Boletín de agosto de CISA: Por qué necesita una detección posterior al compromiso

28 de agosto de 2025

Responsable de investigación de ciberamenazas

Boletín de agosto de CISA: Por qué necesita una detección posterior al compromiso

El pasado diciembre, la publicación de directrices conjuntas de la CISA y sus socios dejó claro que los grupos chinos patrocinados por el Estado estaban atacando sistemáticamente a los proveedores de telecomunicaciones. Esa campaña, conocida en el sector como Salt Typhoon, puso de manifiesto hasta qué punto los adversarios podían atrincherarse en las redes que transmiten las comunicaciones más sensibles del mundo.

El 27 de agosto de 2025, la misma coalición de agencias de seguridad internacionales emitió un aviso aún más aleccionador. Esta vez, la advertencia va mucho más allá de las empresas de telecomunicaciones. Los resultados muestran que los actores chinos de amenazas persistentes avanzadas (APT) están comprometiendo una amplia gama de infraestructuras críticas, desde redes gubernamentales y militares hasta sistemas de transporte y alojamiento, alimentando con datos lo que los funcionarios describen como un sistema de espionaje global.

Ya no se trata de incidentes aislados contra un sector. Se trata de un acceso persistente y sigiloso a través de la columna vertebral de las comunicaciones y servicios internacionales. Para los defensores, la lección es clara: las medidas de refuerzo son necesarias, pero por sí solas no bastan. Los atacantes persistentes de alcance global necesitan visibilidad y detección tras el ataque para evitar el espionaje y el robo de datos a largo plazo.

Novedades de la advertencia de agosto de 2025

El aviso del 27 de agosto del CISA, la NSA, el FBI y más de una docena de socios internacionales esboza una campaña más amplia y agresiva que la descrita en diciembre de 2024. Destacan tres cambios:

1. Expansión más allá de las telecomunicaciones.

En Salt Typhoon se centraba principalmente en el sector de las comunicaciones, este último informe muestra a los actores chinos patrocinados por el Estado comprometiendo una gama más amplia de infraestructuras en todo el mundo. Los objetivos incluyen ahora agencias gubernamentales, sistemas de transporte, redes de alojamiento e incluso entornos militares. El alcance es global, con actividad observada en Estados Unidos, Europa, Asia y otros lugares.

2. Atribución unificada a un sistema de espionaje global.

La industria lleva mucho tiempo siguiendo la pista de esta actividad bajo nombres como Salt Typhoon, RedMike, GhostEmperor y UNC5807. El aviso deja claro que no se trata de grupos aislados, sino que forman parte de una campaña sostenida diseñada para establecer un acceso persistente a largo plazo y canalizar inteligencia hacia un sistema de espionaje centralizado.

3. Énfasis en la persistencia y el sigilo por encima de la explotación.

La explotación de CVE conocidas en dispositivos de borde sigue siendo una táctica distintiva, con repetidos abusos de las vulnerabilidades de Cisco IOS XE, Ivanti y Palo Alto. Pero el aviso dedica una atención significativa a la forma en que los atacantes se atrincheran tras el acceso inicial. En pocas palabras, una vez dentro, se esfuerzan por permanecer ocultos y mantener la puerta abierta. Esto es lo que parece:

Modificación de las listas de control de acceso (ACL):
Piense en las ACL como la "lista de invitados" de una red. Al añadir secretamente sus propias direcciones IP a estas listas, los atacantes se dan a sí mismos un "pase VIP" permanente que les permite volver a entrar siempre que quieran, incluso si otras defensas están parcheadas.
‍
Recolección de credenciales a través del tráfico TACACS+ y RADIUS:
Se trata de protocolos que controlan la forma en que los administradores inician sesión en sistemas críticos. Los atacantes configuran capturas de paquetes para registrar silenciosamente este tráfico de inicio de sesión. Si las credenciales se transmiten en texto claro o débilmente protegidas, los atacantes pueden reproducirlas o reutilizarlas (similar a escuchar una contraseña en la puerta y utilizarla más tarde).
‍
Establecimiento de túneles cifrados mediante GRE o IPsec:
Para ocultar sus robos de datos, los atacantes establecen túneles secretos dentro de la red que parecen conexiones seguras normales. Imagina a los contrabandistas disfrazando sus envíos en contenedores de carga legítimos; el tráfico se mezcla con las operaciones normales, haciendo que la exfiltración sea difícil de detectar.
‍
Abusando de Cisco Guest Shell para montar herramientas:
Guest Shell es un entorno Linux legítimo en contenedores dentro de los dispositivos Cisco. Los atacantes abusan de él para ejecutar scripts, almacenar datos robados e incluso instalar software adicional. Dado que Guest Shell no siempre se supervisa de cerca, esto proporciona a los adversarios un taller oculto en el propio dispositivo, donde pueden operar sin hacer saltar las alarmas.

