Nuevo informe insta a los contratistas de defensa a adoptar una seguridad proactiva contra las crecientes amenazas de infostealers

infostealer malware defense contractor cybersecurity identity threat detection cyber espionage credential harvesting
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
13 de junio de 2026
5 min de lectura
Nuevo informe insta a los contratistas de defensa a adoptar una seguridad proactiva contra las crecientes amenazas de infostealers

TL;DR

• El malware infostealer ha comprometido 11.1 millones de dispositivos, robando 3.3 mil millones de credenciales. • La protección tradicional de endpoints no logra detener los ataques de infiltración basados en credenciales. • Los atacantes aprovechan el modelo de malware-as-a-service para eludir firewalls mediante cookies de sesión robadas. • Los contratistas de defensa deben cambiar hacia una detección proactiva de amenazas de identidad para asegurar sus redes.

Nuevo informe insta a los contratistas de defensa a adoptar una seguridad proactiva contra las crecientes amenazas de infostealers

La base industrial de defensa de EE. UU. está bajo asedio. Un nuevo informe exhaustivo revela un aumento marcado y peligroso en el uso de malware de robo de información, o "infostealers", que están desmantelando sistemáticamente las defensas digitales de contratistas y agencias gubernamentales por igual. Estos no son ataques aleatorios; son ataques de precisión diseñados para recolectar datos de inicio de sesión a gran escala. ¿La conclusión? Si todavía confías en la protección tradicional de endpoints para mantener a los atacantes fuera, ya te has quedado atrás. Es hora de dejar de proteger el perímetro y empezar a asegurar la identidad.

Las cifras son asombrosas. Solo en 2025, más de 11.1 millones de dispositivos fueron comprometidos por este tipo de malware. Eso significa 3.3 mil millones de credenciales individuales ahora en manos de actores maliciosos, proporcionándoles una reserva masiva y lista para usar de llaves para nuestras redes más sensibles. Como se señala en National Defense Magazine, una sola base de datos descubierta en 2026 contenía más de 149 millones de credenciales de inicio de sesión robadas. Cuando el enemigo tiene tantas puertas por las que puede entrar, la seguridad de nuestra infraestructura nacional ya no es una preocupación teórica, es una crisis.

La mecánica del ciclo de vida del infostealer

Entonces, ¿cómo lo hacen? Es una operación ágil de cuatro etapas: infección, exposición, infiltración y, finalmente, el ataque. Comienza con una infección simple, a menudo a través de un enlace o archivo aparentemente inofensivo. Una vez que el malware está en una máquina, se pone a trabajar, extrayendo desde datos propietarios hasta cookies del navegador y contraseñas guardadas. Estos bienes robados no desaparecen simplemente; se empaquetan y venden en mercados clandestinos, alimentando una economía de malware-as-a-service que hace que sea trivial incluso para actores de amenazas de bajo nivel obtener un punto de apoyo en la cadena de suministro de defensa.

Una vez que tienen tus credenciales, no necesitan "hackear" tu perímetro: simplemente inician sesión. Pueden eludir tus firewalls, acceder a cronogramas de desarrollo y llevarse los planos de operaciones de defensa críticas. Debido a que este malware está diseñado para ser persistente y sigiloso, el software antivirus tradicional, que se centra en bloquear archivos maliciosos en el endpoint, está efectivamente luchando contra sombras.

Un nuevo marco defensivo

Si la vieja forma de hacer las cosas está rota, ¿cuál es la solución? Los expertos en seguridad están presionando por un cambio hacia la detección proactiva de amenazas de identidad. Dado que los infostealers buscan específicamente cookies de sesión y credenciales guardadas en el navegador, simplemente forzar un restablecimiento de contraseña no es suficiente. Si un atacante tiene tu token de sesión activo, ya está dentro.

Para cambiar el rumbo, las organizaciones deben centrarse en neutralizar el valor de los datos robados antes de que puedan ser explotados:

  • Autenticación de múltiples factores (MFA): Utiliza MFA robusto basado en hardware que los infostealers no puedan falsificar fácilmente.
  • Invalidación rápida de sesiones: Si tu sistema detecta un indicio de comportamiento sospechoso, termina la sesión activa inmediatamente. No esperes a que el usuario cierre sesión.
  • Rotación de credenciales: Deja de tratar las contraseñas como elementos permanentes. La rotación frecuente y automatizada reduce la ventana de oportunidad para un atacante que posee datos robados.
  • Monitoreo proactivo: No esperes a un informe de brecha. Escanea activamente la dark web y los registros clandestinos para ver si las credenciales de tus empleados ya han sido filtradas.

El panorama de amenazas de un vistazo

Etapa de amenaza Objetivo del adversario Prioridad defensiva
Infección Desplegar malware en endpoints Detección y respuesta en endpoints
Exposición Exfiltrar credenciales/cookies Monitoreo de identidad y búsqueda de amenazas
Infiltración Acceder a redes de la cadena de suministro Gestión de sesiones y MFA
Ataque Exfiltrar programas sensibles Rotación de credenciales y control de acceso

La verificación de la realidad para la base industrial de defensa

La campaña dirigida a agencias gubernamentales y contratistas de defensa de EE. UU. es un intento deliberado de erosionar la integridad de nuestro aparato de seguridad nacional. El mayor obstáculo aquí no es solo el malware, es la brecha de visibilidad. La mayoría de los contratistas no tienen idea de que han sido comprometidos hasta que sus datos aparecen en una base de datos criminal o, peor aún, se utilizan para lanzar un ataque posterior.

Pasar a una defensa centrada en la identidad no es solo un ajuste técnico; es un cambio fundamental en la gestión de riesgos. Debes operar bajo la suposición de que cada credencial ya está comprometida. Al implementar controles de acceso granulares y análisis de comportamiento, puedes detectar cuándo se está utilizando una cuenta legítima de manera ilegítima.

Además, la inteligencia de amenazas ya no es opcional. Al mantener el pulso sobre las filtraciones de datos clandestinas, los equipos de seguridad pueden adelantarse, restableciendo cuentas y parcheando vulnerabilidades antes de que el adversario sepa siquiera que tiene un objetivo. Esta postura proactiva, junto con una gestión rigurosa de sesiones, es la única forma de proteger los cronogramas de desarrollo y los programas propietarios que mantienen competitivo al sector de defensa.

Como deja claro el informe de Flashpoint, esta amenaza no va a desaparecer. La automatización de estas plataformas de malware significa que los atacantes pueden escalar sus esfuerzos con un costo mínimo. Para contrarrestar eso, nuestra estrategia de defensa debe ser igualmente escalable. Necesitamos automatizar la seguridad de las credenciales y mantener una verificación constante y rigurosa de la identidad en toda la cadena de suministro.

En última instancia, el objetivo es hacer que el costo de un ataque sea mayor que la ganancia potencial. Al inutilizar las credenciales robadas mediante la invalidación rápida y la rotación constante, podemos interrumpir el ciclo de vida del infostealer. Esto obliga al atacante a trabajar más duro, gastar más y, lo más importante, aumenta las probabilidades de que activen una alarma. Nos estamos alejando de los perímetros estáticos y frágiles del pasado hacia una nueva era de defensa dinámica centrada en la identidad. En el mundo de la ciberguerra moderna, esa es la única forma de mantenerse en la lucha.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Noticias relacionadas

Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware
Check Point VPN zero-day

Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware

Check Point issues an urgent warning over an actively exploited VPN zero-day linked to Qilin ransomware. Patch immediately to secure your enterprise network.

Por Elena Voss 12 de junio de 2026 4 min de lectura
common.read_full_article
Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability
CVE-2026-0257

Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability

Palo Alto Networks has released an urgent patch for CVE-2026-0257. Attackers are actively exploiting this GlobalProtect VPN flaw. Update your systems immediately.

Por Marcus Chen 9 de junio de 2026 4 min de lectura
common.read_full_article
Active Exploitation of Palo Alto GlobalProtect Authentication Bypass Flaw Prompts Urgent Enterprise Security Alerts
CVE-2026-0257

Active Exploitation of Palo Alto GlobalProtect Authentication Bypass Flaw Prompts Urgent Enterprise Security Alerts

CISA adds Palo Alto GlobalProtect flaw CVE-2026-0257 to KEV list. Learn how to identify and patch this critical authentication bypass vulnerability immediately.

Por James Okoro 8 de junio de 2026 4 min de lectura
common.read_full_article
Palo Alto Networks Issues Urgent Security Patch Following Active Exploitation of Authentication Bypass Vulnerability
Palo Alto Networks security patch

Palo Alto Networks Issues Urgent Security Patch Following Active Exploitation of Authentication Bypass Vulnerability

Palo Alto Networks has released critical security patches for PAN-OS. Patch now to defend against active exploitation of CVE-2026-0257 and CVE-2025-0108.

Por Elena Voss 7 de junio de 2026 3 min de lectura
common.read_full_article