Un desarrollador recibe un mensaje de LinkedIn de un reclutador. El papel parece legítimo. La evaluación de codificación requiere la instalación de un paquete. Ese paquete extrae todas las credenciales de la nube de la máquina del desarrollador (tokens de acceso private de GitHub, claves API de AWS, entidades principales de servicio de Azure y más) y el adversario se encuentra dentro del entorno de la nube en cuestión de minutos.
La seguridad de su correo electrónico nunca lo vio. Es posible que su escáner de dependencias haya marcado el paquete. Nadie estaba mirando lo que pasó después.
La cadena de ataques se está convirtiendo rápidamente en el eje de la gestión de identidades y accesos (IAM) y representa una brecha elementary en la forma en que las empresas monitorean los ataques basados en identidades. Investigación de inteligencia CrowdStrike publicado el 29 de enero documenta cómo los grupos adversarios pusieron en práctica esta cadena de ataque a escala industrial. Los actores de amenazas están encubriendo la entrega de paquetes troyanizados de Python y npm mediante fraude de reclutamiento, y luego pasan del robo de credenciales de desarrollador a un compromiso whole de IAM en la nube.
En un caso de finales de 2024, los atacantes entregaron paquetes maliciosos de Python a una empresa europea de tecnología financiera mediante señuelos con temas de reclutamiento, cambiaron a configuraciones de IAM en la nube y desviaron criptomonedas a billeteras controladas por el adversario.
La entrada y la salida nunca tocaron la puerta de enlace del correo electrónico corporativo y no hay evidencia digital para continuar.
En un episodio reciente de CrowdStrike Podcast del Universo AdversarioAdam Meyers, vicepresidente senior de inteligencia de la compañía y jefe de operaciones contra el adversario, describió la escala: Más de 2 mil millones de dólares asociados con operaciones de criptomonedas dirigidas por una unidad adversaria. La moneda descentralizada, explicó Meyers, es very best porque permite a los atacantes evitar sanciones y ser detectados simultáneamente. El CTO de campo de CrowdStrike para las Américas, Cristian Rodríguez, explicó que el éxito de los ingresos ha impulsado la especialización organizacional. Lo que alguna vez fue un único grupo de amenazas se ha dividido en tres unidades distintas que apuntan a objetivos de criptomonedas, tecnología financiera y espionaje.
Ese caso no fue aislado. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y empresa de seguridad JFrog han rastreado campañas superpuestas en todo el ecosistema npm, y JFrog identificó 796 paquetes comprometidos en un gusano autorreplicante que se propaga a través de dependencias infectadas. La investigación documenta además los mensajes de WhatsApp como un principal vector de compromiso inicial, en el que los adversarios entregan archivos ZIP maliciosos que contienen aplicaciones troyanizadas a través de la plataforma. La seguridad del correo electrónico corporativo nunca intercepta este canal.
La mayoría de las pilas de seguridad están optimizadas para un punto de entrada que estos atacantes abandonaron por completo.
Cuando el análisis de dependencias no es suficiente
Los adversarios están cambiando los vectores de entrada en tiempo actual. Los paquetes troyanizados no llegan mediante typosquatting como en el pasado: se entregan personalmente a través de canales de mensajería personales y plataformas sociales que los portales de correo electrónico corporativo no tocan. CrowdStrike documentó que los adversarios adaptaban señuelos con temas laborales a industrias y roles específicos, y observó implementaciones de malware especializado en empresas de tecnología financiera en junio de 2025.
CISA documentó esto a escala en septiembre, emitió un aviso sobre un compromiso generalizado de la cadena de suministro de npm dirigido a tokens de acceso private de GitHub y claves API de AWS, GCP y Azure. Se escaneó código malicioso en busca de credenciales durante la instalación del paquete y se exfiltró a dominios externos.
El escaneo de dependencias detecta el paquete. Ese es el primer management y la mayoría de las organizaciones lo tienen. Casi ninguno tiene el segundo, que es el monitoreo del comportamiento en tiempo de ejecución que detecta la filtración de credenciales durante el proceso de instalación.
“Cuando se cut back este ataque a lo esencial, lo que destaca no es una técnica innovadora”, dijo Shane Barney, CISO de Keeper Safety, en un Análisis de una reciente cadena de ataques en la nube.. “Se trata de la poca resistencia que ofreció el entorno una vez que el atacante obtuvo acceso legítimo”.
Los adversarios están mejorando en la creación de pivotes letales y no monitoreados.
Google Cloud Informe de horizontes de amenazas descubrió que las credenciales débiles o ausentes representaron el 47,1 % de los incidentes en la nube en la primera mitad de 2025, y las configuraciones incorrectas agregaron otro 29,4 %. Esas cifras se han mantenido estables en períodos de informes consecutivos. Esta es una condición crónica, no una amenaza emergente. Los atacantes con credenciales válidas no necesitan explotar nada. Ellos inician sesión.
Investigación publicada a principios de este mes demostró exactamente qué tan rápido se ejecuta este pivote. Sysdig documentó una cadena de ataque en la que las credenciales comprometidas alcanzaron privilegios de administrador de la nube en ocho minutos, atravesando 19 roles de IAM antes de enumerar los modelos de IA de Amazon Bedrock y deshabilitar el registro de invocaciones de modelos.
Ocho minutos. Sin malware. Sin explotación. Solo una credencial válida y la ausencia de líneas base de comportamiento de IAM.
Ram Varadarajan, director ejecutivo de acalvio, ponlo sin rodeos: La velocidad de las infracciones ha pasado de días a minutos, y defenderse contra este tipo de ataque exige tecnología que pueda razonar y responder a la misma velocidad que los atacantes automatizados.
La detección y respuesta a amenazas de identidad (ITDR) aborda esta brecha al monitorear cómo se comportan las identidades dentro de los entornos de nube, no solo si se autentican exitosamente. La brújula de liderazgo 2025 de KuppingerCole sobre ITDR descubrió que la mayoría de las violaciones de identidad ahora se originan en identidades no humanas comprometidas, pero la adopción empresarial de ITDR sigue siendo desigual.
Morgan Adamski, subdirector de PwC para riesgos cibernéticos, de datos y tecnológicos, poner lo que está en juego en términos operativos. Lograr una identidad correcta, incluidos los agentes de IA, significa controlar quién puede hacer qué a la velocidad de la máquina. Las alertas de extinción de incendios de todas partes no podrán seguir el ritmo de la expansión multinube y los ataques centrados en la identidad.
Por qué las puertas de enlace de IA no detienen esto
Las puertas de enlace de IA destacan en la validación de la autenticación. Verifican si la identidad que solicita acceso a un punto ultimate modelo o canal de capacitación tiene el token correcto y tiene privilegios durante el período definido por los administradores y las políticas de gobernanza. No verifican si esa identidad se comporta consistentemente con su patrón histórico o si está sondeando aleatoriamente a través de la infraestructura.
Considere un desarrollador que normalmente consulta un modelo de finalización de código dos veces al día y de repente enumera todos los modelos de Bedrock en la cuenta y desactiva el registro primero. Una puerta de enlace de IA ve un token válido. El ITDR ve una anomalía.
A publicación de blog de CrowdStrike subraya por qué esto es importante ahora. Los grupos adversarios a los que rastrea han evolucionado desde el robo de credenciales oportunista hasta operadores de intrusión conscientes de la nube. Están pasando de estaciones de trabajo de desarrolladores comprometidas directamente a configuraciones de IAM en la nube, las mismas configuraciones que gobiernan el acceso a la infraestructura de IA. Las herramientas compartidas entre distintas unidades y el malware especializado para entornos de nube indican que esto no es experimental. Está industrializado.
La oficina del CISO de Google Cloud abordó esto directamente en su Previsión de ciberseguridad para diciembre de 2025señalando que las juntas directivas ahora preguntan sobre la resiliencia empresarial frente a ataques a velocidad de máquina. Gestionar las identidades humanas y no humanas es esencial para mitigar los riesgos de los sistemas no deterministas.
No hay ningún espacio que separe la IAM informática de la infraestructura de IA. Cuando se secuestra la identidad en la nube de un desarrollador, el atacante puede alcanzar pesos de modelos, datos de entrenamiento, puntos finales de inferencia y cualquier herramienta a la que se conecten esos modelos a través de protocolos como el protocolo de contexto de modelo (MCP).
Esa conexión MCP ya no es teórica. OpenClaw, un agente de IA autónomo de código abierto que superó 180.000 estrellas de GitHub en una sola semana, se conecta al correo electrónico, plataformas de mensajería, calendarios y entornos de ejecución de código a través de MCP e integraciones directas. Los desarrolladores lo están instalando en máquinas corporativas sin una revisión de seguridad.
El equipo de investigación de seguridad de IA de Cisco calificó la herramienta de “innovadora” desde el punto de vista de la capacidad y “una absoluta pesadilla” desde el punto de vista de la seguridad, lo que refleja exactamente el tipo de infraestructura agente que podría alcanzar una identidad en la nube secuestrada.
Las implicaciones de IAM son directas. En un análisis publicado el 4 de febreroElia Zaitsev, CTO de CrowdStrike, advirtió que “una inyección rápida exitosa contra un agente de IA no es solo un vector de fuga de datos. Es un punto de apoyo potencial para el movimiento lateral automatizado, donde el agente comprometido continúa ejecutando los objetivos del atacante en toda la infraestructura”.
El acceso legítimo del agente a las API, bases de datos y sistemas comerciales se convierte en el acceso del adversario. Esta cadena de ataques no termina en el punto ultimate del modelo. Si hay una herramienta de agente detrás de él, el radio de explosión se extiende a todo lo que el agente pueda alcanzar.
Dónde están las brechas de management
Esta cadena de ataque se divide en tres etapas, cada una con una brecha de management distinta y una acción específica.
Entrada: Los paquetes troyanizados entregados a través de WhatsApp, LinkedIn y otros canales distintos del correo electrónico evitan por completo la seguridad del correo electrónico. CrowdStrike documentó señuelos con temas laborales adaptados a industrias específicas, con WhatsApp como mecanismo principal de entrega. la brecha: El análisis de dependencias detecta el paquete, pero no la filtración de credenciales en tiempo de ejecución. Acción sugerida: Implemente monitoreo del comportamiento en tiempo de ejecución en estaciones de trabajo de desarrolladores que indique patrones de acceso a credenciales durante la instalación del paquete.
Pivote: Las credenciales robadas permiten que la función de IAM sea invisible para la seguridad basada en perímetro. En el caso europeo de FinTech documentado por CrowdStrike, los atacantes pasaron de un entorno de desarrollador comprometido directamente a configuraciones de IAM en la nube y recursos asociados. la brecha: No existen líneas de base de comportamiento para el uso de identidades en la nube. Acción sugerida: Implementar ITDR que monitorea el comportamiento de la identidad en entornos de nube, señalando patrones de movimiento lateral como el recorrido de 19 roles documentado en la investigación de Sysdig.
Objetivo: La infraestructura de IA confía en la identidad autenticada sin evaluar la coherencia del comportamiento. la brecha: Las puertas de enlace de IA validan tokens pero no patrones de uso. Acción sugerida: Implemente controles de acceso específicos de IA que correlacionen las solicitudes de acceso al modelo con perfiles de comportamiento de identidad y aplique registros que la identidad que accede no puede deshabilitar.
Jason Soroko, investigador principal de sectigo, identificó la causa raíz: Si miramos más allá de la novedad de la asistencia de IA, veremos que el error mundano es lo que la permitió. Las credenciales válidas se exponen en depósitos públicos de S3. Una negativa obstinada a dominar los fundamentos de seguridad.
Qué validar en los próximos 30 días
Audite su pila de monitoreo de IAM en comparación con esta cadena de tres etapas. Si tiene un escaneo de dependencias pero no un monitoreo del comportamiento en tiempo de ejecución, puede detectar el paquete malicioso pero pasar por alto el robo de credenciales. Si autentica las identidades de la nube pero no establece una base de referencia de su comportamiento, no verá el movimiento lateral. Si su puerta de enlace de IA verifica los tokens pero no los patrones de uso, una credencial secuestrada irá directamente a sus modelos.
El perímetro ya no es donde ocurre esta pelea. La identidad es.
