{"id":173270,"date":"2026-02-06T09:04:08","date_gmt":"2026-02-06T17:04:08","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=173270"},"modified":"2026-02-18T10:31:49","modified_gmt":"2026-02-18T18:31:49","slug":"tracking-threat-groups-through-cloud-logging","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/","title":{"rendered":"T\u00e9cnica novedosa para detectar las operaciones de los actores de amenazas en la nube"},"content":{"rendered":"<h2><a id=\"post-173270-_heading=h.iahc4rd5bma5\"><\/a>Resumen ejecutivo<\/h2>\n<p>Los sistemas de alerta basados en la nube suelen tener dificultades para distinguir entre la actividad normal de la nube y las operaciones maliciosas dirigidas por actores de amenazas conocidos. La dificultad no radica en la incapacidad de identificar operaciones de alerta complejas en miles de recursos de la nube o en la imposibilidad de seguir los recursos de identidad, sino en la detecci\u00f3n precisa de las t\u00e9cnicas conocidas de los grupos de actores maliciosos persistentes, espec\u00edficamente en entornos de nube.<\/p>\n<p>En esta investigaci\u00f3n, planteamos la hip\u00f3tesis de c\u00f3mo se podr\u00eda utilizar un nuevo m\u00e9todo de an\u00e1lisis de alertas para mejorar la detecci\u00f3n. En concreto, analizamos los eventos de alerta basados en la nube y su correspondencia con las t\u00e1cticas y t\u00e9cnicas MITRE ATT&amp;CK<sup>\u00ae<\/sup> que representan. Creemos que podemos mostrar una correlaci\u00f3n entre los actores de amenazas y los tipos de t\u00e9cnicas que utilizan, lo que desencadenar\u00e1 tipos espec\u00edficos de eventos de alerta dentro de los entornos de las v\u00edctimas. Este patr\u00f3n distintivo y detectable podr\u00eda utilizarse para identificar cu\u00e1ndo un grupo de actores maliciosos conocido compromete una organizaci\u00f3n.<\/p>\n<p>Para demostrar este m\u00e9todo de an\u00e1lisis de alertas, los investigadores de Unit 42 se centraron en dos grupos de actores de amenazas conocidos que utilizan dos tipos de t\u00e9cnicas operativas fundamentalmente diferentes para comprometer los entornos de nube de sus v\u00edctimas. Estos grupos son el grupo de ciberdelincuentes <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/muddled-libra-es-la\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra<\/a> y el grupo de estado-naci\u00f3n <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/security-insider\/threat-landscape\/silk-typhoon\" target=\"_blank\" rel=\"noopener\">Silk Typhoon<\/a>. Se sabe que ambos grupos de actores de amenazas tienen como objetivo las operaciones en la nube.<\/p>\n<ul>\n<li>Analizamos los eventos de alerta en la nube en 22 sectores entre junio de 2024 y junio de 2025.<\/li>\n<li>La investigaci\u00f3n se llev\u00f3 a cabo emparejando las t\u00e9cnicas MITRE ATT&amp;CK relacionadas con la nube que se sabe que utilizan Muddled Libra y Silk Typhoon con las alertas de seguridad espec\u00edficas que se sabe que activan en entornos de nube.<\/li>\n<\/ul>\n<p>La prueba confirm\u00f3, como se ver\u00e1 en el resto de este art\u00edculo, que los equipos de seguridad pueden distinguir con \u00e9xito los patrones de alerta \u00fanicos entre Muddled Libra y Silk Typhoon bas\u00e1ndose \u00fanicamente en los tipos de alertas observadas.<\/p>\n<p>Adem\u00e1s, los resultados muestran una clara relaci\u00f3n entre las operaciones centradas en la nube de los actores de amenazas y los sectores a los que se dirigen esos grupos. Por lo tanto, en los momentos en que se sab\u00eda que uno de los grupos estaba atacando determinados sectores, podemos ver esos patrones aparecer en nuestros datos.<\/p>\n<p>La confirmaci\u00f3n de que nuestro m\u00e9todo de detecci\u00f3n funciona seg\u00fan lo previsto abre la puerta a la posibilidad de implementar capacidades de prevenci\u00f3n automatizadas para arquitecturas complejas en la nube.<\/p>\n<p>Cortex Cloud est\u00e1 dise\u00f1ado para detectar y prevenir las operaciones maliciosas, las alteraciones de configuraci\u00f3n y los exploits que se describen en este art\u00edculo, asociando los eventos con las t\u00e1cticas y t\u00e9cnicas de MITRE. Estas capacidades ayudan a las organizaciones a mantener la detecci\u00f3n de eventos en tiempo de ejecuci\u00f3n.<\/p>\n<p>Las organizaciones pueden obtener ayuda para evaluar la postura de seguridad de la nube a trav\u00e9s de la <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/unit-42-cloud-security-assessment\" target=\"_blank\" rel=\"noopener\">Evaluaci\u00f3n de la seguridad en la nube de Unit\u00a042<\/a>.<\/p>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 97.4839%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 164.815%;\"><b><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/muddled-libra-es-la\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra<\/a> (related to\u00a0<a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/scattered-spider-es-la\/\" target=\"_blank\" rel=\"noopener\"><strong>Scattered Spider<\/strong><\/a><strong>)<\/strong>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/api-attacks-es-la\/\" target=\"_blank\" rel=\"noopener\">API<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/iam-es-la\/\" target=\"_blank\" rel=\"noopener\">IAM<\/a><\/b><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-173270-_heading=h.ojfm0ef69hs\"><\/a>\u00cdndice de contenidos<\/h2>\n<h2><a id=\"post-173270-_heading=h.k33zfmo1dr39\"><\/a>Otra perspectiva sobre las tendencias de alertas en la nube<\/h2>\n<p>Tras nuestro anterior art\u00edculo sobre las <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/2025-cloud-security-alert-trends\/\" target=\"_blank\" rel=\"noopener\">tendencias de alertas en la nube,<\/a>hemos realizado otro an\u00e1lisis de las estad\u00edsticas de alertas en la nube.<\/p>\n<p>Como parte del esfuerzo por determinar si pod\u00edamos identificar grupos de amenazas, esta vez hemos analizado los datos en funci\u00f3n de los sectores en los que se activaron las alertas en la nube. A\u00f1adir la telemetr\u00eda del sector al an\u00e1lisis nos permiti\u00f3 centrar nuestros esfuerzos en identificar las t\u00e9cnicas, y por lo tanto las alertas resultantes, utilizadas por estos actores de amenazas como par\u00e1metro de control. Utilizando los datos de alertas recopilados entre junio de 2024 y junio de 2025, identificamos los sectores que registraron el mayor n\u00famero de tipos de alertas \u00fanicas, as\u00ed como el mayor n\u00famero medio de alertas diarias. A continuaci\u00f3n, correlacionamos estas tendencias con las actividades y los objetivos de dos grupos de amenazas: Muddled Libra y Silk Typhoon.<\/p>\n<p>En este art\u00edculo presentamos nuestro an\u00e1lisis de las t\u00e9cnicas operativas de Muddled Libra y Silk Typhoon y el an\u00e1lisis de alertas asociado.<\/p>\n<h2><a id=\"post-173270-_heading=h.dc7v3bumu4a6\"><\/a>Glosario: t\u00e9cnicas de mapeo a alertas<\/h2>\n<p>La investigaci\u00f3n se llev\u00f3 a cabo analizando las t\u00e9cnicas ATT&amp;CK de MITRE relacionadas con la nube que se sabe que utilizan Muddled Libra y Silk Typhoon, emparej\u00e1ndolas con las alertas de seguridad espec\u00edficas que se sabe que se activan en entornos de nube. El siguiente glosario ayudar\u00e1 a los lectores a comprender los resultados que presentamos.<\/p>\n<ul>\n<li><strong>Asignaci\u00f3n de t\u00e9cnicas MITRE a alertas:<\/strong> una sola t\u00e9cnica MITRE puede activar potencialmente m\u00faltiples alertas de seguridad \u00fanicas y, a la inversa, una sola alerta puede asignarse a una o m\u00e1s t\u00e9cnicas y t\u00e1cticas MITRE. Por ejemplo, la alerta Uso remoto de la l\u00ednea de comandos del token de la funci\u00f3n sin servidor en la plataforma Cortex Cloud se correlaciona con la t\u00e1ctica MITRE <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0006\/\" target=\"_blank\" rel=\"noopener\">Acceso a credenciales<\/a> y las t\u00e9cnicas MITRE <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1528\/\" target=\"_blank\" rel=\"noopener\">Robar token de acceso a la aplicaci\u00f3n<\/a><\/span> y <a href=\"https:\/\/attack.mitre.org\/techniques\/T1552\/ target=\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">Credenciales no seguras<\/span><\/a>.<\/li>\n<li><strong>Recuento de alertas \u00fanicas:<\/strong> hemos contado cada regla de alerta solo una vez como base para esta investigaci\u00f3n. Por ejemplo, hemos identificado casi 70 reglas de alerta \u00fanicas que podr\u00edan atribuirse al menos a una de las 11 t\u00e9cnicas MITRE relacionadas con la nube que se sabe que utiliza Muddled Libra. En el caso de Silk Typhoon, encontramos algo m\u00e1s de 50 reglas de alerta \u00fanicas que pod\u00edan atribuirse al menos a una de sus 12 t\u00e9cnicas MITRE relacionadas con la nube conocidas. Adem\u00e1s, descubrimos que solo tres reglas de alerta \u00fanicas estaban presentes tanto en el conjunto de reglas de alerta de Muddled Libra como en el de Silk Typhoon. En algunos casos, estas reglas de alerta se activaron varias veces en nuestros datos en m\u00faltiples organizaciones, pero cuando nos referimos a alertas \u00fanicas dentro de un sector, solo tenemos en cuenta si se activ\u00f3 una alerta durante el per\u00edodo especificado.