Los equipos de seguridad siguen detectando el mismo patrón: los intrusos no siempre usan malware sofisticado, sino que aprovechan debilidades básicas en la gestión y en los dispositivos perimetrales. Un amplio estudio basado en telemetría de examinó más de dos billones de eventos de TI y cerca de 600.000 alertas para identificar por dónde entran y cómo se mueven los atacantes dentro de las redes.
El mensaje principal es claro y urgente: asegurar el cortafuegos y controlar las cuentas con acceso remoto son prioridades que pueden reducir significativamente el riesgo de una intrusión que termine en ransomware.
A continuación se desglosan los hallazgos más relevantes y las acciones prácticas para mitigarlos.
Cómo empiezan los incidentes: identidad y gestión de acceso
Los eventos más frecuentes detectados fueron alertas relacionadas con identidad, en particular inicios de sesión anómalos en servicios en la nube. Por ejemplo, las detecciones de accesos atípicos en Microsoft 365 fueron de las más recurrentes, indicando robo de credenciales o suplantación. Estos sucesos suelen preceder movimientos laterales y escaladas de privilegios, lo que demuestra que el compromiso de una cuenta válida es a menudo suficiente para avanzar en una intrusión.
Patrones de escalada y sigilo
Una vez dentro, los atacantes buscan aumentar privilegios mediante acciones que imitan operaciones administrativas normales: añadir usuarios a grupos con derechos elevados o modificar roles en administraciones de correo y directorios. Ese comportamiento, que puede parecer rutina, facilita la persuasión de controles y la permanencia. Por eso es clave monitorizar cambios en grupos privilegiados y auditar las acciones administrativas con mayor detalle.
Perímetro comprometido: por qué los cortafuegos y el acceso remoto son críticos
El análisis mostró que el 90% de los incidentes de ransomware detectados en aprovecharon vulnerabilidades o cuentas comprometidas en dispositivos perimetrales como firewalls, VPNs y otros servicios de acceso remoto. Muchos de esos fallos no eran nuevos: la vulnerabilidad más frecuente fue CVE-2013-2566, un problema vinculado a algoritmos de cifrado obsoletos presente en sistemas heredados.
Herramientas remotas y abuso legítimo
Los atacantes mezclan técnicas: instalan o hacen uso de herramientas de gestión remota legítimas (por ejemplo, ScreenConnect, AnyDesk, RDP) para mantener persistencia y moverse sin levantar sospechas.
En incidentes observados, se llegó a registrar software malicioso como servicio de Windows o a desplegar soluciones de administración remota para ocultar la actividad maliciosa bajo comportamientos aparentemente rutinarios.
Vulnerabilidades, configuraciones y la cadena de suministro
Además de fallos técnicos, dos factores recurrentes alimentan las intrusiones: configuraciones deficientes y accesos de terceros mal gestionados. En el estudio se identificaron miles de vulnerabilidades únicas, con una proporción no desdeñable que contaba con exploit conocido, lo que convierte a ciertos sistemas en objetivos de bajo esfuerzo para actores maliciosos.
El papel de terceros es notable: muchas intrusiones partieron de cuentas de proveedores o integradores cuya actividad o acceso no fue revocado tras finalizar contratos. La falta de gobernanza sobre cuentas de terceros crea puertas traseras que pueden permanecer años sin detección y luego convertirse en punto de entrada para el ransomware.
Errores operativos que facilitan ataques
Entre las prácticas que más se repiten están agentes de protección deshabilitados, reglas de seguridad en la nube anuladas y certificados débiles o autofirmados. En los incidentes analizados, cada caso incluía al menos un endpoint sin protección o una configuración que permitía el avance del atacante. Estas fallas operativas son a menudo más determinantes que un fallo técnico puntual.
Recomendaciones prácticas
Para reducir el riesgo los equipos de TI deben priorizar parches en dispositivos perimetrales, auditar y revocar accesos de terceros, aplicar multifactor en todos los puntos de entrada y vigilar cambios administrativos en tiempo real. También es esencial actualizar o retirar sistemas que sigan usando criptografía obsoleta y reforzar la cobertura de agentes de protección en todos los endpoints.
Una estrategia práctica y sostenida que combine parches, gobernanza de accesos y monitorización enfocada puede marcar la diferencia entre un intento fallido y un incidente de alto impacto.
