Redacción Digital Inside España
Cisco ha publicado su último informe de respuesta a incidentes, basado en la actividad registrada por Cisco Talos Incident Response (Talos IR) durante el tercer trimestre de 2025. El documento ofrece una instantánea del comportamiento reciente de los atacantes, tanto en las familias de malware empleadas como en los vectores de entrada más habituales y los sectores más afectados.
En el tercer trimestre de 2025, los incidentes de ransomware gestionados por Cisco Talos descendieron hasta representar una quinta parte de los casos, frente a la mitad del trimestre previo, aunque el informe subraya que la amenaza sigue siendo persistente. La división de ciberinteligencia de la compañía advierte de que este descenso no debe interpretarse como una tendencia consolidada a largo plazo, ya que el ransomware continúa figurando entre los riesgos más constantes para las organizaciones.
Talos identifica en este periodo tres variantes nuevas de ransomware, denominadas Warlock, Babuk y Kraken, que se suman a familias ya conocidas como Qilin y LockBit. Qilin, detectada por primera vez a comienzos de este año, ha intensificado su actividad en los últimos meses y el informe anticipa que seguirá representando un riesgo significativo para las organizaciones.
En paralelo, uno de los incidentes de malware investigados durante el trimestre se atribuye al grupo Storm-2603, que se considera operativo desde China. En este caso, los atacantes recurrieron a Velociraptor, una herramienta legítima de seguridad diseñada para proporcionar mayor visibilidad sobre ordenadores y redes. El informe detalla que los responsables del ataque utilizaron Velociraptor para recopilar datos de los sistemas comprometidos, monitorizar la actividad y mantener el control tras la intrusión.
Explotación de aplicaciones públicas como puerta de entrada prioritaria
Más allá de la tipología de malware, el informe pone el foco en la forma en que se inician los incidentes. Más del 60% de los incidentes analizados se originaron en la explotación de aplicaciones expuestas a Internet, frente al 10% del trimestre anterior, impulsados por una oleada de ataques que aprovecharon vulnerabilidades en servidores Microsoft SharePoint locales a través de la cadena de ataque ToolShell. En este contexto, el término “aplicaciones públicas” abarca cualquier servicio o programa accesible vía Internet, como sitios web corporativos, servicios de correo electrónico o APIs abiertas al exterior.
Talos vincula este aumento a una ola concreta de ataques que explotaban vulnerabilidades recientemente divulgadas en servidores Microsoft SharePoint instalados en las propias instalaciones de las organizaciones. Estas vulnerabilidades se integraron en una cadena de ataque conocida como ToolShell, que permitió a los atacantes acceder a los sistemas a través de los servicios expuestos.
El análisis también destaca la rapidez con la que determinados grupos reaccionan cuando se hacen públicas las denominadas vulnerabilidades de día cero. En el caso de ToolShell, la primera explotación documentada se produjo un día antes del aviso oficial de Microsoft, y la mayoría de los incidentes gestionados por Talos se concentraron en los diez días siguientes a la publicación de dicho aviso. Este comportamiento refuerza la idea de que el margen de tiempo para desplegar medidas de mitigación tras la divulgación de una vulnerabilidad crítica es limitado.
Además del aprovechamiento de fallos recién divulgados, el informe señala que una parte relevante de los incidentes sigue vinculada a sistemas que no han sido actualizados. Alrededor del 15% de los casos registrados durante el trimestre involucraron infraestructuras sin parchear, lo que, según Talos; subraya la importancia de aplicar actualizaciones de seguridad de forma rápida y de acompañar esta práctica con una segmentación adecuada de la red para limitar el movimiento del atacante en caso de intrusión.
El sector público y la autenticación multifactor en el foco de los atacantes
El informe introduce también cambios en el perfil de las víctimas más frecuentes. Por primera vez desde 2021, las organizaciones gubernamentales, en especial las administraciones locales responsables de servicios como educación y sanidad, se situaron como los objetivos más habituales de los incidentes gestionados por Cisco Talos. Estas entidades prestan servicios considerados críticos, pero suelen operar con presupuestos limitados y con infraestructuras tecnológicas que en muchos casos resultan obsoletas, lo que incrementa su exposición al riesgo.
Talos detalla que tanto actores con motivación económica como un grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia dirigieron sus ataques principalmente contra gobiernos locales. Esta combinación de atacantes con objetivos financieros y grupos con posibles motivaciones estratégicas refuerza la presión sobre el sector público, especialmente en niveles de administración que pueden disponer de menos recursos para reforzar sus capacidades de defensa.
En el ámbito de la autenticación, el documento identifica otra tendencia destacada. Casi un tercio de los incidentes implicó técnicas para sortear o explotar la autenticación multifactor, desde el bombardeo de solicitudes de inicio de sesión hasta la explotación de configuraciones débiles, lo que lleva a Talos a concluir que activar MFA por sí solo no es suficiente. Entre las técnicas observadas figura el denominado “bombardeo de MFA”, consistente en enviar múltiples peticiones de autenticación al usuario con el objetivo de que acepte alguna de ellas por error o agotamiento. Así como el aprovechamiento de debilidades en la forma en que la autenticación multifactor está configurada en determinados entornos.
A partir de estos hallazgos, Talos sostiene que las organizaciones no deben limitarse a habilitar mecanismos de autenticación multifactor, sino complementar esta medida con una supervisión activa de la actividad de inicio de sesión para detectar comportamientos anómalos y con políticas de MFA robustas. El informe insiste, además, en que la defensa frente a amenazas en evolución requiere priorizar la aplicación rápida de parches, reforzar la segmentación de red y mejorar el registro de accesos, de forma que los equipos de seguridad puedan reconstruir lo ocurrido y responder con mayor eficacia ante un incidente.
