Los plazos para la explotación de vulnerabilidades continuaron acortándose en los entornos empresariales, con fallos recién descubiertos que entraban en uso activo casi de inmediato y vulnerabilidades más antiguas que permanecían activas años después de su divulgación.
(Fuente: Cisco Talos)
Los resultados del informe anual de Cisco Talos de 2025 muestran cómo los atacantes combinaron la rápida instrumentalización de las armas con una exposición a largo plazo que abarcó la infraestructura, los sistemas de identidad y los flujos de trabajo de los usuarios.
Las vulnerabilidades más atacadas demuestran velocidad y persistencia.
Las vulnerabilidades recién descubiertas comenzaron a ser explotadas activamente con muy poca demora. React2Shell se convirtió en la vulnerabilidad más atacada de 2025 a pesar de haber sido publicada en diciembre, lo que demuestra la rapidez con la que los atacantes ponen en práctica nuevas fallas.
Al mismo tiempo, las vulnerabilidades más antiguas permanecieron activas. Las vulnerabilidades CVE de Log4Shell se mantuvieron entre las 10 más atacadas, lo que evidencia su continua explotación desde 2021, ya que Log4j sigue integrado en aplicaciones empresariales, integraciones de terceros, sistemas heredados y servicios con acceso a internet.
“Componentes como PHPUnit, ColdFusion y Log4j a menudo terminan ocultos dentro de las aplicaciones, donde los responsables de la seguridad pueden ni siquiera darse cuenta de su existencia, o bien están estrechamente vinculados a aplicaciones heredadas, lo que hace que las actualizaciones sean problemáticas y consuman muchos recursos”, advierten los investigadores.
La exposición a largo plazo también se reflejó en las tendencias generales de vulnerabilidad . Casi el 40 % de las vulnerabilidades más atacadas afectaban a dispositivos obsoletos, y el 32 % tenían al menos 10 años de antigüedad. Estas cifras evidencian brechas persistentes entre los plazos del ciclo de vida de los proveedores y las prácticas de aplicación de parches de las empresas.
Los atacantes continuaron centrándose en vulnerabilidades escalables. Alrededor del 25% de las vulnerabilidades afectaron a marcos y bibliotecas de uso generalizado, y el 23% afectaron directamente a dispositivos de red como dispositivos VPN y cortafuegos .
El tipo de vulnerabilidad también influyó. La ejecución remota de código representó el 80% de las 100 vulnerabilidades más importantes, lo que refleja una preferencia por fallos que permiten el acceso directo sin depender de la interacción del usuario.
Talos analizó la ubicación de las vulnerabilidades en la arquitectura para comprender el alcance de su impacto. La mayoría de las 50 principales vulnerabilidades de infraestructura de red, aproximadamente el 66%, afectan al firmware de los dispositivos y tienden a limitarse a modelos de hardware específicos.
Una proporción menor afecta a plataformas compartidas, servicios integrados o sistemas de gestión, y estos tienen un impacto más amplio. El software de plataforma representa el 14 % de las vulnerabilidades CVE , aunque un solo fallo puede exponer routers, switches y controladores simultáneamente.
La actividad del ransomware se centra en la identidad y la coherencia.
La actividad de ransomware se mantuvo constante, y los atacantes conservaron patrones de ataque y métodos operativos consistentes. El sector manufacturero siguió siendo el más atacado , debido a su baja tolerancia a las interrupciones del servicio y a la amplitud de sus vulnerabilidades.
Qilin se consolidó como el grupo de ransomware más activo en 2025, representando el 17% de las publicaciones en sitios de filtración de datos, seguido de Akira con un 10% y Play con un 6%.
Enero registró el menor volumen de actividad de ransomware tanto en 2024 como en 2025, con aumentos posteriores a lo largo del año.
«Puede que sea conveniente que los equipos de seguridad consideren probar las defensas contra el ransomware en meses donde los niveles de actividad son generalmente más bajos, como enero, ya que hay menos posibilidades de interferir con incidentes reales», escribió Cisco Talos.
La identidad desempeñó un papel fundamental en las operaciones de ransomware. Las técnicas comunes se basaban en cuentas válidas en múltiples etapas del ciclo de vida del ataque, con el apoyo de herramientas como RDP, PsExec y PowerShell, que requieren credenciales de usuario.
Los ataques contra la autenticación multifactor se centran en los sistemas de identidad.
La autenticación multifactor se convirtió en un objetivo principal, y los atacantes se centraron tanto en técnicas a gran escala como en técnicas dirigidas.
Los ataques de fuerza bruta contra la autenticación multifactor (MFA) se concentraron en los sistemas de identidad. En 2025, el 30 % de estos ataques se dirigieron a aplicaciones de gestión de identidades y accesos, frente al 24 % en 2024. Las empresas tecnológicas representaron el 36 % de la actividad de estos ataques debido a los patrones de inicio de sesión predecibles y los entornos estandarizados.
También aumentaron los métodos más específicos. Los casos de registro fraudulento de dispositivos se incrementaron un 178 % entre 2024 y 2025. Estos ataques permiten a los atacantes registrar su propio dispositivo como factor de autenticación de confianza, lo que posibilita el acceso persistente.
El registro gestionado por el administrador representó el 77% de los casos de vulneración de dispositivos, en comparación con el 12% del registro gestionado por el usuario y el 5% del registro iniciado mediante un enlace.
Los sectores objetivo variaron según el tipo de ataque. La educación superior ocupó el primer lugar en ataques de compromiso de dispositivos, debido a la diversidad y la falta de gestión de los mismos, mientras que los ataques de bombardeo se concentraron en sectores con prácticas de identidad consistentes.
Las amenazas por correo electrónico se alinean con los flujos de trabajo empresariales.
El correo electrónico siguió siendo un vector de acceso principal, y el phishing se utilizó en el 40 % de los casos de respuesta a incidentes. Los atacantes también reutilizaron el phishing tras el acceso inicial, y el 35 % de los casos de phishing involucraron actividad de correo electrónico interno desde cuentas comprometidas.
En un trimestre, el 75% de las intrusiones basadas en phishing se originaron en cuentas de confianza, lo que aumentó la probabilidad de interacción del usuario.
Los temas de los ataques de señuelo se mantuvieron estables en su esencia. Alrededor del 60 % de los términos más utilizados en los ataques de phishing coincidieron con los observados en 2024, incluyendo términos relacionados con facturas, pagos y reuniones.
Los términos relacionados con los viajes, como «aeropuerto», «itinerario» y «embarque», aumentaron en frecuencia, lo que refleja la orientación hacia los flujos de trabajo de viajes corporativos. El lenguaje técnico también se hizo más común, incluyendo términos como «error», «dominio» y «configuración», que se alinean con los mensajes de operaciones de TI.
Otra tendencia relacionada fue el abuso de la infraestructura. Los atacantes explotaron la función Direct Send de Microsoft 365 para suplantar direcciones de correo electrónico internas sin comprometer las cuentas, lo que permitió que los mensajes eludieran las comprobaciones de autenticación estándar.
La IA amplía las capacidades de los atacantes.
La IA continuó influyendo en el comportamiento de los atacantes sin reemplazar los métodos existentes. La IA redujo las barreras para la ingeniería social y permitió una suplantación de identidad más convincente mediante la tecnología deepfake .
Las organizaciones se enfrentaron a nuevas categorías de riesgo vinculadas al uso de la IA, como la inyección de mensajes y la manipulación del contexto. Al mismo tiempo, los responsables de la seguridad aplicaron la IA para priorizar las alertas y correlacionar la actividad en distintos entornos.
Fuente y redacción: helpnetsecurity.com
