Monthly Threat Report Julio 2025

Espionaje, fallas de seguridad y preocupación por la IA entre los CISOs

Escrito por Security Lab / 17.07.2025 /
Home » Blog » Monthly Threat Report Julio 2025

Introduction

El Informe Mensual de Amenazas de Hornetsecurity te mantiene al tanto, cada mes, de lo que está pasando en el mundo de la ciberseguridad: desde tendencias en Microsoft 365 y amenazas por correo electrónico, hasta análisis de eventos importantes. En esta edición, nos enfocamos en lo ocurrido durante junio de 2025, además de compartir algunas predicciones y recomendaciones para lo que viene.

Este mes, el informe se centra principalmente en incidentes del sector y eventos de seguridad, y viene con contenido adicional. Como julio marca el arranque de un nuevo trimestre fiscal, normalmente incluiríamos también algunos datos más amplios. Sin embargo, la comparativa de datos trimestral vendrá en la próxima edición, con un formato nuevo y más completo.

Resumen ejecutivo

  • Una encuesta reciente de Hornetsecurity entre CISOs muestra una creciente preocupación por el uso no regulado de inteligencia artificial, la falta de conciencia entre los usuarios y una gestión desorganizada.
  • Citrix Bleed 2 (CVE-2025-5777): una vulnerabilidad crítica que permite secuestrar sesiones, ya está siendo explotada. La CISA ha ordenado aplicar un parche en menos de 24 horas.
  • Salt Typhoon APT: un grupo de ciberataques patrocinados por el gobierno chino ha afectado a Viasat y a varias empresas de telecomunicaciones en Norteamérica.
  • Datos antiguos de Snowflake vuelven a salir a la luz: información de la brecha de Ticketmaster en 2024 reaparece y las consecuencias se notan.
  • Falla en la API de Zoomcar: una vulnerabilidad en un punto de acceso dejó expuestos los datos de 8.4 millones de usuarios, que ahora podrían ser usados en campañas de phishing o estafas.
  • Nuevo malware «Myth Stealer»: escrito en Rust, este programa malicioso roba datos de navegadores y criptomonedas, y representa una tendencia emergente hacia malwares más ligeros y eficientes.

Lo que opinan los CISOs sobre el uso de IA en Ciberseguridad

Este mes, Hornetsecurity publicó un nuevo blog de investigación que se basa en entrevistas directas y encuestas realizadas a CISOs de toda Europa y Norteamérica. En lugar de enfocarnos en el entusiasmo que suele rodear a la IA o en discursos de ventas, fuimos directamente con quienes están tomando decisiones en el tema para entender cómo están lidiando con la presencia de la IA en sus operaciones.

¿Y qué encontramos? Resultados variados, pero muy interesantes.

Algunas organizaciones ya han empezado a usar IA en áreas específicas de seguridad, como la gestión de falsos positivos, la eficiencia de los Centros de Operaciones de Seguridad (SOC) y el enriquecimiento de tickets. Sin embargo, la mayoría de los CISOs siguen siendo cautelosos y prefieren ir con calma. Las políticas internas sobre el uso de IA también varían mucho: mientras algunas empresas están desarrollando sus propias reglas e incluso usando modelos de lenguaje alojados en sus propios servidores, otras siguen completamente bloqueadas por preocupaciones sobre privacidad y cumplimiento legal.

En casi todas las conversaciones hubo un tema que se repitió: la preocupación por el uso de IA en la sombra, es decir, herramientas de IA no autorizadas que podrían provocar filtraciones de datos sensibles. En muchos sitios, los usuarios aún no están tan informados sobre estos riesgos, y hasta los líderes de las empresas tienen, en el mejor de los casos, una comprensión limitada del impacto que puede tener la IA mal gestionada. Como comentó un vCISO: «La dirección se enfoca en las ganancias de productividad que trae la IA, pero no siempre ve los riesgos que implica».

Pensando en lo que viene, los CISOs con los que hablamos señalaron que sus preocupaciones este 2025 son el fraude por identidad sintética, la clonación de voces y la manipulación de modelos de IA. Esto es relevante sobre todo en empresas que crean sus propios modelos o desarrollan software internamente.

Si quieres una mirada realista y cercana sobre cómo los CISOs están enfrentando el avance de la IA (más allá de sus beneficios, también con sus riesgos y desafíos), no dejes de leer el artículo completo:

¡Lee el artículo completo aquí!

Resumen de amenazas en junio de 2025

Citrix Bleed 2 (CVE‑2025‑5777) en plena explotación

A mediados de junio, se detectó un grave problema de seguridad en los dispositivos Citrix NetScaler ADC y Gateway. Este fallo, conocido como «Citrix Bleed 2», permitía a atacantes sin necesidad de autenticarse robar tokens de sesión y tomar el control de sesiones activas de usuarios, gracias a un error que les daba acceso a partes de la memoria que no deberían poder leer.

