En el último informe de ciberseguridad de Cisco, se confirma el descenso de los ataques de ramsomware y el aumento de los incidentes asociados a la explotación de aplicaciones públicas expuestas. El documento del tercer trimestre revela cambios significativos en el panorama de ciberseguridad y ofrece claves relevantes para los partners que gestionan infraestructuras críticas para sus clientes.
Aunque los incidentes relacionados con ransomware bajaron hasta representar el 20% de los casos (frente al 50% del trimestre anterior), Talos advierte de que esta caída no debe interpretarse como una tendencia consolidada. El ransomware sigue siendo uno de los vectores más activos y sofisticados, y durante el trimestre surgieron tres nuevas variantes: Warlock, Babuk y Kraken, además de amenazas ya conocidas como Qilin y LockBit. Qilin, que apareció a principios de año, incrementó su actividad y se mantiene como un riesgo destacado para organizaciones de todos los tamaños.
Entre los casos investigados, Cisco Talos atribuyó un ataque a Storm-2603, un actor vinculado a China. El grupo empleó Velociraptor, una herramienta legítima de seguridad orientada a la observación de endpoints, marcando su primera utilización conocida en operaciones de ransomware. Según Talos, esta técnica permite a los atacantes obtener visibilidad profunda del entorno, recopilar datos y mantener acceso persistente tras comprometer la red.
Índice de temas
Ascenso de explotación de aplicaciones públicas
El informe destaca un cambio notable en los vectores iniciales de ataque. Más del 60% de los incidentes comenzaron por la explotación de aplicaciones públicas expuestas, frente al 10% registrado en el trimestre anterior. Este aumento se relaciona principalmente con una oleada de ataques que explotaron vulnerabilidades recién divulgadas en Microsoft SharePoint on-premise mediante la cadena de ataque ToolShell.
Talos subraya la velocidad con la que los ciberdelincuentes aprovecharon estas brechas: la primera explotación conocida ocurrió un día antes de que Microsoft publicara su aviso oficial, y la mayoría de incidentes gestionados por Cisco se concentraron en los diez días posteriores.
A este contexto se suma otro problema persistente: el 15% de los incidentes analizados se debieron a infraestructuras sin parchear, lo que vuelve a poner el foco en la importancia de las políticas de actualización y segmentación en los entornos corporativos.
El sector público, en el punto de mira
Por primera vez desde 2021, las administraciones públicas, especialmente gobiernos locales, se convirtieron en el objetivo más frecuente de los ciberataques gestionados por Talos. La combinación de servicios críticos —educación, sanidad o administración— y entornos tecnológicos a menudo obsoletos los convierte en un objetivo atractivo tanto para grupos con motivación económica como para actores APT, incluido un grupo afiliado a Rusia mencionado en el informe.
Crece el abuso de la autenticación multifactor
Otra tendencia preocupante es el aumento del abuso y evasión de la autenticación multifactor (MFA). Casi un tercio de los incidentes de este trimestre implicaron técnicas como el bombardeo de notificaciones o la explotación de configuraciones débiles de MFA. Talos insiste en que habilitar MFA ya no es suficiente: las organizaciones deben supervisar patrones anómalos de acceso y endurecer sus políticas de autenticación.
Recomendaciones clave para el canal
El informe concluye con una serie de medidas prioritarias para reforzar la postura de seguridad:
- Aplicación rápida y sistemática de parches.
- Segmentación de red robusta para limitar movimientos laterales.
- Supervisión y registro de accesos más estrictos.
- Políticas de MFA endurecidas y vigilancia activa de actividad sospechosa.
Para los partners del canal, estas conclusiones refuerzan la necesidad de revisar sus servicios gestionados, fortalecer las políticas de hardening y anticiparse a un entorno de amenazas cada vez más dinámico.
