Cloud Threats Retrospective 2026: Hallazgos Clave del Informe Wiz

Wiz Research ha publicado su Cloud Threats Retrospective 2026, un análisis exhaustivo de las intrusiones cloud documentadas públicamente durante 2025. El informe revela patrones preocupantes: las debilidades clásicas siguen dominando, pero la IA y las dependencias sistémicas amplifican su impacto a escala sin precedentes.

El 80% empieza con lo mismo de siempre

Según el informe, el 80% de las intrusiones cloud documentadas en 2025 comenzaron con uno de tres vectores:

1. Explotación de vulnerabilidades conocidas (40%) — subió del 35% respecto al periodo anterior
2. Secretos expuestos (21%) — se duplicó desde el 9%. Credenciales en repos, variables de entorno, logs
3. Misconfigurations (19%) — bajó del 26%, pero sigue siendo el tercer vector más común

Esto no son zero-days sofisticados ni técnicas avanzadas de evasión. Son fallos básicos de higiene que llevan años siendo documentados.

Supply chain: de 1% a 7%

El dato más alarmante: los ataques de supply chain pasaron del 1% al 7% de las intrusiones documentadas. Un crecimiento de 7x en un año.

Incidentes como Shai-Hulud (compromiso de cadena de suministro a escala) y React2Shell demostraron cómo las debilidades sistémicas en infraestructura compartida, dependencias de software e integraciones de confianza pueden ser weaponizadas para producir impacto desproporcionado.

TTPs más detectadas en entornos cloud

El informe identifica las técnicas MITRE ATT&CK más frecuentes en la fase pre-acceso:

TTP	Técnica	Prevalencia
T1199	Trusted Relationship	30%
T1580	Cloud Infrastructure Discovery	25%
T1595	Active Scanning	15%
T1078.002	Valid Accounts: Cloud	10%
T1589	Gather Victim Identity Info	5%

La técnica más prevalente, T1199 (Trusted Relationship), refleja cómo los atacantes explotan las relaciones de confianza entre servicios cloud, cuentas y organizaciones para moverse lateralmente sin necesidad de exploits.

IA: amplificador, no innovador

Wiz destaca que la IA no introdujo técnicas fundamentalmente nuevas de ataque en 2025. En cambio, actuó como amplificador de técnicas conocidas:

• Infraestructura IA expandió la complejidad cloud: nuevos servicios (ML endpoints, GPU clusters, model registries) crearon superficie de ataque adicional
• Automatización aceleró técnicas familiares: tooling basado en IA permitió a atacantes escalar operaciones de reconocimiento y explotación
• Compressed vulnerability timeline: el tiempo entre descubrimiento de una vulnerabilidad y su explotación activa se redujo significativamente

Qué pueden hacer los defensores

El informe recomienda:

1. Priorizar lo básico: parchear vulnerabilidades conocidas, rotar credenciales, auditar configuraciones cloud
2. Gestionar la cadena de suministro: inventariar dependencias, monitorizar integraciones third-party, validar actualizaciones
3. Mapear relaciones de confianza: entender qué servicios tienen acceso a qué, y eliminar permisos excesivos
4. Tratar la IA como nueva superficie: auditar endpoints ML, proteger model registries, monitorizar acceso a datos de training

Relevancia para MalwareIntel

En MalwareIntel rastreamos muchas de las familias de malware y actores involucrados en estos incidentes cloud:

• Salt Typhoon (Volt Typhoon): infiltración en telecoms US con técnicas living-off-the-land
• Scattered Spider: social engineering contra MGM, Caesars, Snowflake customers
• Cl0p/FIN11: mass exploitation de MOVEit, GoAnywhere (supply chain)
• ALPHV/BlackCat: Change Healthcare ($22M ransom)
• UNC5221: Ivanti Connect Secure zero-days

Todos estos actores y campañas están documentados en nuestra plataforma con IOCs, TTPs, reglas de detección y paquetes defensivos.

Fuente

Wiz Research. Cloud Threats Retrospective 2026: How systemic weaknesses and AI amplified the impact of proven cloud threats. Junio 2026.

---

¿Quieres monitorizar estas amenazas cloud? Crea una cuenta gratuita en MalwareIntel y accede a 351K+ IOCs, 4,200+ familias de malware y 113 campañas documentadas.