La firma de ciberseguridad Darktrace ha informado sobre una tendencia creciente en la que los atacantes utilizan servidores privados virtuales (VPS) para comprometer cuentas de software como servicio (SaaS). Al usar infraestructura VPS, los ciberdelincuentes pueden evadir defensas basadas en geolocalización, saltarse controles de reputación de IP y simular comportamientos legítimos de usuarios, dificultando así su detección.

La investigación reveló ataques coordinados que afectaron a múltiples entornos de clientes, todos ellos involucrando inicios de sesión desde direcciones IP vinculadas a proveedores de VPS como Hyonix y Host Universal. Estas cuentas comprometidas fueron posteriormente usadas para lanzar campañas de phishing y mantener acceso persistente sin alertar a los sistemas de seguridad.

Aunque los VPS son herramientas legítimas que ofrecen recursos dedicados en hardware compartido, se han vuelto atractivos para los ciberdelincuentes porque permiten operaciones anónimas, económicas y escalables. Darktrace destacó que los atacantes aprovechan estos servicios para mezclarse con la actividad normal, sincronizando sus acciones con los movimientos legítimos de los usuarios.

Cómo se Comprometen las Cuentas SaaS

En varios incidentes observados en mayo de 2025, las cuentas SaaS comprometidas mostraron actividades sospechosas, incluyendo:

• Intentos de inicio de sesión por fuerza bruta desde direcciones IP externas inusuales vinculadas a proveedores de VPS.
• Secuestro de sesión, donde los atacantes iniciaban sesión inmediatamente después de un usuario legítimo desde geolocalizaciones distantes.
• Manipulación del correo, como eliminar mensajes y crear reglas genéricas en la bandeja de entrada para redirigir o borrar correos entrantes.
• Intentos de modificar configuraciones de recuperación, restablecer contraseñas o actualizar información de seguridad desde direcciones IP poco comunes.

Estas técnicas muestran que los atacantes buscan permanecer ocultos mientras preparan el terreno para robo de datos, distribución de spam o explotación adicional. La actividad se replicó en varios dispositivos de usuarios, indicando una campaña coordinada dirigida a la infraestructura SaaS de la organización.

Recomendaciones Clave para las Organizaciones

• Vigilar inicios de sesión inusuales, especialmente desde IPs de VPS o proveedores en la nube.
• Implementar autenticación multifactor (MFA) para limitar el riesgo de toma de cuentas.
• Auditar regularmente las reglas de correo y configuraciones de seguridad para detectar cambios sospechosos.
• Utilizar analíticas de comportamiento para identificar anomalías en la actividad SaaS.

Darktrace advierte que los ataques facilitados mediante VPS son persistentes y altamente dirigidos, evadiendo con frecuencia las medidas de seguridad tradicionales. Las organizaciones deben considerar monitoreo continuo y búsqueda proactiva de amenazas para reducir la exposición a estas amenazas en evolución.

Fuente: https://www.infosecurity-magazine.com/news/attackers-virtual-servers