Disminuyen los ataques de ransomware y aumentan drásticamente las explotaciones de aplicaciones públicas
La Administración fue el sector más atacado por primera vez.
Cisco ha publicado su último informe de respuesta a incidentes, que documenta las tendencias observadas por Cisco Talos Incident Response (Talos IR) durante el tercer trimestre de 2025.
La división de ciber-inteligencia de Cisco desvela que los incidentes de ransomware representaron aproximadamente el 20% de los casos en el tercer trimestre de 2025, frente al 50% del período anterior. El informe advierte que este descenso que no señala necesariamente una tendencia a largo plazo, ya que el ransomware sigue siendo una de las amenazas más persistentes para las organizaciones.
Durante el tercer trimestre, Cisco Talos identificó tres nuevas variantes de ransomware: Warlock, Babuk y Kraken, junto con amenazas conocidas como Qilin y LockBit. Qilin, que apareció por primera vez a principios de este año, intensificó sus ataques y se espera que siga representando un riesgo importante.
Uno de los ataques de malware investigados por Talos se atribuyó a Storm-2603, un grupo que se cree que opera desde China. En particular, utilizaron la herramienta de seguridad legítima Velociraptor, una ‘primicia’ en operaciones de ransomware. Velociraptor está diseñado para obtener una mayor visibilidad de ordenadores y redes, lo que permite a los atacantes recopilar datos, supervisar la actividad y mantener el control después de infiltrarse.
Explotación de aplicaciones públicas
Más del 60% de los incidentes de este trimestre comenzaron con la explotación de aplicaciones públicas (cualquier servicio o programa accesible a través de Internet, como sitios web, correo electrónico y APIs expuestas al público), un drástico aumento desde el 10% registrado el trimestre anterior. Este repunte está vinculado principalmente a una ola de ataques que explotan vulnerabilidades recién divulgadas en servidores Microsoft SharePoint locales a través de la cadena de ataque ToolShell.
La ola de ataques ToolShell también pone de relieve la rapidez con la que los ciber-delincuentes se movilizan una vez que se divulgan vulnerabilidades de día cero. La primera explotación conocida se produjo un día antes del aviso de Microsoft, y la mayoría de los incidentes gestionados por Talos ocurrieron en los siguientes diez días.
Igualmente, aproximadamente el 15% de los incidentes registrados durante el trimestre involucraron infraestructura sin parchear, destacando la importancia de la aplicación rápida de parches y de la segmentación adecuada en las estrategias de defensa.
El sector público, objetivo principal
Por primera vez desde que Talos comenzó su análisis en 2021, las organizaciones gubernamentales, especialmente las administraciones locales, fueron los objetivos más frecuentes de los ciber-ataques. Estas organizaciones proporcionan servicios críticos como educación y sanidad, pero normalmente operan con presupuestos limitados y tecnología obsoleta. Tanto actores de amenazas con motivaciones financieras como un grupo APT afiliado a Rusia atacaron principalmente a gobiernos locales.
Aumento del abuso de autenticación multifactor (MFA)
Casi un tercio de los incidentes de este trimestre involucraron a atacantes que evitaron o explotaron la autenticación multifactor (MFA), a menudo mediante técnicas como bombardear a los usuarios con solicitudes de inicio de sesión repetidas (bombardeo MFA) o explotar debilidades en las configuraciones de MFA.
Estos hallazgos desvelan que sólo con habilitar MFA no es suficiente: las organizaciones también necesitan supervisar la actividad de inicio de sesión sospechosa y garantizar que sus políticas de MFA sean sólidas. Talos también recomienda a las organizaciones priorizar la aplicación rápida de parches, una segmentación de red sólida y un registro de accesos reforzado para defenderse mejor frente a estas amenazas en evolución.