<\/li>\n<li><strong>Incidencias diarias promedio:<\/strong> si un actor de amenazas utiliz\u00f3 la t\u00e9cnica MITRE <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">Datos del almacenamiento en la nube<\/a> <\/span>(T1530), una de las reglas de alerta \u00fanicas de Cortex resultantes podr\u00eda indicar una identidad sospechosa que descarg\u00f3 varios objetos de un dep\u00f3sito. Si esta alerta se activa 1000 veces en un solo d\u00eda, cuenta como una \u00fanica alerta, pero las 1000 ocurrencias de esa alerta en ese d\u00eda se calcular\u00e1n en el promedio diario de ocurrencias. Cuando informamos del promedio de alertas por d\u00eda por sector en el art\u00edculo siguiente, tomamos el promedio de cada organizaci\u00f3n dentro de ese sector.<\/li>\n<\/ul>\n<p>Para utilizar una met\u00e1fora que ayude a explicar c\u00f3mo consideramos las alertas, si cada regla de alerta fuera un tipo de fruta, ver\u00edamos que Muddled Libra tiene una cesta de frutas muy diferente a la de Silk Typhoon. De hecho, las cestas son tan diferentes que, de los casi 70 tipos de fruta que tiene Muddled Libra y los m\u00e1s de 50 tipos de fruta que tiene Silk Typhoon, solo tienen 3 tipos de fruta en com\u00fan.<\/p>\n<p>Cuando observamos las alertas activadas dentro de un sector, podemos ver una variedad de frutas esparcidas, tal vez 10 naranjas, 14 limones, etc. Cuando analizamos el rastro de frutas en t\u00e9rminos de los tipos de frutas que se encuentran dentro de un sector en particular, en comparaci\u00f3n con los tipos de frutas que se encuentran en las cestas que sabemos que Muddled Libra o Silk Typhoon tienen, podemos determinar de manera razonable qu\u00e9 actor de amenazas estuvo involucrado.<\/p>\n<h2><a id=\"post-173270-_heading=h.b4jpmk2mzslc\"><\/a>Metodolog\u00eda<\/h2>\n<p>Recopilamos alertas entre junio de 2024 y junio de 2025 que se activaron en una combinaci\u00f3n de plataformas, entre las que se incluyen:<\/p>\n<ul>\n<li>Proveedores de servicios en la nube<\/li>\n<li>Entornos de contenedores<\/li>\n<li>Aplicaciones alojadas en la nube<\/li>\n<li>Plataformas de SaaS<\/li>\n<\/ul>\n<p>A continuaci\u00f3n, analizamos las alertas en funci\u00f3n de su nombre \u00fanico, la plataforma de origen, la fecha de la alerta y metadatos como:<\/p>\n<ul>\n<li>Sector<\/li>\n<li>Regi\u00f3n<\/li>\n<li>Frecuencia de aparici\u00f3n<\/li>\n<li>N\u00famero promedio de apariciones en cada organizaci\u00f3n<\/li>\n<\/ul>\n<p>Como se ha descrito anteriormente, integramos la correlaci\u00f3n del marco MITRE ATT&amp;CK, emparejando cada alerta con su t\u00e9cnica MITRE correspondiente.<\/p>\n<p>Tambi\u00e9n analizamos la correlaci\u00f3n entre el sector y la regi\u00f3n de la organizaci\u00f3n afectada y el nivel de gravedad de las alertas que experimentaron. Esto ayud\u00f3 a identificar los tipos de alertas m\u00e1s propensos a ocurrir, bas\u00e1ndonos en estos factores.<\/p>\n<h2><a id=\"post-173270-_heading=h.3hnln4e1nmq9\"><\/a>Perfiles de actores de amenazas<\/h2>\n<h3><a id=\"post-173270-_heading=h.bog35kyv4vma\"><\/a>Muddled Libra<\/h3>\n<h4><a id=\"post-173270-_heading=h.k9cvajncp9dc\"><\/a>Antecedentes<\/h4>\n<p><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/muddled-libra\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra<\/a> (tambi\u00e9n conocido como Scattered Spider o UNC3944) es un grupo de ciberdelincuentes que est\u00e1 activo desde 2021.<\/p>\n<p>Conocido por su uso de la <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">ingenier\u00eda social,<\/a>que incluye llamadas a los servicios de asistencia de las organizaciones, Muddled Libra tambi\u00e9n es conocido por asociarse con programas de ransomware como servicio (RaaS). Al <a href=\"https:\/\/unit42.paloaltonetworks.com\/muddled-libras-strike-teams\/\" target=\"_blank\" rel=\"noopener\">actualizar su enfoque<\/a> continuamente, el grupo ha utilizado con \u00e9xito t\u00e9cnicas de ingenier\u00eda social, como el smishing (phishing por SMS), el vishing (phishing por voz) y el spear phishing (dirigido directamente a un empleado).<\/p>\n<p>Tras comprometer con \u00e9xito una organizaci\u00f3n, el grupo utiliza varias herramientas, entre ellas variantes de ransomware como <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/07\/29\/cisa-and-partners-release-updated-advisory-scattered-spider-group\" target=\"_blank\" rel=\"noopener\">DragonForce<\/a>, un marco RaaS basado en suscripci\u00f3n creado por un grupo del mismo nombre, rastreado por Unit 42 como Slippery Scorpius. El grupo tambi\u00e9n <a href=\"https:\/\/www.halcyon.ai\/blog\/scattered-spider-tactics-observed-amid-shift-to-us-targets\" target=\"_blank\" rel=\"noopener\">utiliza herramientas de enumeraci\u00f3n en la nube<\/a> como <a href=\"https:\/\/github.com\/sense-of-security\/ADRecon\" target=\"_blank\" rel=\"noopener\">ADRecon,<\/a>una herramienta de reconocimiento de Active Directory de c\u00f3digo abierto.<\/p>\n<h4><a id=\"post-173270-_heading=h.tamjbhrjhda6\"><\/a>Sectores y t\u00e9cnicas objetivo<\/h4>\n<p>Aunque los sectores objetivo de <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra<\/a> han evolucionado desde 2022, se han se\u00f1alado de forma constante los siguientes:<\/p>\n<ul>\n<li>Espacio a\u00e9reo y defensa<\/li>\n<li>Servicios financieros<\/li>\n<li>Tecnolog\u00eda avanzada<\/li>\n<li>Hoteler\u00eda<\/li>\n<li>Medios y entretenimiento<\/li>\n<li>Servicios profesionales y legales<\/li>\n<li>Telecomunicaciones<\/li>\n<li>Transporte y log\u00edstica<\/li>\n<li>Comercio mayorista y minorista<\/li>\n<\/ul>\n<p>Muddled Libra emplea m\u00faltiples <a href=\"https:\/\/attack.mitre.org\/groups\/G1015\/\" target=\"_blank\" rel=\"noopener\">t\u00e9cnicas<\/a> ofensivas para comprometer y mantener el acceso dentro del entorno de la v\u00edctima. Analizamos las t\u00e9cnicas conocidas del grupo y extrajimos aquellas que se centran espec\u00edficamente en la infraestructura de la nube, como se muestra en la Tabla 1. En conjunto, estas forman una especie de \"huella digital\" que podemos utilizar para identificar al grupo en los datos de alertas de la nube.<\/p>\n<table style=\"width: 100%; height: 336px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; width: 41.2605%; height: 24px;\"><strong>T\u00e1cticas MITRE<\/strong><\/td>\n<td style=\"text-align: center; width: 16.4706%; height: 24px;\"><strong>T\u00e9cnicas MITRE<\/strong><\/td>\n<td style=\"text-align: center; width: 41.4286%; height: 24px;\"><strong>Nombre de la t\u00e9cnica MITRE<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Colecci\u00f3n<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Datos del almacenamiento en la nube<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"width: 41.2605%; height: 48px;\">Evasi\u00f3n de defensa<\/td>\n<td style=\"width: 16.4706%; height: 48px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1578\/002\/\" target=\"_blank\" rel=\"noopener\">T1578.002<\/a><\/td>\n<td style=\"width: 41.4286%; height: 48px;\">Modificar la infraestructura inform\u00e1tica en la nube: crear una instancia en la nube<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"width: 41.2605%; height: 48px;\">Evasi\u00f3n de la defensa, persistencia, escalada de privilegios, acceso inicial<\/td>\n<td style=\"width: 16.4706%; height: 48px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1078\/004\/\" target=\"_blank\" rel=\"noopener\">T1078.004<\/a><\/td>\n<td style=\"width: 41.4286%; height: 48px;\">Cuentas v\u00e1lidas: cuentas en la nube<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Descubrimiento<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1069\/003\/\" target=\"_blank\" rel=\"noopener\">T1069.003<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Detecci\u00f3n de grupos de permisos: grupos en la nube<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Descubrimiento<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1087\/004\/\" target=\"_blank\" rel=\"noopener\">T1087.004<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Detecci\u00f3n de cuenta: Cuenta en la nube<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Descubrimiento<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Detecci\u00f3n de servicios en la nube<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Descubrimiento<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1538\/\" target=\"_blank\" rel=\"noopener\">T1538<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Panel de control de servicios en la nube<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Descubrimiento<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Detecci\u00f3n de infraestructura en la nube<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Movimiento lateral<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/007\/\" target=\"_blank\" rel=\"noopener\">T1021.007<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Servicios remotos: servicios en la nube<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Persistencia, escalada de privilegios<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/001\/\" target=\"_blank\" rel=\"noopener\">T1098.001<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Manipulaci\u00f3n de la cuenta: roles adicionales en la nube<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.2605%; height: 24px;\">Persistencia, escalada de privilegios<\/td>\n<td style=\"width: 16.4706%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/003\/\" target=\"_blank\" rel=\"noopener\">T1098.003<\/a><\/td>\n<td style=\"width: 41.4286%; height: 24px;\">Manipulaci\u00f3n de la cuenta: Roles adicionales en la nube<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 1. T\u00e1cticas y t\u00e9cnicas conocidas de Muddled Libra en la nube.<\/span><\/p>\n<h4><a id=\"post-173270-_heading=h.6fnwk9dfkbq6\"><\/a>Descripci\u00f3n detallada de la metodolog\u00eda<\/h4>\n<p>Aunque cada t\u00e9cnica MITRE es relativamente granular en t\u00e9rminos de alcance operativo, puede haber m\u00faltiples tipos de eventos computacionales de una plataforma en la nube o una aplicaci\u00f3n de software como servicio (SaaS) que puedan entrar en el \u00e1mbito o alcance de una sola t\u00e9cnica MITRE.<\/p>\n<p>Por ejemplo, la t\u00e9cnica MITRE T1078.004 - Cuentas v\u00e1lidas: cuentas en la nube se centra en el evento operativo de una cuenta v\u00e1lida en la nube. Esto puede tener un amplio alcance en cuanto a los tipos de eventos que se pueden contabilizar, tales como:<\/p>\n<ul>\n<li>Modificaci\u00f3n inusual de recursos por parte de un usuario IAM reci\u00e9n visto.<\/li>\n<li>Eliminaci\u00f3n de m\u00faltiples recursos en la nube por parte de un rol IAM reci\u00e9n creado.<\/li>\n<li>Una identidad sospechosa creada o una contrase\u00f1a actualizada para un usuario IAM.<\/li>\n<\/ul>\n<p>Cada uno de estos eventos puede estar vinculado a una cuenta v\u00e1lida en la nube, pero cada uno podr\u00eda tener causas fundamentales muy diferentes.<\/p>\n<p>Adem\u00e1s, al analizar espec\u00edficamente un tipo de alerta concreto, <span style=\"font-family: 'courier new', courier, monospace;\">como la modificaci\u00f3n inusual de recursos desde una funci\u00f3n IAM reci\u00e9n creada<\/span>, este evento podr\u00eda considerarse alineado no solo con la t\u00e1ctica de acceso inicial de MITRE, sino tambi\u00e9n con las t\u00e1cticas de evasi\u00f3n de la defensa o incluso de persistencia de MITRE.<\/p>\n<p>Cuando ampliamos nuestro alcance para incluir posibles eventos de alerta que pudieran ser desencadenados por cualquiera de las t\u00e9cnicas MITRE que se sabe que utiliza Muddled Libra, encontramos casi 70 eventos de alerta que pod\u00edan atribuirse al menos a una de estas t\u00e9cnicas MITRE.<\/p>\n<p>Recopilamos todas estas alertas, que estaban asociadas a cada una de las t\u00e9cnicas MITRE que se sabe que utiliza Muddled Libra. A continuaci\u00f3n, filtramos esas alertas para identificar el n\u00famero de alertas \u00fanicas que estaban presentes en cada sector. Tambi\u00e9n hicimos un seguimiento del n\u00famero medio de incidencias diarias para cada organizaci\u00f3n dentro de esos sectores. Utilizando nuestra analog\u00eda con la fruta, identificamos el n\u00famero de frutas \u00fanicas que los actores de amenazas dejaron en cada sector respectivo (alertas \u00fanicas) y, a continuaci\u00f3n, tambi\u00e9n contamos cu\u00e1ntas de cada tipo de fruta estaban presentes en cada organizaci\u00f3n dentro de ese sector (recuento medio de alertas).<\/p>\n<p>Como se explica en la secci\u00f3n <a href=\"#post-173270-_heading=h.dc7v3bumu4a6\">Glosario<\/a>, pudimos utilizar estos n\u00fameros para crear patrones.<\/p>\n<h4><a id=\"post-173270-_heading=h.6wnkqltoe6xt\"><\/a>An\u00e1lisis de la industria y la t\u00e9cnica<\/h4>\n<p>La comparaci\u00f3n de las alertas activadas y sus t\u00e9cnicas MITRE asociadas con las industrias objetivo muestra una correlaci\u00f3n entre las industrias objetivo seg\u00fan los informes p\u00fablicos y las alertas activadas por las operaciones de Muddled Libra. En la Figura 1 se muestra esta correlaci\u00f3n mediante la clasificaci\u00f3n de las industrias de mayor a menor en funci\u00f3n del n\u00famero de alertas \u00fanicas relacionadas con las t\u00e9cnicas MITRE enumeradas en la tabla 1, entre junio de 2024 y julio de 2025. Las industrias que se informaron p\u00fablicamente como objetivo se muestran en rojo.<\/p>\n<figure id=\"attachment_173271\" aria-describedby=\"caption-attachment-173271\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173271 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-680518-173270-1.png\" alt=\"Gr\u00e1fico de barras en el que se muestran diversos sectores en el eje vertical y el n\u00famero de alertas en el horizontal. &quot;Alta tecnolog\u00eda&quot; encabeza la lista con el mayor n\u00famero de alertas, seguido de &quot;Comercio mayorista y minorista&quot; y &quot;Servicios financieros&quot;. El gr\u00e1fico contin\u00faa con sectores como &quot;Inmobiliario&quot; y &quot;Gobierno federal&quot;, que muestran menos alertas. Las barras est\u00e1n coloreadas en rojo y azul, donde el azul indica Muddled Libra.\" width=\"1000\" height=\"693\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-680518-173270-1.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-680518-173270-1-635x440.png 635w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-680518-173270-1-1010x700.png 1010w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-680518-173270-1-768x532.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-680518-173270-1-1536x1064.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173271\" class=\"wp-caption-text\">Figura 1. Recuento de alertas \u00fanicas por sector entre junio de 2024 y junio de 2025. Las barras rojas indican los sectores que, seg\u00fan se ha informado p\u00fablicamente, han sido objeto de ataques por parte de Muddled Libra.<\/figcaption><\/figure>\n<p>En la Figura 2 se muestra el n\u00famero promedio diario de alertas que se produjeron durante el mismo per\u00edodo.<\/p>\n<figure id=\"attachment_173282\" aria-describedby=\"caption-attachment-173282\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173282 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-684258-173270-2.png\" alt=\"Gr\u00e1fico de barras en el que se muestra la media de alertas diarias en diversos sectores. El eje X muestra sectores como transporte y log\u00edstica, productos farmac\u00e9uticos y ciencias de la vida, comercio minorista y telecomunicaciones. El eje Y va de 0 a 8 alertas. Las barras azules y rojas var\u00edan en altura, siendo la m\u00e1s alta la de transporte y log\u00edstica, con 7 alertas, y la m\u00e1s baja la de medios de comunicaci\u00f3n y entretenimiento, con 2 alertas.\" width=\"1000\" height=\"577\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-684258-173270-2.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-684258-173270-2-763x440.png 763w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-684258-173270-2-1214x700.png 1214w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-684258-173270-2-768x443.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-684258-173270-2-1536x886.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173282\" class=\"wp-caption-text\">Figura 2. Recuento del promedio diario de alertas por sector entre junio de 2024 y junio de 2025. Las barras rojas indican los sectores que, seg\u00fan se ha informado p\u00fablicamente, han sido objeto de ataques por parte de Muddled Libra.<\/figcaption><\/figure>\n<p>Si bien el mayor volumen de alertas \u00fanicas (que se muestra en la figura 1) coincide perfectamente con los objetivos m\u00e1s denunciados de Muddled Libra \u2014concretamente, la alta tecnolog\u00eda, el comercio mayorista y minorista, los servicios financieros y los servicios profesionales y jur\u00eddicos\u2014, no debe ignorarse la presencia de una serie de alertas caracter\u00edsticas en otros sectores. Cuando un sector como el manufacturero, el farmac\u00e9utico y las ciencias de la vida o el gobierno estatal y local muestra un subconjunto significativo de la \"huella digital\" de Muddled Libra (por ejemplo, 16 o m\u00e1s tipos de alertas \u00fanicas), esto sugiere que el grupo podr\u00eda tener un inter\u00e9s activo en estos entornos, aunque no hayamos visto titulares al respecto. Los equipos de seguridad de estas industrias de \"nivel medio\" deben tratar estos grupos de alertas \u00fanicas como se\u00f1ales de alerta temprana de que estas industrias est\u00e1n siendo testigos de un n\u00famero significativo de las t\u00e9cnicas operativas conocidas del grupo.