

Monthly Threat Report Agosto 2025
El Phishing se vuelve más visual
Introducción
Cada mes, el Threat Report de Hornetsecurity te trae lo más relevante sobre seguridad en Microsoft 365, amenazas por correo electrónico y eventos importantes en el mundo de la ciberseguridad. En esta edición, revisamos lo ocurrido durante julio de 2025.
Resumen Ejecutivo
- La investigación de Hornetsecurity muestran cómo las técnicas de visión por computadora ya pueden detectar ataques de phishing visual, incluso los más sofisticados como el Quishing, ZeroFont y la falsificación de logotipos. Esto abre la puerta a nuevas defensas más completas.
- El grupo APT Salt Typhoon logró mantenerse dentro de los sistemas de la Guardia Nacional de EE. UU. durante casi un año sin ser detectado, dejando en evidencia graves fallos en su seguridad.
- Una nueva vulnerabilidad (zero-day) en SharePoint está siendo aprovechada por atacantes para entrar sin permisos a portales internos de colaboración.
- El grupo Secret Blizzard está usando técnicas avanzadas de espionaje desde el nivel de proveedor de internet para interceptar comunicaciones de embajadas, lo que marca una escalada preocupante en el espionaje estatal.
- Scattered Spider lanzó ataques con ransomware contra servidores VMware ESXi en infraestructuras críticas de EE. UU., logrando esquivar por completo la seguridad de los dispositivos finales.
- Un nuevo grupo de Ransomware-as-a-Service (RaaS) asegura haber atacado a 17 organizaciones en sectores como salud, automotriz y de servicios externalizados (BPO), lo que refleja un crecimiento en la capacidad y alcance de estos actores.
Resumen de Amenazas
Cómo la Visión por Computadora Ayuda a Detectar el Phishing: Del Quishing a Nuevas Defensas Combinadas
Este mes, el Security Lab de Hornetsecurity presentó una investigación en tres partes sobre cómo usar la visión por computadora como defensa en ciberseguridad. Durante mucho tiempo, los atacantes han aprovechado trucos visuales para evadir los filtros de seguridad tradicionales. Entre estos se encuentran los ataques de phishing que usan códigos QR, conocidos como Quishing; el uso de tablas HTML mal diseñadas para simular logotipos falsos; o la técnica ZeroFont, que oculta texto usando letras invisibles para engañar a los escáneres automáticos. Aunque estos métodos están pensados para confundir a los sistemas automáticos, muchas veces resultan sospechosos para una persona al verlos. Aquí es donde entra la visión por computadora: una tecnología que permite analizar correos electrónicos y páginas web imitando la forma en que lo haría un ser humano, identificando señales visuales peligrosas que un análisis basado solo en texto no detectaría.
La segunda parte de esta investigación se enfoca en los aspectos técnicos para detectar imágenes duplicadas o muy similares usadas en campañas de phishing y spam. Como los atacantes rara vez mandan copias exactas de las imágenes, no es suficiente con usar las huellas digitales. Ya se aplican técnicas como el hashing perceptual y el análisis de histogramas de color, que permiten identificar correos parecidos a amenazas ya conocidas, aunque hayan cambiado algunos detalles como los colores o el espaciado. Gracias a esto, en lugar de dar un resultado binario (seguro o peligroso), se puede asignar una puntuación de riesgo, lo cual permite a los analistas ajustar la sensibilidad de los sistemas y reducir la cantidad de falsos positivos.
La tercera parte del estudio va un paso más allá y presenta técnicas más avanzadas de detección, como SIFT, ORB y OCR. Estas herramientas permiten a los sistemas de seguridad identificar cambios sutiles en logotipos, modificaciones en textos dentro de imágenes y otras alteraciones pequeñas pero peligrosas que buscan engañar a los filtros menos sofisticados. Aunque estos métodos requieren más recursos para funcionar, ofrecen un nivel de precisión que resulta clave en situaciones críticas, donde un solo correo de phishing que pase desapercibido puede poner en riesgo toda una cuenta empresarial. En este contexto, el OCR (reconocimiento óptico de caracteres) tiene un papel destacado. Esta tecnología puede extraer texto que viene dentro de imágenes, lo que permite detectar fraudes comunes como las falsas recompensas por encuestas o las verificaciones bancarias falsas que llegan en formato gráfico.
