Por Mid 
Shadow SaaS amplía superficie de ataque en entornos corporativos
Tiempo estimado de lectura: 7 minutos | Dificultad técnica: Media
Conclusiones clave
- La mayoría de las organizaciones utilizan aplicaciones SaaS no aprobadas, aumentando la superficie de ataque.
- El shadow AI está generando costos adicionales significativos en incidentes de seguridad.
- Grupos cibercriminales como Scattered Spider han intensificado ataques a plataformas de colaboración.
- Los incidentes relacionados con inteligencia artificial son comunes en la cadena de suministro SaaS.
- Se requieren controles de acceso robustos y políticas de gobernanza para mitigar riesgos.
Índice
- Impacto económico del shadow AI
- Ransomware en plataformas colaborativas
- Vectores de compromiso SaaS
- Recomendaciones
Impacto económico del shadow AI
Un análisis reciente de IBM, titulado «Cost of a Data Breach Report 2025», indica que las organizaciones que enfrentan altos niveles de shadow AI sufren costos adicionales de hasta 670,000 dólares en comparación con aquellas que tienen niveles bajos o nulos. Este hallazgo sitúa al shadow AI como uno de los tres factores más costosos en incidentes de seguridad, superando a la escasez de habilidades en ciberseguridad que era un problema destacado en años anteriores. Aproximadamente el 20% de las empresas han reportado brechas de seguridad asociadas con shadow AI, resultando en un aumento del compromiso de datos de carácter personal (65%) y de propiedad intelectual (40%).
Ransomware en plataformas colaborativas
El grupo cibercriminal conocido como Scattered Spider ha intensificado sus esfuerzos al infiltrarse en plataformas de colaboración como Microsoft Teams y Slack, con el fin de obtener información interna y llevar a cabo ataques de phishing altamente dirigidos. Según una advertencia conjunta emitida por el FBI y agencias internacionales de ciberseguridad en julio de 2025, este grupo utiliza el ransomware DragonForce, combinando técnicas avanzadas de ingeniería social para comprometer a las organizaciones.
Los atacantes han perfeccionado tácticas sofisticadas que incluyen la suplantación de identidad de empleados para solicitar restablecimientos de contraseñas, así como ataques de «push bombing» mediante solicitudes repetidas de verificación de autenticación multifactor (MFA) hasta obtener la aprobación necesaria. Además, implementan ataques de intercambio SIM con el objetivo de interceptar mensajes de texto que contienen contraseñas de un solo uso. Scattered Spider ha sido responsable de ataques a minoristas británicos destacados como Marks & Spencer, Co-op y Harrods, ocasionando daños estimados en 440 millones de libras esterlinas.
Este cibergrupo ha realizado un reconocimiento exhaustivo, infiltrándose en teleconferencias corporativas y llamadas de remediación de incidentes para comprender cómo los equipos de seguridad ajustan sus medidas defensivas. Tal estrategia les permite anticiparse, modificando sus técnicas para eludir la detección.
Vectores de compromiso SaaS
Los incidentes de seguridad más frecuentes relacionados con la inteligencia artificial sucedieron en la cadena de suministro SaaS a través de aplicaciones, APIs o plug-ins comprometidos. Esto resultó en un amplio compromiso de datos (60%) y disrupción operativa (31%). Un 29% de las organizaciones que informaron incidentes de seguridad vinculados a IA señalaron que la fuente fue un proveedor externo operando como SaaS.
Recomendaciones
Se aconseja implementar controles de acceso robustos que prevengan ataques de phishing mediante la autenticación multifactor. Es vital mantener copias de respaldo offline de datos sensibles, almacenándolas en lugares separados de los sistemas originales. También se deben establecer políticas rígidas de gobernanza para la IA. Las organizaciones necesitan priorizar auditorías periódicas para identificar implementaciones de IA no autorizadas, así como implementar procesos estrictos de aprobación para su despliegue y capacitar a los empleados sobre los riesgos asociados a herramientas no autorizadas. La supervisión continua de actividades en cuentas no autorizadas y la detección de intentos de inicio de sesión sospechosos son esenciales para mitigar estos riesgos.