Monthly Threat Report Junio de 2025

Ransomware en retail, Días Cero en Chrome y ataques a Centros Educativos

Escrito por Security Lab / 19.06.2025 /
Home » Blog » Monthly Threat Report Junio de 2025

Introducción

El Monthly Threat Report de Hornetsecurity ofrece un análisis actualizado sobre las tendencias en ciberseguridad relacionadas con Microsoft 365, amenazas basadas en correo electrónico y acontecimientos relevantes del sector. En esta edición, nos centramos en los principales incidentes ocurridos a lo largo de mayo de 2025.

Ten en cuenta que este mes el informe pone especial atención en los incidentes de seguridad y brechas que han afectado a distintas empresas del sector. Mayo fue un mes especialmente activo en cuanto a ciberataques, y de estos casos se pueden extraer aprendizajes importantes. Además, nuestro equipo está llevando a cabo nuevas investigaciones que esperamos poder incluir en la edición de julio.

Resumen Ejecutivo

  • Los comercios Marks & Spencer, Co-op y Dior fueron víctimas de ataques de ransomware. Se interrumpió su actividad y se expuso información sensible de los clientes.
  • La plataforma de criptomonedas Coinbase detectó un intento de soborno interno. La empresa ha ofrecido una recompensa de 20 millones de dólares para obtener información que permita identificar a los responsables.
  • Microsoft ha corregido cinco vulnerabilidades de día cero. Entre los fallos más graves se encuentran DWM, OLE y el Kernel de Windows.
  • Google también ha publicado una actualización de emergencia para corregir una vulnerabilidad crítica en Chrome (CVE-2025-5419), tras confirmarse su explotación activa en distintas plataformas.
  • Una brecha de seguridad en PowerSchool ha dado lugar a intentos de extorsión contra varios distritos escolares en Estados Unidos, poniendo de manifiesto los riesgos que conlleva el uso de servicios SaaS en la nube.

Resumen de Amenazas

Oleada de ransomware en retail: Marks & Spencer, Co‑op y Dior en el punto de mira

Mayo resultó especialmente complicado para el sector minorista. La cadena británica Marks & Spencer (M&S) confirmó interrupciones operativas relacionadas con un ataque de ransomware detectado a finales de abril, atribuido al grupo de cibercriminales Scattered Spider (también conocido como Octo Tempest). Aunque la compañía no ha ofrecido detalles completos, informes de BleepingComputer indican que los atacantes accedieron al entorno de M&S desde febrero de 2025, realizando movimientos laterales hasta desplegar el ransomware DragonForce sobre hipervisores ESXi.

Este incidente forma parte de una ola más amplia de ataques. La cadena de supermercados Co‑op también experimentó interrupciones relacionadas con ransomware, y Dior, la reconocida firma de lujo, confirmó una filtración de datos. Según ha informado The Times, la compañía asegura que no se han visto comprometidos datos financieros. Estos ataques reflejan una realidad preocupante: el retail, al igual que muchos otros sectores, continúa siendo un objetivo prioritario para los cibercriminales, especialmente a través del robo de credenciales. Este tipo de ataques se ve favorecido por infraestructuras tecnológicas obsoletas y una protección deficiente en los dispositivos finales (endpoints).

Amenazas internas y sobornos: Coinbase ofrece una recompensa millonaria

Durante el mes de mayo, las amenazas internas cobraron protagonismo con un incidente que parece sacado de una novela de ciencia ficción. Coinbase desveló un supuesto intento de soborno a varios de sus empleados. Según explicó su CEO, Brian Armstrong, un grupo de atacantes ofreció elevadas sumas de dinero a cambio de datos de clientes. Aunque no se llegó a comprometer ningún activo financiero, la compañía reaccionó con contundencia: ha ofrecido una recompensa de 20 millones de dólares a quien proporcione información que permita identificar a los responsables de este intento de infiltración. Que no se hayan robado fondos no significa que el daño sea menor. En el ámbito de las criptomonedas, los datos personales pueden ser tan valiosos (o más) que el dinero. Identificar a los titulares de cuentas puede convertirlos en objetivos de extorsión, e incluso, en los peores casos, permitir que los atacantes obtengan sus direcciones físicas para ejercer presiones directas.

Este tipo de amenazas internas no son nuevas, pero la escala y el descaro de este caso resultan especialmente preocupantes. Las plataformas financieras siguen siendo uno de los objetivos más codiciados por los cibercriminales, y la mejor ciberseguridad técnica no sirve de nada si no se refuerza con formación continua a los empleados, controles internos rigurosos y auditorías de acceso más frecuentes. La debilidad humana sigue siendo la puerta de entrada más fácil para los atacantes.

Martes de parches de Microsoft – días cero explotados activamente

El tradicional martes de Parches de Microsoft, correspondiente a mayo de 2025, vino acompañado de una dosis extra de urgencia. La compañía publicó actualizaciones de seguridad para corregir 78 vulnerabilidades, entre ellas cinco fallos de tipo zero-day que ya estaban siendo explotados activamente por atacantes. La información técnica completa está disponible en la Microsoft Security Update Guide, aunque destacamos aquí algunas de las vulnerabilidades más críticas:

  • CVE-2025-30397: Vulnerabilidad crítica de type confusion en el motor de scripting de Microsoft, que permite la ejecución remota de código.
  • CVE-2025-30400: Fallo en la biblioteca principal DWM de Windows que permite la escalada de privilegios.
  • CVE-2025-32701, 32706 y 32709: Tres vulnerabilidades adicionales que permiten la escalada de privilegios locales.

