Cómo armar a los defensores: informe SOTI para los que protegen la empresa

Hay que reconocer a los defensores. En la primera línea de la ciberseguridad, deben supervisar las amenazas emergentes, dominar las nuevas tecnologías en materia de defensa, mantenerse al día de las novedades en investigación sobre seguridad y reconocer amenazas antiguas que han adoptado nuevas formas, todo ello de forma simultánea y manteniendo una vigilancia ininterrumpida de los activos digitales de una organización. Cumplir esa misión requiere una visión clara del panorama actual de amenazas en rápida evolución, junto con una comprensión de las prácticas más novedosas para contrarrestar esas amenazas.

Hay mucho en juego: se calcula que la vida media de una habilidad profesional es de solo cinco años, y es aún más corta en el caso de las habilidades técnicas en ciberseguridad. Sin un aprendizaje continuo, los profesionales de la ciberseguridad pueden perder eficacia en tan solo tres meses.

De eso se trata el primer informe sobre el estado de Internet (SOTI) de este año: La guía de los defensores de 2025. Este informe se desvía de nuestro formato SOTI habitual, ya que va más allá de las tendencias para proporcionar información práctica de expertos en seguridad que luchan contra las ciberamenazas a diario. Nuestro objetivo es sencillo: dotarle de las estrategias reales que necesita para proteger sus sistemas en el panorama digital actual, que es cada vez más complejo. 

El contenido de este informe SOTI es único y se basa en un nuevo estudio original de Akamai. El formato también es nuevo, y refleja un marco de seguridad en profundidad que se centra en tres áreas clave: gestión de riesgos, arquitectura de red y seguridad del host. Cada sección incluye numerosas medidas proactivas para mejorar su preparación frente a las amenazas a través de una estrategia de ciberseguridad basada en la investigación.

Puedes descargar La guía de los defensores de 2025 completa ahora para obtener más información. Mientras tanto, estos son algunos de los aspectos más destacados.

En el informe se describe una nueva metodología de puntuación de riesgo desarrollada por los investigadores de Akamai que se ha diseñado para cuantificar los riesgos internos y externos. Esta metodología es el resultado de un análisis exhaustivo de la exposición de los terminales y otros factores, y aborda los desafíos que plantea la creación y la cuantificación del registro de riesgos. 

Calcula la probabilidad de vulneración de los activos expuestos externamente y la probabilidad de movimiento lateral entre los activos internos. La puntuación de seguridad resultante es muy valiosa para planificar estrategias de mitigación, como la seguridad de los terminales y las reglas de microsegmentación.

El informe también ofrece una nueva visión de la metamorfosis del malware, que incluye un análisis detallado de las complejas familias de botnets, como NoaBot, FritzFrog y RedTail. Nuestros investigadores han identificado vulnerabilidades comunes y capacidades de ataque modernas, desde arquitecturas punto a punto y malware sin archivo hasta técnicas de criptominería empleadas para generar peticiones de rescate de criptomonedas. 

Basándose en estas pruebas, el informe incluye información sobre las herramientas de detección de botnets y estrategias prácticas de mitigación, como la segmentación de la red, la gestión completa de parches, la realización de copias de seguridad de forma periódica y una formación continua en materia de ciberseguridad para los empleados.

El informe incluye nuevas investigaciones sobre el uso indebido de las VPN, un tema especialmente candente dado el reciente aumento de esta actividad. El informe analiza el surgimiento de los dispositivos VPN como una vulnerabilidad arquitectónica clave lista para ser explotada. Un análisis detallado sobre cómo los atacantes logran descifrar y hacer un uso indebido de las VPN ofrece una visión clara de las técnicas cada vez más sofisticadas en juego. Estas son las principales vulnerabilidades:

• Omisiones de autenticación

• Fallos en la ejecución remota de código

• Extracción de datos de configuración

• Configuraciones predeterminadas y claves de cifrado integradas como parte del código

El informe examina las estrategias de mitigación, como supervisar los cambios en la configuración de VPN, limitar los permisos de la cuenta de servicio, utilizar identidades dedicadas para la autenticación VPN y aplicar los principios de acceso de red Zero Trust.

Los ataques de scripts entre sitios (XSS) siguen siendo una amenaza importante para las aplicaciones web. En este informe SOTI se examina esta clase de ataques de inyección de JavaScript basándose en un análisis técnico detallado de ataques XSS reales en 2024. En nuestra investigación, hemos identificado complejas técnicas de explotación, como la inyección remota de recursos, el robo de cookies, la desfiguración en los sitios web y los ataques de falsificación de sesiones. Aunque más del 98 % de las referencias a JavaScript remotas eran legítimas, el porcentaje restante representaba diversos vectores de ataque.

Nuestros resultados subrayan la necesidad de contar con medidas defensivas multicapa, como el análisis de vulnerabilidades, los firewalls de aplicaciones web y la codificación adecuada de parámetros controlados por el usuario, para abordar técnicas de ataque XSS cada vez más sofisticadas.

Aunque los contenedores como los Kubernetes ofrecen una gran flexibilidad, también presentan nuevos desafíos de seguridad. Nuestros investigadores analizaron de cerca los Kubernetes y detectaron nada menos que seis vulnerabilidades y exposiciones comunes (CVE) que posibilitan los ataques de inyección de comandos y podrían acarrear la usurpación del clúster de Kubernetes. El equipo de investigación también identificó un defecto de diseño en un proyecto adicional de git-sync que puede permitir la exfiltración de datos confidenciales o la ejecución persistente.

Para mitigar estas amenazas, el informe recomienda implementar políticas de seguridad completas, como políticas de seguridad del pod, políticas de red y medidas de seguridad en tiempo de ejecución. Algunas estrategias de mitigación adicionales son el control de acceso basado en funciones, técnicas de búsqueda de amenazas y el uso de herramientas como Open Policy Agent de medidas basadas en políticas. Nuestra investigación subraya la importancia de aplicar parches con regularidad y mantener la vigilancia frente a las amenazas emergentes en los entornos de Kubernetes.

Basado en una investigación de vanguardia realizada por cientos de expertos en ciberseguridad de Akamai, el informe SOTI La guía de los defensores de 2025 ofrece una visión en profundidad de las ciberamenazas actuales, junto con pasos prácticos para proteger los sistemas de la actual oleada de ataques combinando pasos proactivos con una respuesta reactiva mejorada.  

El cómico W.C. Fields dijo en una ocasión: "No tengo por qué participar en cada conflicto al que se me invite". De la misma manera, adoptar un enfoque de seguridad en profundidad que abarque la gestión de riesgos, la arquitectura de red y la seguridad de los hosts permite a los defensores actuales elegir no entrar en "conflicto" con la creciente oleada de atacantes.