Un desarrollador recibe un mensaje de LinkedIn de un reclutador. El papel parece legítimo. La evaluación de codificación requiere la instalación de un paquete. Este paquete extrae todas las credenciales de la nube de la máquina del desarrollador (tokens de acceso personal de GitHub, claves API de AWS, entidades principales de servicio de Azure y más) y el adversario se encuentra dentro del entorno de la nube en cuestión de minutos.
La seguridad de su correo electrónico nunca ha visto esto. Es posible que su escáner de dependencias haya marcado el paquete. Nadie estaba mirando lo que pasó después.
La cadena de ataques se está convirtiendo rápidamente en el eje de la gestión de identidades y accesos (IAM) y representa una brecha fundamental en la forma en que las organizaciones monitorean los ataques basados en identidades. Encuesta de inteligencia CrowdStrike publicado el 29 de enero documenta cómo los grupos adversarios pusieron en práctica esta cadena de ataque a escala industrial. Los actores de amenazas ocultan la entrega de paquetes troyanizados de Python y NPM mediante fraude de reclutamiento y luego pasan del robo de credenciales de desarrollador a un compromiso total de IAM en la nube.
En un caso de finales de 2024, los atacantes entregaron paquetes maliciosos de Python a una empresa europea de tecnología financiera mediante señuelos con temas de reclutamiento, los enrutaron a configuraciones de IAM en la nube y desviaron criptomonedas a billeteras controladas por el adversario.
Desde la entrada hasta la salida, nunca tocó la puerta de enlace del correo electrónico corporativo y no hay evidencia digital para continuar.
En un episodio reciente de CrowdStrike Podcast del universo adversarioAdam Meyers, vicepresidente senior de inteligencia y jefe de operaciones adversarias de la compañía, describió la escala: Más de 2 mil millones de dólares asociados con operaciones de criptomonedas dirigidas por una unidad adversaria. La moneda descentralizada, explicó Meyers, es ideal porque permite a los atacantes evitar sanciones y ser detectados simultáneamente. Cristian Rodríguez, CTO de CrowdStrike Americas Field, explicó que el éxito de los ingresos ha impulsado la especialización organizacional. Lo que alguna vez fue un único grupo de amenazas se ha dividido en tres unidades distintas que apuntan a objetivos de criptomonedas, tecnología financiera y espionaje.
Este caso no fue aislado. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y empresa de seguridad JFrog rastreó campañas superpuestas en todo el ecosistema npm, y JFrog identificó 796 paquetes comprometidos en un gusano autorreplicante que se propaga a través de dependencias infectadas. La investigación documenta además los mensajes de WhatsApp como el principal vector de compromiso inicial, ya que los adversarios entregan archivos ZIP maliciosos que contienen aplicaciones troyanizadas a través de la plataforma. La seguridad del correo electrónico corporativo nunca intercepta este canal.
La mayoría de las pilas de seguridad están optimizadas para un punto de entrada que estos atacantes han abandonado por completo.
Cuando la verificación de dependencia no es suficiente
Los adversarios están cambiando los vectores de entrada en tiempo real. Los paquetes troyanizados no llegan mediante typosquatting como en el pasado: se entregan manualmente a través de canales de mensajería personales y plataformas sociales a las que no acceden los portales de correo electrónico corporativo. CrowdStrike ha documentado que los adversarios adaptan señuelos con temas laborales a industrias y roles específicos, y observó implementaciones de malware especializado en empresas de tecnología financiera en junio de 2025.
CISA lo ha documentado a gran escala. en septiembre, emitiendo un aviso sobre un compromiso generalizado de la cadena de suministro de NPM dirigido a tokens de acceso personal de GitHub y claves API de AWS, GCP y Azure. El código malicioso se escaneó en busca de credenciales durante la instalación del paquete y se exfiltró a dominios externos.
La verificación de dependencia captura el paquete. Este es el primer control y la mayoría de las organizaciones lo tienen. Casi ninguno tiene el segundo, que es el monitoreo del comportamiento en tiempo de ejecución que detecta la filtración de credenciales durante el proceso de instalación.
