El equipo de investigación de la Unidad de Counter Threat Unit (CTU) analiza las amenazas de seguridad para ayudar a las organizaciones a proteger sus sistemas. Basándose en las observaciones realizadas en julio y agosto, los investigadores de la CTU identificaron los siguientes problemas y cambios destacados en el panorama global de amenazas:
-
El ransomware sigue siendo una amenaza volátil a pesar de las interrupciones
-
La ausencia de MFA permite la explotación de credenciales robadas
-
Las vulnerabilidades heredadas mantienen su valor
El ransomware sigue siendo una amenaza volátil a pesar de las interrupciones
Las medidas policiales han tenido un impacto en el ecosistema del ransomware, pero no han reducido el número de ataques.
El ransomware sigue siendo una amenaza importante para las organizaciones. Aunque el número de víctimas publicadas en sitios de filtración ha disminuido desde que alcanzara su máximo histórico en marzo de 2025, las cifras de julio y agosto se mantuvieron por encima de las de los mismos meses de 2024. A pesar de la atención mediática dedicada a los ataques de ransomware y extorsión de datos de alto perfil perpetrados por Scattered Spider y ShinyHunters, los dos esquemas más prolíficos durante julio y agosto fueron Qilin y Akira. Ambos esquemas han estado muy activos durante 2025 (aunque el número de víctimas publicadas cada mes es inferior al volumen mensual de operaciones prolíficas anteriores como LockBit). Aun así, en general, el elevado número de ataques de ransomware en el segundo y tercer trimestre de 2025 se ha distribuido de forma más uniforme entre varios grupos en comparación con años anteriores.
Las medidas policiales contra los principales operadores de ransomware en 2024 y 2025 han provocado la fragmentación y la volatilidad del panorama del ransomware. Por lo general, cada intervención policial provoca un aumento temporal en la creación de nuevos grupos. En la primera mitad de 2025 aparecieron 37 nuevos esquemas. Otros cuatro surgieron en julio, seguidos de otros cuatro en agosto. El elevado número sostenido puede estar relacionado con la cadencia regular de la actividad policial dirigida contra LockBit a lo largo de 2024. Varios grupos que se consideraban inactivos también volvieron a la actividad durante julio y agosto de 2025. En total, en agosto había 52 esquemas de ransomware activos, un volumen mensual que solo se ha superado tres veces en los dos años anteriores.
Es probable que los nuevos esquemas no hayan sido creados por nuevos ciberdelincuentes. En cambio, es posible que los afiliados que trabajaban con operaciones interrumpidas se unan o lancen un nuevo esquema, ya sea aunando esfuerzos con otros afiliados desplazados o trabajando de forma independiente. Los nuevos esquemas también pueden ser cambios de nombre de operaciones más antiguas. Los afiliados también pueden pasar a operaciones establecidas, como Akira, que luego aumentan su ritmo de ataque al disponer de más recursos. Estos renombramientos y la circulación de afiliados entre grupos existentes o nuevos pueden dificultar la identificación de las cadenas de ataque y la atribución.
Aunque estos acontecimientos pueden aumentar la dificultad general de supervisar el ecosistema del ransomware, no cambian en gran medida las defensas clave contra la mayoría de los ataques de ransomware: la aplicación inmediata de parches, especialmente en los dispositivos conectados a Internet; la autenticación multifactorial (MFA) resistente al phishing y la supervisión exhaustiva de los endpoints y las redes. Además, cada vez es más importante supervisar los entornos híbridos y en la nube en busca de actividades maliciosas, ya que los actores maliciosos se están pasando a la nube.
Qué debes hacer a continuación
Supervisar las iniciativas gubernamentales para mejorar la seguridad de la nube.
La ausencia de MFA permite la explotación de credenciales robadas
La implementación de MFA impide que los actores maliciosos se beneficien de las credenciales robadas.
Los investigadores de la CTU han observado múltiples incidentes en los que ciberdelincuentes o actores maliciosos patrocinados por Estados obtuvieron acceso inicial al entorno de sus víctimas mediante el uso indebido de credenciales VPN. Por ejemplo, el grupo de amenazas GOLD LEAPFROG abusó de las credenciales VPN en un ataque a principios de 2025 que culminó con el despliegue del ransomware SafePay.
El acceso no autorizado de esta naturaleza permite a los actores maliciosos eludir las medidas de seguridad tradicionales y obtener acceso directo a los sistemas internos, incluso si el dispositivo está completamente parcheado contra vulnerabilidades conocidas. Otros tipos de acceso que se abusan comúnmente incluyen los inicios de sesión en escritorios remotos o las cuentas administrativas. En otras palabras, los métodos diseñados para proteger el acceso autorizado de los empleados remotos también pueden dar acceso a los atacantes si la protección no es lo suficientemente fuerte.
