Mantenir un model tradicional de monitorització del trànsit, basat en l'anàlisi de paquets, la detecció d'anomalies i la inspecció de límits, és una pèrdua de temps preciós de l'equip de TI. Això es deu al fet que cada cop es desenvolupen més tècniques avançades per evitar la detecció pels sistemes clàssics, explotant vulnerabilitats que romanen invisibles per a les eines de seguretat basades únicament en el trànsit de xarxa.
De fet, el 72% dels enquestats en una enquesta global del Fòrum Econòmic Mundial 2025 van informar d'un augment dels riscos cibernètics organitzatius, cosa que reflecteix com evolucionen les amenaces per evadir les defenses tradicionals. A més, els atacs sense fitxers tenen 10 vegades més probabilitats d'èxit que els atacs de programari maliciós tradicionals basats en fitxers.
Els ciberdelinqüents ja no operen per assaig i error. Avui dia, actuen amb precisió i no deixen rastre. Utilitzen atacs sense fitxers, exploten eines de sistema legítimes com PowerShell i WMI per executar ordres malicioses sense aixecar sospites i es mouen lateralment per la xarxa silenciosament, com si ja pertanyessin a l'entorn.
Aquest tipus d'ofensiva està dissenyada intencionadament per semblar legítima; el trànsit no desperta sospites, les eines no són desconegudes i els esdeveniments no segueixen patrons d'amenaces comuns. En aquest escenari, segons l'informe del Fòrum Econòmic Mundial 2025, el 66% de les organitzacions creuen que la intel·ligència artificial tindrà l'impacte més significatiu en la ciberseguretat , tant per a la defensa com per als atacs, cosa que reflecteix un canvi de paradigma.
Les solucions tradicionals, com ara els tallafocs, els IDS i els sistemes de correlació simples, no aconsegueixen proporcionar la protecció necessària, sobretot perquè el 47% de les organitzacions citen els avenços adversaris impulsats per la IA generativa com la seva principal preocupació. A més, el 54% de les grans organitzacions assenyalen les vulnerabilitats de la cadena de subministrament com el major obstacle per a la ciberresiliència, cosa que complica encara més el repte.
El paper de la visibilitat granular
Davant d'aquest escenari, la visibilitat granular emergeix com un requisit fonamental per a una estratègia de ciberseguretat eficaç. Es refereix a la capacitat d'observar, en detall, el comportament dels endpoints, usuaris, processos, fluxos interns i activitats entre sistemes, de manera contextualitzada i contínua.
Aquest enfocament requereix l'ús de tecnologies més avançades, com ara EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) i NDR (Network Detection and Response). Aquestes eines recopilen telemetria en diverses capes, des de la xarxa fins al punt final, i apliquen anàlisi del comportament, intel·ligència artificial i correlació d'esdeveniments per detectar amenaces que passarien desapercebudes en entorns monitoritzats només pel volum de trànsit.
Tècniques que exploten la invisibilitat
Entre les tàctiques més comunes utilitzades en atacs furtius hi ha:
- Túnel DNS, encapsulació de dades en consultes DNS aparentment normals;
- Esteganografia digital, l'amagament d'ordres malicioses dins de fitxers d'imatge, àudio o vídeo;
- Els canals de comandament i control (C2) xifrats proporcionen una comunicació segura entre el programari maliciós i els seus controladors, cosa que dificulta la intercepció.
- Aquestes tècniques no només eviten els sistemes tradicionals, sinó que també exploten defectes en la correlació entre les capes de seguretat. El trànsit pot semblar net, però l'activitat real s'amaga darrere d'operacions legítimes o patrons xifrats.
Monitorització intel·ligent i contextual
Per fer front a aquest tipus d'amenaça, és essencial que l'anàlisi vagi més enllà dels indicadors de compromís (IoC) i comenci a considerar els indicadors de comportament (IoB). Això significa controlar no només "què" s'ha accedit o transmès, sinó també "com", "quan", "qui" i "en quin context" s'ha produït una acció determinada.
A més, la integració entre diferents fonts de dades, com ara registres d'autenticació, execucions d'ordres, moviments laterals i crides API, permet la detecció de desviacions subtils i una resposta més ràpida i precisa als incidents.
Què vol dir tot això?
La creixent sofisticació dels ciberatacs exigeix una reavaluació urgent de les pràctiques de defensa digital. La monitorització del trànsit encara és necessària, però ja no pot ser l'únic pilar de la protecció. La visibilitat granular, amb anàlisi contínua, contextual i correlacionada, esdevé essencial per detectar i mitigar les amenaces invisibles.
Invertir en tecnologia de detecció avançada i estratègies que tinguin en compte el comportament real dels sistemes és, avui dia, l'única manera eficaç d'enfrontar-se als adversaris que saben com amagar-se a plena vista.
