Monthly Threat Report Septiembre de 2025

Ataques a la Cadena de Suministro SaaS y Sombra de la IA

Escrito por Security Lab / 09.09.2025 /
Home » Blog » Monthly Threat Report Septiembre de 2025

Introducción

El Monthly Threat Report de Hornetsecurity te presenta un resumen actualizado de las principales tendencias en seguridad de Microsoft 365, amenazas por correo electrónico y eventos destacados del mundo de la ciberseguridad. Esta edición cubre lo ocurrido durante agosto de 2025.

Resumen Ejecutivo

  • Microsoft está limitando el uso de dominios .onmicrosoft.com, cerrando así una ruta comúnmente usada para ataques de phishing y envío de spam.
  • La filtración de datos por medio de Salesloft Drift usando OAuth muestra lo riesgoso que es confiar en proveedores SaaS dentro de la cadena de suministro.
  • Una nueva vulnerabilidad crítica en WinRAR confirma que los programas antiguos son blanco frecuente de ataques. Si aún no has actualizado, hazlo.
  • Una brecha en Cisco Secure Firewall FMC evidencia que los sistemas de administración siguen siendo objetivos clave para los atacantes.
  • Los servidores locales de SharePoint y Exchange vuelven a estar bajo amenaza. Si no están al día, lo más seguro es que ya estén comprometidos.
  • El crecimiento de DeepSeek pone en evidencia cómo el entusiasmo por la IA ponen en riesgo la privacidad, impulsando así nuevas regulaciones.
  • Se espera que los conectores SaaS, la inteligencia artificial en la sombra y el fraude por identidad sintética sean las principales amenazas a vigilar.

Resumen de Amenazas y Eventos de la Industria

Microsoft Restringe los Dominios .onmicrosoft

A finales de agosto, Microsoft anunció un cambio importante en el uso de sus antiguos dominios .onmicrosoft.com. Hasta ahora, los usuarios podían enviar correos desde estos dominios predeterminados de forma libre, algo que los atacantes aprovecharon para lanzar campañas de phishing y spam. A partir de este otoño, solo se permitirá enviar correos a un máximo de 100 destinatarios externos por día y por organización desde estos dominios. En otras palabras, ya no servirán para enviar correos masivos. El mensaje de Microsoft es claro: si quieres enviar correos comerciales, necesitas tener tu propio dominio verificado y configurado.

Este cambio no debería afectar mucho, ya que muchas áreas de seguridad ya habían tomado medidas para cerrar este riesgo. Sin embargo, algunas organizaciones todavía usan estos dominios para temas relacionados con suscripciones de Microsoft 365, y esos correos también estarán sujetos al nuevo límite.

¿Por qué es importante?

Más que un tema de comodidad se trata de reforzar buenas prácticas de seguridad en la gestión de identidades. Las organizaciones que aún no usan dominios personalizados deberán adaptarse, y los atacantes pierden una opción fácil para hacerse pasar por otras empresas.

Brecha en la Cadena de Suministro OAuth: Salesloft / Drift

Una brecha en la cadena de suministro, provocada por la integración entre Drift y Salesloft, afectó este mes a varios clientes de Salesforce. Según The Hacker News, se robaron tokens OAuth relacionados con Drift, lo que permitió el acceso no autorizado a datos sensibles dentro de Salesforce. Empresas como Zscaler, Google y otras confirmaron haber sido afectadas, lo que prueba cómo una sola conexión SaaS puede generar problemas en todo el ecosistema. Este incidente deja claro que mantener la seguridad en entornos modernos de nube y aplicaciones SaaS es un GRAN reto. Las conexiones entre servicios SaaS son tan atractivas para los atacantes como lo eran antes las cadenas de suministro de software en servidores locales.

¿Por qué es importante?

Las integraciones OAuth están en casi todos lados. Suelen tener permisos elevados y, muchas veces, poca vigilancia. Una brecha en uno de estos proveedores causa efectos en cadena y afecta a múltiples entornos sensibles, sin que los controles de seguridad tradicionales puedan detenerlo. Los atacantes ya lo saben y lo están aprovechando.

Patch Tuesday de Agosto de 2025 – 107 CVE

El boletín de seguridad de Microsoft para el Patch Tuesday de agosto vino cargado: se corrigieron 107 vulnerabilidades, entre ellas 13 brechas críticas y una vulnerabilidad de día cero que ya estaba siendo explotada. Los parches incluyeron correcciones para Windows, Office y Azure, con riesgos especialmente serios de ejecución remota de código en Excel y SharePoint. Por su tamaño e impacto, esta fue una de las actualizaciones más grandes del año, y sigue marcando la tendencia de parches pesados que complican el trabajo de los administradores a mitad del trimestre.

¿Por qué es importante?