“Cuando se reduce este ataque a lo esencial, lo que destaca no es una técnica innovadora”, dijo Shane Barney, CISO de Keeper Security, en un comunicado. Análisis de una cadena reciente de ataques a la nube.. “Se trata de la poca resistencia que ofreció el entorno después de que el atacante obtuvo acceso legítimo”.
Los oponentes están mejorando en la creación de pivotes letales y no monitoreados.
de la nube de Google Informe de horizontes de amenazas descubrió que las credenciales débiles o faltantes representaron el 47,1 % de los incidentes en la nube en la primera mitad de 2025, y las configuraciones incorrectas agregaron otro 29,4 %. Estas cifras se han mantenido estables en períodos de informes consecutivos. Esta es una condición crónica, no una amenaza emergente. Los atacantes con credenciales válidas no necesitan explotar nada. Ellos inician sesión.
Investigación publicada a principios de este mes demostró exactamente qué tan rápido se ejecuta este pivote. Sedante documentó una cadena de ataque en la que las credenciales comprometidas obtuvieron privilegios de administrador de la nube en ocho minutos, atravesando 19 roles de IAM antes de enumerar los modelos de IA de Amazon Bedrock y deshabilitar el registro de invocaciones de modelos.
Ocho minutos. Sin malware. Sin exploración. Solo una credencial válida y la ausencia de líneas base de comportamiento de IAM.
Ram Varadarajan, director ejecutivo de Calvio, ser franco: La velocidad de las infracciones ha pasado de días a minutos, y defenderse contra este tipo de ataque requiere tecnología que pueda razonar y responder a la misma velocidad que los atacantes automatizados.
La Detección y Respuesta a Amenazas de Identidad (ITDR) aborda esta brecha monitoreando cómo se comportan las identidades dentro de los entornos de nube, no solo si se autentican exitosamente. Brújula de liderazgo KuppingerCole 2025 en ITDR descubrió que la mayoría de las violaciones de identidad ahora se originan en identidades no humanas comprometidas, pero la adopción empresarial de ITDR sigue siendo desigual.
Morgan Adamski, subdirector de riesgo cibernético, de datos y tecnológico de PwC, poner lo que está en juego en términos operativos. Lograr una identidad correcta, incluidos los agentes de IA, significa controlar quién puede hacer qué a la velocidad de la máquina. Las alertas de extinción de incendios de todas partes no podrán seguir el ritmo de la expansión multinube y los ataques centrados en la identidad.
Por qué las puertas de enlace de IA no evitarán esto
Las puertas de enlace de IA destacan en la validación de la autenticación. Verifican que la identidad que solicita acceso a un punto final modelo o canal de capacitación contenga el token correcto y tenga privilegios durante el período definido por los administradores y las políticas de gobernanza. No verifican que esta identidad se esté comportando de manera consistente con su patrón histórico o esté sondeando aleatoriamente la infraestructura.
Considere un desarrollador que normalmente consulta un modelo de finalización de código dos veces al día, y de repente enumera cada modelo de Bedrock en la cuenta y desactiva el registro primero. Una puerta de enlace de IA ve un token válido. El ITDR ve una anomalía.
UNO publicación de blog de CrowdStrike destaca por qué esto es importante ahora. Los grupos adversarios a los que rastrea han evolucionado desde ladrones de credenciales oportunistas hasta operadores de intrusión conscientes de la nube. Están pasando de estaciones de trabajo de desarrolladores comprometidas directamente a configuraciones de IAM en la nube, las mismas configuraciones que rigen el acceso a la infraestructura de IA. Las herramientas compartidas entre distintas unidades y el malware especializado para entornos de nube indican que no se trata de un experimento. Está industrializado.
La oficina del CISO de Google Cloud abordó esto directamente en su Pronóstico de ciberseguridad de diciembre de 2025señalando que las juntas ahora preguntan sobre la resiliencia empresarial contra los ataques a la velocidad de las máquinas. Gestionar las identidades humanas y no humanas es esencial para mitigar los riesgos de los sistemas no deterministas.
Ninguna brecha separa la IAM computacional de la infraestructura de IA. Cuando se secuestra la identidad en la nube de un desarrollador, el atacante puede acceder a pesos de modelos, datos de entrenamiento, puntos finales de inferencia y cualquier herramienta a la que se conecten estos modelos a través de protocolos como el Protocolo de contexto de modelo (MCP).
Esta conexión MCP ya no es teórica. OpenClaw, un agente autónomo de IA de código abierto que superó las 180.000 estrellas de GitHub en una sola semana, se conecta al correo electrónico, plataformas de mensajería, calendarios y entornos de ejecución de código a través de MCP e integraciones directas. Los desarrolladores lo están instalando en máquinas corporativas sin un análisis de seguridad.
El equipo de investigación de seguridad de IA de Cisco calificó la herramienta de “innovadora” desde una perspectiva de capacidad y “una absoluta pesadilla” desde una perspectiva de seguridad, lo que refleja exactamente el tipo de infraestructura de agente que una identidad en la nube secuestrada podría lograr.
Las implicaciones de IAM son sencillas. En un análisis publicado el 4 de febreroElia Zaitsev, CTO de CrowdStrike, advirtió que “una inyección inmediata exitosa contra un agente de IA no es sólo un vector de fuga de datos. Es un punto de apoyo potencial para el movimiento lateral automatizado, donde el agente comprometido continúa ejecutando los objetivos del atacante en toda la infraestructura”.
El acceso legítimo del actor a las API, bases de datos y sistemas comerciales se convierte en el acceso del adversario. Esta cadena de ataques no termina en el punto final del modelo. Si una herramienta del agente está detrás de él, el radio de explosión se extiende a todo lo que el agente pueda alcanzar.
¿Dónde están las brechas de control?
Esta cadena de ataque se divide en tres etapas, cada una con una brecha de control distinta y una acción específica.
Prohibido: Los paquetes troyanizados entregados a través de WhatsApp, LinkedIn y otros canales distintos del correo electrónico evitan por completo la seguridad del correo electrónico. CrowdStrike ha documentado cebos con temas laborales adaptados a industrias específicas, con WhatsApp como mecanismo de entrega principal. la brecha: La verificación de dependencia captura el paquete, pero no la filtración de credenciales en tiempo de ejecución. Acción sugerida: implementa monitoreo del comportamiento en tiempo de ejecución en estaciones de trabajo de desarrolladores que señala patrones de acceso a credenciales durante la instalación del paquete.
Pivote: Las credenciales robadas permiten la asunción de roles invisibles de IAM para la seguridad basada en el perímetro. En el caso europeo de FinTech documentado por CrowdStrike, los atacantes migraron desde un entorno de desarrollador comprometido directamente a configuraciones de IAM en la nube y recursos asociados. la brecha: No existen líneas de base de comportamiento para el uso de identidades en la nube. Acción sugerida: Implementar ITDR que monitorea el comportamiento de la identidad en entornos de nube, señalando patrones de movimiento lateral, como el cruce de 19 roles documentado en la investigación de Sysdig.
Objetivo: La infraestructura de IA confía en la identidad autenticada sin evaluar la coherencia del comportamiento. la brecha: Las puertas de enlace de IA validan tokens pero no patrones de uso. Acción sugerida: Implemente controles de acceso específicos de IA que correlacionen las solicitudes de acceso al modelo con perfiles de identidad de comportamiento y apliquen registros que la identidad de acceso no puede deshabilitar.
Jason Soroko, investigador principal de sectigo, identificó la causa raíz: Si miramos más allá de la novedad de la asistencia de IA, veremos que el error mundano es lo que la permitió. Las credenciales válidas se exponen en depósitos públicos de S3. Una negativa obstinada a dominar los fundamentos de la seguridad.
Qué validar en los próximos 30 días
Audite su pila de monitoreo de IAM en comparación con esta cadena de tres etapas. Si tiene verificación de dependencias pero no monitoreo del comportamiento en tiempo de ejecución, puede capturar el paquete malicioso pero evitar el robo de credenciales. Si autentica identidades en la nube pero no define su comportamiento, no verá movimiento lateral. Si su puerta de enlace de IA verifica los tokens pero no los patrones de uso, una credencial secuestrada irá directamente a sus modelos.
El perímetro ya no es el lugar donde se desarrolla esta lucha. La identidad es.
