Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

¿Qué es la caza mayor cibernética?

La caza mayor (big game hunting) cibernética es un tipo de ciberataque que suele aprovechar el ransomware para atacar a grandes organizaciones de alto valor o entidades de alto perfil.

En general, se elige a las víctimas en función de su capacidad de pagar un rescate y de la probabilidad de que lo hagan a fin de continuar con las operaciones empresariales o evitar el escrutinio público. Entre los objetivos habituales se encuentran:

  • Grandes empresas
  • Bancos y otras instituciones financieras
  • Servicios públicos
  • Hospitales y otras instituciones sanitarias
  • Administración pública
  • Particulares con un patrimonio elevado, como celebridades o líderes empresariales destacados
  • Cualquier organización que albergue datos confidenciales, como propiedad intelectual, secretos comerciales, datos personales e historiales médicos

Investigación sobre el panorama actual de la caza mayor (big game hunting)

Un aviso de ciberseguridad conjunto emitido por la Cybersecurity and Infrastructure Security Agency (CISA), el FBI y otros grupos de seguridad en febrero de 2022 señaló una disminución de la caza mayor (big game hunting) a principios de la segunda mitad de 2021. Su análisis sugiere que es posible que los adversarios hayan optado por otras tácticas debido a un mayor escrutinio por parte de las fuerzas de seguridad, así como a una menor rentabilidad tras el ciberataque de Colonial Pipeline Co. en mayo de 2021, que se difundió ampliamente y dio lugar a la recuperación parcial del pago del rescate por parte del FBI.

Sin embargo, un análisis reciente de CrowdStrike mantiene que la caza mayor sigue siendo una de las principales preocupaciones de seguridad para las grandes organizaciones, independientemente de su ubicación o sector. El índice de ciberdelincuencia (ECX) de CrowdStrike, una herramienta propia que ofrece una puntuación compuesta para rastrear cambios en el universo de las amenazas, confirma que este tipo de cazadores redujo el ritmo de sus actividades o las cesó en mayo de 2021. Sin embargo, a principios de septiembre de 2021 la actividad de la caza mayor volvió a estar casi en su máximo nivel, lo que indica que esta tendencia ha vuelto a incrementarse una vez más.

La última edición del Informe Global sobre Amenazas 2024 de CrowdStrike revela que el ransomware sigue siendo la herramienta preferida en la caza mayor. Hubo un aumento del 76 % en el número de víctimas mencionadas en los sitios específicos de filtración de datos de caza mayor entre 2022 y 2023.

Informe Global sobre Amenazas 2025 de CrowdStrike

Informe Global sobre Amenazas 2025 de CrowdStrike

Consigue el informe sobre ciberseguridad imprescindible de este año.

Descargar

¿Quiénes son los actores de la caza mayor cibernética?

Los responsables de la caza mayor cibernética son hackers sofisticados que suelen formar parte de un grupo organizado que trabaja para acabar con objetivos importantes. En muchos casos, estos grupos funcionan como redes organizadas y altamente estructuradas, de forma similar a cualquier otra empresa. Además, suelen estar patrocinados por un estado y se sospecha que están conectados con agencias gubernamentales o importantes figuras públicas.

CrowdStrike Adversary Universe pone en el punto de mira el comportamiento de los principales grupos de adversarios del mundo y sigue su rastro. El objetivo de Adversary Universe es proporcionar a los clientes visibilidad sobre las amenazas que afrontan a diario, ya sea desde la perspectiva de víctima o desde el punto de vista de contar con inteligencia sobre el adversario.

¿Cómo atacan los responsables de la caza mayor?

Los responsables de la caza mayor emplean diversas técnicas para llevar a cabo sus ataques. En la mayoría de los casos, su método favorito es el ransomware, un tipo de malware que cifra los datos de la víctima, para solicitar luego un pago a cambio de restablecer el acceso.

Los grupos de ciberdelincuentes aprovechan cada vez más el ransomware como servicio (RaaS), que, como indica su nombre, se trata de un modelo empresarial en el que se alquilan variantes de ransomware del mismo modo que los desarrolladores de software legítimos alquilan productos de SaaS.

La siguiente tabla muestra ejemplos conocidos de RaaS y los actores de caza mayor relacionados:
RaaSTécnicaResponsable de caza mayor
DarkSideLos operadores de DarkSide siempre se han centrado en los equipos Windows, pero hace poco que también incluyen Linux, y atacan entornos empresariales que ejecutan hipervisores VMware ESXi sin parche o roban credenciales de vCenter. También se cree que el RaaS de DarkSide fue el vehículo utilizado para el ataque de alto perfil a Colonial Pipeline.CARBON SPIDER
REvil (también conocido como Sodinokibi) REvil es el RaaS más utilizado por PINCHY SPIDER. En estos ataques, las víctimas suelen recibir la advertencia de una filtración de datos inminente si no se paga un rescate. REvil es el ransomware responsable de una de las mayores peticiones de rescate: 10 millones de dólares.PINCHY SPIDER
DharmaLos ataques de ransomware Dharma están relacionados principalmente con ataques de protocolo de escritorio remoto (RDP). Las variantes de Dharma proceden de muchas fuentes y, en el fondo, son casi idénticas, por lo que es difícil averiguar quién está detrás de un ataque.Vinculado a un grupo iraní de adversarios con motivaciones económicas. Sin control centralizado
LockBitEn desarrollo desde 2019, los ataques de LockBit solicitan un rescate para evitar la publicación de un conjunto de datos robados. Se ha confirmado que el RaaS está involucrado en al menos nueve ataques.Relacionado con usuarios de habla ruso o angloparlantes con un aval que hable ruso

Además de confiar en el ransomware y en el RaaS para llevar a cabo ataques, los responsables de la caza mayor cibernética aprovechan otras vulnerabilidades para desarrollar sus operaciones. Algunas de ellas son:

  • El aprovechamiento de vulnerabilidades de la nube: el Informe Global de Amenazas 2022 de CrowdStrike indica que los actores maliciosos suelen explotar de manera oportunista las conocidas vulnerabilidades de la ejecución remota de código (RCE) en el software de servidor, normalmente buscando servidores vulnerables. Después del acceso inicial, los actores pueden implementar diferentes herramientas para continuar con el proceso de ataque. Muchos adversarios, especialmente los actores de la caza mayor, han aprovechado estas vulnerabilidades para obtener el acceso inicial al sistema.
  • Ataque de día cero: los actores de amenazas liberan malware para explotar las vulnerabilidades de un software antes de que el desarrollador del software haya parcheado el fallo. Se utiliza el término "día cero" porque el proveedor del software no tenía conocimiento de la vulnerabilidad y ha tenido "0" días para trabajar en un parche de seguridad o actualización que solucione el problema. Este tipo de ataques es extremadamente difícil detectar, por lo que representan un riesgo importante para la seguridad.
state of ransomware cover

Encuesta Estado del Ransomware de CrowdStrike

CrowdStrike encuestó a 1100 responsables de seguridad de todo el mundo en relación con el ransomware. Te contamos lo que dijeron.

 

 Descargar ahora

Expert Tip

Frena el ransomware con un enfoque moderno y una plataforma que se adapte para adelantarse al adversario.

Protección contra ransomware

¿Cómo te defiendes de la caza mayor cibernética?

Para identificar rápidamente las amenazas y reducir el riesgo de la caza mayor, las organizaciones deben tener como objetivo establecer una estrategia de ciberseguridad sólida que defienda su organización en múltiples niveles. Estas son algunas recomendaciones que pueden ser útiles para establecer una estrategia de ciberseguridad global:

  1. Formar a todos los empleados en las mejores prácticas de ciberseguridad: los empleados están en la primera línea de la seguridad. Asegúrate de que siguen buenas prácticas de higiene, como utilizar una protección de contraseñas sólida, conectarse solo a redes Wi-Fi seguras y jamás hacer clic en enlaces de correos electrónicos no solicitados.
  2. Mantener el sistema operativo y demás software con los parches y actualizaciones pertinentes instalados: los cibercriminales buscan constantemente grietas y puertas traseras por donde colarse. Estar pendiente de actualizar los sistemas minimizará la exposición a vulnerabilidades desconocidas.
  3. Implementar y mejorar la seguridad del correo electrónico: CrowdStrike recomienda implementar una solución de seguridad de correo electrónico que realice filtrado de URL y sandboxing de adjuntos. Para agilizar estas tareas, se puede emplear una función de respuesta automática para habilitar la cuarentena retroactiva de los correos electrónicos enviados antes de que el usuario interactúe con ellos.
  4. Monitorizar el entorno continuamente en busca de actividad maliciosa e indicadores de ataque (IOA): la detección y respuesta para endpoints (EDR) actúa como una cámara de vigilancia en todos los endpoints, ya que captura eventos sin procesar para la detección automática de actividades maliciosas no identificadas por los métodos de prevención y proporcionar visibilidad para una Threat Hunting proactiva.
  5. Integrar la inteligencia sobre amenazas en la estrategia de seguridad: monitoriza tus sistemas en tiempo real y mantente al día de la última inteligencia sobre amenazas para detectar un ataque rápidamente, comprender cuál es la mejor respuesta y evitar que se propague.
  6. Desarrollar copias de seguridad offline a prueba de ransomware: al desarrollar la infraestructura de copias de seguridad a prueba de ransomware, lo más importante que debemos tener en cuenta es que los atacantes han tenido como objetivo las copias de seguridad online antes de implementar ransomware en el entorno. Por eso, lo único que puede realmente garantizar que los datos se salven durante un ataque de ransomware es contar con copias de seguridad a prueba de ransomware. Por ejemplo, conservar copias de seguridad offline de los datos permite una recuperación más rápida ante emergencias.
  7. Implementar un programa de protección de identidad sólido: las organizaciones pueden mejorar su posición de seguridad al implementar un programa de protección de identidad sólido para comprender la higiene del almacén de identidades local y en la nube (por ejemplo, Active Directory, Entra ID). Determina lagunas, analiza el comportamiento y las desviaciones de cada cuenta de la plantilla (usuarios humanos, cuentas con privilegios, cuentas de servicio), detecta el movimiento lateral e implementa el acceso condicional basado en riesgos para detectar y detener amenazas de ransomware.

Protección de la organización frente a la caza mayor y el ransomware con CrowdStrike

Para los equipos de protección cibernética a los que les resulta difícil responder a alertas de ciberseguridad y no cuentan con el tiempo o la experiencia necesarios para ir un paso por delante de las nuevas amenazas, CrowdStrike Falcon® Adversary Intelligence ofrece la inteligencia crítica que necesitan, al tiempo que elimina la complejidad de las investigaciones de incidentes que tanto merman sus recursos. CrowdStrike Falcon® Adversary Intelligence es la única solución que realmente integra inteligencia sobre amenazas en la protección de endpoints, ya que realiza investigaciones automáticamente, acelera la respuesta y capacita a los equipos de seguridad para que pasen de ser reactivos a predictivos y proactivos.

Ventajas principales:

  • Automatiza las investigaciones de todas las amenazas que llegan a los endpoints.
  • Ofrece IOC personalizados para proteger frente amenazas esquivas de forma proactiva.
  • Proporciona información completa sobre los ataques para habilitar una toma de decisiones mejor y más rápida.
  • Otorga al equipo análisis de expertos de CrowdStrike Intelligence.
  • Simplifica las operaciones a través de una integración fluida con la plataforma CrowdStrike Falcon®.

Defiende, detecta, responde y recupera con EY y CrowdStrike

Las soluciones y servicios de la próxima generación de respuestas y operaciones de seguridad (NGSOAR) de EY, junto con la plataforma CrowdStrike Falcon®, proporcionan unas funciones de detección y protección líderes del sector con inteligencia sobre ciberamenazas y Threat Hunting ininterrumpida, por lo que cuentan con una importante ventaja sobre las amenazas de ransomware. La solución ofrece a los clientes de ambas empresas visibilidad inmediata y en tiempo real del entorno de su organización, además de identificar y eliminar posibles compromisos y evitar los fallos silenciosos. Esta potente combinación ayuda a contener las amenazas activas y las expulsa de las redes rápidamente, de modo que elimina la amenaza de ransomware de forma inmediata y eficiente.

Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.