El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha presentado sus predicciones sobre el panorama de amenazas persistentes avanzadas (APT, por sus siglas en inglés) para 2025, destacando cambios significativos en las amenazas cibernéticas.
Estas incluyen el auge de las alianzas hacktivistas, el uso creciente de herramientas impulsadas por IA por parte de actores vinculados a estados, a menudo con puertas traseras integradas, un aumento en los ataques a la cadena de suministro en proyectos de código abierto y un crecimiento en el desarrollo de malware utilizando Go y C++.
Tendencias de amenazas persistentes avanzadas
Cada año, como parte del Boletín de Seguridad de Kaspersky, GReAT ofrece análisis detallados sobre las actividades APT más sofisticadas y las tendencias emergentes en amenazas. Gracias a su seguimiento a más de 900 grupos y operaciones APT en todo el mundo, el equipo ha creado una hoja de ruta para que empresas y profesionales de la ciberseguridad se preparen para el año que viene.
En 2024, los ciberdelincuentes y los grupos APT han aprovechado cada vez más la IA para llevar a cabo ataques más convincentes. Por ejemplo, el grupo Lazarus utilizó imágenes generadas a través de esta herramienta para explotar una vulnerabilidad de día cero en Chrome y robar criptomonedas.
Otra tendencia preocupante es la distribución de versiones de modelos de IA con puertas traseras por parte de grupos APT. Pueden dirigirse a modelos de IA y conjuntos de datos populares de código abierto, incrustando código malicioso o introduciendo sutiles sesgos difíciles de detectar, pero ampliamente difundidos. Los expertos de GReAT sugieren que los LLM se convertirán en herramientas estándar para el reconocimiento, la automatización de la detección de vulnerabilidades y la generación de secuencias de comandos maliciosas para aumentar las tasas de éxito de los ataques.
“La IA es un arma de doble filo: mientras los ciberdelincuentes la usan para potenciar sus ataques, los defensores pueden aprovechar su poder para detectar amenazas más rápidamente y fortalecer los protocolos de seguridad. Sin embargo, los expertos en ciberseguridad deben usar esta herramienta con precaución, asegurándose de que su implementación no abra nuevas vías de explotación accidentalmente”, apunta Maher Yamout, analista principal de seguridad en GReAT de Kaspersky.
También se anticipa que los grupos APT adoptarán cada vez más tecnologías de deepfake para suplantar a personas clave. Esto podría incluir la creación de mensajes o videos altamente convincentes para engañar a empleados, robar información sensible o ejecutar otras acciones maliciosas.
Otras predicciones de amenazas persistentes avanzadas para 2025 incluyen:
- Incremento de ataques a la cadena de suministro en proyectos de código abierto. Aunque el caso XZ puso de relieve un problema significativo, este incidente ha incrementado la conciencia dentro de la comunidad de ciberseguridad y ha llevado a las empresas a mejorar la vigilancia de los ecosistemas de código abierto. Aunque la frecuencia de estos ataques puede no aumentar drásticamente, es probable que se descubran más ataques en curso a medida que mejoren los esfuerzos de detección.
- Malware en C++ y Go adaptado al ecosistema de código abierto. A medida que los proyectos de código abierto adoptan versiones modernas de C++ y Go, los actores de amenazas necesitarán adaptar su malware para alinearse con estos lenguajes ampliamente utilizados. En 2025, se espera un aumento significativo de grupos APT y ciberdelincuentes migrando a las últimas versiones de C++ y Go, aprovechando su creciente prevalencia en proyectos de código abierto.
- IoT como vector creciente de ataques APT en 2025. Con un estimado de 32 mil millones de dispositivos IoT para 2030, los riesgos de seguridad aumentarán. Muchos dispositivos dependen de servidores inseguros y firmware obsoleto, lo que los hace vulnerables. Los atacantes explotarán debilidades en aplicaciones y cadenas de suministro, insertando malware durante la producción. Dado que la visibilidad en la seguridad del IoT sigue siendo limitada, los defensores tendrán dificultades para mantenerse al día, y esta situación probablemente empeorará en 2025.
- Escalada de las alianzas hacktivistas en 2025. Los grupos hacktivistas están formando alianzas cada vez más amplias, compartiendo herramientas y recursos para alcanzar objetivos mayores y más impactantes. Para 2025, es probable que estas uniones crezcan en escala, lo que llevará a campañas más coordinadas y disruptivas a medida que los grupos se unan en torno a objetivos sociopolíticos comunes.
- Exploits BYOVD en campañas APT. La técnica BYOVD (lleva tu propio controlador vulnerable, por sus siglas en inglés) se ha convertido en una tendencia en 2024. De cara al futuro, se espera que esta tendencia continúe en 2025. A medida que los atacantes se vuelvan más hábiles en el aprovechamiento de vulnerabilidades a nivel bajo, es probable que aumente la complejidad de estos ataques, y pueden verse técnicas aún más refinadas, como la explotación de controladores obsoletos o de terceros que generalmente no se examinan en busca de fallos de seguridad.
