La nueva frontera del ransomware: hipervisores y ciberseguridad empresarial

Los ataques de ransomware y otras ciberamenazas están en constante evolución a nivel global, lo que implica que las organizaciones, también en España, deben estar atentas y preparadas para responder a estos riesgos emergentes.

A nivel internacional, se observa una sofisticación creciente en las tácticas utilizadas por los grupos de ransomware, con un enfoque mayor en atacar infraestructuras críticas como los hipervisores. Esta evolución técnica y táctica supone un reto importante para los equipos de seguridad de todos los sectores.

Aunque la realidad de cada país puede variar, la experiencia internacional destaca la necesidad de fortalecer las defensas, mejorar la detección y asegurar una respuesta rápida y coordinada ante incidentes.

Una nueva generación de actores locales de ransomware: Scattered Spider
 La Agencia Americana de Defensa Cibernética considera a Scattered Spider (también conocido como UNC3944, Octo Tempest, y a veces asociado con el grupo de ransomware ALPHV/BlackCat) como uno de los grupos de amenaza más peligrosos que atacan organizaciones en Occidente. A diferencia de muchos actores tradicionales de ransomware, son hablantes nativos de inglés y operan principalmente desde Reino Unido y Estados Unidos, lo que les da una ventaja para ejecutar ataques sofisticados de ingeniería social.

Sus tácticas, técnicas y procedimientos (TTPs) incluyen:

• Cambio de SIM y fatiga de MFA para evadir la verificación de identidad.
• Ingeniería social a través de help desks vía phishing, smishing y vishing.
• Uso de herramientas legítimas de acceso remoto (por ejemplo, AnyDesk, TeamViewer).
• Técnicas de “vivir del sistema” utilizando herramientas integradas como PowerShell y WMI.
• Captura de credenciales y escalada de privilegios mediante herramientas de código abierto.
• Movimiento lateral hacia hipervisores, incluidos VMware vCenter y ESXi.
• Deshabilitar o evadir la seguridad de endpoints, especialmente apuntando a hipervisores.

Servicios

Ciberseguridad. Descubre cómo podemos ayudarte.

Descubre cómo podemos ayudarte

¿Por qué los hipervisores están en el punto de mira?

Los ciberdelincuentes están enfocando cada vez más su atención en los hipervisores, el software que permite que múltiples máquinas virtuales operen en un único sistema físico. Estos ataques pueden aprovechar vulnerabilidades del propio hipervisor o utilizar máquinas virtuales infiltradas para tomar el control del sistema anfitrión, lo que representa una amenaza de seguridad mayor, ya que un hipervisor comprometido podría poner en riesgo toda la infraestructura.

Tradicionalmente, los operadores de ransomware atacaban sistemas a nivel de archivo, cifrando datos críticos, pero dejando intactos sistemas operativos y hardware, lo que facilitaba comunicar demandas de rescate y mantener presencia en la red.

Sin embargo, las modernas herramientas de Endpoint Detection and Response (EDR) han roto ese modelo. Con mejoras en detección, protección contra manipulaciones y análisis de comportamiento, los atacantes se han visto obligados a innovar.

¿El resultado? Un enfoque creciente en hipervisores como VMware ESXi (antes ESX). VMware ESXi es un hipervisor tipo 1 de nivel empresarial desarrollado por VMware, subsidiaria de Broadcom, para desplegar y gestionar máquinas virtuales. Como hipervisor tipo 1, ESXi no es una aplicación que se instala sobre un sistema operativo, sino que incluye e integra componentes vitales del sistema operativo, como el kernel, que tiene control total sobre todo el sistema.

Estos componentes suelen quedar sin monitoreo, sin protección o fuera del alcance de las herramientas EDR tradicionales. Cuando se ven comprometidos, los atacantes pueden paralizar a una organización cifrando o deshabilitando cientos de máquinas virtuales a la vez.

En demasiados casos, los hipervisores se tratan como seguros por defecto, sin monitoreo adecuado, segmentación o alertas activas, lo que genera un punto ciego significativo en las defensas de muchas organizaciones.

Detectar no es defender sin actuar

Uno de los temas más comunes que vemos en respuesta a incidentes es que las herramientas para detectar actividades maliciosas están en marcha, pero las alertas no se gestionan con rapidez ni eficacia. Se pierden o no se escalan indicadores tempranos como patrones inusuales de inicio de sesión, actividad administrativa en hipervisores o intentos de manipulación.

En este contexto, la inteligencia artificial puede ser una aliada clave para identificar patrones anómalos, automatizar la respuesta y reducir el tiempo de detección. Descubre cómo la IA está transformando la ciberseguridad.

La tecnología por sí sola no sustituye la necesidad de un equipo de respuesta formado y capacitado. Los equipos de seguridad deben estar preparados para clasificar, investigar y responder en tiempo real, especialmente fuera del horario laboral, cuando los atacantes suelen actuar.

Si tu organización no tiene monitoreo y respuesta 24/7, es fundamental evaluar si puedes responder a alertas prioritarias de forma ágil.

Medidas prácticas de defensa

Hay acciones que las organizaciones pueden tomar hoy para reforzar su entorno contra las tácticas de Scattered Spider:

Adelántate a los ciberataques

A medida que los grupos de ransomware dejan atrás los endpoints y comienzan a explotar infraestructuras desatendidas como los hipervisores, las organizaciones deben adoptar un enfoque de confianza cero y considerar la infraestructura virtual como parte esencial de su superficie de amenaza.

Si tu sistema de monitorización no incluye los hipervisores, o si tu equipo no está preparado para actuar ante actividades sospechosas en ellos, tu empresa podría estar a una sola alerta de una interrupción grave.

Este es el momento de revisar y reforzar tu postura de ciberseguridad, antes de que lo haga un atacante por ti.