¿La conclusión? Los sistemas híbridos son los que mejor funcionan. Al combinar métodos rápidos y ligeros, como los hashes o los histogramas de color, con técnicas más potentes como el reconocimiento de objetos, OCR y puntuación por niveles, se logra un buen equilibrio entre velocidad y precisión. Aunque los atacantes seguirán inventando nuevas formas de disfrazar sus mensajes, estas cadenas de análisis visual en capas hacen mucho más difícil que los elementos maliciosos pasen desapercibidos. Por eso, se espera que la visión por computadora se convierta en una herramienta cada vez más importante para la ciberseguridad, especialmente ahora que el phishing y el spam se apoyan cada vez más en el engaño visual.
Incidentes Mayores y Eventos del Sector
Salt Typhoon se Infiltra en la Guardia Nacional en una Operación de Espionaje
En un caso que parece sacado de una novela de espías, el grupo chino Salt Typhoon, respaldado por el gobierno, logró infiltrarse en una red de la Guardia Nacional del Ejército de Estados Unidos y mantenerse oculto durante nueve meses, desde marzo hasta diciembre de 2024. Durante ese tiempo, recolectaron archivos con configuraciones de red, credenciales de administradores e incluso datos personales de militares, información que podría ser usada para futuros ciberataques contra otras redes del gobierno. No fue un ataque rápido, sino una operación bien planeada.
De acuerdo con un memorando del Departamento de Seguridad Nacional (DHS) filtrado a NBC, el grupo no solo robó datos, también extrajo mapas detallados de la estructura de la red, diagramas que muestran cómo se conectan los sistemas entre los distintos estados, y datos de tráfico que abarcan todo el país y, al menos, cuatro territorios. En resumen, obtuvieron una visión completa y precisa de cómo acceder a otras redes gubernamentales.
Este tipo de ataque sigue el patrón típico de Salt Typhoon, que se especializa en infiltrarse en infraestructuras clave de Estados Unidos con fines de espionaje. Ya han sido vinculados con ataques a grandes empresas de telecomunicaciones como AT&T, Verizon y Viasat. En esos casos, aprovecharon vulnerabilidades en dispositivos Cisco que no habían sido actualizados y usaron malware personalizado, como JumblePath y GhostSpider, para lograr sus objetivos.
Por Qué Es Importante
- Que un grupo como Salt Typhoon haya tenido acceso durante nueve meses a una red de la Guardia Nacional sin ser detectado es una señal de alerta total. No estamos hablando solo de robo de información, sino de una preparación estratégica para posibles ataques o interrupciones futuras.
- La cantidad y el nivel de detalle de los datos de red que robaron podrían permitirles lanzar ataques en cadena, comprometiendo otras agencias estatales de ciberseguridad e incluso centros de coordinación entre estados.
- Este incidente deja claro que ya no basta con aplicar parches mínimos ni con tener una segmentación básica en las redes. La ciberseguridad necesita estrategias más robustas y proactivas.
Exploit de Zero-Day en SharePoint. (CVE-2025-53770)
Una vez más, Microsoft SharePoint, en su versión antigua instalada en servidores propios, vuelve a ser el centro de atención por una grave falla de seguridad. Se trata de la vulnerabilidad CVE-2025-53770, que permite a los atacantes ejecutar código de forma remota sin necesidad de tener una cuenta o credenciales válidas.