Todas estas vulnerabilidades estaban siendo activamente explotadas en el momento en que se hicieron públicas, lo que subraya la importancia de aplicar los parches de inmediato. Si todavía no has actualizado tus sistemas, se recomienda hacerlo cuanto antes para reducir riesgos de intrusión o compromiso.

Vulnerabilidad Zero-Day en Chrome – CVE-2025-5419 Bajo Explotación Activa

Entre los días 27 y 28 de mayo, Google lanzó una actualización de emergencia para su navegador Chrome con el objetivo de corregir una vulnerabilidad de tipo zero-day de alta gravedad (CVE-2025-5419), localizada en el motor JavaScript V8. La falla fue descubierta por un investigador del equipo de análisis de amenazas de Google (TAG) y, según la compañía, ya estaba siendo utilizada en ataques dirigidos. Siguiendo su política habitual de seguridad, Google no publicará detalles técnicos sobre la vulnerabilidad hasta que una mayoría significativa de usuarios haya aplicado el parche. Para más información, consulta el blog de actualizaciones de Google Chrome.

Este incidente refuerza una tendencia preocupante: Chrome sigue siendo uno de los vectores de ataque preferidos por los cibercriminales. Si gestionas entornos que utilizan este navegador y aún no has aplicado la actualización, este es un recordatorio importante para hacerlo cuanto antes. Además, dada la creciente rapidez con la que los atacantes aprovechan este tipo de fallos, puede ser recomendable automatizar las actualizaciones del navegador en tu organización. La velocidad con la que se aplican los parches es hoy más crítica que nunca para evitar compromisos graves.

El Sector Educativo Bajo Amenaza: PowerSchool y la ola de extorsiones a distritos escolares

PowerSchool, proveedor de software educativo implantado en centros K–12 de Estados Unidos, ha confirmado que pagó un rescate tras sufrir un ciberataque que comprometió datos de clientes a finales del año pasado. Han salido a la luz nuevos detalles del incidente en documentos judiciales presentados en mayo. Poco después de la brecha, varios distritos escolares estadounidenses empezaron a recibir amenazas de extorsión en las que se hacía referencia a los datos robados, lo que ha encendido todas las alarmas dentro del sector educativo.

Según los informes, los atacantes utilizaron la información extraída de los sistemas alojados por PowerSchool para chantajear individualmente a los centros afectados. Este caso ilustra un giro preocupante en las tácticas de ransomware: en lugar de atacar directamente a cada institución, los ciberdelincuentes comprometen a un proveedor SaaS y luego extorsionan a sus clientes uno a uno. Una estrategia eficiente, efectiva y profundamente inmoral, que por desgracia se está volviendo cada vez más frecuente. Si trabajas en el ámbito educativo y dependes de plataformas en la nube, este es un buen momento para revisar tus políticas de gestión de riesgos con terceros, así como tus planes de respuesta ante incidentes.

Predicciones para los próximos meses

  • Más ataques de ransomware dirigidos a ESXi – Los grupos de amenazas continuarán priorizando ataques al nivel del hipervisor, evitando el cifrado tradicional de archivos. Los entornos basados en ESXi siguen siendo uno de sus principales objetivos por la posibilidad de comprometer múltiples sistemas virtuales desde una única capa.
  • Incremento de la extorsión en cadena a través de proveedores SaaS – El modelo utilizado en el caso PowerSchool (comprometer a un proveedor SaaS para después extorsionar individualmente a sus clientes) probablemente se extenderá. Se prevé un aumento de víctimas secundarias como consecuencia de brechas en servicios SaaS ampliamente utilizados.
  • Persistencia más sofisticada mediante OAuth y navegadores – Veremos un crecimiento en el uso de técnicas de acceso persistente, especialmente a través del abuso de tokens OAuth y vulnerabilidades zero-day en navegadores. Esta táctica está siendo adoptada por grupos APT y organizaciones criminales especializadas en campañas de phishing.

Recomendaciones

  • Aplica los parches de seguridad sin demora – Prioriza la instalación inmediata de las actualizaciones publicadas en mayo por Microsoft y Google Chrome. Todas las vulnerabilidades destacadas estaban siendo activamente explotadas.
  • Audita tus entornos ESXi y la infraestructura virtual – Ante el incremento de ataques de ransomware dirigidos a hipervisores, asegúrate de que tus entornos VMware estén debidamente actualizados, con accesos estrictamente controlados y sistemas ya implementados de copia de seguridad inmutables.
  • Revisa los protocolos frente a amenazas internas – El caso de Coinbase es un recordatorio claro del riesgo que suponen las amenazas internas. Verifica tus políticas de prevención de pérdida de datos (DLP), los controles de acceso y los mecanismos de respuesta ante intentos de soborno o infiltración interna.
  • Refuerza el control sobre proveedores SaaS – Incidentes como el de PowerSchool evidencian el impacto que una brecha en un proveedor puede tener sobre toda su base de clientes. Revisa los acuerdos de nivel de servicio (SLA), los requisitos de notificación de incidentes y el uso de tokens en todas las plataformas de terceros.
  • Automatiza las actualizaciones de navegadores – Dado el amplio uso de Chrome y su exposición a vulnerabilidades zero-day, es recomendable establecer políticas automáticas de actualización mediante GPOs o soluciones de gestión de endpoints, garantizando que los parches se apliquen puntualmente en todos los dispositivos.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar