La foto del cibercrimen corporativo volvió a cambiar durante el tercer trimestre de 2025. El último análisis de Cisco Talos muestra un giro inesperado: la explotación de aplicaciones públicas se convirtió en el principal mecanismo de intrusión y desplazó al ransomware como vector dominante. La caída de este último resulta llamativa, aunque no implica, según matiza el propio informe, un alivio del riesgo. En realidad, las bandas han ajustado sus tácticas ante un escenario donde las vulnerabilidades expuestas en servicios conectados se han multiplicado.
El documento, publicado por Cisco, detalla cómo se produjo este punto de inflexión. La explotación de aplicaciones públicas representó más del 60 por ciento de los incidentes atendidos por Talos, una cifra que contrasta con el 10 por ciento registrado el trimestre anterior. Esta variación tan acusada se vincula a la cadena de ataque conocida como ToolShell, que permitió explotar vulnerabilidades recién divulgadas en servidores Microsoft SharePoint. La intensidad de la campaña, según se describe en el informe original de Talos IR de octubre, dejó poco margen de reacción a las organizaciones.
Lo significativo no es solo el número. Lo curioso es que la primera explotación documentada ocurrió incluso antes de que Microsoft publicara su aviso de emergencia. Esa anticipación sugiere que los actores maliciosos monitorizan con enorme precisión los repositorios de vulnerabilidades y los canales informales donde aparecen pruebas de concepto. La consecuencia directa fue una oleada de intrusiones concentradas en apenas diez días, un intervalo demasiado estrecho para entornos con procesos de parcheo lentos o dependientes de controles de cambio rígidos.
Mientras tanto, el ransomware descendió hasta el 20 por ciento de los casos atendidos, lejos del 50 por ciento del trimestre anterior. No obstante, Talos insiste en que esta reducción podría responder más al ruido provocado por ToolShell que a un repliegue real de los grupos extorsivos. De hecho, el periodo estudiado presenció la aparición de las variantes Warlock, Babuk y Kraken, junto a familias ya conocidas como Qilin y LockBit. Este último sigue apareciendo en múltiples incidentes, lo que indica que su infraestructura continúa activa pese a las operaciones policiales de los últimos años.
Las actividades atribuidas al grupo Storm-2603 aportan otro matiz. Los analistas observaron cómo estos atacantes, supuestamente vinculados a China, incorporaron la herramienta de respuesta a incidentes Velociraptor para mantener persistencia. El uso de este software, legítimo y diseñado para monitorizar endpoints, no se había visto hasta ahora en operaciones de ransomware. El detalle no es menor: la versión utilizada contenía una vulnerabilidad propia que podía facilitar el control del sistema afectado. Este tipo de reutilizaciones de herramientas abiertas se ha convertido en un patrón recurrente, según apuntaba Talos en su análisis anual de 2024, donde ya se advertía del creciente interés de los grupos por productos comerciales y utilidades de código abierto.
La explotación de SharePoint reveló otro punto débil: la segmentación interna. En uno de los casos analizados, los atacantes pasaron del servidor público a una base de datos interna aprovechando relaciones de confianza demasiado amplias. Semanas más tarde, ese mismo entorno sufrió un ataque de ransomware. La secuencia muestra cómo un fallo inicial puede amplificarse si la red no está compartimentada, algo que muchas organizaciones consideran costoso o difícil de mantener, aunque la experiencia demuestra que reduce significativamente la superficie de daño.
La explotación de infraestructura sin parchear siguió presente en el trimestre, con un 15 por ciento de los incidentes asociados a este factor. No es un porcentaje extremo, pero sí persistente. De hecho, la recurrencia de vulnerabilidades vinculadas a software ampliamente desplegado introduce un desafío adicional para equipos con recursos limitados: priorizar qué corregir cuando el número de parches críticos crece cada mes.
El informe aporta otro dato que rompe la tendencia histórica: por primera vez desde 2021, la administración pública fue el sector más atacado. Las organizaciones locales quedaron especialmente expuestas. Trabajan con presupuestos ajustados, gestionan sistemas que acumulan años sin renovaciones profundas y, además, ofrecen servicios con baja tolerancia a la interrupción. Educación, sanidad o gestión municipal dependen de infraestructuras que no siempre están articuladas para resistir intrusiones sofisticadas o campañas sostenidas. Tanto actores con motivación financiera como un grupo APT de origen ruso dirigieron parte de sus operaciones hacia estos organismos, atraídos por la combinación de información sensible y capacidad limitada de respuesta.
Los atacantes también incrementaron el abuso de la autenticación multifactor. Cerca de un tercio de los casos incluyeron técnicas destinadas a evadirla o saturarla. El bombardeo de notificaciones sigue siendo habitual, aunque se observan variantes más sutiles que explotan configuraciones insuficientemente reforzadas. Talos alerta de que disponer de MFA ya no es una garantía por sí sola. Las organizaciones deben vigilar patrones anómalos, como accesos desde ubicaciones incompatibles en intervalos de tiempo imposibles o activaciones de nuevos dispositivos sin justificación.
En paralelo, los analistas de Talos registraron nuevas campañas de phishing lanzadas después del compromiso inicial. Los atacantes aprovecharon cuentas legítimas para enviar correos masivos tanto a empleados como a socios externos. En un caso, casi 3.000 mensajes salieron desde una cuenta interna comprometida. El adversario había modificado las reglas del buzón para ocultar tanto los correos enviados como las posibles respuestas. Tres usuarios hicieron clic en el enlace malicioso, aunque no se pudo determinar cuántos integrantes de entidades externas resultaron afectados. La táctica apunta a una tendencia más amplia: elevar la credibilidad del mensaje mediante el uso de cuentas auténticas, un movimiento que complica el filtrado automático y obliga a mejorar la detección de anomalías en el comportamiento del correo corporativo.
La ausencia de registros también dificultó la respuesta en un tercio de los incidentes. La falta de logs, su eliminación por parte del atacante o políticas de retención demasiado breves limitaron el análisis forense. Talos recomienda reforzar las capacidades de logging centralizado mediante soluciones SIEM que conserven los registros originales incluso si el sistema comprometido queda inoperativo. El valor de estos datos resulta clave para reconstruir la cadena de eventos y cerrar brechas menos evidentes.
Hacia el cierre del periodo, la actividad del ransomware Qilin volvió a intensificarse. Los investigadores detectaron tiempos de permanencia reducidos —en un caso, solo dos días entre el acceso inicial y la ejecución del cifrado— y una continuidad en las técnicas ya observadas, como el uso de credenciales válidas y herramientas de exfiltración estándar. La aceleración operativa del grupo refuerza la idea de que seguirá siendo una de las amenazas más activas durante los próximos meses.
La imagen general que deja el trimestre es compleja. La explotación de aplicaciones públicas ha crecido con una velocidad difícil de anticipar, mientras que el ransomware se mantiene como una amenaza persistente aunque menos visible en el corto plazo. A la vez, sectores como las administraciones locales se han convertido en objetivo preferente y las técnicas de autenticación comienzan a mostrar sus límites cuando no se acompañan de detección avanzada.
Para las organizaciones españolas, especialmente las que operan infraestructuras críticas o servicios esenciales, las conclusiones apuntan a una prioridad clara: reforzar la capacidad de parcheo y la segmentación interna, dos áreas donde la ventana temporal entre vulnerabilidad y explotación se ha estrechado de forma drástica.
