Principales conclusiones del último ISR: más malware y más difícil de detectar
El malware no solo ha aumentado, sino que también se ha vuelto más difícil de detectar. Las técnicas evasivas están transformando el panorama de las amenazas y llevando los modelos de seguridad tradicionales al límite. Las campañas de malware avanzadas actuales logran eludir de manera constante múltiples capas de defensa —desde el correo electrónico y la red hasta los endpoints—, desafiando incluso las infraestructuras más robustas.
El último Informe de Seguridad en Internet de WatchGuard del cuarto trimestre de 2024 revela un panorama preocupante: el malware no solo está aumentando, sino que se está volviendo más difícil de detectar. Las técnicas evasivas están desafiando los modelos de seguridad tradicionales, permitiendo que campañas avanzadas de malware eludan múltiples capas de defensa, desde el correo electrónico y la red hasta los endpoints.
Según el Informe de Seguridad en Internet de WatchGuard correspondiente al cuarto trimestre de 2024, las detecciones de malware de red aumentaron un 94% en comparación con el trimestre anterior. Aún más preocupante es el incremento del 315% en malware evasivo, código malicioso capaz de ocultar su presencia, utilizar canales cifrados y eludir los motores antivirus convencionales sin generar alertas.
Malware evasivo: sigiloso, persistente y muy eficaz
El malware evasivo se está convirtiendo rápidamente en la táctica preferida de los ciberdelincuentes. Como puede pasar desapercibido, permanece activo durante más tiempo y causa mayores daños con menor exposición.
Un método destacado es el uso de las técnicas Living-off-the-Land (LotL), que aprovechan las herramientas legítimas del sistema para llevar a cabo acciones maliciosas. En el cuarto trimestre de 2024, el 83% de los ataques a endpoints emplearon tácticas LotL, y el 97% de ellos aprovecharon PowerShell, una plataforma utilizada habitualmente para la automatización de tareas entre plataformas. Al convertir herramientas de administración de confianza en vectores de ataque, los adversarios pueden burlar las defensas diseñadas para detectar amenazas externas.
Para las organizaciones, el mensaje es claro: si PowerShell no se supervisa y los permisos de los scripts no se controlan estrictamente, los agresores pueden moverse libremente por el entorno. Dado que estas herramientas son legítimas y suelen estar preinstaladas, rara vez activan alertas en las soluciones de seguridad tradicionales, lo que las hace ideales para operaciones furtivas sin desplegar malware adicional.
De la prevención a la detección precoz
Otra conclusión clave del informe: más de la mitad del malware detectado era de día cero. En este contexto, las defensas estáticas, como los firewalls basados en reglas, ya no son suficientes.
Ahí es donde entran en juego las tecnologías antimalware proactivas: soluciones que utilizan el machine learning o el sandboxing dinámico para detectar amenazas evasivas observando cómo se comportan los archivos o programas en tiempo real dentro de entornos aislados. Estos métodos identifican comportamientos sospechosos incluso cuando el código es nuevo, está ofuscado o era desconocido.
Para muchas organizaciones, especialmente los proveedores de servicios gestionados (MSP), este cambio requiere una nueva mentalidad: ya no se trata de bloquear todas las amenazas, sino de detectarlas y responder antes de que una intrusión se convierta en una violación en toda regla.
¿Qué pueden hacer las organizaciones?
Para contrarrestar las amenazas más sigilosas de hoy en día, las empresas deben adoptar una estrategia de seguridad moderna basada en tres pilares:
1. Gestión de parches y actualizaciones
La ciberseguridad no puede ser estática, especialmente frente al malware evasivo. La gestión automatizada de parches y la auditoría continua de vulnerabilidades deben integrarse en los ciclos de vida de la infraestructura. Esto garantiza que las defensas sigan siendo eficaces a lo largo del tiempo y se adapten de forma proactiva a las amenazas emergentes sin requerir una intervención manual constante.
2. Visibilidad integral
No se puede proteger lo que no se ve. Es esencial supervisar el tráfico cifrado, la actividad de PowerShell, el comportamiento de los endpoints y los eventos de red sospechosos. Sin una visibilidad completa, las organizaciones se encuentran a ciegas en el complejo panorama actual de las amenazas.
3. Defensa por capas e integrada
La seguridad no consiste en tener un montón de herramientas desconectadas, sino en integrarlas. Las soluciones deben compartir la telemetría y responder de forma coordinada. Un enfoque XDR (Extended Detection and Response) permite a las organizaciones correlacionar datos entre fuentes de red, endpoints e identidades, mejorando las capacidades de detección y automatizando las respuestas para reducir la complejidad y acelerar la resolución.
Para los MSP, este cambio es también una oportunidad de ofrecer servicios más avanzados y personalizados que satisfagan las necesidades defensivas actuales con un enfoque centrado e inteligente.
Reflexiones finales
Ante el aumento del malware evasivo, las organizaciones deben evolucionar. Adoptar una postura de seguridad proactiva centrada en la detección temprana, el análisis en profundidad y la respuesta controlada ante incidentes ya no es opcional, sino esencial. Es la diferencia entre ser resiliente y estar expuesto.
