Los casos de ransomware representaron el 20% de los incidentes investigados entre julio y septiembre de 2025, una caída amplia frente al 50% del trimestre anterior, aunque el informe subraya que el descenso no confirma un cambio estable en la evolución de esta amenaza, que se mantiene como riesgo persistente. En el período analizado se detectaron tres nuevas variantes: Warlock, Babuk y Kraken, además de familias ya activas como Qilin y LockBit. Qilin, surgida a principios de 2025, incrementó su actividad y seguirá siendo riesgo importante a corto y medio plazo.
Cisco Talos atribuyó una de las campañas de malware a Storm-2603, un grupo vinculado a China, que en sus operaciones incorporó, por primera vez en actividades de ransomware, el uso de Velociraptor, una herramienta legítima de análisis forense y visibilidad de redes. El software, concebido para monitorizar equipos y nodos, permitió a los intrusos reunir datos, vigilar actividad y retener control una vez dentro de los sistemas comprometidos.
Índice de temas
Explotación de aplicaciones públicas: puerta de entrada principal
Más del 60% de los incidentes del trimestre tuvieron como vector inicial la explotación de aplicaciones públicas, entendidas como servicios expuestos a Internet, incluidos sitios web, correos y APIs. El crecimiento es amplio respecto al 10% registrado en el trimestre previo y guarda relación directa con campañas masivas dirigidas a servidores locales Microsoft SharePoint que aprovechaban vulnerabilidades recién publicadas, a través de la cadena de ataque conocida como ToolShell.
Talos documentó que la primera explotación conocida de esas fallas se produjo un día antes del aviso oficial de Microsoft, y que la mayor parte de los incidentes gestionados por el equipo de respuesta se concentraron en los 10 días posteriores a la divulgación. El patrón confirma movilización acelerada de actores maliciosos tras la publicación de errores de día cero, reduciendo a horas el margen defensivo efectivo para quienes no aplican una gestión de parches ágil. Disminuyen los ataques de ranso…
Además, el 15% de los incidentes involucraron infraestructura sin actualizaciones aplicadas, lo que subraya la exposición derivada de sistemas sin parchear y el valor de segmentar redes para acotar intrusiones y frenar la expansión del malware después del compromiso inicial. La investigación remarca que actualizar rápido y aislar entornos reduce las opciones de permanencia y propagación de los intrusos.
La Administración, el objetivo más repetido
El sector de la Administración superó por primera vez al resto de industrias en volumen de incidentes registrados por Cisco Talos desde 2021, con predominio de ataques contra gobiernos locales. La naturaleza de los servicios que ofrecen (educación, sanidad y prestaciones esenciales) convierte a estas entidades en diana atractiva. La mayoría de los organismos afectados comparten un patrón: presupuestos limitados y tecnología desactualizada, lo que se traduce en mayor superficie vulnerable de aplicaciones públicas accesibles desde Internet.
Durante el trimestre se observaron intrusiones impulsadas tanto por motivaciones financieras como por acciones de ciberespionaje. Entre los casos investigados, un grupo APT afiliado a Rusia, además de clústeres de extorsión digital, orientaron su actividad principalmente hacia administraciones locales, un cambio de foco relevante desde que comenzó el seguimiento sistemático del equipo de respuesta.
Bombardeo y abuso de MFA, el eslabón débil de la identidad
Casi un tercio de los incidentes implicaron evasión o abuso de autenticación multifactor (MFA). Las técnicas más repetidas fueron el bombardeo de solicitudes de acceso (envío insistente de notificaciones a usuarios hasta lograr una aprobación accidental) y el uso de configuraciones de MFA con fallos en su diseño o sin supervisión de eventos de acceso. La conclusión del informe es clara: activar MFA no garantiza seguridad por sí mismo si no se combina con monitoreo de accesos, alertas y reglas estrictas sobre el comportamiento de identidad en redes corporativas.
Talos recomienda parcheo prioritario, separación sólida de redes, y registro de accesos con controles reforzados para poder rastrear, detectar y responder ante intentos de abuso de credenciales en etapas muy tempranas, antes de que el intruso consolide su presencia o despliegue cadenas de extorsión.
Mirada al cierre: un trimestre bisagra
El documento traza un trimestre bisagra para la ciberseguridad organizacional: el ransomware retrocede en proporción, pero los vectores de exposición directa a Internet crecen como principal puerta de entrada, en especial a través de aplicaciones públicas sin parches. Este giro no indica menor riesgo, sino un desplazamiento en la forma de atacar, hacia intrusiones rápidas, escalables y apoyadas en fallas recién divulgadas.
La lectura general del informe deja un mensaje operativo: la velocidad defensiva es el factor que más diferencia a las organizaciones que logran frenar la intrusión de aquellas que terminan investigando el incidente semanas después. Cuanto más tardan en actualizar y en acotar los sistemas expuestos, más tiempo otorgan a los invasores para reunir información, persistir y monetizar el acceso.
