

Monthly Threat Report Mayo de 2025
Ransomware, brechas y vulnerabilidades de día cero: análisis de los incidentes de abril
Introducción
El Monthly Threat Report de Hornetsecurity te ofrece un resumen actualizado de las principales tendencias en seguridad de M365, amenazas por correo electrónico y novedades destacadas en ciberseguridad. En esta edición, repasamos los eventos más relevantes ocurridos en abril de 2025.
Resumen ejecutivo
- Protocolos de autenticación de correo electrónico: DMARC, DKIM y SPF se están convirtiendo en elementos imprescindibles para proteger los entornos digitales. Este mes, el informe profundiza en estos protocolos y ofrece recursos útiles para su implementación.
- Abuso de flujos de trabajo OAuth: Grupos de ciberdelincuentes rusos han empleado técnicas de ingeniería social para engañar a usuarios y obtener acceso prolongado a cuentas de M365 mediante OAuth.
- Vulnerabilidad de día cero en BreachForums: Una brecha en el software MyBB permitió a los atacantes tomar el control administrativo del foro y extraer datos de usuarios antes de que la plataforma fuera desconectada.
- Ataque de ransomware en el condado de Cobb, Georgia: El grupo Qilin cifró sistemas críticos y robó información confidencial, provocando interrupciones en los servicios del condado y desencadenando una investigación federal.
- Ciberataque a Marks & Spencer: El colectivo Scattered Spider logró comprometer los sistemas internos de la empresa mediante phishing, cifrando datos y sustrayendo información de pago de clientes, lo que afectó a las operaciones comerciales.
Enfoque en la defensa con DMARC, DKIM y SPF
Los protocolos de autenticación de correo electrónico como DMARC, SPF y DKIM son fundamentales para proteger tus comunicaciones y evitar que actores maliciosos suplanten tu dominio. DMARC (Domain-based Message Authentication, Reporting and Conformance) se basa en SPF y DKIM. Establece políticas claras sobre cómo deben tratarse los correos que no superen las verificaciones y proporciona informes para supervisar y mejorar la autenticación de tus mensajes. SPF (Sender Policy Framework) permite especificar qué servidores están autorizados a enviar correos en nombre de tu dominio. Así, si un correo proviene de una IP no autorizada, se puede identificar como sospechoso. DKIM (DomainKeys Identified Mail) añade una firma digital a los correos, asegurando que el contenido no ha sido alterado durante el envío y que proviene realmente de tu dominio. Estos protocolos actúan en conjunto para frenar ataques como el spoofing y el phishing, haciendo que sea mucho más difícil que correos maliciosos lleguen a las bandejas de entrada de tus usuarios.
Cuando los configuras bien, no solo fortaleces la seguridad de tu correo electrónico, también mejoras la reputación de tu dominio: quien recibe tus mensajes puede confiar en que vienen de ti de verdad. Además, sirven como una barrera adicional contra intentos de suplantación, phishing y ataques BEC (compromiso del correo empresarial). En cambio, si no los implementas, estás dejando una puerta abierta a fraudes por correo y posibles filtraciones de datos, lo que puede salirte muy caro tanto en lo económico como en lo reputacional.
Recursos adicionales sobre DMARC
- Descubre por qué la autenticación del correo electrónico es clave.
- Consulta el estado de DMARC, DKIM y SPF en tu dominio.
Resumen de amenazas e incidentes del sector
Cuentas de Microsoft 365 comprometidas mediante flujos de OAuth
En abril de 2025, grupos de cibercriminales rusos, identificados como UTA0352 y UTA0355, llevaron a cabo ataques dirigidos contra empleados de empresas relacionadas con Ucrania y los derechos humanos. Utilizaron técnicas de ingeniería social para explotar flujos de autenticación OAuth 2.0 y obtener acceso persistente a cuentas de Microsoft 365. Los atacantes contactaron a las víctimas a través de aplicaciones de mensajería como Signal y WhatsApp, haciéndose pasar por funcionarios europeos o diplomáticos ucranianos. Invitaban a las víctimas a videoconferencias privadas sobre temas relacionados con Ucrania. Durante la interacción, enviaban enlaces maliciosos que, al ser abiertos, solicitaban a las víctimas que proporcionaran códigos de autorización de OAuth, bajo el pretexto de unirse a la videollamada. Estos códigos permitían a los atacantes acceder a las cuentas de Microsoft 365 de las víctimas, eludiendo los mecanismos tradicionales de autenticación.
Análisis de la cadena de ataque:
- Acceso inicial: Los atacantes rompieron el hielo a través de Signal o WhatsApp, haciéndose pasar por cargos oficiales y ganarse la confianza de sus víctimas.
- Ingeniería social: Luego, los invitaron a supuestas videollamadas privadas, generando urgencia y una apariencia de legitimidad.
- Envío de enlaces maliciosos: Cuando ya habían ganado algo de credibilidad, les mandaron enlaces de phishing disfrazados como accesos a la videollamada.
- Autorización OAuth: Las víctimas introdujeron su código de autorización, sin saber que estaban dando acceso constante a sus cuentas de Microsoft 365.
