Los datos no dejan lugar a dudas: las detecciones únicas de malware aumentaron un 171% en comparación con el trimestre anterior, el mayor crecimiento registrado hasta la fecha por el equipo de WatchGuard Threat Lab. Especialmente preocupante es el auge del malware tipo zero day, diseñado específicamente para eludir los sistemas de seguridad basados en firmas.

Y es que, los atacantes cambian de estrategia, apuestan por la ofuscación, el cifrado y la inteligencia artificial. El último Informe de Seguridad en Internet de WatchGuard Technologies revela un incremento sin precedentes de las amenazas detectadas en red, endpoints y conexiones cifradas durante el primer trimestre del año. Un panorama en el que las defensas tradicionales ya no son suficientes.

La tecnología basada en machine learning, sin embargo, se ha convertido en un aliado clave frente a estas nuevas amenazas. La solución IntelligentAV (IAV) de WatchGuard, basada en aprendizaje automático, incrementó su detección proactiva un 323%, lo que pone de relieve su papel frente al malware más avanzado y ofuscado. También se observó un aumento del 30% en los ataques interceptados por Gateway AntiVirus (GAV) y un repunte de 11 puntos en las amenazas distribuidas a través de conexiones cifradas mediante TLS.

“Los atacantes están utilizando herramientas de IA para lanzar campañas de phishing cada vez más precisas y automatizadas. La guerra de la inteligencia artificial ya ha comenzado”, señala Corey Nachreiner, Chief Security Officer de WatchGuard.

Endpoints bajo asedio

Uno de los datos más llamativos del informe es el crecimiento del 712% en amenazas de malware detectadas en endpoints. Tras tres trimestres de caída, esta cifra evidencia un cambio radical en el enfoque de los ciberdelincuentes. En este ámbito, la amenaza más común ha sido LSASS dumper, una herramienta utilizada para robar credenciales y escalar privilegios mediante la manipulación directa del sistema operativo.

El informe también confirma la transformación del ransomware. Aunque su presencia ha disminuido un 85%, su carga útil sigue estando muy presente, con variantes como Termite ransomware. En lugar de cifrar los archivos, los atacantes prefieren ahora extraer información confidencial, conscientes de que muchas organizaciones cuentan con sistemas de backup cada vez más eficaces.

Adiós a los scripts, hola al LoTL

Históricamente, los scripts han sido uno de los vectores más utilizados para atacar endpoints. Sin embargo, este trimestre su uso se ha reducido a la mitad, mientras que aumentan las técnicas Living off The Land (LoTL), que aprovechan herramientas legítimas de Windows para ejecutar código malicioso sin levantar sospechas. Este tipo de amenazas creció un 18% en el periodo analizado.

Una de las amenazas más sofisticadas identificadas ha sido Trojan.Agent.FZPI, un archivo HTML que combina múltiples técnicas de engaño y cifrado, lo que le convierte en un arma especialmente eficaz en campañas de phishing. Desde WatchGuard se recomienda a las organizaciones que refuercen sus políticas de inspección TLS, incorporen análisis de comportamiento y apuesten por protección avanzada en el endpoint.

Más amenazas locales, menos exploits nuevos

El malware más extendido del trimestre ha sido Application.Cashback.B.0835E4A4, que ha alcanzado niveles muy elevados de prevalencia en países como Chile (76%) e Irlanda (65%). Este patrón geográfico subraya la necesidad de implementar defensas adaptadas a cada región.

Por otro lado, el número de firmas únicas de red detectadas ha descendido un 16%, lo que indica que los atacantes están reutilizando exploits antiguos, confiando en que las organizaciones aún no hayan parcheado vulnerabilidades ya conocidas.

IA en ambos bandos

Una conclusión que atraviesa todo el informe es el papel creciente que desempeña la inteligencia artificial tanto en la ofensiva como en la defensa. Si bien los ciberdelincuentes la utilizan para crear campañas de phishing más creíbles y automatizadas, también las soluciones basadas en IA y aprendizaje automático están mejorando significativamente la capacidad de detección en el perímetro y en el endpoint.

Como concluye Nachreiner: “Las organizaciones deben adoptar soluciones de seguridad robustas, adaptativas y con visibilidad total si quieren adelantarse a los nuevos riesgos impulsados por la IA”.

Fuente: https://revistabyte.es/actualidad-it/ia-malware-record/