Aunque la vulnerabilidad fue corregida el 17 de junio, los escaneos y las pruebas de concepto para explotarla empezaron a circular casi de inmediato.

Ya en julio, la CISA emitió una alerta urgente y exigió a las agencias federales que aplicaran el parche en un plazo máximo de 24 horas, una respuesta inusualmente rápida. Por su parte, investigadores de Imperva detectaron más de 11.5 millones de intentos de ataque dirigidos a miles de sistemas vulnerables, lo que confirma lo fácil que es aprovechar esta falla para lanzar ataques.

¿Por qué es tan grave este fallo?

  • No se necesita iniciar sesión para robar los tokens de sesión, lo que permite a los atacantes saltarse incluso la autenticación multifactor (MFA).
  • Miles de dispositivos vulnerables siguen estando accesibles desde Internet, y para finales de junio, se confirmó que más de 1200 seguían sin actualizarse.
  • Las pruebas de concepto (PoCs) para explotar esta falla se han difundido rápidamente, y los ciberdelincuentes ya están hablando sobre ella.

Salt Typhoon, Grupo APT chino ataca a Viasat y telecomunicaciones en Canadá

A mediados de junio, el sitio BleepingComputer informó que el grupo de amenazas persistentes avanzadas (APT) conocido como Salt Typhoon, vinculado al gobierno chino, había logrado infiltrarse en la red del proveedor de satélites Viasat. Para hacerlo, aprovecharon vulnerabilidades en dispositivos Cisco. Por otro lado, agencias de telecomunicaciones en Canadá también confirmaron ataques similares que datan desde febrero, lo que sugiere una campaña de espionaje de gran escala.

Este no es un ataque menor. Salt Typhoon es un grupo altamente sofisticado, especializado en atacar infraestructuras de telecomunicaciones, plataformas de interceptación y sistemas que manejan metadatos sensibles. Lo más preocupante es que aún no se tiene claridad sobre hasta dónde llegaron dentro de las redes comprometidas, lo cual deja al descubierto lo serio del asunto.

¿Por qué es importante?

  • Están en juego tanto las comunicaciones nacionales como los datos sensibles de vigilancia.
  • Esta campaña de espionaje se ha mantenido activa en toda Norteamérica. Hay una intención clara de obtener información valiosa a largo plazo.
  • La forma en que se están manejando estas intrusiones está ayudando a mejorar los protocolos de contrainteligencia frente a amenazas patrocinadas por gobiernos. También es probable que esta situación esté empujando a los gobiernos a revisar o implementar nuevas políticas de seguridad.

Regresa la amenaza de la brecha en Snowflake: datos de Ticketmaster en venta

En junio, una banda de extorsión relacionada con la filtración de datos de Snowflake en 2024 volvió a hacer ruido al poner brevemente a la venta datos robados de Ticketmaster (alrededor de 569 GB). Aunque al principio se pensó que era una nueva filtración, BleepingComputer confirmó que no se trataba de un nuevo ataque, sino de información que ya había sido robada el año anterior.

Aun así, la reaparición de estos datos antiguos revela varias señales de alerta para las empresas: la reutilización de contraseñas, el constante interés del mercado negro y lo expuestos que pueden seguir estando los datos en la nube, incluso mucho tiempo después de una brecha. Este incidente muestra que las configuraciones incorrectas en Snowflake y una mala gestión de tokens pueden dejar abierta la puerta a problemas de seguridad durante un largo periodo. Es un recordatorio para las organizaciones de que deben tomarse muy en serio la protección de su infraestructura en la nube.

Falla en la API de Zoomcar: datos de 8,4 millones de usuarios expuestos

El 16 de junio se dio a conocer que Zoomcar, una plataforma india muy conocida de autos compartidos, tenía una vulnerabilidad sin corregir en su API. Este fallo dejó expuestos los datos personales de 8,4 millones de usuarios, incluyendo nombres, correos electrónicos, placas de vehículos y perfiles de usuario. Aunque no se han detectado casos de ransomware o intentos de extorsión relacionados, la información filtrada es muy valiosa para ataques de robo de identidad, campañas de phishing dirigidas (spear phishing) y estafas relacionadas con automóviles.

Este incidente no tuvo tanto impacto mediático como otros ciberataques, pero deja claro algo importante: las APIs se han convertido en un punto débil que muchos aún no están tomando en serio. Las amenazas relacionadas con APIs mal protegidas están creciendo, sobre todo en plataformas SaaS que operan a nivel internacional. Para los CISOs y responsables de seguridad, esto debe ser una alerta: los datos aún están en circulación, los puntos de acceso siguen expuestos, y los entes reguladores podrían comenzar a ejercer más presión en estos casos.

