Crece la oleada de ciberataques que usan software legítimo para entrar sin ser detectados
El abuso de credenciales válidas y de software legítimo complica la detección temprana y amplía el alcance de los ciberataques.
El equipo de SOC de Barracuda Networks ha observado en las últimas semanas un incremento sustancial del uso malicioso de herramientas legítimas de acceso remoto, un vector que se está consolidando como uno de los más eficaces para comprometer infraestructuras corporativas.
Entre los casos detectados destaca el uso indebido de ScreenConnect, una herramienta de gestión remota ampliamente adoptada por organizaciones y proveedores de servicios. Los analistas del SOC han registrado tanto intentos de conexión de actores maliciosos a instalaciones existentes como la implementación directa de ScreenConnect por parte de los atacantes para obtener control persistente sobre los equipos.
El auge de esta actividad se ha visto favorecido por una vulnerabilidad crítica descubierta a comienzos de 2025 en versiones antiguas de ScreenConnect. Esta vulnerabilidad permite la ejecución remota de código sin autorización, abriendo la puerta a la instalación de ransomware, el robo de datos y el movimiento lateral dentro de la red. Aunque el fabricante lanzó un parche el 24 de abril de 2025, muchas organizaciones siguen operando con versiones sin actualizar, lo que amplía la superficie de ataque y facilita que una sola brecha proporcione acceso a múltiples sistemas o incluso a infraestructuras completas.
Paralelamente, el SOC ha detectado un aumento de incidentes en los que los atacantes se valen de credenciales robadas o adquiridas en mercados ilícitos para acceder a sistemas sin levantar sospechas. Este tipo de intrusiones resulta especialmente difícil de identificar porque utilizan nombres de usuario y contraseñas legítimas, mimetizando el comportamiento de usuarios reales. Sin embargo, los analistas alertan de patrones que delatan estas actividades, como el uso anómalo de herramientas administrativas, múltiples intentos de inicio de sesión simultáneos y la creación inesperada de servicios remotos, señales compatibles con la preparación de ataques de ransomware o la exfiltración de información sensible.
Otro indicador preocupante es el crecimiento de los intentos de acceso no autorizado a cuentas de Microsoft 365 desde países en los que las organizaciones afectadas no operan. Este fenómeno refuerza la sospecha de que los atacantes están recurriendo de manera masiva a credenciales comprometidas para infiltrarse en entornos corporativos, acceder a correos electrónicos y archivos, y suplantar la identidad de los empleados con el fin de llevar a cabo campañas de phishing interno y extenderse a otras áreas de la red.
Según el SOC, la confluencia de estos tres vectores —vulnerabilidades en herramientas de acceso remoto, abuso de credenciales válidas e intentos de inicio de sesión desde ubicaciones inusuales— refleja una sofisticación creciente en las tácticas de los ciberdelincuentes y una tendencia a explotar mecanismos legítimos para evitar la detección. Esta situación plantea riesgos significativos para empresas de todos los sectores, especialmente aquellas que no aplican actualizaciones de forma regular, carecen de autenticación multifactor o no cuentan con una supervisión continuada de la actividad remota.
Ante este escenario, la monitorización avanzada y el análisis de comportamiento se consolidan como elementos críticos para contener incidentes antes de que deriven en brechas mayores. La identificación temprana de actividades sospechosas, sumada a políticas estrictas de contraseñas, aplicación sistemática de MFA y controles de acceso basados en la ubicación, puede reducir de forma drástica las oportunidades de éxito para los atacantes. Soluciones de seguridad con supervisión continua por parte de un SOC especializado permiten detectar irregularidades en tiempo real y responder con rapidez, minimizando el impacto operativo y económico de los incidentes.
