WatchGuard Technologies ha publicado los resultados de su último Informe de Seguridad en Internet, un análisis trimestral que detalla las principales amenazas de malware, red y seguridad en endpoints observadas por los investigadores de WatchGuard Threat Lab durante el primer trimestre de 2025.
Las principales conclusiones del informe revelan un aumento del 171% (trimestre a trimestre) en el total de detecciones únicas de malware, el mayor registrado hasta la fecha por el Threat Lab.
Si a esto se añade un aumento significativo del “malware zero day”, se observa un fuerte incremento de las amenazas evasivas diseñadas para eludir los sistemas de detección basados en firmas, es decir, las defensas tradicionales que se apoyan en patrones conocidos para detectar amenazas.
Destaca especialmente el crecimiento del 323% en la detección proactiva mediante aprendizaje automático (ML) ofrecida por IntelligentAV (IAV), lo que subraya su papel clave en la identificación de malware avanzada. Los ataques de Gateway AntiVirus (GAV) aumentan un 30%, mientras que el malware en conexiones cifradas mediante Transport Layer Security (TLS) creció en 11 puntos, lo que confirma que los canales cifrados se consolidan como una vía prioritaria de ataque.
El espectacular aumento de las detecciones por IAV y el crecimiento del malware en TLS refleja cómo los atacantes recurren cada vez más a técnicas de ofuscación y cifrado, desafiando así a las defensas convencionales. Estos datos ponen de relieve la necesidad urgente de contar con mayor visibilidad y soluciones de seguridad adaptativa para hacer frente a estas amenazas sofisticadas y ocultas a gran escala.
El Threat Lab también observó un aumento del 712% en nuevas amenazas de malware detectadas en endpoints. Esta cifra adquiere aún más relevancia si se tiene en cuenta que, en los tres trimestres anteriores, las amenazas de malware en endpoints habían mostrado una tendencia a la baja. La principal amenaza de malware en el endpoint fue el dumper LSASS, un ladrón de credenciales utilizado para tareas como el inicio de sesión en sistemas, la gestión de contraseñas y la creación de tokens de acceso. Los atacantes aprovechan LSASS para acceder a los componentes del sistema saltándose el modo de usuario y ejecutando instrucciones directas en modo kernel.
«Las últimas conclusiones del Informe de Seguridad en Internet del primer trimestre de 2025 parecen corroborar una tendencia más amplia en el sector de la ciberseguridad: la guerra de la IA ya está aquí. Los atacantes recurren cada vez más a técnicas de ingeniería social y phishing potenciadas por herramientas de IA», afirma Corey Nachreiner, director de Seguridad de WatchGuard Technologies. “Los atacantes tienen ahora la capacidad de lanzar campañas altamente dirigidas a escala mediante procesos automatizados, lo que subraya la necesidad de que las organizaciones adopten medidas de seguridad robustas, precisas y potentes para adelantarse a los avances de la IA y la evolución de los ciberriesgos”.
Otras conclusiones destacadas del informe
El ransomware descendió un 85% con respecto al trimestre anterior, aunque la segunda amenaza de malware más detectada fue la carga útil de ransomware: Termite ransomware. Este dato respalda la tendencia del sector que señala una disminución del ransomware de cifrado, es decir, aquel que cifra archivos. Los atacantes están cambiando su enfoque hacia el robo de datos en lugar del cifrado, debido a las mejoras en los backups y en los sistemas de recuperación de datos.
Los scripts, archivos derivados de un lenguaje de programación de secuencias de comandos o que los utilizan, se han reducido aproximadamente a la mitad de este trimestre, alcanzando su nivel más bajo hasta la fecha. Históricamente, el Threat Lab ha observado que los scripts eran el principal vector de ataque para la detección de malware en endpoints. Otras técnicas de tipo Living off The Land (LoTL), como el uso de herramientas legítimas del sistema operativo Windows, experimentaron el mayor incremento trimestral, con un aumento del 18%, cubriendo así el vacío dejado por la caída de los scripts.
El malware más detectado a través de conexiones cifradas fue Trojan.Agent.FZPI, un nuevo archivo HTML malicioso que combina documentos con apariencia legítima y comunicación cifrada. Esta amenaza se reúne en un solo archivo varias técnicas que los actores maliciosos han utilizado en los últimos años, convirtiéndose en un súper archivo adjunto de phishing. Las organizaciones deben implementar una inspección TLS robusta, análisis de comportamiento y protección avanzada en endpoints para poder detectar y neutralizar eficazmente esta amenaza.
En el primer trimestre de 2025, el malware más extendido fue Application.Cashback.B.0835E4A4, una amenaza recientemente identificada que se sitúa entre las familias de malware más prevalentes jamás registradas, con su mayor impacto en Chile, con un 76%, seguido de Irlanda, con un 65%. La alta presencia de variantes de Application.Cashback pone de manifiesto la necesidad de contar con defensas específicas por región para hacer frente a este tipo de amenazas sofisticadas.