El alto número de brechas, sumado a vulnerabilidades críticas de ejecución remota, aumenta el riesgo de que las empresas sufran una saturación de parches. Si se retrasan en aplicar estas actualizaciones, podrían dejar abiertas muchas puertas para ataques oportunistas.

Vulnerabilidad de Zero Day en WinRAR Explotada en el Mundo Real (CVE-2025-8088)

El popular programa de compresión WinRAR volvió a ser blanco de ataques. Investigadores descubrieron una brecha de seguridad que permite ejecutar un código de forma remota al abrir archivos comprimidos manipulados especialmente. Esta vulnerabilidad, identificada como CVE-2025-8088, ya está siendo usada en ataques reales. La empresa lanzó una actualización (versión 7.13) para corregir el problema, pero como WinRAR está instalado en millones de dispositivos y no siempre se actualiza con frecuencia, quizá el parche tarde en aplicarse de forma generalizada.

¿Por qué es importante?

WinRAR está presente en muchísimos sistemas, pero pocas veces se le considera una posible puerta de entrada para ataques. Esa combinación lo convierte en una amenaza constante, hasta que las empresas apliquen políticas claras de actualización.

Cisco Secure Firewall FMC – RCE Crítica

Cisco dio a conocer una vulnerabilidad muy grave en su plataforma Secure Firewall Management Center (FMC), identificada como CVE-2025-20265. El problema está en el subsistema RADIUS y permite que un atacante sin autenticarse pueda ejecutar comandos en el sistema. Cisco ya lanzó los parches correspondientes y compartió las recomendaciones para mitigar el riesgo, pero advirtió que explotar esta brecha sería fácil para un atacante con intenciones claras. La plataforma FMC se usa para administrar firewalls en grandes redes, lo que hace que esta brecha sea preocupante si no se corrige.

¿Por qué es importante?

Estas plataformas de gestión tienen acceso total a la seguridad de la red. Si alguien las compromete, no solo pone en riesgo un solo equipo, sino todos los firewalls y reglas de seguridad que controlan, convirtiéndolas en blancos prioritarios para los atacantes.

Del Blog de Hornetsecurity

Vulnerabilidades en SharePoint y Exchange: la historia se repite

Pocas cosas preocupan más a los CISOs que un servidor de Microsoft sin parches expuesto en internet. Este verano, SharePoint Server volvió a ser el centro de la atención tras revelarse la vulnerabilidad ToolShell durante el evento Pwn2Own. No pasó mucho tiempo antes de que comenzaran los ataques reales. Grupos vinculados a China, como Linen Typhoon, Violet Typhoon y Storm 2603, explotaron esta brecha para robar información confidencial, espiar e instalar ransomware usando Políticas de Grupo. Entre los afectados estaban el Departamento de Seguridad Nacional de EE.UU., los Institutos Nacionales de Salud (NIH) y la Administración Nacional de Seguridad Nuclear. No fue una brecha técnica, sino un incidente de seguridad global.

Y cuando parecía que el panorama se calmaba, Black Hat 2025 trajo más preocupaciones. Se descubrió una nueva vulnerabilidad crítica en Exchange Server (CVE-2025-53786), afectando a miles de entornos híbridos. Una vez más, estos ataques dejaron claro que los servidores locales siguen siendo un punto débil. La amenaza fue tan seria que incluso las agencias federales recibieron órdenes de emergencia para aplicar los parches de inmediato, señal de que los reguladores ven estos problemas como riesgos para todo el sistema, no solo como fallas de TI.

¡Lee el artículo completo!

DeepSeek AI: la euforia, las deficiencias y la cruda realidad.

DeepSeek se volvió popular rápidamente, encabezando las listas de aplicaciones. Pero ese éxito fue seguido por una caída igual de rápida. Expertos en seguridad descubrieron bases de datos sin proteger, chats guardados en texto plano, claves API expuestas e información del sistema accesible, lo que demuestra que la plataforma fue lanzada sin cumplir con medidas básicas de ciberseguridad. Además, su política de privacidad permite recolectar datos como la forma en que escribes (biometría de pulsaciones), información del dispositivo y el historial de chats; todo esto se almacena en China, lo que ya encendió alarmas entre los reguladores de datos. Italia ya prohibió el uso del servicio, y otros países en la UE están investigando. 

Lo preocupante es la falsa sensación de anonimato. La biometría de pulsaciones puede identificar a una persona de forma única, lo que elimina los beneficios de usar VPNs o cuentas anónimas. Y por si fuera poco, DeepSeek falló en más de la mitad de las pruebas de seguridad de jailbreak realizadas por Qualys. Esto convierte a la plataforma en un arma de doble filo: ofrece funciones avanzadas de IA, pero con serios riesgos de seguridad. Para las empresas, el mensaje es claro: el entusiasmo por la inteligencia artificial DEBE ir acompañado de una evaluación rigurosa del proveedor, sobre todo en protección de datos y cumplimiento legal.

