadas en la evasión, la persistencia o el comando y control sigiloso. Esto representa la mayor concentración de técnicas centradas en la discreción registradas hasta ahora, indicando un cambio fundamental en cómo los atacantes miden su éxito.
En lugar de priorizar el impacto inmediato, los atacantes modernos están optimizando su tiempo de permanencia para maximizarlo. Las técnicas que permiten a los atacantes ocultarse, integrarse y seguir operativos durante largos períodos ahora superan a las diseñadas para interrumpir.
Aquí están algunos de los comportamientos más comunes observados en el informe de este año:
- T1055 – La inyección de procesos permite que el malware se ejecute dentro de procesos confiables del sistema, dificultando la identificación de la actividad maliciosa.
- T1547 – La ejecución automática al iniciar sesión asegura la persistencia al sobrevivir a reinicios e inicios de sesión de usuario.
- T1071 – Los protocolos de capa de aplicación crean «canales de susurro» para el comando y control, integrando el tráfico del atacante con las comunicaciones normales de la web y la nube.
- T1497 – La evasión de virtualización y sandbox permite que el malware identifique entornos de análisis y evite ejecutarse si sospecha que está siendo observado.
El efecto combinado es poderoso. Los procesos que parecen legítimos utilizan herramientas legítimas, operando silenciosamente a través de canales confiables. La detección basada en firmas enfrenta desafíos en este entorno, mientras que el análisis de comportamiento se vuelve cada vez más crucial para identificar actividad ilícita diseñada para parecer normal. Así, el sigilo se convierte en la nueva definición del éxito en un ataque.
El malware «autoconsciente» evita ser analizado
A medida que el sigilo se convierte en la nueva medida de éxito, evadir la detección ya no es suficiente. Los atacantes también necesitan evitar activar las herramientas que los defensores usan para monitorear su comportamiento malicioso. El informe muestra que la evasión de virtualización y sandbox (T1497) se ha convertido en una práctica crucial para los atacantes en 2025.
El malware moderno evalúa su entorno antes de decidir actuar. En lugar de confiar en comprobaciones básicas, algunas muestras analizan el contexto de ejecución y la interacción del usuario para determinar si están en un entorno real.
Un caso destacado en el informe, LummaC2, analizaba los patrones de movimiento del ratón, calculando distancias y ángulos para diferenciar entre la interacción humana y el movimiento lineal típico de entornos automatizados. Si las condiciones parecían artificiales, el malware se mantenía inactivo, esperando la oportunidad adecuada.
Este comportamiento indica un cambio más profundo en la lógica del atacante. Ya no se puede confiar en que el malware se manifestará en entornos sandbox. Mantiene su actividad por diseño, quedando inactivo hasta que llega a un sistema real.
En un ecosistema donde predominan el sigilo y la persistencia, la inacción se ha convertido en una técnica de evasión clave.
Exageración vs. Realidad de la IA: Evolución, no Revolución
Con los atacantes mostrando un comportamiento cada vez más adaptable, surge la pregunta de cómo encaja la inteligencia artificial en este panorama.
Los datos del informe sugieren una respuesta cautelosa. A pesar de la especulación sobre la transformación del panorama del malware por la IA, Picus Labs no observó un aumento significativo en las técnicas de malware impulsadas por IA en 2025.
En cambio, las técnicas más comunes siguen siendo familiares. Técnicas tradicionales como la inyección de procesos y el uso de intérpretes de comandos siguen predominando en las intrusiones reales, demostrando que los atacantes no necesitan IA avanzada para eludir las defensas modernas.
Algunas familias de malware han comenzado a experimentar con API de modelos de lenguaje, pero su uso ha sido limitado y se ha centrado principalmente en la recuperación de comandos predefinidos o como una capa de comunicación conveniente. Estas implementaciones mejoran la eficiencia, pero no alteran la lógica de toma de decisiones del atacante.
Hasta ahora, los datos sugieren que la IA se integra en técnicas existentes, no que redefine el panorama. La mecánica del «parásito» permanece: robo de credenciales, persistencia discreta, abuso de procesos confiables y mayor duración de las sesiones.
Los atacantes no triunfan al inventar técnicas radicalmente nuevas. Triunfan al volverse más discretos, más pacientes y más difíciles de distinguir de las actividades legítimas.
Regresando a lo básico ante un modelo de amenazas evolucionado
Tras realizar estos informes anualmente, observamos que muchas de las mismas tácticas aparecen constantemente. Lo que ha cambiado es el objetivo. Los ataques modernos priorizan:
- permanecer invisibles
- abusar de identidades y herramientas confiables
- desactivar defensas en silencio
- mantener el acceso a largo plazo
Al reforzar los fundamentos de la seguridad moderna, como la detección basada en el comportamiento, la gestión de credenciales y la validación continua de la exposición adversaria, las organizaciones pueden centrarse menos en los escenarios de ataque dramáticos y más en las verdaderas amenazas que están teniendo éxito hoy.
Fuente:
THN
Con Información de blog.segu-info.com.ar