<\/p>\n<p>Los datos de alertas \u00fanicas (Figura 1) deben considerarse junto con los datos de alertas diarias promedio (Figura 2) para distinguir entre el alcance estrat\u00e9gico de un agente malicioso y su persistencia operativa. Por ejemplo, el transporte y la log\u00edstica son un ejemplo claro de objetivos de alta intensidad; ocupan el sexto lugar en variedad de alertas \u00fanicas, pero el primero en volumen diario medio, con un aumento del 25 % en las alertas \u00fanicas solo en junio de 2025. Esta combinaci\u00f3n indica que Muddled Libra no solo est\u00e1 utilizando una amplia gama de sus t\u00e9cnicas caracter\u00edsticas en este sector, sino que lo est\u00e1 haciendo con mayor frecuencia. En la siguiente secci\u00f3n profundizaremos en el transporte y la log\u00edstica.<\/p>\n<p>Por el contrario, las telecomunicaciones y los medios de comunicaci\u00f3n y el entretenimiento fueron algunos de los primeros y m\u00e1s frecuentes objetivos de Muddled Libra en 2022 y 2023, pero su posici\u00f3n como las dos \u00faltimas en el ranking de alertas diarias medias en 2024-2025 sugiere que estas dos industrias en particular han experimentado un efecto de saturaci\u00f3n. Es decir, es posible que los ataques a estos grupos est\u00e9n quedando obsoletos. Ya no parecen ser el foco principal de los actores de Muddled Libra. Otras industrias que tambi\u00e9n podr\u00edan entrar en esta categor\u00eda son la hosteler\u00eda y la aeroespacial y de defensa.<\/p>\n<p>Para un defensor, estos datos proporcionan un umbral para la investigaci\u00f3n proactiva. Un recuento elevado de alertas \u00fanicas (la \"variedad\" de la cesta de frutas) suele indicar un intento de intrusi\u00f3n sofisticado y en varias etapas, mientras que una media diaria elevada (la \"cantidad\" de fruta) puede apuntar a un escaneo automatizado o a un relleno persistente de credenciales. Si su organizaci\u00f3n detecta m\u00e1s de 10 alertas \u00fanicas asociadas a Muddled Libra en un plazo de 30 d\u00edas, es hora de profundizar, independientemente de si su sector espec\u00edfico es actualmente \"tendencia\" en los c\u00edrculos de inteligencia de amenazas. El objetivo es pasar de los parches reactivos a la defensa proactiva, identificando estos patrones espec\u00edficos de los actores antes de que se conviertan en una filtraci\u00f3n de datos.<\/p>\n<h4><a id=\"post-173270-_heading=h.dkn7qermaumf\"><\/a>An\u00e1lisis espec\u00edfico: Aviaci\u00f3n<\/h4>\n<p>Los informes que indicaban que Muddled Libra <a href=\"https:\/\/industrialcyber.co\/transport\/fbi-raises-alarm-over-scattered-spider-targeting-airline-sector-with-social-engineering-schemes\/\" target=\"_blank\" rel=\"noopener\">ten\u00eda como objetivo el sector de la aviaci\u00f3n<\/a> surgieron inicialmente en junio de 2025. Unit 42 no realiza un seguimiento de la aviaci\u00f3n como categor\u00eda independiente. En su lugar, las organizaciones de aviaci\u00f3n aparecen en nuestra categor\u00eda de transporte y log\u00edstica.<\/p>\n<p>Al examinar las alertas del sector del transporte y la log\u00edstica, observamos un aumento en el n\u00famero de alertas \u00fanicas basadas en las t\u00e9cnicas MITRE utilizadas por Muddled Libra durante ese mismo per\u00edodo.<\/p>\n<p>Es importante se\u00f1alar que aqu\u00ed estamos analizando el n\u00famero de reglas de alerta \u00fanicas para este an\u00e1lisis y desglos\u00e1ndolas por mes, a diferencia de la vista de todo el a\u00f1o que se muestra en la Figura 1. Llegamos a las \"alertas \u00fanicas\" para el sector tomando el n\u00famero medio de alertas \u00fanicas observadas para cada organizaci\u00f3n seguida en esa categor\u00eda durante un per\u00edodo mensual.<\/p>\n<p>En la Figura 3 se muestra que el n\u00famero promedio de alertas \u00fanicas por organizaci\u00f3n en el sector del transporte aument\u00f3 un 25 % entre mayo y junio de 2025. Lo que hace que este hallazgo sea importante es que Muddled Libra fue noticia en varias ocasiones durante junio de 2025 por sus operaciones dirigidas a organizaciones a\u00e9reas.<\/p>\n<figure id=\"attachment_173293\" aria-describedby=\"caption-attachment-173293\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173293 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-687133-173270-3.png\" alt=\"Gr\u00e1fico de barras en el que se muestran las alertas desde junio de 2024 hasta junio de 2025. Cada mes, desde junio hasta mayo, tiene entre 10 y 12 alertas en barras azules, y junio tiene 15 alertas en una barra roja, lo que indica Muddled Libra.\" width=\"1000\" height=\"684\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-687133-173270-3.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-687133-173270-3-643x440.png 643w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-687133-173270-3-1023x700.png 1023w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-687133-173270-3-768x525.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-687133-173270-3-1536x1051.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173293\" class=\"wp-caption-text\">Figura 3. Alertas \u00fanicas por mes para el sector del transporte. La barra correspondiente a junio es roja porque es el per\u00edodo en el que, seg\u00fan se ha informado p\u00fablicamente, se registraron m\u00e1s ataques dirigidos al sector de la aviaci\u00f3n.<\/figcaption><\/figure>\n<p>Como se ilustra en la Figura 3, en junio de 2025 se registr\u00f3 el mayor n\u00famero de alertas \u00fanicas para el sector del transporte, con 15 alertas \u00fanicas.<\/p>\n<h4><a id=\"post-173270-_heading=h.a6ouqb5wxa79\"><\/a>El veredicto sobre la iniciativa de toma de huellas digitales<\/h4>\n<p>Al observar la correlaci\u00f3n, parece existir una capacidad de huella digital que podr\u00eda utilizarse como patr\u00f3n de detecci\u00f3n. Este patr\u00f3n podr\u00eda ayudar a las organizaciones a identificar si son potencialmente objeto de ataques y a tomar medidas paliativas. Adem\u00e1s, tambi\u00e9n podr\u00eda ayudar a las organizaciones a desarrollar un mecanismo de detecci\u00f3n de alerta temprana. Por ejemplo, si los defensores observan un aumento en el n\u00famero medio diario de alertas de t\u00e9cnicas conocidas de Muddled Libra, esto podr\u00eda indicar que se est\u00e1n llevando a cabo actividades de reconocimiento o descubrimiento contra su infraestructura. Esto les brinda la oportunidad de prepararse de forma proactiva para futuras operaciones.<\/p>\n<h4><a id=\"post-173270-_heading=h.fwhbytwfu4h7\"><\/a>Las 10 alertas principales de las t\u00e9cnicas de Muddled Libra<\/h4>\n<p>En la Tabla 2 se enumeran las 10 alertas principales que observamos en relaci\u00f3n con las t\u00e9cnicas MITRE de Muddled Libra.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 50.6723%;\"><strong>Nombres de alertas<\/strong><\/td>\n<td style=\"text-align: center; width: 17.563%;\"><strong>T\u00e9cnicas MITRE<\/strong><\/td>\n<td style=\"text-align: center; width: 30.9244%;\"><strong>T\u00e1cticas<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Actividad de enumeraci\u00f3n de recursos confidenciales de Azure mediante la API de Microsoft Graph<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 30.9244%;\">Descubrimiento<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Actividad de exfiltraci\u00f3n de servicios de almacenamiento de Microsoft 365<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 30.9244%;\">Recopilaci\u00f3n, exfiltraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Actividad de enumeraci\u00f3n multirregional<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1535\/\" target=\"_blank\" rel=\"noopener\">T1535<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 30.9244%;\">Descubrimiento<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Actividad de enumeraci\u00f3n de almacenamiento<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1619\/\" target=\"_blank\" rel=\"noopener\">T1619<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 30.9244%;\">Descubrimiento, recopilaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Identidad en la nube que consulta informaci\u00f3n sobre costos o uso<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1087\/004\/\" target=\"_blank\" rel=\"noopener\">T1087.004<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/td>\n<td style=\"width: 30.9244%;\">Descubrimiento<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Una identidad en la nube invoc\u00f3 operaciones de persistencia relacionadas con IAM<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/\" target=\"_blank\" rel=\"noopener\">T1098<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1136\/\" target=\"_blank\" rel=\"noopener\">T1136<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1078\/004\/\" target=\"_blank\" rel=\"noopener\">T1078.004<\/a><\/td>\n<td style=\"width: 30.9244%;\">Evasi\u00f3n de la defensa, persistencia, escalada de privilegios, acceso inicial<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Actividad de enumeraci\u00f3n de infraestructura en la nube<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 30.9244%;\">Descubrimiento<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Una identidad sospechosa descarg\u00f3 varios objetos de un dep\u00f3sito.