¡Lee el artículo completo!

Predicciones para los Próximos Meses

  • Las brechas en la cadena de suministro se multiplicarán
    El caso de Salesloft y Drift no será el único. Los atacantes seguirán aprovechando cada vez más los conectores SaaS y las relaciones de confianza OAuth, sobre todo en servicios como Salesforce, M365 y Google Workspace.
  • Las batallas por la privacidad en la IA se intensificarán
    Vienen más investigaciones y prohibiciones regulatorias contra servicios de IA que recolectan datos biométricos o no cumplen con normas como el RGPD. Lo de DeepSeek parece solo el comienzo de una serie de escándalos por temas de privacidad.
  • Más vulnerabilidades de Zero Day en software heredado
    Lo ocurrido con WinRAR demuestra que los atacantes prefieren atacar software viejo y olvidado. Se espera un aumento de campañas contra lectores de PDF, herramientas de compresión e incluso controladores de impresoras, donde los parches suelen tardar en aplicarse.
  • Las directivas gubernamentales serán más severas
    La orden de emergencia de CISA sobre Exchange es solo una señal de lo está por venir. A medida que aumenten los ataques a infraestructuras críticas, los gobiernos impondrán plazos más cortos para aplicar parches, e incluso sanciones por no cumplir.
  • La política de dominios de microsoft es solo el comienzo
    La restricción del uso de dominios .onmicrosoft.com es solo el primer paso. Microsoft tomará medidas similares con otras configuraciones predeterminadas o heredadas en M365 para evitar abusos y reforzar las buenas prácticas.
  • La infraestructura híbrida se reducirá más rápido
    Tras los incidentes en SharePoint y Exchange, muchas organizaciones acelerarán su transición a la nube. Mantener servidores locales está dejando de ser viable, tanto por razones técnicas como estratégicas.
  • Los deepfakes y el fraude de identidad sintética se extenderán
    Con herramientas de IA cada vez más accesibles, los ciberdelincuentes aumentarán sus campañas de suplantación de identidad y fraude. Los ataques usando biometría falsa o identidades sintéticas se convertirán en una amenaza más común para las empresas.

Recomendaciones

  • Aplica los parches a los servidores de sharepoint y exchange de inmediato
    Si tu empresa todavía usa SharePoint en local o Exchange en modo híbrido, da por hecho que esos servidores pueden estar comprometidos si no se actualizaron desde el primer día. Aplica los parches de Microsoft, sigue sus guías de mitigación y revisa si hay señales de ataques persistentes, como claves ASP.NET alteradas. Si tienes dudas, busca apoyo forense.
  • Prioriza las actualizaciones de WinRAR
    La vulnerabilidad CVE-2025-8088 ya está siendo explotada. Actualiza a WinRAR 7.13 (o superior) en todos los equipos sin excepción. También revisa si ha habido alguna actividad sospechosa con archivos comprimidos. No ignores ese software “que solo usa un departamento”: puede ser la puerta de entrada de un ataque.
  • Audita las integraciones OAuth en SaaS
    El caso Salesloft-Drift deja claro que las conexiones de terceros en servicios como Salesforce o M365 pueden poner en riesgo tu entorno. Revisa todos los accesos concedidos vía OAuth, elimina los que no se usen y aplica el principio de menor privilegio.
  • Refuerza las plataformas de gestión
    La vulnerabilidad en Cisco Secure Firewall FMC muestra lo crítico que es proteger las interfaces administrativas. Aplica los parches de inmediato, limita el acceso solo a IPs de confianza y segmenta la red para aislar estas plataformas.
  • Mantente al día con Patch Tuesday
    Con más de 100 vulnerabilidades corregidas solo en agosto, necesitas tener un proceso ágil para aplicar los parches de Microsoft. Haz pruebas si es necesario, pero no dejes que la saturación de parches te haga bajar la guardia, los atacantes no se detienen.
  • Trata las herramientas de IA como proveedores de alto riesgo
    Lo ocurrido con DeepSeek (bases de datos expuestas y recolección invasiva de datos biométricos) es una señal clara. Evalúa formalmente a cada proveedor de IA, bloquea desde el firewall los servicios no autorizados y entrena a tu equipo en los riesgos de usar IA sin control.
  • Reevalúa tu estrategia de concienciación en seguridad
    Tanto los ataques por integraciones SaaS como la rápida adopción de herramientas como DeepSeek dependen del comportamiento de los usuarios. Refuerza la formación para incluir temas como phishing a través de OAuth, riesgos de privacidad con IA y amenazas ocultas en archivos comprimidos.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar