Redazione RHC : 6 noviembre 2025 11:22
Milán, 4 de noviembre de 2025 – Los ciberataques que explotan aplicaciones de acceso público, como sitios web o portales corporativos, para acceder a los sistemas de las organizaciones están en aumento, al igual que los ataques de phishing realizados a través de cuentas corporativas comprometidas. Sin embargo, los ataques de ransomware están disminuyendo , aunque se han detectado nuevas y peligrosas variantes de este tipo de amenaza.
Estos son los datos más significativos que surgieron del Informe Cisco Talos , correspondientes a los trimestres de julio, agosto y septiembre de 2025.
En cuanto a los ciberataques que explotan aplicaciones de acceso público , este método se utilizó en más de seis de cada diez incidentes gestionados por el equipo de respuesta a incidentes, frente al 10 % del trimestre anterior . Este marcado incremento se debe, en particular, a una serie de ataques contra servidores Microsoft SharePoint instalados localmente, que aprovecharon vulnerabilidades de seguridad reveladas en julio.
Los ataques de ransomware representaron aproximadamente el 20 % de los incidentes, una disminución con respecto al 50 % del trimestre anterior. A pesar de esta baja, el ransomware sigue siendo una de las amenazas más extendidas y persistentes para las empresas . Por primera vez, el equipo de Cisco Talos abordó nuevas variantes como Warlock, Babuk y Kraken, además de familias ya conocidas como Qilin y LockBit.
En un caso, los expertos atribuyeron un ataque con un grado moderado de certeza a un grupo de ciberdelincuentes vinculado a China, conocido como Storm-2603. Un elemento inusual de este ataque fue el uso de Velociraptor, un software de código abierto empleado habitualmente para análisis forense digital, que en este caso se utilizó para mantener el acceso a los sistemas comprometidos; un comportamiento nunca antes observado en este tipo de ataques. Por último, se ha observado un aumento en los ataques que involucran el ransomware Qilin , lo que indica que este grupo está intensificando su actividad.
Los ataques relacionados con ToolShell confirman la importancia de que las empresas segmenten correctamente sus redes e instalen rápidamente las actualizaciones de seguridad. Durante el último trimestre, más del 60 % de los incidentes analizados por Cisco Talos se originaron en aplicaciones de acceso público , como sitios web o portales corporativos. Casi cuatro de cada diez casos involucraron actividad de ToolShell, una técnica que ha contribuido significativamente al crecimiento de este tipo de ataque.
A partir de mediados de julio de 2025, los ciberdelincuentes comenzaron a explotar dos nuevas vulnerabilidades en servidores Microsoft SharePoint locales ( identificadas como CVE-2025-53770 y CVE-2025-53771 ). Estas vulnerabilidades, vinculadas a otras ya corregidas por Microsoft a principios de julio, permiten a los atacantes ejecutar código de forma remota sin necesidad de credenciales de inicio de sesión válidas.
Como ya se ha mencionado, los ataques de phishing lanzados desde cuentas corporativas comprometidas siguen representando una amenaza real . Los ciberdelincuentes aprovechan los correos electrónicos internos comprometidos para propagar el ataque dentro de la organización o a socios externos.
Los expertos de Talos observaron que la cadena de ataques ToolShell se estaba explotando incluso antes de la advertencia oficial de Microsoft , y que la mayoría de los ataques se produjeron en los diez días siguientes. Esta técnica se detectó en aproximadamente un tercio de los incidentes del trimestre, lo que supone un aumento con respecto al periodo anterior. En muchos casos, se combinó con phishing: en uno de los ataques monitorizados, se utilizó una cuenta de Microsoft 365 comprometida para enviar casi 3000 correos electrónicos fraudulentos .
Por otro lado, el ransomware está disminuyendo. En el trimestre recién finalizado, los ataques de ransomware representaron aproximadamente el 20 % de los incidentes gestionados por Cisco Talos , frente al 50 % del trimestre anterior. Sin embargo, por primera vez, el equipo de respuesta a incidentes de Talos abordó nuevas variantes como Warlock, Babuk y Kraken, además de familias ya conocidas como Qilin y LockBit.
Cisco Talos gestionó un ataque de ransomware atribuido con bastante certeza al grupo chino Storm-2603. El ataque afectó gravemente la infraestructura de TI de una empresa de telecomunicaciones, incluyendo sistemas operativos críticos. Durante la investigación, los expertos de Talos descubrieron que los ciberdelincuentes habían instalado una versión obsoleta de Velociraptor , una herramienta de código abierto comúnmente utilizada para análisis forense digital y respuesta a incidentes, en cinco servidores comprometidos.
Velociraptor se utilizó para mantener el acceso a los sistemas incluso después de aislar algunos hosts, un comportamiento nunca antes observado en un ataque de ransomware. La versión utilizada presentaba una vulnerabilidad de seguridad que permitía a los atacantes controlar remotamente los sistemas infectados. Este caso confirma una tendencia ya señalada por Cisco Talos: los ciberdelincuentes utilizan cada vez más herramientas legítimas , tanto comerciales como de código abierto, para que sus ataques sean más eficaces y difíciles de detectar.
El grupo Qilin , que surgió el trimestre anterior, ha intensificado sus operaciones, como lo demuestra el creciente número de filtraciones de datos publicadas en línea desde febrero de 2025. Los ataques de Qilin siguen un patrón bien definido: inicio de sesión con credenciales robadas, uso de un criptograma personalizado para cada víctima y despliegue de la herramienta CyberDuck para robar y transferir datos. La creciente actividad del grupo indica que Qilin seguirá siendo una de las principales amenazas de ransomware al menos hasta finales de 2025 .
Por primera vez desde 2021, la administración pública fue el sector más afectado . Las entidades públicas son objetivos atractivos porque suelen tener presupuestos limitados y utilizan sistemas de defensa obsoletos. Este trimestre, los ataques se dirigieron principalmente a las autoridades locales, que también gestionan escuelas y centros sanitarios y manejan datos sensibles, por lo que no pueden permitirse largos periodos de inactividad. Estas características las hacen atractivas tanto para los ciberdelincuentes con ánimo de lucro como para aquellos motivados por el espionaje.
Durante el trimestre analizado, el método más común para obtener acceso inicial a los sistemas corporativos fue la explotación de aplicaciones basadas en internet , a menudo vinculada a la actividad de ToolShell. Otros métodos observados incluyeron phishing , el uso de credenciales válidas comprometidas y ataques a través de sitios web maliciosos .
Durante el último trimestre, casi un tercio de los incidentes involucraron el abuso de la autenticación multifactor (MFA), como la fatiga de MFA (solicitudes repetidas para inducir errores) o la elusión de controles. Para contrarrestar estos ataques, Talos recomienda habilitar sistemas de detección de anomalías , como inicios de sesión desde ubicaciones incompatibles, y reforzar las políticas de MFA. Otro problema crítico que surgió se refiere al registro de eventos: en muchos casos, la falta de registros completos ha dificultado las investigaciones, con problemas frecuentes como la eliminación, la inhabilitación o la retención de registros durante un período demasiado corto. Cisco Talos recomienda usar soluciones de gestión de información y eventos de seguridad (SIEM) para centralizar y proteger los registros, de modo que se conserven los rastros incluso en caso de que el sistema se vea comprometido. Finalmente, aproximadamente el 15 % de los ataques explotaron sistemas sin parches , incluidos servidores SharePoint que permanecieron vulnerables semanas después de la publicación de los parches. Para reducir las vulnerabilidades y evitar que los atacantes se muevan lateralmente, es fundamental aplicar las actualizaciones con prontitud .
RedazioneNo se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
El 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
Los ladrones entraron por una ventana del segundo piso del Museo del Louvre, pero el museo tenía problemas que iban más allá de las ventanas sin asegurar, según un informe de auditoría de ciberse...