<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 30.9244%;\">Recopilaci\u00f3n, exfiltraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Actividad sospechosa de enumeraci\u00f3n de la infraestructura en la nube<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 30.9244%;\">Descubrimiento<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 50.6723%;\">Descubrimiento de modelo ML<\/td>\n<td style=\"width: 17.563%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 30.9244%;\">Descubrimiento<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 2. Las 10 alertas principales asociadas con las t\u00e9cnicas MITRE de Muddled Libra.<\/span><\/p>\n<p>Como se describe en la Tabla 2, Muddled Libra tiene un amplio historial de ataques a <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/microsoftsecurityexperts\/octo-tempest-hybrid-identity-compromise-recovery\/4166783\" target=\"_blank\" rel=\"noopener\">entornos<\/a> Microsoft Azure utilizando <a href=\"https:\/\/learn.microsoft.com\/en-us\/graph\/use-the-api\" target=\"_blank\" rel=\"noopener\">Graph API<\/a>, una API RESTful que permite el acceso a los recursos en la nube de Azure. Este tipo de actividad se correlaciona con las t\u00e9cnicas MITRE utilizadas por Muddled Libra y las alertas activadas por sus operaciones. La alerta m\u00e1s frecuente entre junio de 2024 y junio de 2025, en relaci\u00f3n con las t\u00e9cnicas MITRE utilizadas por Muddled Libra, fue la enumeraci\u00f3n de recursos mediante Microsoft Graph API. La siguiente alerta m\u00e1s com\u00fan fue la relativa a la actividad de exfiltraci\u00f3n de los servicios de almacenamiento de Microsoft 365. Si bien las operaciones de descubrimiento representaron la mayor parte de los tipos de alertas restantes, las operaciones de recopilaci\u00f3n y exfiltraci\u00f3n fueron el segundo tipo de alerta m\u00e1s frecuente.<\/p>\n<h3><a id=\"post-173270-_heading=h.qnsec6b5r9z9\"><\/a>Silk Typhoon<\/h3>\n<h4><a id=\"post-173270-_heading=h.dmm2nfo9jqb3\"><\/a>Antecedentes<\/h4>\n<p>Silk Typhoon (tambi\u00e9n conocido como <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2021\/03\/02\/hafnium-targeting-exchange-servers\/\" target=\"_blank\" rel=\"noopener\">HAFNIUM<\/a>) es un grupo de actores de amenazas vinculado con China que opera al menos desde 2021. Este grupo ha <a href=\"https:\/\/unit42.paloaltonetworks.com\/china-chopper-webshell\/\">explotado<\/a> hist\u00f3ricamente m\u00faltiples vulnerabilidades en los servidores Microsoft Exchange. En los \u00faltimos a\u00f1os, el grupo parece estar cambiando sus objetivos hacia <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/03\/05\/silk-typhoon-targeting-it-supply-chain\/\" target=\"_blank\" rel=\"noopener\">entornos de nube<\/a>, utilizando credenciales comprometidas obtenidas a trav\u00e9s de endpoints VPN vulnerables de cara al p\u00fablico para moverse lateralmente a trav\u00e9s de entornos de nube. El grupo se basa en herramientas de supervisi\u00f3n y gesti\u00f3n remotas (RMM) para mantener un acceso persistente y aprovecha la API Graph de Microsoft para enumerar los recursos en la nube.<\/p>\n<h4><a id=\"post-173270-_heading=h.oxbhvwlzppgw\"><\/a>Sectores y t\u00e9cnicas objetivo<\/h4>\n<p>Los investigadores en ciberseguridad han identificado que los sectores m\u00e1s com\u00fanmente atacados, ubicados principalmente en los Estados Unidos, incluyen:<\/p>\n<ul>\n<li>Formaci\u00f3n<\/li>\n<li>Tecnolog\u00eda avanzada<\/li>\n<li>Gobiernos federales<\/li>\n<li>Servicios financieros<\/li>\n<li>Organizaciones no gubernamentales (ONG)<\/li>\n<li>Servicios profesionales y legales<\/li>\n<li>Gobiernos estatales y locales<\/li>\n<li>Servicios p\u00fablicos y energ\u00eda<\/li>\n<\/ul>\n<p>Silk Typhoon ha empleado varias <a href=\"https:\/\/attack.mitre.org\/groups\/G0125\/\" target=\"_blank\" rel=\"noopener\">t\u00e9cnicas<\/a> ofensivas para comprometer y mantener el acceso dentro del entorno de la v\u00edctima. Utilizando la misma metodolog\u00eda que se emple\u00f3 durante el an\u00e1lisis de Muddled Libra anterior, analizamos las t\u00e9cnicas e identificamos aquellas que se centran en la infraestructura en la nube, como se muestra en la Tabla 3. Descubrimos que, entre las t\u00e9cnicas conocidas empleadas por Silk Typhoon y Muddled Libra, solo tres fueron utilizadas por ambos grupos de actores maliciosos: T1530, T1078.004 y T1098.001. Esto proporciona una base para comparar y contrastar los resultados entre las operaciones de ambos grupos y, lo que es m\u00e1s importante, los tipos de alertas observadas por las organizaciones de los sectores a los que se dirigen.<\/p>\n<table style=\"width: 99.6092%;\">\n<tbody>\n<tr>\n<td style=\"width: 34.8773%; text-align: center;\"><strong>T\u00e1cticas MITRE<\/strong><\/td>\n<td style=\"width: 20.1447%; text-align: center;\"><strong>T\u00e9cnicas MITRE<\/strong><\/td>\n<td style=\"width: 63.1966%; text-align: center;\"><strong>Nombre de la t\u00e9cnica MITRE<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Colecci\u00f3n<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1119\/\" target=\"_blank\" rel=\"noopener\">T1119<\/a><\/td>\n<td style=\"width: 63.1966%;\">Recopilaci\u00f3n autom\u00e1tica<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Colecci\u00f3n<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 63.1966%;\">Datos del almacenamiento en la nube<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Acceso a credenciales<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1555\/006\/\" target=\"_blank\" rel=\"noopener\">T1555.006<\/a><\/td>\n<td style=\"width: 63.1966%;\">Credenciales de almacenamiento de contrase\u00f1as: almacenes de gesti\u00f3n de secretos en la nube<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Evasi\u00f3n de defensa<\/p>\n<p>Movimiento lateral<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1550\/001\/\" target=\"_blank\" rel=\"noopener\">T1550.001<\/a><\/td>\n<td style=\"width: 63.1966%;\">Uso de material de autenticaci\u00f3n alternativo: token de acceso a la aplicaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Evasi\u00f3n de defensa<\/p>\n<p>Persistencia<\/p>\n<p>Elevaci\u00f3n de privilegios<\/p>\n<p>Acceso inicial<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1078\/004\/\" target=\"_blank\" rel=\"noopener\">T1078.004<\/a><\/td>\n<td style=\"width: 63.1966%;\">Cuentas v\u00e1lidas: cuentas en la nube<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Descubrimiento<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1619\/\" target=\"_blank\" rel=\"noopener\">T1619<\/a><\/td>\n<td style=\"width: 63.1966%;\">Detecci\u00f3n de objetos de almacenamiento en la nube<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Exfiltraci\u00f3n<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1567\/002\/\" target=\"_blank\" rel=\"noopener\">T1567.002<\/a><\/td>\n<td style=\"width: 63.1966%;\">Exfiltraci\u00f3n sobre servicio web: exfiltraci\u00f3n al almacenamiento en la nube<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Impacto<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1485\/\" target=\"_blank\" rel=\"noopener\">T1485<\/a><\/td>\n<td style=\"width: 63.1966%;\">Destrucci\u00f3n de datos<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Acceso inicial<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1190\/\" target=\"_blank\" rel=\"noopener\">T1190<\/a><\/td>\n<td style=\"width: 63.1966%;\">Aprovechar la aplicaci\u00f3n orientada al p\u00fablico<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Acceso inicial<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1190\/\" target=\"_blank\" rel=\"noopener\">T1199<\/a><\/td>\n<td style=\"width: 63.1966%;\">Relaci\u00f3n de confianza<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Persistencia<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1136\/003\/\" target=\"_blank\" rel=\"noopener\">T1136.003<\/a><\/td>\n<td style=\"width: 63.1966%;\">Creaci\u00f3n de cuentas: cuenta en la nube<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 34.8773%;\">Persistencia<\/p>\n<p>Elevaci\u00f3n de privilegios<\/td>\n<td style=\"width: 20.1447%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/001\/\" target=\"_blank\" rel=\"noopener\">T1098.001<\/a><\/td>\n<td style=\"width: 63.1966%;\">Manipulaci\u00f3n de la cuenta: credenciales adicionales en la nube<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 3. T\u00e1cticas y t\u00e9cnicas conocidas de Silk Typhoon en la nube.<\/span><\/p>\n<h4><a id=\"post-173270-_heading=h.uvap56lrjlsp\"><\/a>Descripci\u00f3n detallada de la metodolog\u00eda<\/h4>\n<p>A modo de breve resumen de la metodolog\u00eda de nuestra investigaci\u00f3n, analizamos los tipos de eventos de alerta que podr\u00edan estar asociados con cada una de las t\u00e9cnicas MITRE que se sabe que utiliza Silk Typhoon. Cuando incluimos los posibles eventos de alerta que podr\u00edan desencadenarse por cualquiera de las t\u00e9cnicas MITRE que se sabe que utiliza Silk Typhoon, encontramos algo m\u00e1s de 50 eventos de alerta que podr\u00edan atribuirse al menos a una de estas t\u00e9cnicas MITRE.