Siga ZDNET: Agréganos como fuente preferida en Google.

Conclusiones clave de ZDNET

• La IA está ayudando a los atacantes a explotar vulnerabilidades más rápido que nunca.
• La mayoría de los ataques a la nube ahora tienen como objetivo software débil de terceros.
• Las empresas necesitan defensas automatizadas impulsadas por IA para mantenerse al día.

Aún no se sabe si la mayoría de las empresas obtienen algún beneficio mensurable al implementar inteligencia artificial en sus organizaciones, y es probable que el debate se vuelva más polémico con el tiempo.

Pero al menos un sector está cosechando enormes ganancias de productividad en esta era de la IA: los ciberdelincuentes tienen más éxito que nunca a la hora de aprovechar las vulnerabilidades para atacar a las empresas en la nube, donde son más vulnerables.

Esa es la conclusión de un informe Cloud Threat Horizons de marzo de 2026 del ejército de investigadores e ingenieros de seguridad de Google. Basándose en sus observaciones de la segunda mitad de 2025, Google Cloud Security concluyó: «La ventana entre la divulgación de vulnerabilidades y la explotación masiva colapsó en un orden de magnitud, de semanas a días».

El informe concluye que la mejor manera de luchar contra los ataques impulsados ​​por IA es con defensas mejoradas por IA: «Esta actividad, junto con los intentos asistidos por IA de sondear los objetivos en busca de información y el énfasis continuo de los actores de amenazas en el robo centrado en datos, indica que las organizaciones deberían recurrir a defensas más automáticas».

Entrar furtivamente a través de código de terceros

Hoy en día, señala el informe de Google, las amenazas a la seguridad no se dirigen a la infraestructura central de servicios como Google Cloud, Amazon Web Services y Microsoft Azure. Esos objetivos de alto valor están bien asegurados. En cambio, los actores de amenazas (un término cortés que abarca tanto a bandas criminales como a agentes patrocinados por el Estado, en particular de Corea del Norte) están apuntando a vulnerabilidades no parcheadas en códigos de terceros.

El informe contiene múltiples ejemplos detallados de estos ataques, y las víctimas no se mencionan por su nombre.

Uno implicó la explotación de una vulnerabilidad crítica de ejecución remota de código (RCE) en React Server Components, una popular biblioteca de JavaScript utilizada para crear interfaces de usuario para sitios web y aplicaciones móviles; esos ataques comenzaron dentro de las 48 horas posteriores a la divulgación pública de la vulnerabilidad (CVE-2025-55182, comúnmente conocida como React2Shell).

Otro incidente involucró una vulnerabilidad RCE en la popular plataforma XWiki (CVE-2025-24893) que permitía a los atacantes ejecutar código arbitrario en un servidor remoto enviando una cadena de búsqueda específica. Ese error se corrigió en junio de 2024, pero no se implementó ampliamente y los atacantes (incluidas las bandas de criptominería) comenzaron a explotarlo en serio en noviembre de 2025.

Una cuenta particularmente jugosa involucra a una banda de atacantes patrocinados por el estado conocida como UNC4899, probablemente de Corea del Norte, que se hizo cargo de las cargas de trabajo de Kubernetes para robar millones de dólares en criptomonedas. Así es como se desarrolló el exploit:

UNC8499 apuntó y atrajo a un desarrollador desprevenido para que descargara un archivo con el pretexto de una colaboración en un proyecto de código abierto. Poco después, el desarrollador transfirió el mismo archivo desde su dispositivo personal a su estación de trabajo corporativa a través de Airdrop. Utilizando su entorno de desarrollo integrado (IDE) asistido por IA, la víctima interactuó con el contenido del archivo y finalmente ejecutó el código Python malicioso incrustado, que generó y ejecutó un binario que se hacía pasar por la herramienta de línea de comandos de Kubernetes. El binario se dirigió a dominios controlados por UNC4899 y sirvió como puerta trasera que les dio a los actores de amenazas acceso a la estación de trabajo de la víctima, otorgándoles efectivamente un punto de apoyo en la red corporativa.

Otro incidente involucró una serie de pasos que comenzaron con un paquete Node Package Manager comprometido que robó el token de GitHub de un desarrollador, lo usó para acceder a Amazon Web Services, robó archivos almacenados en un depósito AWS S3 y luego destruyó los originales. Todo eso sucedió en 72 horas.

Identidad comprometida

El otro hallazgo importante es un abandono de los ataques a credenciales débiles con ataques de fuerza bruta en favor de explotar los problemas de identidad a través de una variedad de técnicas:

• El 17% de los casos involucraron ingeniería social basada en voz (también conocida como vishing).
• El 12% confió en el phishing por correo electrónico.
• El 21% involucró relaciones de confianza comprometidas con terceros.
• El 21% involucró a actores que aprovechaban identidades humanas y no humanas robadas.
• El 7% se debió a que los actores obtuvieron acceso a través de activos de infraestructura y aplicaciones configurados incorrectamente.

Y los atacantes no siempre vienen de muy lejos. El informe señala que «personas internas maliciosas», incluidos empleados, contratistas, consultores y pasantes, están enviando datos confidenciales fuera de la organización. Cada vez más, este tipo de incidente involucra servicios de almacenamiento en la nube independientes de la plataforma y centrados en el consumidor, como Google Drive, Dropbox, Microsoft OneDrive y Apple iCloud.

El informe llama a esto «el medio de más rápido crecimiento para extraer datos de una organización».

Una nota siniestra es que los atacantes en estos días se toman su tiempo antes de dar a conocer su presencia. El informe señala que «el 45% de las intrusiones resultaron en robo de datos sin intentos de extorsión inmediatos en el momento del compromiso, y estas a menudo se caracterizaron por tiempos de permanencia prolongados y persistencia sigilosa».

¿Qué pueden hacer las empresas para protegerse?

Cada sección del informe incluye recomendaciones que los profesionales de TI deben seguir para proteger la infraestructura de la nube. Esas pautas se dividen en dos categorías: consejos específicos para los clientes de Google Cloud y orientación más general para los clientes que utilizan otras plataformas.

Si es administrador de una organización grande con responsabilidades de seguridad, vale la pena considerar cuidadosamente ese consejo e incorporarlo a sus medidas de seguridad existentes.

Pero ¿qué se supone que deben hacer las pequeñas y medianas empresas? Aquí hay cuatro elementos de acción:

1. Intensifique su juego de parches asegurándose de que todas las aplicaciones de software, especialmente las de terceros, se actualicen automáticamente.
2. Fortalezca la Gestión de Identidad y Acceso (IAM), utilizando autenticación multifactor y garantizando que solo los usuarios autorizados tengan acceso a las herramientas administrativas.
3. Supervise la red con miras a identificar actividades inusuales y movimientos de datos. Esto incluye ataques desde el exterior y amenazas internas.
4. Tenga listo un plan de respuesta a incidentes a la primera señal de una intrusión. Esas primeras horas pueden ser cruciales, y luchar para reunir recursos de investigación y contención puede llevar días si no estás preparado.

Para las pequeñas empresas que no cuentan con expertos en seguridad en su personal, la mejor solución es encontrar un proveedor de servicios administrados con las habilidades y la experiencia que necesita. No querrás iniciar esa búsqueda después de que un atacante ya haya tenido éxito.