El equipo de investigación de Counter Threat Unit™ (CTU) analiza las amenazas de seguridad para ayudar a las organizaciones a proteger sus sistemas. Basándose en las observaciones realizadas en mayo y junio, los investigadores de CTU™ identificaron los siguientes problemas y cambios destacados en el panorama global de amenazas:
-
La armonización de los nombres de los grupos de amenazas plantea retos
-
Irán amenaza con tomar represalias contra EE. UU.
-
Las fuerzas del orden utilizan la burla como táctica
La armonización de los nombres de los grupos de amenazas plantea retos
Reconciliar las diferentes convenciones de nomenclatura de los grupos de amenazas es una tarea ambiciosa. La piedra Rosetta completa y dinámica de Secureworks para los nombres de los grupos de amenazas es pública desde 2020.
La nomenclatura de los grupos de amenazas está diseñada para ayudar a los profesionales de la seguridad a comprender e identificar rápidamente patrones de ataque específicos y conectar actividades pasadas con incidentes actuales. Así disponemos de información sobre las capacidades y las intenciones de los actores maliciosos, y puede servir de base para tomar decisiones de respuesta, ayudar a la atribución y conducir a modelos de riesgo más precisos. Puede proporcionar orientación práctica sobre los tipos y el alcance de una amenaza y cómo puede haber ocurrido un ataque.
La existencia de múltiples convenciones de nomenclatura para los grupos de amenazas no se debe únicamente a que los proveedores quieran imponer su propia marca en la inteligencia sobre amenazas. También es el resultado de que la nomenclatura se basa en las observaciones de cada proveedor, que pueden diferir. Es posible mapear los nombres de los grupos de amenazas si dos proveedores observan la misma actividad, pero no siempre es tan sencillo.
A principios de junio, Microsoft y CrowdStrike anunciaron la armonización de sus convenciones de nomenclatura de grupos de amenazas. Este tipo de mapeo es beneficioso para la comunidad de seguridad. En 2020, Secureworks comenzó a publicar perfiles de grupos de amenazas, incorporando una «piedra Rosetta» continuamente actualizada para mapear los grupos de amenazas con los nombres utilizados por otros proveedores. Los investigadores de CTU están trabajando actualmente en la alineación de los nombres de los grupos de amenazas de Secureworks con los números de clústeres de actividad de amenazas de Sophos.
Mantener correspondencias uno a uno es difícil y requiere una supervisión y recalibración continuas para garantizar la precisión. Los grupos de amenazas pueden trabajar juntos o cambiar sus tácticas, técnicas y procedimientos (TTP) y objetivos, y las aperturas de los proveedores pueden cambiar. No obstante, los anuncios de Microsoft y CrowdStrike implican que la iniciativa es el comienzo de un intento de establecer una alineación más amplia.
Probablemente será difícil lograr esta alineación y proteger al mismo tiempo la telemetría y la propiedad intelectual, pero es necesario que los analistas dirijan la resolución de conflictos. No está claro qué otros proveedores se incluirán en esta iniciativa: Microsoft menciona a Google/Mandiant y Palo Alto Networks Unit 42 en su anuncio, pero CrowdStrike no lo hace. La lista preliminar de Microsoft incluye una gama más amplia de nombres de grupos de amenazas de proveedores, incluidos algunos de Secureworks.
Qué debes hacer a continuación
Consulta los perfiles de los grupos de amenazas de Secureworks mientras lees la información sobre amenazas para comprender mejor las tareas y las TTP de cada grupo de amenazas.
Irán amenaza con tomar represalias contra EE. UU.
El apoyo estadounidense a los ataques de Israel contra Irán puede aumentar el riesgo de que los actores maliciosos iraníes lancen más ataques contra los intereses de EE. UU.
Poco más de una semana después de que Israel iniciara sus ataques militares contra instalaciones nucleares y militares iraníes en junio de 2025, EE. UU. llevó a cabo una serie de ataques aéreos selectivos contra el programa nuclear de Irán. Aunque los ataques estadounidenses fueron de duración limitada e Irán respondió con misiles contra una base estadounidense en Qatar, el Gobierno iraní ha declarado desde entonces que tiene la intención de tomar nuevas represalias contra los intereses estadounidenses.
Los ataques de Israel y el asesinato de destacados líderes militares y científicos iraníes marcaron una escalada en una serie de hostilidades que se prolongan desde hace décadas. Este conflicto ha incluido años de guerra por poder en la que Irán ha proporcionado armas y entrenamiento a grupos que atacan a Israel, como Hezbolá, los hutíes y Hamás. También se han producido continuas hostilidades cibernéticas entre los dos países. Estados Unidos ha sido periódicamente otro objetivo de los ciberataques y las operaciones de influencia iraníes.
No está claro qué forma podría adoptar esta amenaza de represalia, ni si se llevaría a cabo o cuándo. Por ejemplo, tras el ataque con drones estadounidenses de enero de 2020 que mató a un general de la Fuerza Quds del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), Irán amenazó con tomar represalias y lanzó ataques con misiles contra bases estadounidenses en Irak. Sin embargo, no llevó a cabo operaciones cibernéticas o cinéticas ofensivas notables contra entidades occidentales, como algunos temían.
La Agencia de Seguridad Cibernética y de Infraestructuras de Estados Unidos (CISA) y otras agencias asociadas publicaron una hoja informativa en la que se describen los posibles tipos de represalias cibernéticas iraníes. Los actores maliciosos iraníes y proiraníes han sido asociados con ataques de desfiguración, borrado, ransomware y denegación de servicio distribuido (DDoS). La publicación señala específicamente el riesgo para las empresas de la Base Industrial de Defensa (DIB), especialmente aquellas con vínculos con Israel. El riesgo elevado también afecta probablemente a las organizaciones de Oriente Medio que Irán considera que apoyan los intereses de Estados Unidos e Israel. La hoja informativa menciona una campaña anterior de hacktivistas proiraníes dirigida contra instalaciones de Estados Unidos y otros países que utilizaban tecnología operativa de fabricación israelí, como controladores lógicos programables (PLC). Irán utiliza cada vez más identidades falsas de hacktivistas, como Cyber Av3ngers, para ocultar la participación del Gobierno en estos ataques destructivos.
Las organizaciones que podrían ser objeto de represalias iraníes deben mantener una mayor vigilancia y asegurarse de que cuentan con las ciberdefensas adecuadas. Este consejo se aplica igualmente a las organizaciones y entidades estadounidenses en Oriente Medio que Irán pueda considerar favorables a los intereses de Estados Unidos e Israel.
Qué debes hacer a continuación
Revisa las publicaciones de la CISA sobre Irán y la amenaza que representa.
Las fuerzas del orden utilizan la burla como táctica
Ridiculizar las detenciones y los arrestos parece ser una forma sorprendentemente eficaz de lidiar con los ciberdelincuentes.
Las fuerzas del orden de todo el mundo siguieron centrándose en las operaciones de ciberdelincuencia, pero, al igual que en el pasado, no todas las acciones tuvieron un impacto duradero. Por ejemplo, Microsoft y el Departamento de Justicia de EE. UU. llevaron a cabo acciones coordinadas a finales de mayo de 2025 que dieron lugar a la incautación y el desmantelamiento de más de 2300 dominios asociados a LummaC2, una de las operaciones de robo de información más prevalentes. Sin embargo, LummaC2 se recuperó rápidamente. Los entornos aislados de la CTU continuaron recopilando muestras de LummaC2 durante el mes de junio, y los servidores de comando y control (C2) respondieron con normalidad. Los investigadores de la CTU también observaron que LummaC2 se distribuía como carga útil de segunda fase en junio mediante Smoke Loader, que a su vez había sobrevivido a una operación policial en mayo de 2024. Además, el número de registros de LummaC2 a la venta en foros clandestinos siguió aumentando durante mayo y junio de 2025.
Las detenciones y condenas afectan a los autores de las amenazas, pero no siempre disuaden la actividad ciberdelictiva. En mayo, el ciudadano iraní Sina Gholinejad se declaró culpable en Estados Unidos de llevar a cabo ataques con el ransomware RobbinHood entre 2019 y 2024, y se enfrenta a una pena de hasta 30 años de prisión. A finales de junio, la policía francesa detuvo a cuatro presuntos operadores del foro de ciberdelincuencia BreachForums, tras la detención en febrero del individuo detrás de la prolífica personalidad de BreachForums conocida como IntelBroker. Sin embargo, BreachForums reanudó sus operaciones bajo una nueva propiedad.
Las detenciones no siempre son posibles. Estados Unidos acusa regularmente tanto a ciberdelincuentes como a actores maliciosos patrocinados por Estados que residen en países donde las fuerzas del orden estadounidenses no tienen influencia. Por ejemplo, en mayo, las fuerzas del orden alemanas relacionaron a un ruso de 36 años llamado Vitaly Nikolaevich Kovalev con las operaciones Conti y TrickBot. Había sido imputado en EE. UU. en 2012 por fraude bancario, pero sigue en libertad en Rusia.
Ridiculizar a los actores maliciosos y socavar la confianza ha demostrado su eficacia. Uno de los objetivos clave de la Operación Cronos, dirigida contra la operación de ransomware LockBit, que había tenido mucho éxito anteriormente, era dañar la reputación del administrador de LockBit, Dmitry Khoroshev. Vive en Rusia y, por lo tanto, no puede ser detenido por las autoridades estadounidenses. Las burlas de las fuerzas del orden provocaron una reducción significativa del número de afiliados, hasta el punto de que Khoroshev tuvo que reducir el coste de afiliarse y abandonar la selección de afiliados. Los investigadores de CTU también han observado que los actores maliciosos muestran desprecio por Khoroshev en foros clandestinos.
A pesar de que el número de víctimas de LockBit se ha reducido de cientos a unos pocos al mes, el número total de ataques de ransomware por parte de todos los grupos ha seguido aumentando. Aunque incluso las interrupciones a corto plazo frustran las operaciones de cualquier grupo y reducen el número de víctimas, las organizaciones deben seguir protegiéndose contra el ransomware y otros ataques con motivaciones económicas.
Qué debes hacer a continuación
Asegúrate de que puedes detectar los infostealers comunes, como LummaC2, ya que suelen ser precursores de ataques de ransomware.
Conclusión
La concienciación de las organizaciones sobre el panorama de amenazas es esencial para defenderse de las ciberamenazas. Tanto si las amenazas provienen de ciberdelincuentes como de actores patrocinados por naciones, es necesario disponer de información precisa y oportuna sobre las amenazas procedente de diversas fuentes para evaluar con exactitud el riesgo que supone para tu organización. Una atribución significativa añade valor para ayudar a los defensores a responder de forma adecuada y eficaz.
