– CISCO
MADRID, 27 Nov. (CIBERPRO) –
Los incidentes de ‘ransomware’ han mostrado una reducción en el tercer trimestre, mientras que las explotaciones de aplicaciones públicas han crecido, representando el 60 por ciento de las incidencias en dicho periodo; la Administración se destaca como el sector más atacado, según el informe reciente de Cisco Talos.
Durante el tercer trimestre de 2025, los incidentes de ‘ransomware’ constituyeron alrededor del 20 por ciento de los casos, en comparación con el 50 por ciento del periodo anterior. Este descenso es visto por los especialistas de la división de ciberinteligencia de Cisco como un fenómeno temporal, dado que el ‘ransomware’ sigue siendo una de las amenazas más duraderas para las organizaciones.
En este periodo, Cisco Talos identificó tres nuevas variantes de ‘ransomware’: Warlock, Babuk y Kraken, junto a amenazas previamente conocidas como Qilin y LockBit.
Uno de los ataques de ‘malware’ analizados por Talos se atribuyó a Storm-2603, un grupo que se presume opera desde China y que utilizó la herramienta de seguridad legítima Velociraptor para obtener una mayor visibilidad de ordenadores y redes, con la finalidad de recopilar información, supervisar actividades y mantener el control tras la infiltración.
Estos datos se presentan en el informe de la firma tecnológica de respuesta a incidentes, que documenta las tendencias observadas por Cisco Talos Incident Response (Talos IR) durante el tercer trimestre de 2025.
El informe también destaca el incremento en la explotación de aplicaciones públicas, que ahora representan el 60 por ciento de los incidentes detectados en este trimestre, en contraste con el 10 por ciento del trimestre anterior.
Este aumento se vincula principalmente a una ola de ataques que explotan vulnerabilidades recién descubiertas en servidores Microsoft SharePoint locales a través de la cadena de ataque ToolShell. La primera explotación conocida ocurrió un día antes del aviso de Microsoft, y la mayoría de los incidentes gestionados por Talos sucedieron en los diez días siguientes.
Adicionalmente, aproximadamente el 15 por ciento de los incidentes reportados durante el trimestre implicaron infraestructura sin parches, lo que resalta la importancia de aplicar parches de manera rápida y la adecuada segmentación en las estrategias de defensa.
Casi un tercio de los incidentes de este trimestre involucraron a atacantes que evitaron o explotaron la autenticación multifactor (MFA), frecuentemente utilizando técnicas como bombardear a los usuarios con solicitudes de inicio de sesión repetidas (bombardeo MFA) o aprovechando debilidades en las configuraciones de MFA.
EL SECTOR PÚBLICO, PRINCIPAL OBJETIVO
Por primera vez desde que Talos comenzó su análisis en 2021, las entidades gubernamentales, en especial las administraciones locales, fueron los objetivos más frecuentes de los ciberataques.
Estas entidades ofrecen servicios esenciales como educación y salud, pero suelen operar con recursos limitados y tecnología anticuada. Tanto actores de amenazas con motivaciones financieras como un grupo APT vinculado a Rusia centraron sus ataques principalmente en gobiernos locales.