- Explotación: Con ese acceso, los atacantes pudieron robar información confidencial y, encima, moverse libremente dentro de la empresa.
Explotación de día cero en BreachForums
Ni siquiera los foros de hacking más famosos se libran de los ciberataques. En abril de 2025, BreachForums (uno de los foros más conocidos entre los ciberdelincuentes) fue víctima de una explotación de día cero que aprovechaba una vulnerabilidad sin parchear en el software MyBB. Para rematar, todavía no está claro quién estuvo detrás. Un usuario llamado Momondo se atribuyó el ataque, pero hay quien apunta al FBI. Sea quien sea, este incidente deja varios puntos clave.
- BreachForums es un sitio muy utilizado por cibercriminales para intercambiar volcados de datos. Esos datos luego se usan para lanzar ataques. Aunque lo han tumbado varias veces, siempre vuelve, lo que permite que se siga comprando y vendiendo información robada.
- Aunque estemos hablando de un foro de hackers, esta brecha debería hacer reflexionar a los equipos de seguridad. No descuides el software público o antiguo en tu sistema de actualizaciones. Tarde o temprano, los delincuentes dejarán de atacarse entre ellos y volverán a por los de siempre.
Ataque de ransomware en el condado de Cobb, Georgia
El pasado 28 de abril de 2025, el condado de Cobb, en Georgia, sufrió un ciberataque del grupo de ransomware Qilin. Aunque todavía no se ha confirmado de forma oficial, las autoridades han reconocido que varias personas se han visto directamente afectadas por la filtración de sus datos. El grupo Qilin dice tener en su poder 400.000 documentos y amenaza con publicarlos si no se les paga. Se trata del típico caso de doble extorsión que tantos grupos de ciberdelincuentes están usando últimamente. Entre los datos robados, supuestamente se incluyen:
- Fotos de autopsias
- Permisos de conducir con todos los datos asociados
- Números de la Seguridad Social
Aunque este caso haya ocurrido en una administración local y parezca menor, merece la pena mencionarlo. ¿La razón? Refuerza una verdad incómoda: no hace falta ser una gran multinacional para estar en el punto de mira. Muchas empresas pequeñas bajan la guardia creyendo que no interesan a los atacantes… hasta que es demasiado tarde.
Ataque de ransomware a Marks & Spencer
A finales de abril, la cadena británica Marks & Spencer (M&S) sufrió un ciberataque atribuido al grupo de ransomware Scattered Spider, también conocido como Octo Tempest. Aunque no se ha confirmado públicamente cómo accedieron inicialmente, informes de BleepingComputer indican que los atacantes ya estaban dentro de los sistemas de M&S desde febrero. Durante ese tiempo, lograron obtener el archivo NTDS.dit de los controladores de dominio, que contiene las contraseñas cifradas de las cuentas de Windows. Con estas credenciales, los atacantes se desplazaron lateralmente por la red de la empresa hasta desplegar el ransomware DragonForce en los hosts VMware ESXi el 24 de abril, cifrando las máquinas virtuales y paralizando operaciones clave .
El sector minorista sigue siendo un objetivo frecuente, no solo por las finanzas de las organizaciones, sino también por los datos personales de los clientes.
Predicciones para los próximos meses
Dado que los tipos de ataques que seguimos observando hacen un uso intensivo de los recursos locales, así como del factor humano, es probable que ambos elementos sigan siendo un punto focal para la industria durante un tiempo.
Las soluciones de copia de seguridad y recuperación en la nube seguirán creciendo
Los ataques de ransomware están apuntando cada vez más a los sistemas de copia de seguridad locales. Por eso, muchas empresas están acelerando la adopción de soluciones de copia de seguridad nativas en la nube. Estas ofrecen una mayor resiliencia gracias al almacenamiento inmutable, lo que permite recuperarse más rápido y reduce la dependencia de copias locales que podrían estar comprometidas.
La formación en concienciación de seguridad evolucionará para el trabajo moderno
La formación en concienciación sobre seguridad está dejando atrás las sesiones puntuales para convertirse en programas continuos e interactivos. Las organizaciones están implementando simulacros de phishing periódicos e intercambios de información sobre amenazas en tiempo real. Así, los empleados se mantienen al día con las últimas tácticas de ataque y se refuerza una cultura de vigilancia frente a las ciberamenazas.
Recomendaciones mensuales
Dado el panorama actual de amenazas y los tipos de ataques que estamos viendo, aquí van nuestras recomendaciones para este mes:
- Asegura tus controladores de dominio: Tras el incidente en Marks & Spencer, es buen momento para revisar la seguridad de tus controladores de dominio locales. En esta era de la nube, algunas organizaciones han descuidado estos sistemas. Sin embargo, un controlador de dominio sin protección es un blanco fácil y muy valioso para los ciberdelincuentes. Asegúrate de revisar su seguridad de forma regular.
- Supervisa y gestiona vulnerabilidades conocidas: Realiza análisis de seguridad con frecuencia para identificar y corregir vulnerabilidades de día cero en todo tu software, especialmente en los servicios públicos. Si una vulnerabilidad no tiene solución inmediata, implementa las medidas de seguridad adecuadas para mitigar los riesgos.
Acerca de Hornetsecurity
Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com