El acceso remoto y las herramientas administrativas confiables son ahora centrales tanto para las operaciones organizacionales como para las estrategias de intrusión, según el Informe Anual de Amenazas 2026 de **Blackpoint Cyber**. El informe, derivado de miles de investigaciones de seguridad, enfatiza un cambio significativo en las tácticas de los atacantes: un alejamiento de la explotación de vulnerabilidades hacia el uso de credenciales válidas, herramientas legítimas y acciones rutinarias del usuario. El informe analiza estos patrones, documenta dónde se interrumpió la actividad de intrusión y proporciona prioridades defensivas basadas en los resultados de respuesta a incidentes observados a lo largo de 2025. **➡️ [Regístrese para el webinar](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)** ## Hallazgos Clave del Informe Anual de Amenazas 2026 ### Los atacantes ingresan a través de vías de acceso legítimas El informe indica que los atacantes ahora tienen más probabilidades de iniciar sesión utilizando métodos de acceso legítimos que de explotar vulnerabilidades para obtener acceso inicial. El abuso de SSL VPN representó el 32.8% de todos los incidentes identificables, lo que lo convierte en un vector de acceso inicial principal. Los atacantes a menudo se autentican utilizando credenciales comprometidas, lo que resulta en sesiones de VPN que parecen legítimas para los controles de seguridad. Estas sesiones a menudo otorgan un amplio acceso interno, lo que permite a los atacantes moverse rápidamente hacia sistemas de alto valor sin activar inmediatamente alertas. ### Herramientas de TI confiables se utilizan contra las organizaciones El informe también destaca el abuso frecuente de herramientas legítimas de Monitoreo y Administración Remota (RMM) para acceso y persistencia. El abuso de RMM estuvo presente en el 30.3% de los incidentes identificables, con **ScreenConnect** siendo prominente en más del 70% de los casos de RMM no autorizados. Estas herramientas se utilizan comúnmente para la administración de TI, lo que dificulta la detección de instalaciones no autorizadas sin una visibilidad sólida. Los entornos con múltiples herramientas de acceso remoto son más susceptibles a instancias no autorizadas que se mezclan con las herramientas existentes. ### Ingeniería social, no exploits, impulsó la mayoría de los incidentes Si bien las vías de acceso legítimas son cruciales, la interacción del usuario sigue siendo el mayor impulsor del volumen general de incidentes. Las campañas de CAPTCHA falsos y ClickFix representaron el 57.5% de todos los incidentes identificables, lo que las convierte en el patrón de ataque más común. Estas campañas se basan en indicaciones engañosas, instruyendo a los usuarios a pegar comandos en el cuadro de diálogo Ejecutar de Windows, utilizando herramientas integradas de Windows sin descargas de malware tradicionales ni actividad de exploit. ### Intrusiones en la nube enfocadas en la reutilización de sesiones después de MFA Incluso con la autenticación multifactor (MFA) habilitada en muchos entornos en la nube, aún ocurrió el compromiso de cuentas. El phishing de Adversario en el Medio (Adversary-in-the-Middle) representó aproximadamente el 16% de las deshabilitaciones de cuentas en la nube. Los atacantes capturaron tokens de sesión autenticados emitidos después de una MFA exitosa y los reutilizaron para acceder a servicios en la nube. Desde la perspectiva de la plataforma en la nube, esta actividad aparece como una sesión autenticada legítima. ## Del acceso inicial al pivote de red Muchos de estos ataques comienzan con acceso legítimo, pero el daño real ocurre durante las etapas posteriores. En una investigación reciente, el SOC de **Blackpoint Cyber** identificó un nuevo implante llamado Roadk1ll, diseñado para pivotar entre sistemas utilizando comunicación basada en WebSocket y mantener el acceso mientras se mezcla con el tráfico de red. [Reserva tu lugar](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=ctabox&utm_content=episode-002) ## Lo que estos hallazgos significan para los equipos de seguridad El informe destaca un patrón consistente en todas las industrias, entornos y tipos de ataque: las intrusiones exitosas a menudo dependen de actividades que se mezclan con las operaciones normales. Los atacantes están abusando de flujos de trabajo cotidianos como inicios de sesión remotos, herramientas confiables y acciones estándar del usuario, en lugar de depender de exploits novedosos o malware avanzado. Basado en las cadenas de ataque analizadas, el informe identifica varias prioridades defensivas: * Tratar el acceso remoto como una actividad de alto riesgo y alto impacto. * Mantener un inventario completo de herramientas RMM aprobadas y eliminar agentes no utilizados o heredados. * Restringir las instalaciones de software no aprobadas y limitar la ejecución desde directorios escribibles por el usuario. * Aplicar controles de Acceso Condicional que evalúen el estado del dispositivo, la ubicación y el riesgo de la sesión. Estos patrones se documentaron en sectores frecuentemente atacados, incluidos manufactura, salud, MSPs, servicios financieros y construcción. **➡️ [Regístrese para recibir el Informe Anual de Amenazas 2026](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)**