En los últimos años, la superficie de ataque digital ha cambiado radicalmente. Lo que antes eran campañas de phishing masivo o ataques a servidores de correo, hoy se transforma en operaciones silenciosas, quirúrgicas y sostenidas en el tiempo. Los grupos de Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés) están modificando su forma de operar para obtener el máximo beneficio con el mínimo ruido posible.
Y uno de los cambios más relevantes es su nueva obsesión: acceder directamente a las bases de datos empresariales, donde se concentra la información más sensible y valiosa de cualquier organización.
El informe más reciente de Palo Alto Networks, elaborado por su equipo de inteligencia de amenazas Unit 42, confirma un incremento constante de este tipo de ataques, protagonizados por actores que buscan información estratégica o financiera.
Este desplazamiento de los APT hacia las bases de datos empresariales supone un desafío sin precedentes para los equipos de ciberseguridad, que ahora deben proteger un entorno más complejo, distribuido y dinámico que nunca.
El nuevo objetivo de los grupos APT
El patrón de los grupos APT es claro: los atacantes ya no buscan comprometer únicamente el correo electrónico o las estaciones de trabajo. Las bases de datos empresariales ofrecen una mina de oro mucho más rentable y, sobre todo, silenciosa. En ellas se almacenan registros de clientes, datos financieros, historiales de transacciones o información confidencial de proyectos.
Acceder a este núcleo permite extraer grandes volúmenes de datos estructurados sin necesidad de desplegar campañas masivas o levantar sospechas inmediatas.
Unit 42 de Palo Alto Networks ha identificado recientemente a un grupo APT bautizado como Phantom Taurus, responsable de una serie de ataques sofisticados con fines de ciberespionaje.
Este grupo, activo desde hace más de dos años, ha orientado sus acciones hacia organismos gubernamentales, instituciones militares y empresas tecnológicas en Asia, África y Oriente Medio. Su estrategia combina el uso de herramientas avanzadas con una meticulosa automatización de procesos para acceder directamente a servidores de bases de datos.
APT, Phantom Taurus y el salto al robo de información estructurada
En sus primeras campañas, el APT Phantom Taurus se centraba en comprometer servidores Exchange, instalando los malware TunnelSpecter y SweetSpecter para extraer buzones completos y filtrar correos relevantes mediante palabras clave.
Sin embargo, a principios de 2025, Palo Alto Networks detectó un cambio drástico en su enfoque: el grupo comenzó a emplear scripts automatizados para acceder a bases de datos Microsoft SQL Server utilizando credenciales de administrador robadas.
Este nuevo método de este APT, les permite conectarse de manera remota a través de WMI, ejecutar consultas específicas y exportar los resultados a archivos CSV sin dejar rastros en el sistema.
El procedimiento, completamente automatizado, elimina la intervención humana y reduce la posibilidad de detección. Según los analistas de Unit 42, este cambio representa una evolución táctica significativa: pasar del robo de comunicaciones a la extracción directa de datos estructurados.
Además, el grupo ha incorporado herramientas más sofisticadas, como la suite de malware NET-STAR, desarrollada en .NET para infiltrarse en servidores IIS y ejecutar código en memoria sin dejar archivos en disco.
Esta técnica de operación sin archivos (fileless) complica enormemente la detección mediante antivirus tradicionales y permite mantener la persistencia en los sistemas comprometidos durante largos periodos.
Un problema que se extiende más allá de Phantom Taurus
Aunque Phantom Taurus ha sido el caso más reciente, los expertos coinciden en que no es un hecho aislado. Diversos grupos APT vinculados a estados o al crimen organizado han comenzado a replicar tácticas similares.
El conocido grupo APT Winnti, también asociado a operaciones de espionaje industrial, desarrolló anteriormente un backdoor especializado para Microsoft SQL Server, denominado “skip-2.0”, que permitía ejecutar comandos sin autenticación.
La proliferación de estos ataques evidencia un cambio profundo en las prioridades de los actores de amenaza. Las bases de datos empresariales se han convertido en el objetivo más codiciado, porque concentran la inteligencia más valiosa de una organización. Sin embargo, en muchos casos, estos entornos carecen de medidas de seguridad tan sólidas como las implementadas en los servidores de correo o los endpoints.
El impacto económico y reputacional de los APT
Las consecuencias de una intrusión en bases de datos empresariales pueden ser devastadoras. Según datos de IBM Security, el coste medio global de una brecha de datos superó los 4,88 millones de dólares en 2024, una cifra que continúa creciendo cada año.
En los casos vinculados a ataques APT, donde la exfiltración suele mantenerse oculta durante meses, las pérdidas pueden multiplicarse debido al robo de propiedad intelectual, secretos comerciales o datos de clientes.
Más allá del daño financiero, la pérdida de confianza por parte de los clientes y socios representa un golpe difícil de reparar. En un entorno cada vez más regulado, especialmente bajo normativas como el RGPD europeo, las sanciones por una mala gestión de la seguridad también pueden alcanzar cifras millonarias.
Cómo proteger las bases de datos ante esta nueva ola de ataques
Frente a este escenario, los especialistas coinciden en que es necesario un cambio de mentalidad. La seguridad ya no puede basarse únicamente en la protección del perímetro o del correo corporativo. Blindar las bases de datos empresariales debe ser una prioridad estratégica.
Palo Alto Networks recomienda reforzar el control de accesos con políticas estrictas y contraseñas robustas, revisar periódicamente las cuentas con privilegios de administrador y monitorizar las consultas inusuales o fuera de horario.
Del mismo modo, resulta esencial mantener actualizadas todas las instancias de bases de datos, ya que las vulnerabilidades sin parchear siguen siendo una de las principales puertas de entrada.
Las soluciones de detección avanzada, como Advanced Threat Prevention, capaces de identificar exploits mediante inteligencia artificial, y las plataformas Cortex XDR y XSIAM, que integran análisis del comportamiento y respuesta automatizada, se están consolidando como piezas fundamentales para frenar estas amenazas APT.