Nuevo malware móvil escrito en Rust: «Myth Stealer»

A inicios de junio se detectó un nuevo tipo de malware conocido como Myth Stealer, desarrollado en Rust. Este malware se distribuía a través de portales falsos de videojuegos y buscaba robar credenciales guardadas en navegadores como Chrome y Firefox, además de acceder a monederos de criptomonedas.

Rust se está volviendo popular entre los desarrolladores de malware porque tiene buenas funciones de seguridad en el manejo de memoria y permite crear versiones del mismo software para diferentes plataformas con relativa facilidad. Esto lo hace ideal para crear amenazas rápidas, livianas y difíciles de detectar. Myth Stealer es un claro ejemplo de un malware que, aunque no hace mucho ruido, es muy eficiente. Escapa fácilmente a muchas de las soluciones tradicionales de seguridad en endpoints. Además, confirma una tendencia creciente: campañas de robo de información que usan malware ligero y que pueden funcionar en varios sistemas, apuntando tanto a navegadores como a archivos de criptomonedas. El sector debe estar preparado para responder a estas amenazas que siguen evolucionando.

Predicciones para los próximos meses

  • Es muy probable que surjan más vulnerabilidades similares a la de Citrix, que no requieren autenticación previa y afectan a hipervisores y dispositivos de red. Esto hará que aplicar parches sea urgente y esencial.
  • Los datos antiguos almacenados en la nube seguirán apareciendo: se espera que información sensible vinculada a Snowflake, AWS, Azure, GCP, entre otros, continúe saliendo a la luz en mercados clandestinos.
  • Las malas configuraciones en APIs seguirán siendo un problema en los entornos SaaS. Es probable que los organismos reguladores empiecen a tratar estas brechas como fallos técnicos y como cuestiones más serias.
  • El uso no autorizado de la IA en la sombra podría superar las políticas oficiales si las empresas no establecen normas claras y herramientas internas. Es de esperarse un aumento en las filtraciones de datos sensibles.
  • Los CISOs seguirán adoptando la IA con precaución. Aunque se verán avances en tareas como el triaje, el enriquecimiento de datos y la automatización de tickets, una automatización total se mantendrá en pausa debido a problemas de cumplimiento y falta de confianza.
  • Se prevé un aumento en los fraudes por identidad sintética y los ataques con deepfakes, especialmente dirigidos a sectores financieros y altamente regulados.
  • También crecerá el riesgo de manipulación de modelos de IA propios, a medida que más empresas empiecen a alojar sus propios modelos de lenguaje para tareas internas, sobre todo en sectores que manejan grandes cantidades de datos y desarrollan software.

Recomendaciones del mes

  • Aplica parches de inmediato a los dispositivos críticos de red. Prioriza equipos como Citrix, Cisco y otros dispositivos perimetrales que requieren ciclos de parcheo rápidos. Usa también firmas WAF.
  • Fortalece la infraestructura tipo telecomunicaciones. Implementa soluciones EDR/XDR en routers, aplica políticas de zero trust y haz búsquedas activas de amenazas como las del grupo Salt Typhoon.
  • Revisa cómo están configurados tus servicios en la nube. Audita las configuraciones de Snowflake, APIs y microservicios. Cambia periódicamente los tokens y claves, y activa alertas para accesos a almacenamiento.
  • Evalúa tu exposición a malware que actúa desde navegadores. Usa gestores de contraseñas, aplica autenticación multifactor (MFA) y actualiza las soluciones de protección en endpoints para detectar malware en Rust.
  • Automatiza las pruebas de seguridad en tus APIs. Incorpora escaneos en tus pipelines de CI (integración continua) y usa firewalls de aplicaciones web (WAF) para detectar tráfico anómalo en tiempo real hacia tus APIs internas.
  • Invierte en fuentes de inteligencia actualizadas. Suscríbete a servicios que te alerten sobre pruebas de concepto (PoCs) y actividades maliciosas, como exploits de Citrix o movimientos de grupos APT, para no reaccionar tarde.
  • Define o actualiza tu política interna sobre el uso de IA. Indica qué herramientas están autorizadas, cómo se deben tratar los datos y qué procesos de aprobación deben seguir las áreas que quieran usar IA.
  • Ofrece capacitaciones específicas a los usuarios. Enfócate en los riesgos actuales de la IA: errores de los modelos, manejo de información sensible y correos de phishing generados con IA.
  • Trabaja de la mano con los equipos legales y de cumplimiento. Juntos deben definir qué uso de la IA es aceptable y cómo evaluar a los proveedores externos de herramientas basadas en inteligencia artificial.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar