Automatice la contención de ataques híbridos con 360 Response.

Automatice la contención de ataques híbridos con 360 Response >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Sesiones informativas sobre amenazas

Fallos en la seguridad operativa: cómo los errores de los actores maliciosos ayudan a los defensores

9 de enero de 2026
Lucie Cardiet
Responsable de investigación de ciberamenazas
Fallos en la seguridad operativa: cómo los errores de los actores maliciosos ayudan a los defensores

Los actores maliciosos suelen intentar aparentar disciplina y gran habilidad. Algunos operan ransomware como negocio, mientras que otros son grupos organizados de ciberdelincuentes o equipos patrocinados por el Estado. Invierten tiempo en herramientas, infraestructura y evasión.

Los informes públicos muestran que esta imagen no siempre se corresponde con la realidad.

En varios casos recientes, los atacantes cometieron errores básicos de seguridad operativa (OPSEC). Estos errores dejaron al descubierto su infraestructura, sus herramientas y su comportamiento. En lugar de permanecer invisibles, los atacantes se hicieron visibles para los defensores.

A continuación se presentan tres fallos de OPSEC denunciados por investigadores en diciembre de 2025.

Devman: Fallos procedimentales de OPSEC en operaciones de ransomware

En un artículo anterior, traté los detalles técnicos del ransomware Devman, incluyendo cómo funcionaba y qué reutilizaba del código de ransomware existente.

Tras el lanzamiento, Devman fue objeto de críticas públicas en X por lo que los investigadores describieron como «una OPSEC deficiente». Varios analistas señalaron que el grupo había expuesto su propia infraestructura y sus sistemas internos al lanzar su oferta de ransomware como servicio (RaaS).

Entre los problemas notificados se incluyen:

  • Infraestructura interna expuesta durante el lanzamiento: los sistemas utilizados para gestionar la operación, incluidos los servicios internos, eran accesibles desde Internet.
  • Protección deficiente de los sistemas de gestión y comunicación: los investigadores pudieron observar cómo se coordinaban algunas partes de la operación.
  • Un lanzamiento público precipitado: la plataforma RaaS se puso en marcha antes de que los sistemas internos estuvieran debidamente aislados o protegidos.
  • Reutilización de herramientas sin el endurecimiento suficiente: la operación se basó en componentes existentes que no se habían probado adecuadamente desde el punto de vista de la seguridad operativa (OPSEC).

El resultado fue una percepción pública de que la operación era inmadura y estaba mal controlada, especialmente para un grupo que intentaba atraer afiliados.

Hunters de Lapsu$ dispersos: fallos de OPSEC conductuales en la verificación de objetivos

Actores asociados con SLSH afirmaron públicamente que habían violado una empresa de ciberseguridad. Publicaron capturas de pantalla y afirmaron que se habían robado datos confidenciales.

Los informes de seguimiento revelaron que los sistemas a los que se accedió no eran entornos de producción. Los atacantes habían interactuado con un honeypot que contenía datos sintéticos diseñados para parecer reales.

Los investigadores destacaron varios fallos en la OPSEC:

  • No se validó el entorno de destino: se asumió que los sistemas accesibles eran reales sin confirmar si estaban aislados o supervisados.
  • Confianza en los datos sintéticos: los datos que parecían legítimos se aceptaban como prueba de compromiso sin una verificación más profunda.
  • Declaraciones públicas prematuras: la violación se anunció antes de que se hubiera confirmado.
  • Problemas de automatización que exponen detalles técnicos: los repetidos intentos de rastreo y acceso provocaron fallos en el proxy que filtraron información técnica útil para el seguimiento.

La credibilidad del grupo se vio afectada cuando se demostró que la afirmación era falsa.

APT patrocinada por el Estado: fallos técnicos de OPSEC en el aislamiento del sistema

Los investigadores descubrieron que un sistema utilizado por un agente malicioso norcoreano había sido infectado con LummaC2, un malware muy utilizado para robar información. La máquina infectada pertenecía a un desarrollador involucrado en las operaciones cibernéticas de Corea del Norte.

El análisis de los registros reveló credenciales y herramientas vinculadas al sistema. Investigaciones posteriores relacionaron la máquina con la infraestructura asociada al robo de 1400 millones de dólares en criptomonedas de Bybit, atribuido a actores norcoreanos, entre ellos el Grupo Lazarus.

Entre los fallos de OPSEC notificados se incluyen:

  • Higiene deficiente de los puntos finales: un sistema controlado por un atacante fue comprometido por un infostealer común.
  • Reutilización de credenciales: las cuentas de correo electrónico y las credenciales almacenadas en el dispositivo estaban vinculadas a una infraestructura maliciosa conocida.
  • Falta de aislamiento: las herramientas, phishing y los activos operativos estaban presentes en un único sistema.
  • Anonimización incompleta: el uso de la VPN no logró ocultar por completo la configuración del navegador, los ajustes de idioma y los patrones de uso.

No se trató de un incidente aislado. En mayo de 2025, los desarrolladores del malware DanaBot infectaron accidentalmente sus propios equipos, y los datos de credenciales recuperados fueron posteriormente utilizados por los investigadores.

Ambos casos muestran cómo los atacantes pueden convertirse en víctimas de las mismas amenazas que ellos mismos desplegan.

Por qué los errores de OPSEC son importantes para los defensores

Estos incidentes ponen de relieve una simple verdad: los actores maliciosos siguen siendo humanos, e incluso los equipos más cualificados cometen errores humanos.

Cuando se producen esos errores, generan señales que los defensores pueden observar:

  • Cómo se comportan los atacantes tras obtener acceso
  • ¿Qué herramientas e infraestructura reutilizan?
  • Cómo prueban, validan y anuncian el éxito
  • Donde el aislamiento y el anonimato se rompen

Los entornos de engaño, los datos sintéticos y la supervisión basada en el comportamiento no eliminan los ataques, sino que revelan el comportamiento de los atacantes cuando las suposiciones fallan.

Los atacantes están adoptando cada vez más herramientas basadas en la inteligencia artificial. La automatización y la inteligencia artificial pueden acelerar el reconocimiento, la selección de objetivos y la explotación, pero no eliminan el juicio humano del proceso. También pueden introducir nuevos errores:

  • Confianza excesiva en los resultados automatizados
  • Escalar falsas suposiciones más rápidamente
  • Repetir errores a la velocidad de la máquina

La tecnología cambia. Las personas no.

Yahí es donde los defensores siguen ganando visibilidad.

Preguntas frecuentes