Estudio de caso: Empresa mediana descubre una APT tras 9 meses – mediante un escaneo con THOR

Una empresa de ingeniería mecánica detectó, durante una evaluación rutinaria de compromiso con THOR, que los atacantes habían estado activos de forma inadvertida en su red durante 9 meses. Este caso demuestra: un sistema EDR por sí solo no es suficiente.

En resumen

Una empresa de ingeniería mecánica descubrió, durante una evaluación rutinaria de compromiso con THOR de Nextron Systems, que una agrupación de amenazas avanzadas persistentes (APT) había estado operando de forma oculta en su red durante 9 meses. Dicha agrupación había exfiltrado datos de diseño y documentación relacionada con patentes. El caso evidencia que un sistema EDR por sí solo no basta: las evaluaciones periódicas de compromiso son imprescindibles.

Situación inicial

La empresa es un especialista en maquinaria industrial con 450 empleados y sedes en Alemania, China y Estados Unidos. Su infraestructura TI estaba protegida con un producto EDR de renombre. No se habían registrado incidentes de seguridad conocidos.

Como parte de una medida preparatoria para el cumplimiento de la Directiva NIS2, la empresa contrató a un proveedor de servicios externo para realizar una evaluación de compromiso. Se utilizó THOR Full en combinación con Velociraptor para la gestión centralizada.

Qué detectó THOR

El escaneo abarcó 320 equipos finales y 40 servidores y arrojó, en un plazo de 48 horas, varios hallazgos críticos:

• Archivos del sistema Windows modificados en tres estaciones de trabajo de ingeniería (coincidencia YARA con un conjunto de herramientas APT conocido)
• Tareas programadas anómalas destinadas a mantener una comunicación persistente mediante una puerta trasera
• Coincidencias con reglas Sigma en los registros de eventos de Windows: patrones sospechosos de movimiento lateral durante 9 meses
• Webshell alojada en un servidor web interno, utilizado como punto de pivote

Por qué el sistema EDR no detectó el ataque

Los atacantes emplearon técnicas «Living-off-the-Land» (LOLBins): utilizaron herramientas legítimas de Windows – como PowerShell, certutil y wmic – para llevar a cabo sus actividades. El sistema EDR clasificó dichas ejecuciones como normales, dado que eran frecuentes en el contexto del software empleado por los ingenieros.

THOR, por su parte, no buscaba ejecuciones sospechosas, sino los artefactos dejados por los atacantes: archivos modificados, entradas sospechosas en el registro de Windows (Registry) y rastros en los registros de eventos (logs).

Alcance de la compromisión

El análisis forense reveló lo siguiente:

• Acceso inicial mediante un correo de spear phishing dirigido a un ingeniero
• Movimiento lateral a través de 5 sistemas durante 9 meses
• Exfiltración de aproximadamente 12 GB de datos de diseño y 3 solicitudes de patente
• Ausencia de daños destructivos (espionaje, no sabotaje)

Lecciones aprendidas

• Un sistema EDR no detecta todo: especialmente las APT basadas en LOLBins suelen pasar desapercibidas
• Las evaluaciones periódicas de compromiso (al menos semestralmente) permiten identificar lo que un sistema EDR pasa por alto
• La combinación THOR + Velociraptor constituye una solución rentable para escaneos a escala empresarial
• Las estaciones de trabajo de ingeniería son objetivos de alto valor y requieren una vigilancia especial

Datos clave

Sector: Ingeniería mecánica

Tiempo de permanencia del atacante: 9 meses (Dwell Time)

Detección mediante: Evaluación de compromiso con THOR

Datos exfiltrados: 12 GB de datos de diseño, 3 solicitudes de patente

Se tenía instalado un sistema EDR, pero no detectó la APT

Dato relevante: Mandiant estima que, en 2024, el tiempo medio de permanencia (Dwell Time) en ataques APT es de 10 días; sin embargo, en casos de compromisos no detectados, dicho tiempo suele superar los 200 días.

Dato relevante: Según CrowdStrike, el número de grupos de atacantes respaldados por Estados desde 2020 se ha más que duplicado, alcanzando más de 230 grupos activos en todo el mundo.

Preguntas frecuentes

¿Por qué el sistema EDR no detectó la APT?

Los atacantes utilizaron técnicas «Living-off-the-Land» – es decir, herramientas legítimas de Windows como PowerShell y certutil – . Los sistemas EDR suelen no considerarlas sospechosas cuando aparecen en el contexto de procesos empresariales habituales.

¿Con qué frecuencia deben realizarse las evaluaciones de compromiso?

Al menos semestralmente para empresas con un perfil de riesgo elevado. Además, deben llevarse a cabo tras cualquier indicio de incidente, durante procesos de adquisición (Due Diligence) y como complemento a las pruebas de penetración regulares.

¿Por qué permanecen los ataques APT tanto tiempo sin ser detectados?

Las agrupaciones APT emplean técnicas denominadas «Living-off-the-Land», utilizando herramientas legítimas del sistema – como PowerShell o WMI – para moverse dentro de la red. Al formar parte del funcionamiento normal del sistema, estas herramientas rara vez generan alertas. Solo herramientas especializadas de evaluación de compromiso, como THOR, son capaces de identificar las huellas sutiles dejadas por este tipo de ataques.

Artículos relacionados

NIS2: Qué deben saber las empresas

Seguros cibernéticos en 2026

Zero Trust: Los 7 errores más comunes

Artículos relacionados

• secIT por Heise 2026: La gira de seguridad informática para administradores y responsables TI
• Congreso anual de la DsiN 2026: Seguridad digital en la sociedad interconectada
• Cybersec Europe 2026: Conferencia de seguridad en Bruselas, en el corazón de la regulación europea

Más contenido de la red MBF Media

• Más tendencias en ciberseguridad en mybusinessfuture.com
• Estrategias TI para directivos en digital-chiefs.de

Fuente de imagen: Pexels / cottonbro studio

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow