El phishing volvió a ser el método principal que los atacantes utilizaron para infiltrarse en las organizaciones durante el primer trimestre de 2026, representando más de un tercio de los casos en los que se pudo determinar el acceso inicial, según Cisco Talos. Este es el primer trimestre en el que el phishing lidera esta categoría desde el segundo trimestre de 2025, cuando la explotación de aplicaciones de acceso público se impuso tras los ataques generalizados contra los servidores locales de Microsoft SharePoint.
Esa oleada de explotación de SharePoint , conocida colectivamente como ToolShell, elevó la explotación de aplicaciones de acceso público a un máximo del 62 % de los casos. La tasa descendió al 18 % en el primer trimestre de 2026, una disminución que Talos atribuye a la amplia disponibilidad de parches de emergencia y a una mejor cobertura de detección.
Herramienta de IA utilizada para crear una página de recolección de credenciales
Un incidente de phishing ocurrido este trimestre involucró una técnica que Talos no había documentado previamente en sus casos. Los atacantes, dirigidos a una organización de la administración pública, utilizaron Softr, una plataforma de desarrollo de aplicaciones web con inteligencia artificial, para crear una página de robo de credenciales que imitaba las pantallas de inicio de sesión de Microsoft Exchange y Outlook Web Access. La página se construyó utilizando una plantilla de formulario y una función de codificación Vibe , sin necesidad de código personalizado.
Las páginas de Softr pueden enviar los datos capturados a almacenamiento externo, como Google Sheets, y activar alertas por correo electrónico para nuevas entradas, incluso sin código. Talos tiene una confianza moderada en que actores maliciosos han utilizado la plataforma de Softr con fines similares desde al menos mayo de 2023, según datos de Cisco Umbrella y otra telemetría, y su uso ha ido en aumento con el tiempo.
Se ha observado que grupos criminales y patrocinados por estados utilizan modelos lingüísticos complejos para desarrollar señuelos de phishing y scripts maliciosos. Los operadores de DDoS como servicio han adoptado algoritmos de IA para la orquestación de ataques. El incidente de Softr es la primera vez que Talos documenta el uso de una herramienta de IA específica en un ataque de phishing confirmado.
La administración pública se perfila como objetivo por tercer trimestre consecutivo.
La administración pública y la sanidad representaron cada una el 24 % del total de ataques, empatando como los sectores más atacados. La administración pública ha mantenido la primera posición desde el tercer trimestre de 2025. Las organizaciones de este sector suelen utilizar sistemas heredados, operan con presupuestos de seguridad limitados, manejan datos confidenciales y tienen poca tolerancia a las interrupciones del servicio, lo que las convierte en un objetivo atractivo tanto para atacantes con fines económicos como para grupos de espionaje.
Crimson Collective hace su primera aparición en el caso Talos.
Talos respondió a su primer incidente relacionado con Crimson Collective , un grupo de extorsión cibernética que surgió en septiembre de 2025. El incidente comenzó cuando un token de acceso personal de GitHub se publicó accidentalmente en un sitio web público, lo que expuso a la organización durante varios meses.
Tras obtener acceso, el atacante utilizó TruffleHog , una herramienta legítima de código abierto para escanear secretos, para buscar credenciales y datos confidenciales en miles de repositorios de GitHub. Los secretos de cliente descubiertos permitieron acceder al almacenamiento en la nube de Azure de la víctima, donde el atacante utilizó llamadas a la API de Microsoft Graph para autenticar, enumerar y extraer datos. El atacante también intentó inyectar código malicioso en varios repositorios de GitHub con el objetivo de obtener cualquier secreto que se confirmara en el futuro. Los secretos caducados y los controles de seguridad existentes limitaron los daños.
Talos atribuye la actividad a Crimson Collective basándose en las direcciones IP asociadas al grupo que se utilizaron para escanear los cortafuegos ASA de la víctima, así como en la coincidencia con las tácticas y técnicas de Crimson Collective que se han dado a conocer públicamente.
Las deficiencias del MFA siguen siendo la principal brecha de seguridad.
Este trimestre se detectaron vulnerabilidades en la autenticación multifactor (MFA) en el 35 % de los casos, un aumento con respecto al trimestre anterior. Los atacantes eludieron la MFA registrando nuevos dispositivos en cuentas comprometidas y, en un caso, configurando un cliente de Outlook para conectarse directamente a un servidor de Exchange, evitando por completo los requisitos de MFA de Duo.
En el 25 por ciento de los casos se detectó infraestructura vulnerable o expuesta. Entre las vulnerabilidades explotadas se incluyeron la CVE-2025-20393 en Cisco Secure Email Gateway y la CVE-2023-20198 en Cisco IOS XE, además de puertos de administración WinRM expuestos y accesibles desde internet.
El registro insuficiente afectó al 18 % de las intervenciones, lo que limitó la capacidad de los investigadores para reconstruir la actividad del atacante. Talos recomienda implementar un SIEM para el almacenamiento centralizado de registros, de modo que los registros eliminados o modificados en cada host permanezcan disponibles para su análisis forense.
La actividad previa al ataque de ransomware representó el 18 % de los casos. No se produjo ningún ataque de ransomware este trimestre gracias a la contención temprana. Talos estima, con un grado de confianza moderado, que los ransomware Rhysida y MoneyMessage estuvieron involucrados en dos de esos casos.
Fuente y redacción: helpnetsecurity.com