Barracuda full logo

Cómo Barracuda Managed XDR mantiene a las organizaciones seguras en medio de la actividad cibernética vinculada al conflicto en Oriente Medio.

Temas:
6 mar 2026
|
Merium Khalid

Supervisión activa de amenazas en evolución, búsqueda proactiva de amenazas en entornos de clientes, IoC continuamente actualizados y más.

Conclusiones

  • El SOC global de Barracuda Managed XDR observó un aumento de 10 veces en el tráfico de red malicioso de Irán a Estados Unidos el 25 de febrero, justo antes del inicio del conflicto.
  • El equipo SOC está operando en un estado de alerta elevado, protegiendo a los clientes de un riesgo en rápida evolución.
  • También se recomienda a los clientes reforzar las medidas de seguridad esenciales para gestionar el riesgo.

Justo antes del inicio del conflicto en Oriente Medio, el Centro de Operaciones de Seguridad (SOC) global de Barracuda Managed XDR observó un notable aumento en la actividad cibernética, con un incremento de 10 veces en el tráfico malicioso de Irán hacia Estados Unidos. Este aumento refleja la intensa y ampliamente reportada actividad cibernética entre Irán, sus adversarios, sus aliados y otros países. Las amenazas continúan evolucionando.

Para mantener a los clientes protegidos, el equipo de SOC está operando actualmente en un estado de alerta elevado de preparación y está realizando de forma activa la monitorización de amenazas y la búsqueda proactiva de amenazas en los entornos de los clientes.

Monitorización y medidas prácticas

El SOC continúa monitorizando el panorama de amenazas e implementando medidas de protección adicionales a medida que la situación evoluciona.

El SOC está integrando activamente en su plataforma de inteligencia todas las amenazas maliciosas verificadas que se originan o están vinculadas a actores cibernéticos iraníes, como dominios, direcciones IP y URL. La plataforma de inteligencia de amenazas ya contiene alrededor de 14 mil millones de indicadores de compromiso, incluidos aquellos relacionados con el actual conflicto en Oriente Medio.

Los entornos de los clientes se escanean en el momento en que se identifica una nueva amenaza.

Las reglas de seguridad y detección para la solución de Detección y Respuesta en el Endpoint (EDR) de Barracuda Managed XDR, proporcionada a través de SentinelOne, se actualizan continuamente con la inteligencia más reciente.

Los clientes que utilizan la función SentinelOne deberían considerar activar las reglas de la Biblioteca de Detección de Plataforma, si aún no lo han hecho, para ampliar aún más la cobertura.

Las siguientes reglas de EDR se muestran para protegerse contra las operaciones cibernéticas iraníes actualmente conocidas:

 

Categoría de amenaza

Nombre de la regla

Descripción

MuddyWater

Posible caída de DLL de MuddyWater consistente con la carga lateral del controlador de audio

Detecta una biblioteca de vínculos dinámicos (DLL) que se está escribiendo de la misma manera que utiliza el grupo de ciberespionaje MuddyWater.

Robo de credenciales

Creación de tareas sospechosas para la recolección de credenciales

Detecta un evento de creación de tareas que ejecuta herramientas utilizadas para el robo de credenciales

 

Herramienta de explotación de redes basada en Python

Detecta herramientas de hacking basadas en Python utilizadas para movimientos laterales y actividades de post-explotación.

 

Herramientas potenciales para volcado de LSASS

Detecta la presencia de herramientas comunes utilizadas para volcar credenciales en el servicio de subsistema de autoridad de seguridad local (LSASS)

 

Exfiltración de credenciales a través de copias ocultas

Detecta el volcado de credenciales a través de copias de ocultas

 

Recopilación interactiva de NTDS a través de VSS

Detecta intentos iniciados por el usuario para recolectar NTDS.dit a través del servicio de instantáneas de volumen (VSS)

 

Volcado de credenciales de dominio en caché

Detecta la enumeración de credenciales en caché utilizando cmdkey.exe

Túneles y acceso remoto

Dominio de Ngrok contactado

Detecta DNS a dominios ngrok

 

Detección de establecimiento de túnel persistente de Cloudflare

Detecta el establecimiento persistente de túneles de Cloudflare

 

Proceso anómalo que inicia tráfico de túnel de Cloudflare

Detecta procesos inusuales que establecen un túnel de Cloudflare

Recopilación y exfiltración

Script de registro de teclas a través de PowerShell

Detecta PowerShell utilizando funciones que podrían usarse para registrar teclas

 

Ladrón de Información del Navegador Chromium a través de Depuración Remota

Detecta la depuración remota en navegadores Chromium que se utiliza para el robo de credenciales

 

Intento de acceso a credenciales y cookies del navegador

Detecta intentos de acceso a credenciales y cookies

Abuso de PowerShell/script

Ejecución de script de PowerShell a través de IPv4 de enteros basados en tiempo

Detecta la ejecución de PowerShell que ejecuta scripts remotos mientras utiliza IPv4 basado en enteros de tiempo