<\/p>\n<p>Recopilamos todas estas alertas y las filtramos para identificar el n\u00famero de alertas \u00fanicas que estaban presentes en cada sector y el n\u00famero promedio de ocurrencias diarias de esas alertas para cada organizaci\u00f3n dentro de esos sectores.<\/p>\n<p>Utilizando la misma analog\u00eda que antes, quer\u00edamos identificar qu\u00e9 tipos de fruta tra\u00eda Silk Typhoon a la fiesta y cu\u00e1ntas piezas de fruta sol\u00edan implementar cuando atacaban.<\/p>\n<h4><a id=\"post-173270-_heading=h.63laewnsfok6\"><\/a>An\u00e1lisis de la industria y la t\u00e9cnica<\/h4>\n<p>Comparamos el n\u00famero total de alertas \u00fanicas para cada mes desde junio de 2024 hasta junio de 2025 con las industrias desde las que se activaron dichas alertas. Esta comparaci\u00f3n confirm\u00f3 que pudimos ver las \"huellas digitales\" de Silk Typhoon en las alertas activadas en las industrias que se sab\u00eda que eran el objetivo del grupo.<\/p>\n<p>Como se ha mencionado, Silk Typhoon ten\u00eda algo m\u00e1s de 50 alertas \u00fanicas asociadas con el uso conocido de sus t\u00e9cnicas, mientras que Muddled Libra ten\u00eda casi 70.<\/p>\n<p>Por el contrario, al examinar nuestros datos de Silk Typhoon, observamos un mayor n\u00famero de alertas \u00fanicas en cada industria que en nuestros datos de Muddled Libra.<\/p>\n<p>En otras palabras, Silk Typhoon puede tener una cesta con menos tipos de fruta (50) que Muddled Libra (70), pero el actor malicioso parece utilizar m\u00e1s tipos de la cesta en sus operaciones (es decir, hasta 27 alertas \u00fanicas frente a 22).<\/p>\n<p>El gr\u00e1fico de la Figura 4 muestra nuestras observaciones de las alertas por sector durante el per\u00edodo estudiado.<\/p>\n<figure id=\"attachment_173304\" aria-describedby=\"caption-attachment-173304\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173304 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-689926-173270-4.png\" alt=\"Gr\u00e1fico de barras que muestra diversos sectores por alertas \u00fanicas por sector. Las industrias de alta tecnolog\u00eda, servicios financieros y comercio mayorista y minorista tienen el mayor n\u00famero de alertas. Otros sectores, como el gobierno federal y el sector inmobiliario, muestran menos alertas. Las barras rojas indican las industrias que, seg\u00fan se ha informado p\u00fablicamente, han sido objeto de ataques por parte de Silk Typhoon.\" width=\"1000\" height=\"750\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-689926-173270-4.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-689926-173270-4-587x440.png 587w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-689926-173270-4-933x700.png 933w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-689926-173270-4-768x576.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-689926-173270-4-1536x1152.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173304\" class=\"wp-caption-text\">Figura 4. Recuento de alertas \u00fanicas y promedio diario de alertas por sector. Las barras rojas indican los sectores que, seg\u00fan informes p\u00fablicos, fueron objeto de ataques por parte de Silk Typhoon.<\/figcaption><\/figure>\n<figure id=\"attachment_173315\" aria-describedby=\"caption-attachment-173315\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173315 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-15.png\" alt=\"Gr\u00e1fico de barras que muestra los promedios de alertas en diversos sectores. El gr\u00e1fico muestra que el Gobierno Federal es el que tiene m\u00e1s alertas, seguido de sectores como la agricultura, la industria farmac\u00e9utica y las ciencias de la vida, y la alta tecnolog\u00eda. Los sectores de la sanidad, los medios de comunicaci\u00f3n y el entretenimiento, y el sector inmobiliario son los que tienen menos alertas. Las barras est\u00e1n coloreadas en rojo y azul, donde el rojo indica Silk Typhoon.\" width=\"1000\" height=\"706\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-15.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-15-623x440.png 623w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-15-991x700.png 991w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-15-768x542.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-15-1536x1085.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173315\" class=\"wp-caption-text\">Figura 5. Recuento del promedio diario de alertas por sector. Las barras rojas indican las industrias que, seg\u00fan se ha informado p\u00fablicamente, han sido objeto de ataques por parte de Silk Typhoon.<\/figcaption><\/figure>\n<p>Si bien el mayor volumen de alertas \u00fanicas coincide con los objetivos m\u00e1s denunciados de Silk Typhoon \u2014concretamente, la alta tecnolog\u00eda, los servicios financieros y los servicios profesionales y jur\u00eddicos\u2014, la presencia de alertas caracter\u00edsticas en otros sectores es igualmente reveladora. Cuando un sector como el mayorista y minorista o el manufacturero muestra un subconjunto significativo de la \"huella digital\" de Silk Typhoon (por ejemplo, 18 o m\u00e1s tipos de alertas \u00fanicas), esto indica que el grupo podr\u00eda estar implementando activamente sus t\u00e9cnicas ofensivas contra estos entornos industriales. Esto podr\u00eda estar ocurriendo incluso si los informes p\u00fablicos son escasos o inexistentes en la fecha actual. Los equipos de seguridad de estas industrias de \"nivel medio\" deben tratar estos grupos de alertas \u00fanicas como evidencia de que est\u00e1n presenciando un amplio espectro de las t\u00e9cnicas operativas conocidas del grupo, en lugar de incidentes aislados.<\/p>\n<p>Los datos de alerta \u00fanicos de Silk Typhoon (Figura 4) deben considerarse junto con los datos de alerta diarios promedio (Figura 5) para distinguir entre el alcance estrat\u00e9gico de un actor de amenazas y su persistencia operativa. Volviendo a nuestra met\u00e1fora, Silk Typhoon tiene una \"cesta\" con menos tipos de fruta (50) que Muddled Libra (70), pero tiende a utilizar m\u00e1s de lo que hay en su cesta en un momento dado. Por ejemplo, hemos observado hasta 27 alertas \u00fanicas en un solo sector, frente a las 22 de Muddled Libra.<\/p>\n<p>El gobierno federal es un ejemplo paradigm\u00e1tico de objetivos de alta intensidad. Este sector ocupa el \u00faltimo lugar en cuanto al n\u00famero de alertas \u00fanicas, o m\u00e1s bien en variedad, es decir, los \"tipos de fruta\" de su cesta, pero el primero en volumen medio diario, con un m\u00e1ximo de 7,28 alertas al d\u00eda (la \"cantidad de fruta observada\"). Esto sugiere que, aunque Silk Typhoon puede utilizar un conjunto m\u00e1s reducido de t\u00e9cnicas contra objetivos gubernamentales, despliega esas t\u00e1cticas espec\u00edficas con una frecuencia implacable. Por el contrario, la alta tecnolog\u00eda muestra el \"peor de los dos mundos\", ocupando el primer lugar en variedad t\u00e1ctica \u00fanica y cerca de la cima en volumen diario. Esto indica que se trata de campa\u00f1as sofisticadas y persistentes.<\/p>\n<p>Al igual que en nuestros comentarios sobre las alertas \u00fanicas, cuando observamos un alto nivel de actividad que podr\u00eda estar relacionado con el grupo de amenazas, puede que valga la pena que los defensores busquen otras alertas conocidas relacionadas con Silk Typhoon, por precauci\u00f3n. Unos niveles altos de actividad media de alertas podr\u00edan indicar que los grupos de amenazas est\u00e1n intentando obtener acceso inicial, pero a\u00fan no han logrado implementar todo su conjunto de herramientas.<\/p>\n<p>Para un defensor, estos datos proporcionan un umbral para la investigaci\u00f3n proactiva: un n\u00famero elevado de alertas \u00fanicas (la \"variedad\" de la cesta de frutas) suele indicar un intento de intrusi\u00f3n sofisticado y en varias etapas, mientras que un promedio diario elevado (la \"cantidad\" de fruta) puede apuntar a un escaneo automatizado o a la explotaci\u00f3n persistente de vulnerabilidades espec\u00edficas. Si una organizaci\u00f3n observa m\u00e1s de 10 alertas \u00fanicas asociadas a Silk Typhoon en un mes, es hora de profundizar, independientemente de si un sector espec\u00edfico est\u00e1 en los titulares como objetivo com\u00fan.<\/p>\n<h4><a id=\"post-173270-_heading=h.bwa7uv2mcj28\"><\/a>Las 10 alertas principales de las t\u00e9cnicas de Silk Typhoon<\/h4>\n<p>En la Tabla 4 se enumeran las alertas m\u00e1s comunes en relaci\u00f3n con las t\u00e9cnicas MITRE utilizadas por Silk Typhoon.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"width: 63.8655%;\"><strong>Nombres de alertas<\/strong><\/td>\n<td style=\"width: 14.5378%;\"><strong>T\u00e9cnicas MITRE<\/strong><\/td>\n<td style=\"width: 20.8403%;\"><strong>T\u00e1cticas<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Actividad de exfiltraci\u00f3n de los servicios de almacenamiento de Microsoft O365<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 20.8403%;\">Recopilaci\u00f3n, exfiltraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Ejecuci\u00f3n de procesos con una l\u00ednea de comandos sospechosa indicativa del exploit Spring4Shell<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1190\/\" target=\"_blank\" rel=\"noopener\">T1190<\/a><\/td>\n<td style=\"width: 20.8403%;\">Acceso inicial<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Actividad de enumeraci\u00f3n de almacenamiento<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1619\/\" target=\"_blank\" rel=\"noopener\">T1619<\/a><\/td>\n<td style=\"width: 20.8403%;\">Descubrimiento<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Una identidad en la nube invoc\u00f3 operaciones de persistencia relacionadas con IAM<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/\" target=\"_blank\" rel=\"noopener\">T1098<\/a><\/td>\n<td style=\"width: 20.8403%;\">Persistencia, escalada de privilegios<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Una identidad sospechosa descarg\u00f3 varios objetos de un dep\u00f3sito.<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 20.8403%;\">Recopilaci\u00f3n, exfiltraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Una identidad sospechosa descarg\u00f3 varios objetos de un dep\u00f3sito de almacenamiento de copias de seguridad<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 20.8403%;\">Recopilaci\u00f3n, exfiltraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Una identidad realiz\u00f3 una descarga sospechosa de varios objetos de almacenamiento en la nube<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 20.8403%;\">Recopilaci\u00f3n, exfiltraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Una identidad realiz\u00f3 una descarga sospechosa de varios objetos de almacenamiento en la nube desde varios dep\u00f3sitos<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 20.8403%;\">Recopilaci\u00f3n, exfiltraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Descargas masivas de archivos de c\u00f3digo desde un servicio SaaS<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 20.8403%;\">Colecci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 63.8655%;\">Eliminaci\u00f3n de varios recursos en la nube<\/td>\n<td style=\"width: 14.5378%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1485\/\" target=\"_blank\" rel=\"noopener\">T1485<\/a><\/td>\n<td style=\"width: 20.8403%;\">Impacto<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 4. Las 10 alertas principales asociadas con las t\u00e9cnicas MITRE de Silk Typhoon.<\/span><\/p>\n<p>Como se indica en la tabla 4, las t\u00e9cnicas de recopilaci\u00f3n y exfiltraci\u00f3n fueron las alertas m\u00e1s comunes asociadas con las t\u00e9cnicas MITRE de Silk Typhoon. La exfiltraci\u00f3n de los servicios de almacenamiento de Microsoft 365 fue la alerta observada con mayor frecuencia. Otras alertas identificadas incluyen enumeraciones de almacenamiento en la nube y descargas sospechosas de objetos de almacenamiento en la nube.<\/p>\n<h2><a id=\"post-173270-_heading=h.a1p4b3b5tijb\"><\/a>Tendencias de alertas en la nube del sector<\/h2>\n<p>Quiz\u00e1s el resultado m\u00e1s llamativo de nuestra investigaci\u00f3n sali\u00f3 a la luz cuando comparamos las tendencias generales de alertas en la nube con las tendencias que descubrimos al realizar el an\u00e1lisis de huellas digitales de Muddled Libra y Silk Typhoon.<\/p>\n<p>El sector de la alta tecnolog\u00eda ocup\u00f3 sistem\u00e1ticamente el primer puesto en las tendencias generales de alertas en la nube, as\u00ed como en las tendencias de alertas de los dos grupos de actores de amenazas. Sin embargo, el resto de sectores que estudiamos no sigui\u00f3 un patr\u00f3n uniforme. Como se muestra en la Figura 6, descubrimos que el orden de los sectores m\u00e1s atacados cambiaba cuando solo cont\u00e1bamos las alertas de las operaciones de Muddled Libra y Silk Typhoon.<\/p>\n<figure id=\"attachment_173326\" aria-describedby=\"caption-attachment-173326\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173326 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-696517-173270-6.png\" alt=\"Comparaci\u00f3n de los cambios en la clasificaci\u00f3n de los sectores en las alertas \u00fanicas en la nube para las tendencias generales frente a las operaciones de Muddled Libra y Silk Typhoon.\" width=\"1000\" height=\"632\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-696517-173270-6.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-696517-173270-6-696x440.png 696w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-696517-173270-6-1108x700.png 1108w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-696517-173270-6-768x485.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-696517-173270-6-1536x971.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173326\" class=\"wp-caption-text\">Figura 6. Clasificaci\u00f3n de los principales sectores por n\u00famero de alertas \u00fanicas para todas las alertas, Muddled Libra y Silk Typhoon.<\/figcaption><\/figure>\n<p>Como se ha indicado anteriormente, el sector de la alta tecnolog\u00eda ocupa el primer lugar en los resultados de ambos grupos de actores maliciosos, as\u00ed como el primer puesto en la clasificaci\u00f3n de todos los sectores por n\u00famero de alertas en la nube.<\/p>\n<p>Sin embargo, el resto de sectores no refleja los mismos resultados. El an\u00e1lisis del sector mayorista y minorista pone de manifiesto una conclusi\u00f3n clave. Este sector es el segundo con mayor n\u00famero de alertas de Muddled Libra y el tercero con mayor n\u00famero de alertas de Silk Typhoon, pero ocupa el puesto 14 en la lista de sectores para todas las alertas.<\/p>\n<p>Esto indica que el an\u00e1lisis de huellas digitales de estas operaciones de alerta no refleja el mismo patr\u00f3n que el ruido general de todas las tendencias de alerta. Parece que las distintas operaciones realizadas por los actores de amenazas contra los sectores a los que se dirigen tienen sus propias tendencias \u00fanicas.<\/p>\n<h2><a id=\"post-173270-_heading=h.a2od95dthz38\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Nuestro an\u00e1lisis confirma la capacidad de aprovechar las alertas activadas como patr\u00f3n de detecci\u00f3n de huellas digitales para las t\u00e9cnicas maliciosas utilizadas por Muddled Libra y Silk Typhoon. Esta capacidad de detecci\u00f3n distintiva ofrece una nueva v\u00eda para que las organizaciones implementen estrategias de defensa predictivas y proactivas en la nube.<\/p>\n<p>Nuestra investigaci\u00f3n ha logrado diferenciar las operaciones t\u00e1cticas y t\u00e9cnicas de MITRE utilizadas por Muddled Libra, en particular el aumento del 25 % en el n\u00famero de alertas \u00fanicas en el sector de la aviaci\u00f3n en comparaci\u00f3n con el mes anterior, y el aumento por encima del promedio del n\u00famero de alertas diarias de Silk Typhoon en el sector de la administraci\u00f3n federal y estatal.<\/p>\n<p>Al identificar los patrones de alerta que las t\u00e9cnicas de cada agente malicioso tienen en los eventos de alerta dentro de los entornos de nube, los investigadores de amenazas pueden identificar a los actores de amenazas m\u00e1s propensos a atacar determinados sectores utilizando t\u00e9cnicas espec\u00edficas. Esto puede ayudar a los defensores a preparar de forma proactiva las defensas contra ese tipo de amenazas. Mediante el an\u00e1lisis de las amenazas en funci\u00f3n de los tipos de t\u00e9cnicas de ataque que utilizan, las organizaciones pueden crear una metodolog\u00eda de defensa dise\u00f1ada espec\u00edficamente para su sector vertical.<\/p>\n<p>La implementaci\u00f3n adecuada de estos controles de defensa puede ser eficaz para defenderse de escenarios de actores maliciosos espec\u00edficos mediante la creaci\u00f3n de alertas defensivas personalizadas. Adem\u00e1s, estos controles pueden proporcionar la capacidad de detectar escenarios y t\u00e9cnicas de alerta temprana, como las operaciones de acceso inicial, lo que permite a las operaciones de prevenci\u00f3n bloquear las operaciones maliciosas en la nube antes de que se intensifiquen hasta llegar a la ejecuci\u00f3n, el impacto o la exfiltraci\u00f3n.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<p>Los clientes de Cortex Cloud pueden ayudar a proteger y salvaguardar sus entornos de nube mediante medidas de cumplimiento normativo, t\u00e9cnicas de supervisi\u00f3n y prevenci\u00f3n de la seguridad de las aplicaciones, y la ubicaci\u00f3n adecuada del <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\">agente de endpoint Cortex Cloud XDR<\/a> y los <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/Serverless-function-security\" target=\"_blank\" rel=\"noopener\">agentes sin servidor<\/a> dentro de un entorno de nube. Cortex Cloud est\u00e1 dise\u00f1ado para identificar los eventos de nube que se producen en las plataformas de nube, con el fin de proteger la postura de la nube y las operaciones en tiempo de ejecuci\u00f3n. Al asociar los eventos con las t\u00e1cticas y t\u00e9cnicas de MITRE, Cortex Cloud ayuda a detectar y prevenir las operaciones maliciosas, las alteraciones de la configuraci\u00f3n y los exploits que se describen en este art\u00edculo.