Monthly Threat Report Octubre de 2025
Ataques más inteligentes, lecciones más duras
Introducción
El Monthly Threat Report de Hornetsecurity te ofrece una visión actualizada cada mes sobre las principales tendencias de seguridad en M365, las amenazas que llegan por correo electrónico y los eventos más destacados en el mundo de la ciberseguridad. En esta nueva edición, vamos a analizar los datos del segundo trimestre comparados con los del tercero de 2025. Los incidentes del sector que se mencionan corresponden a septiembre de 2025.
Resumen ejecutivo
- El ransomware está volviendo con fuerza tras tres años a la baja, impulsado por el uso de la IA y cadenas de ataque cada vez más sofisticadas.
- Según el Estudio del Impacto del Ransomware 2025 de Hornetsecurity, un 24% de las empresas han sufrido ataques frente al 18,6% del año anterior.
- Menos empresas pagan los rescates (solo un 13%). Indica que han mejorado sus sistemas de copia de seguridad y tienen más confianza en sus procesos de recuperación.
- El malware enviado por correo electrónico ha crecido un 39,5% respecto al trimestre anterior, y se observa un cambio hacia cargas más persistentes en lugar de intentos de phishing aislados.
- Los archivos PDF siguen siendo los más utilizados para distribuir malware, pero también han aparecido los archivos de calendario ICS como una nueva táctica de ingeniería social.
- El spoofing de correo electrónico sigue siendo el método de ataque más común, con un aumento del 54% en comparación con el segundo trimestre.
- El phishing generado por inteligencia artificial ya es considerado por el 77% de los CISO como una de las amenazas emergentes más importantes.
- Entre los incidentes más destacados están el ataque de ransomware a Jaguar Land Rover, que paralizó sus operaciones en todo el mundo, y la vulnerabilidad crítica CVE-2025-32463 en sudo, actualmente bajo explotación activa.
Resumen de amenazas
Correos electrónicos no deseados por categoría
La siguiente tabla muestra cómo se repartieron los correos electrónicos no deseados por categoría, comparando el segundo y el tercer trimestre de 2025.
| Categoría | Cambio | Porcentaje |
|---|---|---|
| Phishing | Disminuyó | -46.38% |
| Scam | Disminuyó | -10.95% |
| Malware | Aumentó | 39.56% |
| Spear Phishing | Disminuyó | -4.42% |
Aunque los correos de phishing bajaron de forma notable en el tercer trimestre, llama la atención el fuerte incremento de los ataques con malware. Este cambio sugiere que los ciberdelincuentes están dejando de lado el robo rápido de credenciales o fraudes, y están apostando más por técnicas que les permitan mantenerse dentro del sistema y tener control. Cuando los intentos de phishing bajan casi a la mitad y el malware crece casi un 40%, normalmente indica que los atacantes prefieren calidad sobre cantidad. En lugar de enviar grandes volúmenes de correos genéricos, están creando cargas más sofisticadas, pensadas para esquivar los filtros y lograr accesos más profundos.
También es importante fijarse en la ligera bajada del spear phishing. Esto no significa necesariamente que haya menos ataques. Muchas campañas avanzadas han empezado a usar plataformas de colaboración y herramientas de mensajería legítimas, dejando el correo electrónico como puerta de entrada principal. Así que esa «caída» puede reflejar un cambio en la táctica, no una menor actividad.
Tipos de archivos maliciosos utilizados en ataques por correo electrónico
La siguiente tabla muestra los principales tipos de archivos usados en ataques por correo electrónico durante el período analizado.
Principales tipos de archivos maliciosos – segundo trimestre (Q2)
| Tipo de archivo | Posición |
|---|---|
| 1 | |
| DOC | 2 |
| TXT | 3 |
| DOCX | 4 |
| ZIP | 5 |
Principales tipos de archivos maliciosos – tercer trimestre (Q3)
| Tipo de archivo | Posición |
|---|---|
| 1 | |
| DOCX | 2 |
| ICS | 3 |
| ZIP | 4 |
| TXT | 5 |
Los archivos PDF siguen siendo los más utilizados por los atacantes, manteniéndose en el primer puesto trimestre tras trimestre. Son ideales para engañar: parecen seguros, pasan los filtros sin problema y pueden incluir enlaces o scripts que llevan a páginas falsas para robar credenciales o descargar malware.
Lo más llamativo en este trimestre es la aparición de los archivos de calendario ICS en el tercer lugar. Los ciberdelincuentes están aprovechando la confianza que los usuarios tienen en las invitaciones de calendario. Un archivo ICS malicioso puede añadir citas automáticamente con enlaces de phishing o cargar contenido externo al abrirse. Es una táctica discreta y efectiva que muchas veces pasa por alto en los análisis básicos de archivos adjuntos. Los atacantes siempre están buscando formas nuevas y silenciosas de infiltrarse, aprovechando procesos de trabajo cotidianos en lugar de usar engaños evidentes… y, lamentablemente, suelen tener bastante éxito.
Tipos de ataques por correo electrónico
El panorama de amenazas por correo electrónico no deja de cambiar, tanto en volumen como en sofisticación. Aunque las técnicas básicas siguen siendo conocidas, los métodos de entrega y la tecnología que las respaldan son cada vez más ágiles y adaptativos. Las tácticas que se muestran a continuación no son revolucionarias, pero sí representan mejoras paso a paso en cómo se engaña al usuario o se esquivan las defensas. En resumen: «Si algo funciona, mejor no tocarlo».
Principales tipos de ataques por correo electrónico – segundo trimestre (Q2)
| Tipo de ataque | Posición |
|---|---|
| Suplantación de correo electrónico | 1 |
| Uso de TLD exóticos | 2 |
| URLs acortadas | 3 |
| Ofuscación de URLs con caracteres no ASCII | 4 |
| Campaña de ataque mediante plataforma de alojamiento legítima | 5 |
Principales tipos de ataques por correo electrónico – tercer trimestre (Q3)
| Tipo de ataque | Posición |
|---|---|
| Suplantación de correo electrónico | 1 |
| Campaña de ataque mediante plataforma de alojamiento legítima | 2 |
| Correos electrónicos multipartes | 3 |
| Técnica de ofuscación en HTML | 4 |
| Uso de TLD exóticos | 5 |
Cambios relevantes en los tipos de ataque preferidos entre trimestres
- El uso de dominios de nivel superior (TLDs exóticos) cayó un 70.7% del segundo al tercer trimestre.
- Las campañas de ataque mediante plataformas legítimas aumentaron ligeramente un 0.6%.
- El uso de técnicas de suplantación de correo electrónico aumentó un 54.8%.
Descripción de los tipos de ataques por correo electrónico
| Tipo de ataque | Descripción |
|---|---|
| Suplantación de correo electrónico | Los atacantes falsifican el nombre, dominio o dirección del remitente para hacerse pasar por personas u organizaciones conocidas. Es habitual en campañas de phishing o fraudes por correo empresarial (BEC). |
| Uso de TLD exóticos | Los atacantes registran dominios con extensiones poco comunes o sospechosas (como .xyz, .zip o .top) para eludir los filtros de seguridad y parecer legítimos. |
| URLs acortadas | Se oculta la dirección real de un enlace malicioso usando servicios de acortamiento (como bit.ly), dificultando que usuarios y sistemas de seguridad detecten el peligro. |
| Ofuscación de URLs con caracteres no ASCII | Se utilizan caracteres Unicode o similares visualmente a los originales (homoglyphs) para imitar dominios reales y confundir tanto a usuarios como a sistemas automatizados. |
| Campaña de ataque mediante plataforma de alojamiento legítima | Los atacantes usan servicios conocidos como Google Drive, Dropbox o SharePoint para distribuir archivos maliciosos o enlaces de phishing disfrazados de contenido legítimo. |
| Correos electrónicos multipartes | El contenido malicioso se divide en varias partes del mensaje (como secciones MIME o archivos adjuntos), lo que complica su detección por parte de los filtros de seguridad. |
| Técnica de ofuscación en HTML | Se esconden enlaces o código dañino dentro de estructuras HTML enrevesadas, codificadas o divididas, para evitar ser detectados y engañar a los usuarios. |
Análisis de tipos de ataques por correo electrónico
Que la suplantación de correo electrónico vuelva a situarse como el método de ataque principal no nos sorprende. Aunque los protocolos de autenticación como SPF, DKIM y DMARC ya son comunes, los atacantes han sabido adaptarse. Ahora usan técnicas avanzadas, como imitar dominios reales o modificar el nombre visible del remitente para parecer legítimos. Estas campañas evitan los controles técnicos y se centran en explotar la confianza de los usuarios más que en vulnerar sistemas. No hay que olvidar que estos protocolos ayudan a reducir el riesgo, pero no lo eliminan por completo.
