Desenmascarar a los impostores es algo que el mundo del arte ha enfrentado durante décadas, y hay lecciones valiosas de las obras de Elmyr de Hory que pueden aplicarse al mundo de la ciberseguridad defensiva. Durante la década de 1960, De Hory ganó fama como falsificador de primer nivel, haciendo pasar obras maestras falsificadas de Picasso, Matisse y Renoir a coleccionistas desprevenidos y museos de renombre. Durante las siguientes décadas, más de mil de sus obras pasaron desapercibidas para los expertos que confiaban en firmas confiables, patrones familiares y procedencia acreditada.
No es diferente a los desafíos que enfrentan los SOC ahora. Estamos firmemente en la Era de la Imitación. Los ciberatacantes, equipados con inteligencia artificial, están dominando el arte de imitar lo familiar, haciéndose pasar por usuarios confiables y enmascarando su actividad dentro de procesos legítimos y tráfico de red ordinario. Como muestra la historia, a menudo es más fácil identificar a los impostores cuando sabes qué buscar.
Conclusiones clave para los defensores:
- El mimetismo es la nueva normalidad: el 81% de los ataques están libres de malware
- La IA agente ayuda a los atacantes a esconderse de manera más efectiva dentro del tráfico y comportamientos inocentes de la red.
- La defensa por capas ahora requiere más capas para extender la protección a través de las cadenas de suministro de software y las identidades federadas.
- NDR mejora la visibilidad para detectar y neutralizar «falsificaciones»
El auge del mimetismo en los ataques modernos
Así como De Hory reutilizó lienzos y pigmentos viejos para hacer que sus pinturas parecieran más auténticas, los atacantes emplean métodos similares en el ámbito digital, aprovechando herramientas y credenciales confiables para mezclar su actividad maliciosa. Y si bien las técnicas basadas en la imitación han sido durante mucho tiempo un elemento básico del manual del atacante, en los últimos años se han vuelto más sofisticadas. Los ataques Living-off-the-Land (LotL) y las herramientas de ataque mejoradas con IA han elevado el listón de la falsificación. El Informe de amenazas globales 2026 de CrowdStrike afirma que el 81% de los ataques ahora están libres de malware y, en cambio, se basan en herramientas y técnicas legítimas, que es el sello distintivo de las tácticas de LotL. Detectar estas falsificaciones rápidamente no es sólo una opción: es una de las mejores posibilidades de interrumpir un ataque antes de que cause un daño real.
Una guía de campo para la falsificación de redes:
Actores agentes asistidos por IA
Autónomos o semiautónomos, generan identidades falsas, códigos e imitan comportamientos a escala.
de Hory contaba con una compleja red de apoyo para vender sus pinturas, en la que participaban marchantes de arte y otros representantes de muchos países y ciudades. Cuando algunos compradores potenciales empezaron a sospechar, empezó a vender sus obras bajo diversos seudónimos. Esto es similar a lo que está sucediendo ahora con el uso de agentes de IA económicos. Estos no sólo se utilizan para falsificar identidades creíbles para realizar fraudes, sino que ahora se utilizan para producir códigos de explotación para filtrar secretos y scripts para infectar puntos finales, formando la base de un ataque a mayor escala. Agentes sofisticados y de autoaprendizaje observan el comportamiento de la red y ajustan continuamente su propio tráfico, reflejando sus patrones para engañar las detecciones de anomalías. Cambian el tráfico C2 en ráfagas que coinciden con picos legítimos y manipulan sus señales lo suficiente para evitar destacarse. Y se están utilizando agentes legítimos como orquestadores de otras herramientas de explotación para automatizar y ampliar los ataques.
Impostores de la cadena de suministro y la nube
Componentes falsificados o comprometidos que se hacen pasar por software, actualizaciones o servicios en la nube confiables.
Los atacantes utilizan agentes de inteligencia artificial maliciosos para crear una capa de complejidad para las cadenas de suministro de software. Los agentes sustituyen software malicioso y disfrazan este código como otra actualización benigna, lo que hace que los orígenes del exploit y las causas fundamentales sean más difíciles de descubrir. Este tipo de exploits significa que los atacantes no necesitan engañar directamente a los defensores de la red o a los desarrolladores de software. Esto es lo que encontraron los investigadores de Microsoft con el gusano Shai Hulud v2. Los atacantes modificaron cientos de paquetes de software para proporcionar un ecosistema coordinado para recolectar credenciales de desarrollador y secretos de API, luego aumentaron su potencia propagándose a través de recursos compartidos de red internos confiables, todo mientras se hacían pasar por actualizaciones de software legítimas. Si bien los ataques a la cadena de suministro existen desde hace muchos años (piense en SolarWinds), los agentes de inteligencia artificial han hecho que su producción y distribución sean más rápidas.
El engaño basado en la nube también se ha acelerado. Durante años, los atacantes han utilizado páginas de inicio de sesión falsas y repositorios en la nube falsificados que imitan el diseño y la marca de servicios legítimos para engañar a los usuarios para que entreguen sus credenciales. Las herramientas impulsadas por IA tienen el potencial de intensificar la creación de estas falsificaciones convincentes, permitiendo a los atacantes generar sitios fraudulentos más rápidamente y a mayor escala.
Túneles encubiertos
Técnicas que ocultan el tráfico malicioso dentro de protocolos permitidos o canales cifrados
de Hory amplió su red utilizando galerías y otros representantes para enmascarar sus transacciones y vender sus falsificaciones. Los atacantes actuales hacen algo similar: ocultan sus conversaciones de red mediante túneles IP para ocultar la actividad maliciosa dentro del tráfico que parece legítimo. Otro mecanismo de encubrimiento utiliza solicitudes y respuestas intencionalmente no coincidentes, como solicitar datos web confidenciales desde un destino previamente desconocido para evadir la detección. Los atacantes también utilizan estos métodos para desactivar las protecciones de seguridad y luego permanecen inactivos dentro de una red corporativa durante meses, esperando el momento adecuado para atacar. A estos métodos se suman las tiendas de aplicaciones móviles, que han estado plagadas durante años de aplicaciones falsas que contienen malware, como este ejemplo más reciente de una herramienta de búsqueda visual que oculta un exploit de ejecución remota.
Infraestructura fraudulenta
Servidores, dominios o servicios controlados por atacantes diseñados para imitar infraestructura legítima.
De Hory evadió la detección moviéndose con frecuencia, de ciudad en ciudad, alrededor del mundo. Los ciberatacantes emplean una estrategia similar: ponen bajo su control servidores, dominios y servicios similares que se hacen pasar por una infraestructura confiable. Una investigación reciente de Microsoft muestra que los actores de amenazas atraen a los usuarios con mensajes falsos de reuniones de Teams que conducen a sitios de recolección de credenciales disfrazados de páginas de inicio de sesión legítimas. Conexiones falsas como esta pueden ser precursoras de una serie de movimientos para tomar el control de los recursos y datos de su red. Luego se pueden emplear servidores falsos para comprometer y extraer datos confidenciales, y luego aprovechar la información para lanzar una campaña de ransomware.
Finalmente, el phishing
Y la falsificación es el núcleo de cualquier campaña de phishing. Las campañas actuales utilizan todo tipo de falsificaciones, incluido el uso de direcciones de correo electrónico falsas que parecen ser parte de su dominio pero que son parte de ataques de homoglifos u homógrafos. Estos ataques pueden falsificar dominios legítimos con caracteres sustitutos similares para redirigir conversaciones bajo el control de un pirata informático o usarse como parte de campañas de phishing posteriores. De Hory estaría encantado, ya que se esforzó mucho en copiar las pinceladas, las opciones de color y los estilos de los maestros en sus falsificaciones.
Cómo NDR puede exponer las falsificaciones
Los paralelismos entre las falsificaciones de De Hory y los ciberataques modernos son sorprendentes. Ambos se basan en el mimetismo, el movimiento y la explotación de sistemas confiables. De Hory finalmente quedó expuesto cuando los expertos compararon múltiples obras y detectaron las huellas estilísticas que no podía ocultar. La detección y respuesta de red (NDR) puede detectar a los atacantes de la misma manera, al observar patrones de comportamiento y anomalías que delatan lo que realmente está sucediendo en la red.
Estas son algunas de las formas en que NDR ayuda a exponer actividades maliciosas ocultas a simple vista:
- Detección de anomalías de comportamiento: Identificar desviaciones de las líneas de base de red establecidas, como tiempos de inicio de sesión inusuales, transferencias de datos atípicas o movimientos laterales inesperados que pueden indicar que un impostor está trabajando, incluso cuando las credenciales parecen legítimas.
- Revelar inconsistencias de protocolo y metadatos: Detectar discrepancias que los atacantes no pueden ocultar fácilmente, como combinaciones extrañas de protocolos, tráfico a dominios homógrafos o recién registrados, o sesiones cifradas con detalles de certificados sospechosos.
- Proporcionar contexto: Enriquecer el tráfico sin procesar con metadatos que expliquen el panorama más amplio, como dónde se originan las conexiones, cómo se comportan a lo largo del tiempo y si se ajustan a patrones normales, para que los analistas puedan separar rápidamente las amenazas reales del ruido, como este ejemplo, que muestra cómo un analista de SOC puede probar varias hipótesis para descubrir un ataque.
A medida que los atacantes se vuelven más sofisticados y aprovechan la IA para ampliar su engaño, los defensores necesitan herramientas que puedan ver a través del ruido. NDR, en colaboración con otros productos de seguridad, brinda a los SOC la visibilidad necesaria para detectar estas amenazas de manera temprana, antes de que causen daños reales.
La plataforma Open NDR de Corelight permite a los SOC detectar amenazas emergentes, incluidas aquellas que aprovechan técnicas de inteligencia artificial. Su enfoque de detección de múltiples capas incluye detecciones de comportamiento y anomalías que pueden identificar una variedad de actividades de red únicas e inusuales. A medida que los adversarios desarrollan nuevos métodos de ataque, los equipos de seguridad que implementan NDR pueden fortalecer el juego defensivo de su empresa. Visite corelight.com/elitedefense para obtener más información.