Dark
Light

Las credenciales robadas escalan posiciones como vector clave en los ciberataques según M-Trends 2025

El informe de Mandiant señala un auge de los actores financieros y del uso de credenciales robadas, mientras alerta sobre nuevas tácticas más sofisticadas y amenazas dirigidas al entorno cloud, la identidad digital y tecnologías Web3.
25 de abril, 2025
Pantallas de ordenadores con aplicaciones de ciberseguridad

Mandiant, la unidad de ciberseguridad de Google Cloud especializada en respuesta a incidentes, ha publicado su informe anual M-Trends 2025, en el que analiza más de 450.000 horas de investigaciones llevadas a cabo durante 2024. El informe advierte que los ciberataques se están volviendo cada vez más sofisticados, especialmente por parte de grupos con vínculos con China, que han demostrado la capacidad de crear ecosistemas de malware a medida, explotar vulnerabilidades zero-day y operar redes proxy similares a botnets.

Sin embargo, el documento también destaca que no todos los ataques exitosos responden a un alto nivel técnico; en muchas ocasiones, los atacantes se aprovechan de oportunidades básicas como el uso de credenciales robadas mediante campañas de malware tipo infostealer, o bien explotan repositorios de datos desprotegidos durante migraciones a la nube, accediendo así a información crítica.

Cambios en los vectores de infección y aumento de la motivación económica

Entre los hallazgos clave reflejados en el informe M-Trends 2025, destaca que el 33% de los ataques analizados comenzaron mediante explotación de vulnerabilidades, manteniéndose como el vector de infección más común. Por primera vez, el uso de credenciales robadas se sitúa en segundo lugar, representando el 16% de los casos, lo que refleja una tendencia al alza en ataques menos técnicos pero igualmente efectivos.

En cuanto a la motivación de los atacantes, el 55% de los grupos identificados en 2024 actuaban con fines financieros, una cifra en ascenso. Tan solo el 8% de los grupos tenía motivaciones de espionaje, lo que subraya la creciente profesionalización del delito cibernético como negocio.

Las industrias más atacadas han sido la financiera (17,4%), los servicios profesionales (11,1%), tecnología (10,6%), administraciones públicas (9,5%) y sanidad (9,3%). Así mismo, el tiempo medio de permanencia del atacante en los sistemas («dwell time») ha aumentado ligeramente hasta once días, alcanzando los 26 días cuando la detección fue externa.

Nuevas amenazas: identidad digital, cloud y Web3 en el punto de mira

El informe profundiza en tendencias emergentes como el uso fraudulento de identidades por parte de ciudadanos norcoreanos trabajando como contratistas IT remotos y operaciones iraníes dirigidas contra entidades israelíes.

Otro aspecto preocupante es el interés creciente por acceder a portales de autenticación centralizada (por ejemplo, single sign-on), así como el uso malicioso de tecnologías Web3 como las criptomonedas y blockchain, que se utilizan con fines de blanqueo de capitales y financiación de actividades ilícitas.

Recomendaciones clave para fortalecer la ciberresiliencia

Mandiant ofrece una serie de recomendaciones de carácter general para que las organizaciones refuercen su postura de seguridad ante un panorama de amenazas en constante evolución:

  • Aplicar una estrategia de defensa en capas, que incluya gestión de vulnerabilidades, principio de mínimo privilegio y endurecimiento de sistemas.
  • Adoptar autenticación multifactor FIDO2, especialmente en cuentas con privilegios elevados.
  • Desplegar capacidades de detección avanzadas y contar con planes de respuesta a incidentes bien definidos.
  • Mejorar la monitorización y el registro de actividades sospechosas para reducir los tiempos de permanencia.
  • Realizar ejercicios de caza proactiva de amenazas (threat hunting).
  • Reforzar la seguridad en entornos cloud, revisando configuraciones y aplicando controles adaptativos.
  • Mitigar el riesgo interno con controles de acceso estrictos, monitorización continua y procesos de contratación rigurosos, especialmente en modelos de trabajo remoto.
  • Actualizar las políticas y procedimientos de seguridad de forma continua, incorporando inteligencia de amenazas en tiempo real.

Anticipación y preparación como claves del éxito

Mandiant subraya que su misión con M-Trends es proporcionar a los profesionales de la seguridad información procesable basada en experiencias reales para que puedan anticiparse a los ataques y responder de manera eficaz.

El informe, que ya se encuentra disponible, se acompaña de una edición ejecutiva y una serie de seminarios web donde se abordarán los datos y recomendaciones con mayor profundidad.

Ver más

Relacionados