¿Siguen siendo el ransomware y el cifrado las señales que definen los
ciberataques modernos, o la industria se ha obsesionado demasiado con el
ruido, pasando por alto un cambio más peligroso que se está produciendo
silenciosamente a su alrededor?
Según el nuevo
Red Report 2026
de Picus Labs, que analizó más de 1,1 millones de archivos maliciosos y mapeó
15,5 millones de acciones adversarias observadas a lo largo de 2025, los
atacantes ya no optimizan la disrupción. En cambio,
su objetivo ahora es el acceso invisible a largo plazo.
Para ser claros, el ransomware no desaparecerá y los adversarios siguen
innovando. Sin embargo,
los datos muestran un claro cambio estratégico que se aleja de los ataques
ruidosos y destructivos hacia técnicas diseñadas para evadir la detección,
persistir dentro de los entornos y explotar silenciosamente la identidad y
la infraestructura de confianza.
En lugar de irrumpir y destruir los sistemas, los atacantes actuales se
comportan cada vez más como parásitos digitales. Viven dentro del host, se
alimentan de credenciales y servicios, y permanecen sin ser detectados el
mayor tiempo posible.
La atención pública suele centrarse en las interrupciones drásticas y el
impacto visible pero los datos del informe presentan una historia más
discreta, que revela dónde los defensores están perdiendo visibilidad.
La señal del ransomware se desvanece
Durante la última década, el cifrado de ransomware fue la señal más clara de
riesgo cibernético. Cuando los sistemas se bloqueaban y las operaciones se
congelaban, la vulnerabilidad era innegable.
Esta señal ahora está perdiendo relevancia. Año tras año, los
datos cifrados para impacto (T1486)
disminuyeron un 38%, pasando del 21% en 2024 al 12,94% en 2025. Esta
disminución no muestra una menor capacidad de los atacantes, sino un cambio
deliberado de estrategia.
En lugar de bloquear datos para forzar el pago, los actores de amenazas están
optando por la extorsión de datos como su principal modelo de monetización. Al
evitar el cifrado, los atacantes mantienen los sistemas operativos mientras:
- Exfiltran datos confidenciales silenciosamente
- Recopilan credenciales y tokens
- Permanecen integrados en entornos durante periodos prolongados
- Aplican presión posteriormente mediante extorsión en lugar de interrupciones
La implicación es clara: el impacto ya no se define por sistemas
bloqueados, sino por el tiempo que los atacantes pueden mantener el acceso a
los sistemas de un host sin ser detectados.
El robo de credenciales se convierte en el plano de control
A medida que los atacantes optan por una persistencia prolongada y sigilosa,
la identidad se convierte en la vía de control más fiable.
El informe muestra que el robo de credenciales desde distintos almacenes (T1555)
aparecen en casi uno de cada cuatro ataques (23,49%), lo que convierte al
robo de credenciales en uno de los comportamientos más frecuentes
observados durante el último año.
En lugar de recurrir a la extracción de credenciales ruidosa o a complejas
cadenas de exploits,
los atacantes extraen cada vez más las credenciales guardadas directamente
de navegadores, llaveros y gestores de contraseñas.
Una vez que obtienen credenciales válidas, el escalamiento de privilegios y el
movimiento lateral suelen estar a solo un pequeño paso de las herramientas
administrativas nativas.
Cada vez más campañas de malware modernas se comportan como parásitos
digitales. No hay alarmas, fallos ni indicadores obvios. Solo un silencio
inquietante. Esta misma lógica ahora moldea la estrategia de los atacantes de
forma más amplia.
El 80% de las principales técnicas de ATT&CK ahora priorizan el sigilo.
A pesar de la amplitud del marco MITRE ATT&CK®, la actividad de malware en
el mundo real continúa concentrándose en un pequeño conjunto de técnicas que
priorizan cada vez más la evasión y la persistencia.
El informe revela un marcado desequilibrio: ocho de las diez principales
técnicas de MITRE ATT&CK ahora se dedican principalmente a la evasión, la
persistencia o el comando y control sigiloso. Esto representa la mayor
concentración de técnicas centradas en el sigilo que se haya registrado jamás,
lo que indica un cambio fundamental en las métricas de éxito de los atacantes.
En lugar de priorizar el impacto inmediato, los adversarios modernos están
optimizando su tiempo de permanencia para maximizarlo.
Las técnicas que permiten a los atacantes ocultarse, integrarse y permanecer
operativos durante períodos prolongados ahora superan a las diseñadas para la
interrupción.
Estos son algunos de los comportamientos más comunes observados en el informe
de este año:
-
T1055 – La
inyección de procesos
permite que el malware se ejecute dentro de procesos confiables del sistema,
lo que dificulta distinguir la actividad maliciosa de la ejecución legítima. -
T1547 – La
ejecución automática al iniciar una sesión
garantiza la persistencia al sobrevivir a reinicios e inicios de sesión de
usuario. -
T1071 – Los
protocolos de capa de aplicación
proporcionan «canales de susurro» para el comando y control, integrando el
tráfico del atacante con las comunicaciones normales web y en la nube. -
T1497 – La
evasión de virtualización y sandbox
permite que el malware detecte entornos de análisis y se niegue a ejecutarse
cuando sospecha que está siendo observado.
El efecto combinado es poderoso.
Los procesos que parecen legítimos utilizan herramientas legítimas para
operar silenciosamente a través de canales ampliamente confiables.
La detección basada en firmas presenta dificultades en este entorno, mientras
que el análisis de comportamiento cobra cada vez más importancia para
identificar actividad ilícita diseñada deliberadamente para parecer normal. Si
bien el cifrado antes definía el ataque, el sigilo ahora define su éxito.
El malware «autoconsciente» se niega a ser analizado
Cuando el sigilo se convierte en la principal medida de éxito, evadir la
detección por sí solo ya no es suficiente. Los atacantes también deben evitar
activar las herramientas que los defensores utilizan para observar su
comportamiento malicioso. El informe demuestra claramente con el auge de la
evasión de virtualización y sandbox (T1497), que se convirtió en la principal
práctica de los atacantes en 2025.
El malware moderno evalúa cada vez más su ubicación antes de decidir si
actuar.
En lugar de basarse en simples comprobaciones de artefactos, algunas muestras
evalúan el contexto de ejecución y la interacción del usuario para determinar
si realmente operan en un entorno real.
En un ejemplo destacado en el informe,
LummaC2
analizó los patrones de movimiento del ratón mediante geometría, calculando la
distancia euclidiana y los ángulos del cursor para distinguir la interacción
humana del movimiento lineal típico de los entornos sandbox automatizados.
Cuando las condiciones parecían artificiales, suprimía deliberadamente
cualquier ejecución y simplemente permanecía inactivo, esperando el momento
oportuno.
Este comportamiento refleja un cambio más profundo en la lógica del atacante.
Ya no se puede confiar en que el malware se manifieste en entornos sandbox.
Retiene su actividad por diseño, permaneciendo inactivo hasta que llega a un
sistema de producción real.
En un ecosistema dominado por el sigilo y la persistencia, la inacción se ha
convertido en una técnica de evasión fundamental.
Exageración vs. Realidad de la IA: Evolución, no Revolución
Con los atacantes demostrando un comportamiento cada vez más adaptativo, es
natural preguntarse dónde encaja la inteligencia artificial en este panorama.
Los datos del informe sugieren una respuesta mesurada. A pesar de la
especulación generalizada, casi la anticipación, sobre la transformación del
panorama del malware por parte de la IA, Picus Labs no observó un aumento
significativo en las técnicas de malware impulsadas por IA en el conjunto de
datos de 2025.
En cambio, los comportamientos más prevalentes siguen siendo familiares.
Técnicas tradicionales como la inyección de procesos y el intérprete de
comandos y scripts siguen dominando las intrusiones en el mundo real, lo que
refuerza la idea de que los atacantes no requieren una IA avanzada para
eludir las defensas modernas.
Algunas familias de malware han comenzado a experimentar con API de modelos de
lenguaje de gran tamaño, pero hasta ahora su uso ha sido limitado. En los
casos observados, los servicios LLM se utilizaron principalmente para
recuperar comandos predefinidos o actuar como una capa de comunicación
conveniente. Estas implementaciones mejoran la eficiencia, pero no alteran
fundamentalmente la toma de decisiones ni la lógica de ejecución del atacante.
Hasta ahora, los datos muestran que la IA se está integrando en las técnicas
existentes en lugar de redefinirlas.
La mecánica del «parásito» permanece inalterada: robo de credenciales,
persistencia sigilosa, abuso de procesos confiables y tiempos de permanencia
cada vez más largos.
Los atacantes no ganan inventando técnicas radicalmente nuevas. Ganan
volviéndose más discretos, más pacientes y cada vez más difíciles de
distinguir de la actividad legítima.
De vuelta a lo básico para un modelo de amenazas diferente
Tras realizar estos informes anualmente desde hace tiempo, observamos una
tendencia continua con muchas de las mismas tácticas que aparecen año tras
año. Lo que ha cambiado fundamentalmente es el objetivo. Los ataques modernos priorizan:
- permanecer invisibles
- abusar de identidades y herramientas confiables
- desactivar las defensas silenciosamente
- mantener el acceso a lo largo del tiempo
Al redoblar los esfuerzos en los fundamentos de seguridad modernos, la
detección basada en el comportamiento, la higiene de las credenciales y la
validación continua de la exposición adversaria, las organizaciones pueden
centrarse menos en escenarios de ataque dramáticos y más en las amenazas que
realmente están teniendo éxito hoy en día.
Fuente:
THN