Introducción
En 2024 las pérdidas reportadas por delitos en línea alcanzaron un récord histórico de US$16.6 mil millones y el phishing/spoofing volvió a ser el delito más común, según el más reciente informe del FBI/IC3. Es una señal clara: los ataques no solo crecen, también se sofistican
Tendencia #1 — Phishing avanzado (AiTM, OAuth y “quishing”)
Qué está pasando
El phishing ya no busca solo contraseñas. Hoy los atacantes usan Adversary-in-the-Middle (AiTM) para robar cookies de sesión después del MFA (sí, incluso con 2FA), y campañas que suplantan apps OAuth de Microsoft para obtener consentimiento y acceso directo al correo y archivos. Además, ha explotado el phishing por QR (“quishing”), incluso con paquetes físicos que traen un código para escanear.
Señales de alerta
Páginas de inicio de sesión que parecen legítimas pero cargan a través de dominios poco familiares (proxy del atacante).
Solicitudes de consentimiento OAuth para apps “de la empresa” que nadie reconoce.
QR en carteles, correos o paquetes inesperados que prometen “verificar envío”. Proofpointic3.gov
Qué hacer (lista accionable)
MFA resistente a phishing (FIDO2/WebAuthn) y bloqueo de cookies reutilizables (token binding/condicional).
Bloquear OAuth de terceros por defecto y permitir solo apps aprobadas; revisar periódicamente consentimientos existentes.
Política de QR: no se escanean QR de desconocidos; usar cámaras corporativas que no abren enlaces automáticamente.
Habilitar protecciones anti-phishing en el correo (SPF, DKIM y DMARC en “reject”), alertas de enlace sospechoso, y número-matching en MFA.
Entrenamiento continuo con simulaciones realistas y procedimiento claro para reportar (un clic o un alias).
(Las recomendaciones responden directamente a las tácticas AiTM/OAuth/QR publicadas por los fabricantes e informes recientes.)
Tendencia #2 — Ataques a la cadena de suministro (software y web)
Qué está pasando
Backdoor en XZ Utils (CVE-2024-3094): código malicioso insertado en una librería de compresión usada por distribuciones Linux; podía abrir la puerta a acceso remoto. Aunque se contuvo, expuso el riesgo sistémico de depender de paquetes comprometidos. CISAAkamai
Caso polyfill.io: el dominio/CDN que servía polyfills para navegadores comenzó a inyectar JavaScript malicioso y afectó a miles de sitios. Muchas webs aún cargaban el script por inercia. SnykQualys
Por qué importa en RD
Si tu web o tus aplicaciones internas cargan librerías/CDN de terceros o contenedores Docker “base”, eres tan fuerte como tu eslabón más débil. Un paquete alterado puede convertir un site corporativo en puerta de entrada a malware o robo de datos.
Qué hacer (lista accionable)
Inventario y SBOM: exige a proveedores inventario de componentes (SBOM) y firma/verificación de artefactos (SLSA/provenance).
Bloqueo por lista de permitidos (allow-list) de CDNs/librerías; pinning de versiones; retirar polyfill.io y equivalentes no confiables.
Escaneo de contenedores e imágenes base (malware/vulns) y repos privados con scanning continuo.
CI/CD con firma (firmar builds y contenedores), y principio de mínimo privilegio en despliegues.
Backups inmutables + pruebas de restauración (para cortar el movimiento lateral y recuperación ante ransomware).
El phishing “moderno” y los ataques a la cadena de suministro no son tendencias pasajeras; son el nuevo piso. Con MFA resistente a phishing, control de OAuth, disciplina de dependencias y un plan de respuesta alineado a la Estrategia Nacional de Ciberseguridad 2030, tu empresa puede reducir drásticamente el riesgo y recuperarse más rápido ante incidentes. Integra las alertas del CNCS/CSIRT-RD y revisa tu postura cada trimestre.
