Hace tiempo que la seguridad perimetral dejó de ser la única barrera entre nuestras empresas y los atacantes, pero lo que está cambiando con fuerza es la forma en que estos actores logran entrar: ya no dependen tanto de explotar fallos técnicos novedosos como de aprovechar accesos y herramientas que las propias organizaciones consideran legítimas. Ese giro, documentado en el informe anual de una firma de respuesta a incidentes, obliga a repensar cómo medimos el riesgo y qué controlamos dentro de la red.
Los puntos de acceso remoto y las utilidades administrativas confiables se han convertido en vector principal de intrusión. En muchos ejemplos analizados por equipos de respuesta, los atacantes consiguieron sesiones válidas —a menudo a través de VPNs o agentes de gestión remota— y se movieron lateralmente como si fueran administradores legítimos. Esa estrategia explota precisamente la confianza que rodea a estas herramientas: una sesión VPN o una conexión RMM activa suele parecer normal para los controles y para los operadores, lo que permite a los intrusos alcanzar sistemas críticos sin generar alarmas inmediatas.
El abuso de herramientas de administración remota no es una anécdota aislada. Existen múltiples investigaciones públicas y guías que advierten sobre cómo los actores maliciosos instalan o reutilizan soluciones de monitoreo y gestión para mantener persistencia y operar con apariencia legítima. Esa realidad subraya la necesidad de tener un inventario claro de qué agentes están autorizados y de someter estos instrumentos a supervisión y políticas estrictas, tal como recomiendan las agencias de seguridad pública y los marcos de buenas prácticas.
La ingeniería social sigue siendo la vía más efectiva para abrir puertas. Lejos de buscar vulnerabilidades en código, muchos grupos consiguen que un usuario realice una acción aparentemente inocua: seguir un enlace, ejecutar un comando o pegar una instrucción en un cuadro de ejecución del sistema. Algunas campañas se disfrazan de pasos de verificación visual —capchas o controles de “clic para verificar”— y terminan instruyendo a la víctima a introducir comandos en Windows u otras consolas, permitiendo que el atacante use las mismas herramientas del sistema para ejecutar su cadena de ataque.
Este enfoque se apoya en lo que la comunidad de seguridad denomina "living off the land" —aprovechar binarios y utilidades presentes por defecto en los sistemas— y es especialmente difícil de detectar si la organización no monitoriza adecuadamente el uso legítimo versus el malicioso de esas utilidades. Microsoft mantiene documentación y alertas sobre estos binarios y scripts que se usan con frecuencia en intrusiones, y por eso la visibilidad sobre su ejecución es clave para distinguir un proceso administrativo de una maniobra maliciosa: Microsoft - Living off the land binaries.
En el entorno cloud, la autenticación multifactor puso freno a muchos intentos de acceso directo, pero no acabó con las intrusiones. Los atacantes han logrado capturar sesiones ya autenticadas y reutilizarlas, un método que desde la perspectiva de la plataforma cloud parece una sesión legítima. Esa técnica pone en evidencia que, además de exigir múltiples factores, las organizaciones deben vigilar las sesiones activas y aplicar controles que evalúen el riesgo de la sesión en marcha, no solo el éxito de la autenticación inicial.
La defensa debe moverse de la prevención absoluta a la detección y gestión del riesgo contextual. Proteger el acceso remoto implica más que cerrar puertos: requiere políticas que ponderen la sensibilidad de la sesión, el estado del dispositivo desde el que se accede y el contexto geográfico o de red. Los principios de arquitectura de confianza cero y controles condicionales son herramientas relevantes para esto, y los documentos técnicos de referencia ofrecen marcos para implantar esas ideas en entornos heterogéneos: NIST SP 800-207 - Zero Trust.
No hay soluciones mágicas, pero sí medidas que reducen significativamente la superficie de riesgo. Entre ellas están la gestión estricta de qué soluciones RMM están autorizadas y la eliminación de agentes obsoletos, la limitación de ejecuciones desde directorios con permisos de usuario, y la implementación de controles de acceso condicional que consideren la postura del dispositivo y el riesgo de la sesión. Las guías oficiales y las agencias de ciberseguridad públicas recogen estos enfoques como mejores prácticas para proteger accesos remotos: CISA - Securing Remote Access y CISA - Multi-Factor Authentication.
Además, es imprescindible aumentar la telemetría y la correlación entre capas. Un sistema de detección que solo mira intentos de explotación técnica puede pasar por alto un atacante que se mueve con credenciales válidas; por eso los equipos de seguridad deben integrar logs de autenticación, de conexiones VPN y de herramientas RMM con la información de detección de endpoints y del tráfico de red. Esa visión combinada facilita ver las trazas que revelan movimientos laterales o reutilización de sesiones.
La formación y el entrenamiento del personal siguen siendo un pilar: cuando el vector es social, reducir la probabilidad de que alguien ejecute instrucciones sospechosas obra una gran diferencia. Pero la formación debe ir acompañada de procesos que hagan difícil que una acción cotidiana convierta en desastre, por ejemplo limitando privilegios por defecto y validando solicitudes administrativas sensibles mediante canales secundarios.
Otro punto a considerar es la adopción de mecanismos de autenticación resistentes al phishing. Las organizaciones que migran a soluciones basadas en claves o en estándares de autenticación no susceptibles de ser replicados en páginas falsas (por ejemplo, FIDO/WebAuthn) elevan la barrera para campañas que capturan credenciales o tokens: FIDO Alliance.
Por último, los incidentes recientes muestran que los atacantes buscan mezclarse con el ruido de la red: usan canales de comunicación que asemejan tráfico legítimo y desarrollan implantes que pivotan con métodos modernos como WebSockets para permanecer activos sin llamar la atención. Esa sofisticación exige que los equipos de respuesta actualicen sus reglas de detección y amplíen sus escenarios de análisis, y también que las organizaciones compartan información sobre técnicas emergentes en foros profesionales y con proveedores de seguridad.
Si quieres revisar ejemplos concretos y datos agregados sobre estas tendencias, la firma que ha analizado miles de investigaciones celebra una sesión en la que desgranará casos prácticos y recomendaciones; la convocatoria y el informe asociado están disponibles en la página del organizador: Blackpoint Cyber - Inside the SOC (registro).
En síntesis, el paisaje de amenazas actual nos obliga a mirar con sospecha aquello que siempre dimos por bueno: las herramientas de acceso remoto y las acciones rutinarias de los usuarios. La defensa moderna combina políticas que limitan el riesgo, controles técnicos que elevan la dificultad de abuso y una visibilidad integrada que permite detectar comportamientos anómalos antes de que una sesión legítima se convierta en un punto de partida para un compromiso mayor.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...