Tanto Microsoft como la agencia CISA han confirmado que esta vulnerabilidad está siendo explotada activamente desde principios de julio. Según reportes de The Hacker News, los ataques comenzaron al menos diez días antes de que se publicara el parche oficial, lo que ha dejado expuestos a cientos de sistemas empresariales.
El problema es aún más grave porque muchos de los entornos afectados no han recibido actualizaciones en años, y algunos incluso usan versiones de SharePoint que ya no cuentan con soporte oficial. Esto hace que aplicar soluciones o mitigaciones sea mucho más complicado.
Por Qué Es Importante
- Tener acceso sin autenticación y sin restricciones dentro de una red conlleva al desastre. Cuando logran entrar, los atacantes se hacen pasar por otros usuarios, roban información o se mueven dentro del sistema sin ser detectados.
- SharePoint sigue siendo clave en muchos entornos de trabajo. Esta nueva vulnerabilidad demuestra que las herramientas antiguas de colaboración aún representan un riesgo serio para las empresas.
- El problema se agrava porque aplicar parches no es algo sencillo para muchas organizaciones que todavía usan las versiones 2016 o 2019 de SharePoint. Cada día de retraso en actualizar significa seguir expuestos a posibles ataques.
Secret Blizzard Espía Embajadas en Moscú Usando la Red de Internet
En una operación altamente sofisticada, el grupo ruso Secret Blizzard llevó a cabo una campaña de vigilancia digital interceptando el tráfico de internet directamente desde el proveedor de servicios (ISP). Su objetivo: embajadas extranjeras en Moscú. El ataque ocurre cuando los dispositivos hacen una verificación de conexión con Microsoft, algo que ocurre de forma automática. En lugar de una conexión legítima, el sistema redirige al usuario a lo que parece ser una «actualización de Kaspersky», pero en realidad instala un malware llamado ApolloShadow. Una vez dentro, este malware desactiva el cifrado del navegador e instala certificados falsos, permitiendo a los atacantes ver cada sitio web visitado y todo lo que se hace en él. No se trata solo de un virus más, sino de espionaje digital incrustado directamente en la infraestructura de red, y se ha estado utilizando desde al menos 2024.
Por Qué Es Importante
- Este tipo de ataque pasa por completo por alto los dispositivos de los usuarios. En lugar de usar correos o phishing, se aprovecha del control directo sobre la red de telecomunicaciones.
- Una vez que el malware ApolloShadow se instala, el cifrado SSL/TLS deja de proteger la información, lo que permite a los atacantes interceptar incluso el tráfico que normalmente estaría seguro.
- En estas condiciones, los diplomáticos que usan proveedores de internet locales en países con alta vigilancia se convierten en blancos fáciles.
Scattered Spider Ataca Infraestructuras Críticas en EE. UU. Usando VMware ESXi
El grupo de cibercriminales Scattered Spider, que ha estado activo con campañas de ransomware, volvió a causar impacto en julio, esta vez apuntando directamente a entornos VMware ESXi dentro de organizaciones clave de Estados Unidos.
Según Hacker News, el grupo ha usado técnicas como suplantación de identidad, robo de credenciales y engaños a empleados para poder instalar ransomware directamente sobre los hipervisores. Esta forma de ataque, cada vez más común desde inicios de 2024, permite cifrar servidores completos sin necesidad de afectar cada equipo individualmente. Entre las víctimas hay empresas de transporte y retail, y los atacantes están usando software malicioso diseñado especialmente para bloquear entornos virtuales de una sola vez.
Esto les permite extorsionar con gran impacto, paralizando operaciones completas sin tocar los equipos de los usuarios. Todo esto ha sido posible debido a políticas de acceso obsoletas y a una implementación débil o inexistente de la autenticación multifactor (MFA).
Por Qué Es Importante
- Este tipo de ataque no se enfoca en los dispositivos de los usuarios, sino que va directo a los centros de datos. El ransomware diseñado para atacar máquinas virtuales es, lamentablemente, muy efectivo.