Los actores maliciosos suelen comprar las credenciales en mercados clandestinos. El malware infostealer roba credenciales y otros datos de los sistemas que infecta. A continuación, los datos robados se empaquetan en registros y se venden online a otros actores maliciosos. Hay millones de registros a la venta, y el número sigue aumentando considerablemente cada año. Como resultado, proteger los sistemas contra las infecciones de infostealer es una parte fundamental de la defensa contra los posteriores ataques de ransomware o extorsión de datos.
Los actores maliciosos que obtienen credenciales parciales también pueden intentar acceder por fuerza bruta a las cuentas VPN. Si logran obtener acceso, casi siempre es porque la VPN no requiere MFA para autenticarse. La MFA por sí sola no impide todos los accesos no autorizados, pero reduce la amenaza de los ciberdelitos más oportunistas. La implementación de MFA resistente al phishing en todos los servicios y dispositivos conectados a Internet reduce aún más los niveles de riesgo. Este tipo de MFA utiliza métodos respaldados por hardware para evitar el robo de tokens.
Qué debes hacer a continuación
Revisa las directrices publicadas por la Agencia de Seguridad Cibernética y de Infraestructuras de EE. UU. (CISA) sobre la implementación de MFA resistente al phishing.
Las vulnerabilidades heredadas mantienen su valor
Incluso si una vulnerabilidad tiene años, rara vez es demasiado tarde para parchearla.
En agosto, el FBI advirtió que los actores maliciosos patrocinados por el Estado ruso vinculados al Centro 16 del Servicio Federal de Seguridad Ruso (FSB) estaban llevando a cabo ataques de ciberespionaje contra entidades estadounidenses y de otros países, dirigiéndose activamente a dispositivos Cisco sin parchear contra una vulnerabilidad de 2018. Los investigadores de la CTU observaron una actividad similar por parte de actores maliciosos patrocinados por el Estado ruso en 2023.
El FBI fue también una de las múltiples agencias de Estados Unidos y otros países que emitieron una advertencia sobre actores maliciosos patrocinados por el Estado chino que comprometían redes de todo el mundo con fines de espionaje. La parte del documento que trataba sobre cómo los atacantes obtenían el acceso inicial afirma que «están teniendo un éxito considerable al explotar vulnerabilidades comunes conocidas públicamente», en lugar de vulnerabilidades de día cero previamente desconocidas. El documento enumera la vulnerabilidad de Cisco de 2018, así como otras de 2023 y 2024 que afectan a dispositivos periféricos.
Las organizaciones pueden no aplicar los parches con rapidez por muchas razones. Las restricciones presupuestarias y la escasez de personal son solo dos factores que pueden afectar a un programa de aplicación de parches. Es posible que el personal no sea consciente de la vulnerabilidad o no se dé cuenta de que se está utilizando el equipo afectado. Algunos parches pueden requerir una evaluación adicional o tener que ser sustituidos por soluciones alternativas para evitar un posible impacto en otras operaciones críticas para el negocio. En algunos casos, los equipos son tan antiguos que los proveedores ya no publican actualizaciones de seguridad. No obstante, los dispositivos periféricos sin parches ponen en riesgo a las organizaciones. Durante las intervenciones de respuesta a incidentes que los investigadores de la CTU observaron en 2024, las vulnerabilidades de los dispositivos conectados a Internet fueron los vectores de acceso inicial más comunes.
El riesgo que suponen los dispositivos sin parches no va a disminuir. Ya es fácil utilizar sistemas de análisis de libre acceso y código de explotación disponible públicamente para encontrar y explotar sistemas vulnerables, y es factible que la IA pueda automatizar aún más este proceso. La aplicación inmediata de parches según los cálculos de riesgo empresarial o la sustitución de los sistemas al final de su vida útil siguen siendo más importantes que nunca.
Qué debes hacer a continuación
Supervisa los avisos del gobierno y de los proveedores, así como otras fuentes de información sobre amenazas, en relación con el comportamiento de los actores maliciosos y sigue los consejos de aplicación de parches según sea apropiado en tu entorno.
Conclusión
A pesar de los cambios en la composición de los grupos de amenazas y del aumento del número de ataques, algunos aspectos de las ciberamenazas siguen siendo los mismos. Los ciberdelincuentes y los actores maliciosos patrocinados por Estados siguen aprovechando el fácil acceso a los entornos de las organizaciones. Afortunadamente, los fundamentos de una buena ciberdefensa también siguen siendo los mismos: aplicación rápida de parches, MFA resistente al phishing y supervisión y respuesta integrales.
