En los últimos años, los grupos de Amenazas Persistentes Avanzadas (APT) han redirigido su atención hacia las bases de datos empresariales, según un informe de Palo Alto Networks. Estos actores, como el grupo Phantom Taurus, han pasado del tradicional enfoque en servidores de correo electrónico a ataques más dirigidos y efectivos sobre las bases de datos, aprovechando estas para acceder a grandes volúmenes de información valiosa.
El cambio responde a dos factores clave: por un lado, las mejoras en la protección del correo electrónico mediante autenticación multifactor y filtros antiphishing, lo que ha complicado su vulneración; por otro, las bases de datos suelen recibir menor atención en las estrategias de ciberseguridad, convirtiéndose en blanco fácil para ataques sofisticados.
El caso de Phantom Taurus es ilustrativo. Este grupo, vinculado a China, ha estado operando de manera encubierta en regiones como África, Oriente Medio y Asia, priorizando servidores de bases de datos para obtener información estratégica. Entre 2023 y 2024, centraron sus esfuerzos en servidores de correo Exchange, pero en 2025, comenzaron a emplear scripts automatizados para directamente acceder a bases de datos Microsoft SQL Server, borrando rastros y llevando a cabo sus operaciones de manera remota.
Además, han desarrollado herramientas como NET-STAR para infiltrarse y operar sin dejar archivos en disco, dificultando la detección por parte de las defensas modernas. Este esquema representa una evolución significativa en sus tácticas anteriores, centradas en el correo electrónico.
Phantom Taurus no está solo en esta tendencia. Grupos como Winnti también han incursionado en tácticas similares, señalando un patrón creciente en el mundo del ciberespionaje. Por ello, la comunidad de ciberseguridad insiste en la necesidad urgente de proteger las bases de datos, consideradas las «joyas de la corona» de la información empresarial.
Para contrarrestar estos riesgos, es esencial implementar controles de acceso estrictos, monitorizar actividades inusuales, mantener las bases de datos actualizadas y segmentar las redes internas. Además, la detección temprana mediante tecnologías avanzadas como el machine learning puede ser la clave para detener estos ataques antes de que causen daño significativo.
Frente a esta nueva realidad, las organizaciones deben ampliar su enfoque de seguridad para salvaguardar la integridad de su información crítica, ya que el costo de ignorar estas advertencias podría ser devastador.
More information and references in Cloud News.