En conjunto, estos métodos permiten a los adversarios desaparecer en el tejido de la red. Aunque los defensores parcheen las vulnerabilidades o ajusten las configuraciones, los atacantes suelen tener una forma de volver a colarse.

‍

TA0043Reconocimiento	TA0042Desarrollo de recursos	TA0001Acceso inicial	TA0002Ejecución	TA0003Persistencia	TA0004Escalada de privilegios	TA0005Defensa Evasión	TA0006Acceso a credenciales	TA0007Descubrimiento	TA0008Movimiento lateral	TA0009Colección	TA0011Command & Control	TA0010Exfiltración
T1590Recopilar información de la red de víctimas	T1583Adquirir infraestructura	T1190Explotación de aplicaciones de cara al público	T1059Intérprete de comandos y secuencias de comandos	T1098Manipulación de cuentas	T1068Explotación para la Escalada de Privilegios	T1027Archivos o información ofuscados	T1003Volcado de credenciales del SO	T1016Detección de la configuración de red del sistema	T1021Servicios remotos	T1005Datos del sistema local	T1071Protocolo de la capa de aplicación	T1048Exfiltración mediante protocolo alternativo
T1595Escaneado activo	T1584Infraestructura de compromiso	T1199Relación de confianza	T1569Servicios del sistema	T1136Crear cuenta	T1110Fuerza bruta	T1070Extracción del indicador	T1040Intrusión en la red	T1082Descubrimiento de información del sistema		T1560Archivo de datos recogidos	T1090Proxy
	T1588Obtener capacidades		T1609Comando de administración de contenedores	T1543Crear o modificar un proceso del sistema		T1562Deteriorar las defensas	T1110Fuerza bruta			T1602Datos del repositorio de configuración	T1095Protocolo sin capa de aplicación
						T1599Conexión de redes fronterizas	T1556Modificar el proceso de autenticación				T1571Puerto no estándar
						T1610Despliegue del contenedor					T1572Túnel de protocolo

TTP utilizadas por las APT chinas

‍

Limitaciones de la prevención por sí sola

El aviso ofrece páginas de orientación detallada sobre el refuerzo: parchee los dispositivos contra vulnerabilidades conocidas, restrinja los protocolos de gestión, imponga una autenticación fuerte y desactive los servicios no utilizados. Estas medidas son fundamentales, pero no bastan por sí solas.

Puedes parchear una CVE, pero no puedes parchear credenciales robadas.

Por qué no basta con prevenir:

Los atacantes aprovechan las debilidades existentes.
El aviso subraya que los ciberdelincuentes han tenido un "éxito considerable" con los CVE conocidos. Incluso cuando las organizaciones aplican parches con rapidez, los adversarios suelen encontrar sistemas sin parches o aprovechar actualizaciones atrasadas en entornos complejos.
‍
Los mecanismos de persistencia eluden el endurecimiento.
Una vez que los atacantes establecen túneles, modifican ACL o recogen credenciales, el simple cierre de la ruta de explotación inicial no los elimina. Los perímetros reforzados no pueden deshacer la persistencia ya incrustada en el entorno.
‍
El robo de credenciales socava los controles de acceso seguro.
Mediante la recopilación de tráfico TACACS+ o RADIUS, los atacantes pueden iniciar sesión como administradores legítimos. Para los defensores que sólo vigilan los inicios de sesión "no autorizados", esta actividad parece normal, lo que hace casi imposible detenerla sólo con prevención.
‍
Las lagunas de visibilidad permiten a los adversarios merodear.
El propio aviso reconoce que los vectores de acceso iniciales suelen ser desconocidos, lo que significa que las organizaciones pueden incluso no darse cuenta de cómo entraron los atacantes. Sin una supervisión y correlación continuas de la actividad, los adversarios pueden permanecer ocultos durante meses o años.

El mensaje es claro: la prevención reduce la exposición, pero no elimina la amenaza. Frente a los actores con grandes recursos y patrocinados por el Estado, los defensores deben planificar el compromiso e invertir en capacidades que puedan identificar el comportamiento del atacante después de que se haya producido la brecha.

El imperativo postcompromiso

Si el aviso de agosto enseña algo a los defensores, es que el endurecimiento y la aplicación de parches son sólo una parte de la respuesta. Cuando los adversarios están tan decididos, hay que partir de la base de que, en algún momento, entrarán. El reto consiste en detectarlos rápidamente, limitar su tiempo de permanencia y detener la filtración antes de que se produzcan daños duraderos.

Qué significa en la práctica la seguridad posterior a un compromiso:

Visibilidad continua.
Los atacantes se mezclan deliberadamente en el tráfico normal mediante túneles GRE o IPsec, o utilizando cuentas administrativas legítimas. La detección posterior a la infracción requiere una supervisión permanente del tráfico, las autenticaciones y la actividad de los dispositivos, y no sólo depender de las defensas perimetrales.
‍
Detección del comportamiento, no sólo firmas.
Dado que estos actores explotan CVE conocidos y luego se ocultan en túneles cifrados, la prevención basada en reglas y las firmas estáticas a menudo los pasan por alto. Los equipos de seguridad necesitan detectar el comportamiento de persistencia (como cambios inusuales de ACL, túneles inesperados o cuentas nuevas) en lugar de esperar a que aparezca un patrón de explotación conocido.
‍
Percepciones correlacionadas.
Un único inicio de sesión anómalo puede parecer benigno. Pero cuando se combina con cambios inusuales en la tabla de enrutamiento y transferencias de archivos cifrados, forma una clara narrativa de ataque. La correlación entre la red, la identidad y la telemetría de dispositivos es esencial para descubrir campañas ocultas.
‍
Respuesta más rápida.
Una vez que los atacantes se hacen persistentes, el tiempo juega a su favor. El aviso muestra que mantienen múltiples puertas traseras y pivotan a través de conexiones de confianza. La detección rápida y el triaje son la única manera de cortarles el paso antes de que filtren comunicaciones o credenciales confidenciales.

En resumen, la prevención frena a los adversarios, pero sólo la visibilidad posterior a la intrusión garantiza que no puedan operar sin ser detectados una vez dentro. Para las organizaciones que son objetivo de estas campañas, esa capacidad es la diferencia entre detectar una intrusión a tiempo o contribuir sin saberlo a un sistema de espionaje global.

Acortar distancias con Vectra AI

El aviso de agosto lo deja claro: los agentes chinos patrocinados por el Estado no están lanzando ataques puntuales. Están construyendo un sistema de espionaje persistente dentro de las redes mundiales. Las medidas de endurecimiento son esenciales, pero una vez que los atacantes están dentro, la prevención por sí sola no puede eliminarlos.

Aquí es donde la plataforma Vectra AI proporciona la capa crítica que falta:

Detecta tácticas de persistencia como cambios de privilegios, túneles ocultos y uso indebido de credenciales.
Correlaciona la actividad de usuarios, hosts y dispositivos en descripciones claras de las amenazas en la red, la cloud y la identidad.
Revela el comportamiento de los atacantes oculto en el tráfico cifrado o de confianza .
Identifica el abuso de herramientas legítimas como Cisco Guest Shell y sesiones VPN.
Se integra con la pila tecnológica existente (como EDR y SOAR) para enriquecer las alertas y acelerar la respuesta.
Da prioridad a las detecciones que corresponden directamente a las TTP descritas en el aviso.

Al cerrar las brechas de detección y respuesta, Vectra AI garantiza que los adversarios no puedan permanecer ocultos, incluso después de haber violado las defensas preventivas.

Los atacantes patrocinados por el Estado juegan a largo plazo. Con la detección posterior a la infracción, puede acortarla drásticamente.

→ Vea una demostración autoguiada de la plataforma Vectra AI para ver cómo.

¿Quiere saber más?

Vectra AI es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos