Aumentan los ciberataques que se ocultan tras software legítimo

El equipo de SOC de Barracuda Networks ha identificado un notable repunte en el uso malicioso de software legítimo de acceso remoto, una táctica que se está consolidando como una de las más efectivas para comprometer infraestructuras corporativas sin levantar sospechas. Entre los casos más frecuentes destaca la explotación de ScreenConnect, una herramienta ampliamente utilizada por empresas y proveedores de servicios, tanto mediante intentos de conexión a instalaciones existentes como a través de su despliegue directo por parte de los atacantes para mantener un control persistente sobre los sistemas.

 

Una vulnerabilidad crítica dispara el riesgo

Este incremento coincide con la existencia de una vulnerabilidad crítica descubierta a comienzos de 2025 en versiones antiguas de ScreenConnect. El fallo permite la ejecución remota de código sin autenticación, facilitando la instalación de ransomware, el robo de datos o el movimiento lateral dentro de la red. Aunque el fabricante publicó un parche el 24 de abril de 2025, numerosas organizaciones continúan operando con versiones sin actualizar, ampliando la superficie de ataque y permitiendo que una sola brecha comprometa múltiples sistemas o incluso infraestructuras completas.

En paralelo, el SOC ha detectado un aumento de intrusiones basadas en credenciales robadas o adquiridas en mercados ilícitos. Este tipo de ataques resulta especialmente difícil de identificar, ya que los ciberdelincuentes utilizan nombres de usuario y contraseñas legítimas, imitando el comportamiento de empleados reales. No obstante, los analistas han identificado señales reveladoras: uso anómalo de herramientas administrativas, múltiples intentos de inicio de sesión simultáneos o la creación inesperada de servicios remotos, indicios compatibles con la preparación de ataques de ransomware o la exfiltración de información.

 

Accesos sospechosos a Microsoft 365 desde países no habituales

Otro patrón preocupante es el aumento de intentos de acceso no autorizado a cuentas de Microsoft 365 desde países en los que las organizaciones afectadas no operan. Este fenómeno refuerza la hipótesis de un uso masivo de credenciales comprometidas para infiltrarse en entornos corporativos, acceder a correos y archivos, y suplantar la identidad de empleados con el objetivo de lanzar campañas de phishing interno o expandirse lateralmente por la red.

La combinación de vulnerabilidades en herramientas remotas, abuso de credenciales válidas y accesos desde ubicaciones inusuales refleja una creciente sofisticación en las tácticas de los ciberdelincuentes. El uso de mecanismos legítimos les permite evitar la detección y prolongar su presencia en los sistemas, incrementando el impacto potencial de cada ataque. Las organizaciones sin políticas de actualización estrictas, sin autenticación multifactor o sin supervisión continua de la actividad remota se encuentran especialmente expuestas.

 

Monitorización avanzada y MFA

Ante este escenario, los expertos subrayan la importancia de reforzar la monitorización avanzada y el análisis de comportamiento para detectar incidentes antes de que deriven en brechas mayores. La identificación temprana de actividades anómalas, junto con políticas estrictas de contraseñas, la aplicación sistemática de MFA y controles de acceso basados en la ubicación, puede reducir significativamente las oportunidades de éxito para los atacantes. La supervisión continua por parte de un SOC especializado se posiciona como un elemento crítico para responder con rapidez y minimizar el impacto operativo y económico de los incidentes.