<\/p>\n<p>Las organizaciones pueden obtener ayuda para evaluar la postura de seguridad de la nube a trav\u00e9s de la <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/unit-42-cloud-security-assessment\" target=\"_blank\" rel=\"noopener\">Evaluaci\u00f3n de la seguridad en la nube de Unit\u00a042<\/a>.<\/p>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-173270-_heading=h.uk5sv0ske1l2\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/07\/29\/cisa-and-partners-release-updated-advisory-scattered-spider-group\" target=\"_blank\" rel=\"noopener\">Aviso actualizado sobre el grupo Scattered Spider<\/a>- Agencia de Seguridad Cibern\u00e9tica y de Infraestructuras de EE. UU.<\/li>\n<li><a href=\"https:\/\/www.halcyon.ai\/blog\/scattered-spider-tactics-observed-amid-shift-to-us-targets\" target=\"_blank\" rel=\"noopener\">T\u00e1cticas de Scattered Spider observadas en medio del cambio hacia objetivos estadounidenses<\/a> - Halcyon<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/03\/05\/silk-typhoon-targeting-it-supply-chain\/\" target=\"_blank\" rel=\"noopener\">Silk Typhoon apunta a la cadena de suministro de TI<\/a> - Microsoft<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2021\/03\/02\/hafnium-targeting-exchange-servers\/\" target=\"_blank\" rel=\"noopener\">HAFNIUM apunta a servidores Exchange con exploits de d\u00eda cero<\/a> - Microsoft<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/groups\/G1015\/\" target=\"_blank\" rel=\"noopener\">Scattered Spider<\/a> - MITRE<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/matrices\/enterprise\/cloud\/\" target=\"_blank\" rel=\"noopener\">T\u00e9cnicas de nube de MITRE<\/a> - MITRE<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/2025-cloud-security-alert-trends\/\" target=\"_blank\" rel=\"noopener\">Aumento de las amenazas en la nube<\/a> - Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/\" target=\"_blank\" rel=\"noopener\">Evaluaci\u00f3n de amenazas de Muddled Libra<\/a> - Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/muddled-libra\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra: m\u00e1s lejos y m\u00e1s r\u00e1pido<\/a> - Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-actor-groups-tracked-by-palo-alto-networks-unit-42\/\" target=\"_blank\" rel=\"noopener\">Grupos de actores de amenazas rastreados por Unit\u00a042 de Palo Alto Networks<\/a>: Unit\u00a042, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.volexity.com\/blog\/2021\/03\/02\/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Explotaci\u00f3n activa de m\u00faltiples vulnerabilidades de d\u00eda cero de Microsoft Exchange<\/a> - Volexity<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Presentamos un m\u00e9todo novedoso que relaciona las tendencias de alertas en la nube con las t\u00e9cnicas MITRE ATT&#038;CK. Los patrones creados podr\u00edan identificar a los actores de amenazas por su comportamiento.<\/p>\n","protected":false},"author":317,"featured_media":172254,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8730],"tags":[9890,8860,9240,9241,9944],"product_categories":[8932,8933,8890],"coauthors":[1394],"class_list":["post-173270","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-cloud-cybersecurity-research-es-la","tag-api","tag-iam-es-la","tag-mitre-es-la","tag-muddled-libra-es-la","tag-silk-typhoon","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>T\u00e9cnica novedosa para detectar las operaciones de los actores de amenazas en la nube<\/title>\n<meta name=\"description\" content=\"Presentamos un m\u00e9todo novedoso que relaciona las tendencias de alertas en la nube con las t\u00e9cnicas MITRE ATT&amp;CK. Los patrones creados podr\u00edan identificar a los actores de amenazas por su comportamiento.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"T\u00e9cnica novedosa para detectar las operaciones de los actores de amenazas en la nube\" \/>\n<meta property=\"og:description\" content=\"Presentamos un m\u00e9todo novedoso que relaciona las tendencias de alertas en la nube con las t\u00e9cnicas MITRE ATT&amp;CK. Los patrones creados podr\u00edan identificar a los actores de amenazas por su comportamiento.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-06T17:04:08+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-18T18:31:49+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Nathaniel Quist\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"T\u00e9cnica novedosa para detectar las operaciones de los actores de amenazas en la nube","description":"Presentamos un m\u00e9todo novedoso que relaciona las tendencias de alertas en la nube con las t\u00e9cnicas MITRE ATT&CK. Los patrones creados podr\u00edan identificar a los actores de amenazas por su comportamiento.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/","og_locale":"es_LA","og_type":"article","og_title":"T\u00e9cnica novedosa para detectar las operaciones de los actores de amenazas en la nube","og_description":"Presentamos un m\u00e9todo novedoso que relaciona las tendencias de alertas en la nube con las t\u00e9cnicas MITRE ATT&CK. Los patrones creados podr\u00edan identificar a los actores de amenazas por su comportamiento.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/","og_site_name":"Unit 42","article_published_time":"2026-02-06T17:04:08+00:00","article_modified_time":"2026-02-18T18:31:49+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Nathaniel Quist","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/"},"author":{"name":"Nathaniel Quist","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"headline":"T\u00e9cnica novedosa para detectar las operaciones de los actores de amenazas en la nube","datePublished":"2026-02-06T17:04:08+00:00","dateModified":"2026-02-18T18:31:49+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/"},"wordCount":6739,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["API","IAM","MITRE","Muddled Libra","Silk Typhoon"],"articleSection":["Investigaci\u00f3n de amenazas","Investigaci\u00f3n de ciberseguridad en la nube"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/","name":"T\u00e9cnica novedosa para detectar las operaciones de los actores de amenazas en la nube","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2026-02-06T17:04:08+00:00","dateModified":"2026-02-18T18:31:49+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"description":"Presentamos un m\u00e9todo novedoso que relaciona las tendencias de alertas en la nube con las t\u00e9cnicas MITRE ATT&CK. Los patrones creados podr\u00edan identificar a los actores de amenazas por su comportamiento.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Close-up of a black woman with glasses examining colorful computer code on a screen. The scene is illuminated by various lights, creating a focused and analytical atmosphere."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/tracking-threat-groups-through-cloud-logging\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"T\u00e9cnica novedosa para detectar las operaciones de los actores de amenazas en la nube"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de","name":"Nathaniel Quist","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/e1c6c4d2290a309ae8265f45775289cd","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","caption":"Nathaniel Quist"},"description":"Nathaniel Quist is the Manager of the Cloud Threat Intelligence Team for Cortex Cloud, where he collaborates with the Cortex and Unit 42 researchers to track threat actors targeting cloud platforms and services. He holds a Master of Science in Information Security Engineering from The SANS Institute and has authored several publications for Palo Alto Networks' Unit 42, Prisma Cloud, and the SANS InfoSec Reading Room. Outside of cloud threats, he enjoys puzzles, blockchain, and ranching.","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/nathaniel-quist\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/173270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/317"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=173270"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/173270\/revisions"}],"predecessor-version":[{"id":173337,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/173270\/revisions\/173337"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/172254"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=173270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=173270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=173270"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=173270"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=173270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}