CrowdStrike informa de un aumento del 136% en las intrusiones en la nube y las amenazas habilitadas por IA

El último informe sobre la caza de amenazas 2025 de CrowdStrike pinta un panorama desolador de un panorama de amenazas que sigue intensificándose en múltiples frentes. Entre enero de 2025 y junio de 2025, el equipo OverWatch de la empresa registró un aumento del 136% en las intrusiones centradas en la nube en comparación con todo el año 2024, lo que demuestra la rapidez con la que los adversarios dominan las técnicas para explotar las cargas de trabajo, los servicios y los activos del plano de control en entornos de nube pública e híbrida.

Las intrusiones interactivas y prácticas a través del teclado también son cada vez más comunes y sofisticadas. CrowdStrike observó un aumento interanual del 27% en estas intrusiones; el 73% estaban vinculadas a actores del crimen electrónico con motivaciones financieras, lo que pone de relieve el atractivo comercial de los ecosistemas de ransomware como servicio y los mercados de intermediarios de acceso.

El phishing de voz (vishing) se ha convertido en una de las tácticas de ciberdelincuencia de más rápido crecimiento. Los ataques se dispararon un 442% del primer al segundo semestre de 2024 y ya ha superado los totales del año pasado en los seis primeros meses de 2025. Grupos como SCATTERED SPIDER siguen combinando su experiencia en ingeniería social con credenciales robadas para pasar de la toma inicial de la cuenta al despliegue del ransomware en tan sólo 24 horas, un 32% más rápido que en 2024.

El espionaje a nivel nacional sigue siendo preocupante. Los operadores vinculados a China impulsaron un aumento del 130% en la actividad de los estados-nación contra objetivos de telecomunicaciones, mientras que los adversarios vinculados a Rusia representaron la mayor parte del aumento del 185% en las intrusiones en el sector gubernamental. Los analistas de CrowdStrike señalan que las maniobras entre dominios, pivotando rápidamente de la identidad al punto final y a la nube, ayudan a actores sofisticados como BLOCKADE SPIDER y OPERATOR PANDA a permanecer encubiertos hasta una fase avanzada del ciclo de vida del ataque.

La IA generativa es ahora un acelerador central de varias campañas. El informe destaca a FAMOUS CHOLLIMA, alineado con la RPDC, que se infiltró en más de 320 empresas durante el periodo estudiado (un aumento interanual estimado del 220%) utilizando servicios de modelos lingüísticos de gran tamaño para fabricar currículos, identidades deepfake e incluso respuestas a entrevistas en tiempo real. Una vez contratados, los impostores se apoyan en asistentes de codificación de IA y herramientas de traducción para hacer malabarismos con varios trabajos de desarrollador remoto simultáneamente, todo ello mientras exfiltran propiedad intelectual.

CrowdStrike recomienda procedimientos mejorados de verificación de identidad durante la contratación, comprobaciones de deepfake en tiempo real en las entrevistas, una supervisión más estricta de la actividad de acceso remoto y una caza continua a través de la telemetría de identidad, endpoint y nube. Mientras que los defensores están recurriendo cada vez más a sus propios canales de aprendizaje automático, el proveedor advierte que los modelos de IA deben ser entrenados con datos curados y de confianza para evitar el envenenamiento y otros intentos de manipulación.