- Una vez que afecta los servidores ESXi, es muy difícil detectarlo a tiempo. Dentro del hipervisor no hay antivirus tradicionales ni sistemas EDR que puedan dar una alerta temprana.
- Muchas empresas no protegen sus consolas de administración de vSphere ni aplican configuraciones de seguridad avanzadas, sobre todo en sectores como el industrial (OT) y el retail.
El grupo emergente de RaaS «Global Group» apuesta por la operatividad basada en IA para diversos sectores.
Un grupo emergente de ransomware-as-a-service (RaaS) llamado GLOBAL GROUP ha ganado notoriedad rápidamente, tras atribuirse 17 ataques en distintos países e industrias. Entre sus blancos están hospitales, talleres de automóviles, fabricantes de equipos para petróleo y gas, empresas de ingeniería y proveedores de servicios externalizados (BPO). El grupo fue detectado por primera vez en junio de 2025, y se sospecha que es una nueva versión de grupos previos como BlackLock y Mamona, operado por un actor conocido como «$$$».
GLOBAL GROUP opera con una estructura muy profesional. Sus afiliados reciben el 85% de las ganancias del rescate, lo que hace que este programa sea más atractivo que otros en el mundo del cibercrimen. Además, ofrecen un panel exclusivo para afiliados, donde pueden generar malware personalizado para distintos sistemas como Windows, VMware ESXi, NAS y BSD. Un detalle que los diferencia es el uso de un chatbot con inteligencia artificial para negociar con las víctimas. Este sistema automático puede comunicarse en varios idiomas, lo que permite extender sus operaciones a nivel global con mayor facilidad y eficiencia.
Por Qué Es Importante
- Ransomware al estilo industrial. La combinación de herramientas avanzadas para afiliados, alcance internacional y el uso de inteligencia artificial para negociar demuestra lo mucho que han evolucionado las operaciones de ransomware-as-a-service (RaaS).
- Ataques a objetivos de alto valor. GLOBAL GROUP está apuntando a sectores donde los servicios son críticos y la presión por pagar es alta, como salud o ingeniería.
- Incentivos fuertes para los afiliados. Ofrecer el 85 % de las ganancias a quienes ejecutan los ataques convierte al grupo en una opción muy atractiva dentro del ecosistema RaaS.
Qué Se Espera en los Próximos Meses
- Los ataques de ransomware contra hipervisores seguirán creciendo, sobre todo en sectores con mucha virtualización y seguridad débil entre sistemas.
- Veremos más casos de malware tipo ataque de intermediario (adversary-in-the-middle) entregado directamente a través de proveedores de internet o telecomunicaciones, sobre todo en regiones con tensiones diplomáticas o importancia estratégica.
- Plataformas de software empresarial como SharePoint y Confluence serán blanco de nuevas vulnerabilidades sin necesidad de autenticación, ya que muchos atacantes volverán a enfocarse en herramientas antiguas que siguen siendo clave para las operaciones de negocio.
Recomendaciones del Mes
- Asegura los puntos de entrada más comunes, como el correo electrónico. Si aún no cuentas con una solución moderna y fiable de seguridad para el correo, impleméntala. Es uno de los principales canales de ataque.
- Mantén separados los sistemas críticos de gestión. Aísla vSphere, SharePoint y los servicios de identidad para que no estén accesibles desde redes generales. El acceso debe ser a través de VPN, con controles estrictos.
- Revisa qué partes de tu infraestructura están expuestas a internet. Presta atención a SharePoint, las VPN y las interfaces de gestión remota. Asegúrate de que tengan los parches actualizados y que se usen contraseñas seguras.
- Mejora la detección de comportamientos sospechosos dentro de la red. Invierte en herramientas que puedan identificar movimientos laterales, el uso indebido de tokens y comandos que imiten los pasos de un atacante infiltrado.
Acerca de Hornetsecurity
Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com