Partner Login

Monthly Threat Report Noviembre 2025

Dominios exóticos, sistemas comprometidos y la IA a la ofensiva

Escrito por Security Lab / 05.11.2025 /
Home » Blog » Monthly Threat Report Noviembre 2025

Introducción

El Informe Mensual de Amenazas de Hornetsecurity te ofrece, cada mes, información clave sobre las tendencias de seguridad en Microsoft 365, amenazas por email y un análisis detallado de los eventos más relevantes en el ámbito de la ciberseguridad. Esta edición se centra en los incidentes registrados durante octubre de 2025.

Resumen ejecutivo

  • WSUS bajo ataque: una vulnerabilidad crítica en Windows Server Update Services (WSUS) (CVE-2025-59287) se está explotando. Permite la ejecución remota de código con privilegios de SISTEMA. CISA ha emitido una directiva de emergencia ordenando su parcheo inmediato en todas las redes federales.
  • Brecha en F5 Networks: atacantes sustrajeron fragmentos del código fuente de BIG-IP y documentación interna sobre vulnerabilidades de F5, lo que podría proporcionar a los adversarios un conocimiento técnico profundo de estos productos y acelerar el desarrollo de nuevas técnicas de explotación.
  • Zero-days en Microsoft y VMware: el Patch Tuesday de octubre incluyó varias vulnerabilidades activamente explotadas en productos de Windows y VMware, alimentando un nuevo mes de urgencia bajo el lema: «parchear o perecer».
  • Aumento del uso malicioso de TLDs: los ciberdelincuentes recurren cada vez más a dominios con extensiones como .zip, .app o .mov para evadir filtros de seguridad y distribuir malware o campañas de phishing que parecen legítima.
  • La inteligencia artificial: un arma de doble filo: la IA sigue transformando la ciberseguridad. Por un lado, mejora la detección y la automatización en manos de los defensores; por otro, potencia las capacidades de los atacantes, que lanzan campañas más sofisticadas, personalizadas y difíciles de detectar.

Resumen de amenazas

Cómo aprovechan los atacantes los dominios de nivel superior exóticos (TLDs) en sus ataques

Los equipos de defensa están en una carrera constante por seguir el ritmo de las tácticas, técnicas y procedimientos de los atacantes. Una de las evoluciones más discretas, pero preocupantes, que hemos observado recientemente en el ámbito del phishing y el malware es el creciente abuso de dominios de nivel superior «exóticos» (TLDs). En este informe, analizamos cómo los actores maliciosos están utilizando estos finales de dominio menos habituales para eludir controles y engañar a los usuarios. Hablamos de extensiones como .app, .zip, .lol, .cam, entre muchas otras. El objetivo es claro: evitar los filtros de seguridad y generar confianza visual en los usuarios. Muchos de estos TLDs son recientes, económicos o estaban originalmente destinados a sectores específicos. Sin embargo, su escasa regulación y la percepción de legitimidad que proyectan los han convertido en terreno fértil para campañas maliciosas.

Esta táctica resulta eficaz porque los usuarios rara vez se fijan en el final de una URL, y muchas herramientas de seguridad, basadas en bases de datos de reputación, tardan en reaccionar ante dominios recién creados. Los atacantes registran miles de dominios que imitan sitios legítimos, alojados en infraestructuras temporales, y los acompañan de certificados SSL válidos para reforzar su apariencia de legitimidad. El resultado: un canal de distribución casi perfecto para campañas de phishing, robo de credenciales y malware de descarga silenciosa. La lección es clara: los defensores deben actualizar constantemente sus fuentes de inteligencia sobre dominios, aplicar políticas estrictas de escaneo y reescritura de URLs, y formar a los usuarios para que desconfíen de enlaces .zip sospechosamente «confiables». Porque cuando se trata del abuso de TLDs, el anonimato se ha convertido en el mejor aliado del atacante.

El impacto de la IA en la ciberseguridad

No cabe duda de que la IA ha tenido un impacto significativo en la ciberseguridad, al igual que en muchos otros sectores. Desde hace tiempo, en nuestras publicaciones hemos analizado cómo la IA está cambiando el ámbito de la seguridad digital. Aunque la primera ola de entusiasmo se ha estabilizado, los avances continúan y sus efectos sobre las operaciones de los equipos de seguridad son cada vez más evidentes.

En un artículo reciente del blog de Hornetsecurity, titulado The Impact of AI on Cyber Security y firmado por Paul Schnackenburg, se explora cómo la inteligencia artificial está remodelando tanto el enfoque defensivo como ofensivo en el panorama actual. Por un lado, la IA se ha convertido en un multiplicador de capacidades para los defensores: mejora la detección inteligente, acelera la priorización de alertas y facilita el reconocimiento de patrones en grandes volúmenes de datos. Está ayudando a los equipos de seguridad a automatizar la respuesta ante incidentes y reducir el ruido, especialmente en entornos complejos como el correo electrónico o la nube, donde las herramientas tradicionales tienen dificultades para mantenerse al día.

Pero, por otro lado, esa misma tecnología también da alas a los atacantes. La IA reduce la barrera de entrada para crear campañas de phishing, deepfakes e ingeniería social, y permite que las amenazas escalen y resulten más creíbles. El artículo advierte que, a medida que los modelos de lenguaje (LLM) y las herramientas generativas se generalicen, los adversarios los emplearán con la misma rapidez que los defensores los integren. Una conclusión clave: las empresas no solo deben adoptar la IA de forma segura, sino también reforzar sus políticas internas, su gobernanza y la formación de los usuarios en torno a su uso. En el nuevo panorama de amenazas, la IA no solo forma parte de la defensa: también es ya parte de la superficie de ataque.

Incidentes importantes y eventos del sector

Vulnerabilidad en WSUS explotada activamente

El mes de octubre ha encendido todas las alertas entre administradores de sistemas tras revelarse una vulnerabilidad crítica en Windows Server Update Services (WSUS) que ya está siendo explotada activamente: CVE-2025-59287. Esta falla permite la ejecución remota de código con privilegios de SISTEMA en servidores WSUS configurados como origen de actualizaciones, lo que, en la práctica, otorga a los atacantes control total sobre el sistema afectado. Microsoft publicó el parche a principios de octubre, pero la CISA reaccionó de inmediato emitiendo una directiva de emergencia que obligaba a todas las agencias federales a aplicar el parche o deshabilitar los roles vulnerables de WSUS en un plazo máximo de 48 horas. La explotación fue detectada inicialmente en ataques oportunistas dirigidos a servidores WSUS expuestos directamente a Internet.

El verdadero riesgo reside en la función de WSUS como centro neurálgico de la gestión de parches en entornos empresariales basados en Windows. Si un atacante logra comprometerlo, puede usarlo para escalar privilegios y moverse lateralmente por toda la red. Y no se trata de un escenario hipotético: este caso recuerda a incidentes graves como el ataque a la cadena de suministro de SolarWinds. Si estás utilizando WSUS en un entorno híbrido o con puertos abiertos al exterior, este es el momento de revisar la segmentación de red, aplicar las actualizaciones críticas y verificar la integridad de las firmas digitales de los paquetes de actualización. Trátalo como un incidente de nivel uno: si tu servidor de parches cae, el riesgo se propaga a todo tu parque informático.

Brecha en F5 expone el código fuente de BIG-IP y datos sobre vulnerabilidades

A finales de octubre, F5 Networks confirmó una brecha de seguridad que permitió a los atacantes robar partes del código fuente de BIG-IP, junto con investigaciones internas sobre vulnerabilidades y documentación de inteligencia sobre amenazas. La intrusión se originó en una cuenta de desarrollador comprometida, asociada a una instancia de GitLab expuesta públicamente. Este incidente es un caso de manual que ilustra por qué los repositorios de código privilegiados deben estar protegidos con autenticación multifactor (MFA) y políticas de acceso altamente restrictivas. Aunque F5 ha asegurado que ningún dato de cliente ni sistemas de producción se han visto afectados, el material sustraído podría ofrecer a actores de amenazas avanzadas información crítica sobre fallos no revelados y detalles técnicos del producto. Esto puede reducir drásticamente el tiempo entre la detección de una vulnerabilidad y su posterior explotación.

Para las empresas que confían en BIG-IP como solución de balanceo de carga y seguridad perimetral, las implicaciones son serias. El acceso al código fuente permite a los atacantes analizar con detalle cómo se gestionan las solicitudes, la memoria o los flujos de autenticación, en busca de debilidades explotables. Aunque por ahora no se hayan detectado campañas activas derivadas del incidente, es razonable anticipar un incremento de la actividad de escaneo y fuzzing sobre dispositivos F5 en los próximos meses. Las empresas deben asegurarse de estar ejecutando el firmware más reciente, monitorizar cualquier comportamiento anómalo en las interfaces de administración y revisar sus estrategias de segmentación de red. Recuerda: cuando se filtran los planos de tu proveedor de seguridad perimetral, tu propia superficie de ataque crece.

Otras explotaciones zero-day importantes y la carrera por aplicar parches

El Patch Tuesday de octubre fue intenso y urgente. Microsoft publicó actualizaciones para una amplia gama de vulnerabilidades, incluidas varias de tipo zero-day que ya estaban siendo explotadas, en particular, CVE-2025-24990 y CVE-2025-59230. Cuando los zero-days aparecen reflejados en la telemetría antes de que muchas organizaciones hayan siquiera leído el boletín de seguridad, el resultado es una carrera frenética: parches de emergencia, pruebas de emergencia y, en algunos casos, retrocesos de emergencia cuando, como suele ocurrir, algo falla tras aplicar el parche. La realidad para los equipos defensivos es clara y poco amable: si una vulnerabilidad ya está siendo explotada y se publica un parche, ese parche se convierte automáticamente en prioridad absoluta, incluso si implica activar al equipo de operaciones durante el fin de semana.

Como si esto fuera poco, octubre también trajo un zero-day crítico en el entorno de VMware (CVE-2025-41244, vinculado a Aria/VMware Tools) que fue detectado en manos de un actor sofisticado. Esto disparó la urgencia entre los equipos responsables de entornos cloud y de virtualización. Lección clave: es imprescindible acelerar el despliegue de parches en productos expuestos a Internet o en planos de gestión, pero sin actuar a ciegas. Las organizaciones deben acompañar esta rapidez con medidas compensatorias que eviten generar nuevos vectores de riesgo. Si no puedes aplicar el parche inmediatamente, implementa parches virtuales (reglas WAF, firmas IPS, etc.); restringe el acceso a interfaces de administración (VPN + ZTNA + MFA); refuerza la telemetría EDR/XDR para detectar actividad post-explotación y supervisa posibles autenticaciones anómalas y movimientos laterales. En resumen: parchea rápido, pero con cabeza. Los atacantes ya tratan las redes sin parchear como objetivos fáciles.

Predicciones para los próximos meses

  • El abuso de TLDs se intensificará: se prevé un aumento de las campañas de phishing y malware que utilizan dominios de nivel superior exóticos como .zip, .app o .mov. A medida que las protecciones a nivel de navegador y correo electrónico se refuercen, los atacantes diversificarán aún más sus registros de dominios para mantenerse por delante de los filtros y sistemas de reputación.
  • El phishing hecho con IA evolucionará a mayor velocidad: las herramientas de IA generativa seguirán reduciendo las barreras de entrada para los ciberdelincuentes, facilitando campañas de phishing a gran escala, multilingües y personalizadas que logran eludir los mecanismos de detección tradicionales.
  • La infraestructura de parches será un objetivo prioritario: tras el caso de WSUS, se espera que aumente el interés de los atacantes por los sistemas de gestión de parches, servidores de actualización y herramientas de configuración, empleándolos como vectores para el movimiento lateral en redes corporativas.
  • Las filtraciones de código fuente acelerarán la explotación de vulnerabilidades: la brecha de seguridad en F5 indica una tendencia emergente, la exposición de código fuente sensible como punto de partida para el desarrollo de exploits rápidos y eficaces. Se anticipa que incidentes similares afecten a otros proveedores tecnológicos y que los atacantes empiecen a centrarse en el robo de propiedad intelectual e investigaciones críticas.

Recomendaciones mensuales

  • Prioriza los ciclos de parches críticos: aplica el parche de WSUS y verifica que haya una buena segmentación entre las redes de gestión y de producción. Instala las actualizaciones publicadas en octubre por Microsoft, VMware y F5.
  • Refuerza la infraestructura de actualizaciones: restringe el acceso entrante a servidores WSUS y otros sistemas de gestión de parches. Asegúrate de usar conexiones cifradas (TLS), actualizaciones firmadas y auditorías periódicas.
  • Supervisa la actividad de escaneo dirigida a F5: actualiza el firmware, restringe el acceso a las interfaces de administración y vigila los registros de red para detectar posibles intentos de enumeración contra endpoints BIG-IP.
  • Revisa tus fuentes de inteligencia sobre dominios: incorpora threat feeds con TLDs emergentes. Aplica políticas de reescritura de URLs y utiliza el sandboxing de Hornetsecurity para neutralizar el uso malicioso de dominios exóticos.
  • Mejora la formación en concienciación sobre phishing: usa ejemplos de abuso de TLDs y correos generados por IA para educar a los usuarios sobre las tácticas de ingeniería social. Refuerza la cultura de desconfianza constructiva.
  • Aplica parches virtuales y controles compensatorios: si no puedes aplicar parches de inmediato, emplea reglas WAF, firmas IPS y microsegmentación para mitigar riesgos sin comprometer la operativa de sistemas críticos.
  • Refuerza la búsqueda de amenazas en la cadena de suministro: supervisa sistemas de distribución de actualizaciones, repositorios de artefactos y pipelines CI/CD para identificar accesos no autorizados o el mal uso de credenciales.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar