💡 Resumen (TL;DR):
- Google Cloud reveló que la explotación de software de terceros es la nueva táctica principal para infiltrar entornos en la nube.
- Los ataques por vulnerabilidades pasaron del 2.9% al 44.5% de las intrusiones en la segunda mitad de 2025.
- Los cibercriminales utilizan herramientas automatizadas con IA y atacan en menos de 48 horas tras publicarse un fallo.
Google Cloud reveló que la explotación de software de terceros superó por primera vez a las credenciales débiles como la táctica principal para vulnerar entornos en la nube. Según su informe Cloud Threat Horizons H1 2026, estos ataques representaron el 44.5% de las intrusiones durante la segunda mitad de 2025, un salto drástico frente al 2.9% registrado a principios de ese mismo año.
El documento, elaborado por la Oficina del CISO de Google Cloud y el Grupo de Inteligencia de Amenazas, detectó que la ventana de tiempo entre el descubrimiento de una falla y su explotación colapsó. Los cibercriminales logran desplegar herramientas de criptominería en apenas 48 horas después de que un defecto se hace público.
Por otro lado, el uso de contraseñas débiles o ausentes cayó del 47.1% al 27.2% en el mismo periodo, mientras que los errores de configuración bajaron del 29.4% al 21%.
“Evaluamos que este cambio de comportamiento en los actores de amenazas se debe potencialmente a la estrategia de seguridad por defecto de Google y a las protecciones de credenciales mejoradas que cierran con éxito las vías tradicionales y más fácilmente explotables, elevando la barrera de entrada para los actores de amenazas”, detalla el reporte.
Los atacantes aprovecharon principalmente vulnerabilidades de ejecución remota de código. Las más frecuentes fueron React2Shell (CVE-2025-55182) y un fallo en XWiki (CVE-2025-24893), ambas utilizadas para montar botnets y campañas de minería de criptomonedas.
IA como arma y secuestro de respaldos
Fuera del ecosistema específico de Google, la firma Mandiant comprobó que el robo de identidad aún representa el 83% de las brechas en todas las plataformas de nube y SaaS. Los ataques de ingeniería social por voz y el robo de tokens tienen un peso creciente en este rubro.
Los grupos de ransomware también operan con mayor agresividad:
- La célula UNC2165, ligada a la organización criminal Evil Corp, ahora ataca los sistemas de respaldo en la nube. Borran datos, eliminan rutinas de seguridad y alteran permisos para bloquear cualquier intento de recuperación.
- Tácticas idénticas fueron detectadas en UNC4393 (asociado al ransomware Black Basta) y en UNC2465 (vinculado a las campañas de DarkSide y LockBit).
La inteligencia artificial ya funciona como una herramienta ofensiva. Google documentó un ataque a la cadena de suministro donde los hackers utilizaron grandes modelos de lenguaje (LLM) para automatizar la extracción de credenciales y escalar privilegios hasta obtener control total de la nube en menos de 72 horas.
En un incidente paralelo, el grupo norcoreano UNC4899 explotó un entorno de desarrollo asistido por IA para plantar una puerta trasera, lo que resultó en el robo de millones de dólares en criptomonedas.
Google exige a las empresas abandonar los procesos manuales y adoptar parches virtuales en un plazo máximo de 24 horas. También recomiendan forzar el uso de autenticación multifactor resistente al phishing y restringir los permisos de las integraciones OAuth.
“Las velocidades de los ataques a la nube son ahora demasiado rápidas para los esquemas de respuesta manual”, concluye el reporte, confirmando que las cargas maliciosas pueden ejecutarse a solo una hora de que un usuario crea una nueva instancia en la nube.
