|

    Pérdida de confianza: Perspectivas de amenazas de Delinea Labs para noviembre de 2025

    En la nueva serie de Delinea Labs, su equipo de investigación analiza cada mes las amenazas más significativas centradas en la identidad que dan forma a la ciberseguridad.

    El objetivo es ayudar a los líderes de seguridad a comprender cómo evolucionan los adversarios, dónde se encuentran bajo presión las arquitecturas de identidad y qué estrategias defensivas están demostrando ser más eficaces.

    La identidad se ha convertido en el campo de batalla clave de la ciberseguridad moderna. Las credenciales, los tokens y la confianza son ahora la moneda de cambio de los ciberdelincuentes, y su negocio está en auge. Cada mes, analizaremos datos globales sobre brechas de seguridad, vulnerabilidades divulgadas y tendencias de ransomware para ofrecer información práctica a las empresas que se enfrentan a un panorama de amenazas cada vez más centrado en la identidad.

    Los sucesos de octubre de 2025 pusieron de manifiesto este cambio. Los atacantes ya no solo roban contraseñas, sino que utilizan la confianza misma como arma. Desde el robo de tokens OAuth hasta el abuso de identidad de máquinas, los adversarios explotan las conexiones y los permisos que unen los ecosistemas digitales actuales.

    El tema principal: la confianza se ha convertido en el objetivo

    La identidad siempre ha sido fundamental para el riesgo cibernético, pero este mes demostró que la confianza misma es el nuevo bien preciado. Los atacantes están yendo más allá de las contraseñas, secuestrando tokens OAuth, cuentas de servicio y flujos de consentimiento para persistir silenciosamente dentro de entornos SaaS y en la nube.

    El abuso de tokens marcó el mes. Por ejemplo,Brechas en la cadena de suministro de SalesforceSe propaga a través de tokens OAuth reutilizados, lo que permite a los ciberdelincuentes eludir la autenticación multifactor (MFA) y cambiar de inquilino. Otro ejemplo es el Campaña “CoPhish”, que incorporaba flujos de consentimiento OAuth maliciosos dentro de Microsoft Copilot Studio, otorgando a los adversarios acceso legítimo a los datos a través de tokens aprobados por el usuario.

    Además, terceros ampliaron el alcance de los ataques. El proveedor de verificación de Discord filtró datos de identificación gubernamentales, lo que demuestra que las integraciones y los conectores SaaS siguen siendo puntos débiles en la cadena de identidad.

    La reutilización de credenciales también persiste a gran escala. Un conjunto de datos de 183 millones de credenciales apareció en¿Me han hackeado?, 16 millones de los cuales eran nuevos, lo que pone de relieve la persistencia de la exposición impulsada por los ladrones de información.

    El patrón es claro: los atacantes ya no necesitan irrumpir cuando pueden simplemente comprometer la confianza.

    Lo que observamos en Delinea Labs: la instrumentalización de tokens y la exposición de la identidad de las máquinas

    Los acontecimientos de octubre demostraron que los adversarios están ahora poniendo en práctica el abuso de tokens e identidades de máquinas como amenazas escalables a la cadena de suministro.

    • La explotación de tokens OAuth se expande: los grupos de amenazas reutilizaron tokens en Salesforce, Atlassian y Slack, manteniendo el acceso a largo plazo sin activar alertas de inicio de sesión.
    • Las identidades de las máquinas se convierten en rutas de ataque invisibles: las cuentas de servicio y las credenciales API estáticas se han utilizado cada vez más para el movimiento lateral, a menudo sin propietario ni supervisión.
    • Los ecosistemas de bajo código emergen como zonas de riesgo: La campaña CoPhish subrayó cómo las herramientas de bajo código como Microsoft Copilot Studio pueden ser manipuladas para insertar flujos de consentimiento maliciosos dentro de aplicaciones legítimas.
    • El ransomware centrado en la identidad evoluciona: Qilin y Akira continuaron dominando el panorama del ransomware, aprovechando credenciales no administradas y tokens privilegiados para obtener acceso inicial.

    La infraestructura de identidad está bajo presión.

    La infraestructura de identidad en la nube se enfrentó a una presión significativa este mes, desde la autenticación hasta la autorización y la validación de tokens.

    • Microsoft Entra ID reveló dos vulnerabilidades críticas (CVE-2025-59218 y CVE-2025-59246) que permitieron a los atacantes explotar la validación de tokens y la lógica de confianza de la entidad de servicio.
    • Estas fallas ampliaron las debilidades vistas por primera vez en el error de suplantación entre inquilinos de septiembre (CVE-2025-55241), lo que demuestra una crisis continua en los límites de identidad en la nube.
    • Oracle E-Business Suite fue nuevamente atacado, esta vez a través de una vulnerabilidad de día cero (CVE-2025-61882) que permite el acceso al sistema ERP y la extorsión.
    • En todo el ecosistema, se registraron 524 CVE relacionados con la identidad en octubre (un fuerte aumento con respecto a los 420 de septiembre), incluidos 43 dentro de los propios productos de identidad.

    Cada una de estas revelaciones refuerza un tema central: la infraestructura de identidad se ha convertido en infraestructura de ataque.

    ¿Para qué deberían prepararse las empresas próximamente?

    Las empresas deben prever que la economía de la confianza seguirá bajo ataque. La siguiente fase de los ataques a la identidad se centrará en explotar la expansión urbana, las identidades de las máquinas y las relaciones de confianza entre inquilinos para ampliar silenciosamente el alcance de los atacantes.

    ¿Qué deben priorizar las organizaciones?

    • Detección continua de amenazas a la identidad que correlaciona el comportamiento de los tokens, los patrones de consentimiento y la actividad de la API entre inquilinos en tiempo real.
    • Descubrimiento y gobernanza de identidades de máquinas para eliminar cuentas de servicios no administradas y credenciales estáticas.
    • Autenticación adaptativa y monitorización del consentimiento para entornos SaaS y de bajo código para detectar conexiones de aplicaciones riesgosas.
    • Control de acceso privilegiado y rotación para garantizar que los tokens, secretos y credenciales no se puedan reutilizar ni utilizar en ámbitos excesivos.

    El campo de batalla de la identidad se está desplazando: ya no se trata de quién eres, sino de en qué confías. A medida que las cadenas de identidad se vuelven más largas y se interconectan más, proteger los vínculos entre ellas se vuelve más crucial que nunca.

    Para acceder al post original, pinche aquí.

    CONTACTA CON NOSOTROS

    ¿Necesitas más información?


      En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.