El uso de TLD exóticos ha caído ligeramente, lo que indica que los filtros de seguridad ya están detectando esa táctica. Sin embargo, preocupa el aumento leve del uso de plataformas legítimas de alojamiento para distribuir ataques. Este tipo de abuso debe empezar a tomarse más en serio. Por ejemplo, si una página de phishing está alojada en Google Drive o en servidores de Microsoft, automáticamente parece fiable. Los equipos de seguridad están aprendiendo que el nuevo «perímetro» ya no es el cortafuegos, sino la decisión del usuario de hacer clic en algo que parece seguro.
Estudio del impacto del ransomware 2025 de Hornetsecurity
El ransomware ha vuelto con fuerza después de tres años en descenso, y el Estudio de Impacto del Ransomware 2025 de Hornetsecurity muestra claramente cómo el panorama de amenazas ha evolucionado. Los atacantes están aprovechando la automatización y la inteligencia artificial generativa para ampliar sus operaciones, atacar entornos híbridos y esquivar defensas tradicionales. Por su parte, las organizaciones están respondiendo con copias de seguridad inmutables y mejores planes de recuperación. El escenario actual es claro: el ransomware se ha vuelto más inteligente, pero los defensores empiezan a estar mejor preparados.
Principales conclusiones del estudio de Hornetsecurity
- El 24% de las empresas sufrió un ataque de ransomware en 2025, frente al 18.6% en 2024.
- Solo el 13% de las víctimas pagó el rescate, lo que refleja una mejor preparación y confianza en los procesos de recuperación.
- El 46 % de los incidentes se iniciaron con phishing, aunque también crecen los ataques por compromiso de dispositivos y robo de credenciales.
- El 74% de las empresas ofrece formación sobre ransomware, pero el 42% la considera insuficiente, lo que revela carencias en la concienciación.
- El 62% tiene copias de seguridad inmutables y el 82% dispone de planes de recuperación ante desastres. Es un avance hacia una defensa más proactiva.
- El 77 % de los CISOs considera el phishing generado por IA como una amenaza en aumento por el uso de herramientas generativas por parte de los atacantes.
Consulta el Estudio del Impacto del Ransomware 2025 de Hornetsecurity para conocer todos los datos, análisis detallados y recomendaciones prácticas para fortalecer la resiliencia de tu organización frente al ransomware.
Informe sobre el impacto del ransomware en 2025
Tras tres años de descenso, los ataques de ransomware vuelven a aumentar, lo que reafirma su condición de una de las amenazas más persistentes para las empresas en 2025.
Descubre cómo se están adaptando las organizaciones, cuáles son las tendencias emergentes y dónde se encuentran los nuevos riesgos.
Incidentes importantes y eventos del sector
Ciberataque a Jaguar Land Rover Cyberattack
El ataque sufrido por Jaguar Land Rover (JLR) a principios de septiembre de 2025 ha sido uno de los ciberataques más graves registrados en el Reino Unido. La empresa paralizó la producción en varias plantas, dejando a miles de empleados sin actividad y generando un caos en la cadena de suministro. Lo que parecía un fallo en los sistemas de IT, pronto se convirtió en una crisis operativa completa: JLR no podía acceder a sistemas esenciales de fabricación y logística. Según los informes, el ataque podría haber sido llevado a cabo por un grupo con fines económicos relacionado con Scattered Spider o ShinyHunters. Se habrían valido de tácticas de ingeniería social y técnicas para escalar privilegios y así acceder a las redes internas.
Este incidente pone de manifiesto la fragilidad de las cadenas de producción modernas. Las operaciones digitales de JLR están estrechamente integradas con proveedores, redes logísticas y sistemas automatizados. Una vez que estos sistemas dejaron de funcionar, los efectos se extendieron rápidamente a toda la industria automovilística. La situación fue tan grave que el gobierno británico tuvo que intervenir, ofreciendo un aval de 1.500 millones de libras para estabilizar la empresa. Con pérdidas semanales estimadas en unos 50 millones de libras y sin un ciberseguro activo, el impacto económico ha sido enorme. En el mundo de la ciberseguridad empresarial, este caso deja una lección clara: tener un plan de resiliencia ya no es opcional, sino esencial para mantener la infraestructura funcionando cuando un grupo de ransomware ataca.
