Los ataques están cambiando. Según Rich Baich, director de seguridad de la información de AT&T, los hackers están imitando las estrategias del grupo chino Salt Typhoon, que el año pasado logró infiltrarse en grandes proveedores de telecomunicaciones. En lugar de enfocarse en las defensas tradicionales, estos atacantes buscan puntos débiles poco comunes en las redes corporativas.

Una de las técnicas más destacadas consiste en explotar plataformas que por lo general no cuentan con protección de endpoints (EDR). “Salt Typhoon no solo atacó los dispositivos que usualmente protegemos, sino que exploró otras plataformas menos vigiladas, aprovechándolas para realizar distintas acciones”, explicó Baich. Este enfoque desafía a las empresas a replantear dónde y cómo implementan protección en sus sistemas.

Otro cambio en los métodos de los atacantes es aprovechar áreas donde no existen registros o logs, lo que les permite evadir controles de seguridad conocidos. Según Baich, esto demuestra que los hackers están “reingeniando sus técnicas y pensando en formas de superar nuestras defensas, incluso en partes de la red que normalmente damos por seguras.”

Salt Typhoon y quienes los imitan también emplean tácticas de “vivir del entorno”, utilizando herramientas administrativas legítimas dentro de la red víctima para moverse y ejecutar acciones sin levantar sospechas. Esto subraya la importancia de controlar y monitorear cuidadosamente todas las herramientas disponibles en un entorno corporativo.

Rob Joyce, exdirector de ciberseguridad de la NSA, apunta que los defensores han mejorado mucho las defensas de la tecnología más usada —desde teléfonos hasta navegadores—, pero esto ha obligado a los atacantes a encadenar exploits y buscar rutas creativas para lograr penetraciones exitosas. “Hemos avanzado, pero al mismo tiempo hemos impulsado la evolución de los atacantes”, dijo Joyce.

En definitiva, los ataques de Salt Typhoon marcan un cambio en la ciberseguridad: los atacantes ahora buscan las rutas de menor resistencia, adaptando sus técnicas y utilizando herramientas legítimas para evadir controles tradicionales. Para las empresas, esto significa que no basta con implementar tecnología; también deben entender cómo puede ser usada en su contra.

Fuente: Cyberscoop