 

Uso sospechoso de .NET Reflection a través de PowerShell

Detecta la reflexión de .NET desde scripts de PowerShell

 

Línea de comandos de descarga de lanzamiento de PowerShell codificado

Detecta comandos de PowerShell codificados que inician una descarga

Evasión de defensa, impacto, descubrimiento

Carga lateral potencial de DLL en el directorio PerfLogs

Detecta la carga lateral de DLL en el directorio PerfLogs

 

Intento de borrado de datos del disco mediante la utilidad Dd

Detecta el uso de la utilidad de definición de conjunto de datos (dd) para borrar un disco

 

Manipulación de la configuración de arranque a través de BCDEdit

Detecta la modificación de los datos de configuración de arranque (BCD) para maximizar la interrupción a través de BCDEdit

 

Creación de archivos de reconocimiento de Active Directory de BloodHound

Detecta la ejecución de BloodHound y herramientas alternativas

Medidas de seguridad recomendadas para todas las empresas

Además de la profunda protección ciberresiliente 24 horas al día, 7 días a la semana que proporciona una solución de seguridad como Barracuda Managed XDR, hay medidas prácticas que las organizaciones pueden tomar para aumentar su ciberresiliencia durante períodos de riesgo elevado. Estas incluyen:

Seguridad de red

  • Implemente el bloqueo a nivel de país en el firewall para las regiones donde su organización no realiza negocios.
  • Deshabilite las implementaciones de cara al público del Protocolo de Escritorio Remoto (RDP), aplique la autenticación multifactor para todo acceso remoto y monitoree los registros para detectar inicios de sesión fallidos e inusuales. Bloquee a las personas después de tres a cinco intentos fallidos y considere reemplazar RDP con infraestructura de escritorio virtual (VDI) en lugar de RDP directo.
  • Verifique si hay puertos de acceso remoto no utilizados y desactívelos si no están en uso.
  • Implemente la segmentación de red para limitar el movimiento lateral
  • Utilice estaciones de trabajo de acceso privilegiado (PAWs) para tareas administrativas

Configuración del firewall

  • Revise todas las reglas de firewall entrantes y salientes
  • Elimine cualquier regla que esté configurada como "permitir cualquier"
  • Documente y justifique todas las reglas de acceso externo
  • Preste especial atención a las reglas que permiten el acceso desde rangos de IP extranjeros.

Políticas de contraseñas

  • Exigir contraseñas largas (de 14 caracteres)
  • Requiere complejidad: Mayúsculas, minúsculas, números y caracteres especiales
  • Evite la reutilización de contraseñas y considere exigir actualizaciones de contraseñas cada 60 a 90 días.

Otras medidas esenciales

  • Priorizar actualizaciones de software
  • Verifique las aplicaciones instaladas en todos los dispositivos corporativos y elimine las aplicaciones no autorizadas o innecesarias
  • Preste especial atención a las herramientas de acceso remoto, como TeamViewer y AnyDesk.
  • Busque herramientas legítimas que puedan ser objeto de uso indebido, incluidas PSExec y PowerShell ISE
  • Asegúrese de que sus sistemas de backup estén aislados y probados, y mantenga copias de seguridad fuera de línea de los datos críticos.
  • Revise y actualice su plan de respuesta ante incidentes

Para obtener más ayuda, póngase en contacto con el equipo de Barracuda Managed XDR para ver cómo pueden ayudarle.

Detenga las amenazas con ciberseguridad 24 horas al día, 7 días a la semana
Merium Khalid

Merium Khalid es directora de Seguridad Ofensiva del SOC, en la Oficina del Director Técnico de Barracuda. Merium cuenta con una amplia experiencia en el análisis de datos, la identificación de amenazas, la respuesta a incidentes, la investigación y el desarrollo, y mucho más. Su equipo se encarga de gestionar las llamadas de clasificación de incidentes, desarrollar los mejores sistemas de detección de casos de uso mediante aprendizaje automático y consultas estáticas, investigar e implementar nuevas plataformas, y automatizar los flujos de trabajo con el fin de proteger a sus clientes, ofreciendo una experiencia de primera clase y garantizando que la experiencia de los analistas del SOC sea de máxima calidad. Merium se licenció en Informática por la SUNY Old Westbury y cuenta con muchos años de experiencia dirigiendo y gestionando operaciones de seguridad.

Publicaciones relacionadas:
SOC Threat Radar — April 2026
SOC Threat Radar — April 2026
 Demostración del valor de XDR gestionado con un solo clic
Demostración del valor de XDR gestionado con un solo clic
 Celebrando haber ganado dos premios consecutivos en las categorías de seguridad del correo electrónico y XDR
Celebrando haber ganado dos premios consecutivos en las categorías de seguridad del correo electrónico y XDR
 Operacionalización de datos de amenazas en bruto
Operacionalización de datos de amenazas en bruto
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.