Vulnerabilidad de escalada de privilegios en sudo (CVE-2025-32463)
Sudo es una herramienta clave en los sistemas Unix, por lo que la vulnerabilidad CVE-2025-32463 ha generado gran preocupación. Descubierta a finales de septiembre y ya explotada activamente, permite que un atacante con acceso local pueda obtener privilegios de administrador (root) manipulando la opción -R (chroot). Aunque ya existían pruebas de concepto antes de hacerse pública, la alarma se disparó cuando CISA incluyó esta vulnerabilidad en su catálogo de fallos explotados conocidos (KEV), confirmando que ya está siendo utilizada por atacantes. Afecta a versiones anteriores a la 1.9.17p1 y, dado que sudo está presente en prácticamente todas las distribuciones de Linux, actualizar cuanto antes es urgente a nivel global.
Lo que hace especialmente peligrosa esta vulnerabilidad es que no requiere métodos complejos como ataques remotos o phishing: basta con tener un acceso local básico. En sistemas críticos como bastion hosts, entornos de CI/CD o cargas de trabajo en la nube, las consecuencias pueden ser graves. Este caso recuerda a los equipos de seguridad que las rutas de escalada de privilegios locales siguen siendo un vector importante. Confiar solamente en las defensas perimetrales o en la visibilidad de herramientas EDR puede hacer que se pase por alto la explotación de binarios mal configurados como sudo. En resumen, la lección es clara: incluso las herramientas más fiables pueden volverse peligrosas si no se actualizan a tiempo.
Predicciones para los próximos meses
- Se prevé un aumento del phishing y la ingeniería social impulsados por inteligencia artificial. Los atacantes están perfeccionando sus técnicas con señuelos creados mediante deepfakes y modelos de lenguaje (LLM), dirigidos especialmente a ejecutivos y usuarios con privilegios elevados.
- Las operaciones de Ransomware como Servicio (RaaS) seguirán profesionalizándose. Se espera que usen más automatización para lanzar ataques en masa y reducir el tiempo que pasan sin ser detectados.
- Es probable que aumenten los ataques que explotan vulnerabilidades de escalada de privilegios locales (como la de sudo), ya que los ciberdelincuentes buscan acceder de forma silenciosa a sistemas protegidos.
- La distribución de malware a través de archivos ICS y calendarios será más frecuente. Los atacantes aprovechan la confianza que generan las herramientas de productividad como los calendarios compartidos.
- Ante las restricciones crecientes en los seguros cibernéticos, muchas empresas empezarán a centrarse más en sus propios planes de recuperación ante desastres, en lugar de depender exclusivamente del seguro.
Recomendaciones mensuales
- Aplica parches sin demora para solucionar la CVE-2025-32463 y asegúrate de que todos los sistemas Linux y Unix tengan versiones actualizadas de sudo.
- Refuerza la seguridad del correo electrónico filtrando y aislando archivos adjuntos como PDF, DOCX e ICS mediante un proveedor avanzado de seguridad para correo.
- Realiza simulacros de phishing con escenarios realistas y ofrece formación continua para que los usuarios reconozcan tácticas cada vez más sofisticadas.
- Revisa tu estrategia de copias de seguridad. Activa las copias inmutables y haz restauraciones periódicas para garantizar que los datos se recuperen bien.
- Actualiza tu plan de respuesta ante ataques de ransomware, conprotocolos para gestionar la filtración de datos, el impacto reputacional y el cifrado.
- Implanta una política de gestión de identidades: activa MFA en los accesos, rota las credenciales de administrador y reduce los accesos privilegiados.
- Supervisa el uso de plataformas en la nube como Google Drive o SharePoint, ya que pueden usarse para distribuir contenido malicioso o enlaces de phishing.
- Informa al equipo directivo sobre los riesgos relacionados con la IA. Los planes de crisis deben contemplar deepfakes o campañas de desinformación.
- Descarga el Estudio del Impacto del Ransomware 2025 de Hornetsecurity para estar preparado ante las amenazas que se avecinan y mejorar tu estrategia de defensa.
Acerca de Hornetsecurity
Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com
