Ataques multi-OS: cómo los centros de operaciones de seguridad (SOC) están cerrando la brecha

Los ciberataques ya no se limitan a un solo sistema operativo. Los atacantes se mueven entre Windows, macOS (MacBooks), Linux e incluso dispositivos móviles. Esto crea problemas para los equipos de seguridad (SOC), ya que sus herramientas y procesos a menudo no están diseñados para ver y responder a ataques que saltan de un sistema a otro.

El problema de los ataques multi-OS

Un ataque que afecta a varios sistemas operativos puede generar múltiples investigaciones separadas. El camino que sigue el ataque puede ser diferente en cada sistema, lo que dificulta la respuesta rápida y coordinada. Los equipos de seguridad terminan saltando entre diferentes herramientas, tratando de reconstruir lo que pasó en cada entorno, mientras el ataque continúa avanzando. Esto provoca:

• Retrasos en la confirmación de que realmente hay un ataque, lo que da más tiempo al atacante.
• Dificultad para entender la magnitud del ataque.
• Aumento en la cantidad de casos que requieren atención.
• Respuestas inconsistentes entre diferentes equipos y sistemas.
• Pérdida de tiempo por cambiar entre herramientas y repetir tareas.

Cómo responder más rápido a la complejidad multi-OS

Los equipos de seguridad más efectivos están haciendo algo diferente: aceleran y simplifican la investigación en todos los sistemas operativos desde el principio. Algunas soluciones, como ANY.RUN Sandbox, facilitan este proceso. Aquí hay tres pasos clave:

1. Incluir el análisis multi-OS desde el inicio: No asumas que una amenaza se comportará igual en todos los sistemas. Un archivo sospechoso puede actuar de manera diferente en Windows que en macOS, por ejemplo. macOS a menudo se considera más seguro, lo que puede hacer que las amenazas pasen desapercibidas allí.
2. Mantener las investigaciones en un solo flujo de trabajo: Si cada sistema se analiza con una herramienta diferente, la investigación se vuelve más lenta y complicada. Es mejor tener una herramienta que permita investigar en todos los sistemas operativos principales desde un solo lugar.
3. Convertir la visibilidad multi-OS en una respuesta más rápida: No basta con ver la actividad en diferentes sistemas; el equipo debe poder entender rápidamente lo que está sucediendo y tomar medidas. Las herramientas que generan informes automáticos y utilizan inteligencia artificial pueden ayudar a acelerar el análisis.

Ejemplo de ataque ClickFix

Un ejemplo reciente es la campaña ClickFix, donde los atacantes usaron anuncios fraudulentos en Google para redirigir a los usuarios a una página falsa de documentación de Claude Code. Luego, utilizaron una técnica llamada ClickFix para que los usuarios ejecutaran un comando malicioso en la terminal. Este comando instalaba un programa espía (AMOS Stealer) que robaba datos del navegador, contraseñas, información del llavero y archivos importantes, además de abrir una puerta trasera para acceder al sistema en el futuro. (Un programa espía o *stealer* es un tipo de *malware* diseñado para robar información sensible de un dispositivo).

Qué significa esto para tu empresa

Si tu empresa utiliza múltiples sistemas operativos, es fundamental que tu equipo de seguridad pueda detectar y responder a los ataques que se mueven entre ellos. Ignorar esta realidad puede dejar la puerta abierta a robos de credenciales, instalación de *malware* y otros problemas graves.