Partner Login

Monthly Threat Report enero de 2026

Nuevo año, riesgos persistentes

Escrito por Security Lab / 13.01.2026 /
Home » Blog » Monthly Threat Report enero de 2026

Introducción

El Monthly Threat Report de Hornetsecurity te ofrece cada mes una visión actualizada sobre las tendencias de seguridad en M365, las amenazas basadas en correo electrónico y un análisis de los acontecimientos más relevantes en el ámbito de la ciberseguridad. Esta edición se centra en los datos correspondientes al mes de diciembre de 2025.

Resumen ejecutivo

  • En diciembre hubo más ataques por correo electrónico de bajo esfuerzo y gran volumen, aprovechando el periodo de compras y envíos típico de esta época.
  • Muchos atacantes usaron técnicas de manipulación en correos electrónicos, como es el caso de la falsificación de los campos «De» y «Para» y el uso indebido del formato MIME multipartes.
  • También se detectó un mayor uso de etiquetas HTML vacías. Esta táctica permite realizar campañas de phishing más discretas y difíciles de detectar.
  • Las preocupaciones por el riesgo interno volvieron a estar sobre la mesa, tras las confesiones de antiguos profesionales de seguridad implicados en ataques con ransomware BlackCat.
  • La explotación de vulnerabilidades zero-day se mantuvo activa, con fallos en Chrome y Windows aprovechados antes de que existieran parches disponibles.
  • El retraso en la aplicación de actualizaciones sigue dejando expuestas incluso a empresas bien gestionadas frente a ataques reales.
  • Las extensiones maliciosas de navegador dejaron claro hasta qué punto se puede explotar la confianza en los mercados oficiales.
  • La gestión de la identidad, la confianza del usuario y la seguridad de los dispositivos siguen siendo puntos críticos de riesgo en este inicio de 2026.

Resumen de amenazas

El final del año suele ser una época activa para los ciberdelincuentes. Las compras navideñas provocan un repunte de los ataques por correo electrónico de bajo esfuerzo y gran volumen, ya que los atacantes saben que muchos usuarios están pendientes de su bandeja de entrada, buscando avisos de envíos y entregas. Durante el mes de diciembre, el tipo de amenaza más común que detectamos sigue esta misma línea. Los correos con direcciones de remitente inexistentes fueron los más frecuentes, seguidos muy de cerca por mensajes multipart y ataques en los que se usaban direcciones de destinatario falsas para engañar tanto a los sistemas de detección como a los propios usuarios. También observamos un aumento, de noviembre a diciembre, en los ataques por correo que empleaban etiquetas HTML vacías. Esta técnica está pensada para confundir a los motores de análisis y eludir su detección.

Las tres técnicas de amenaza más utilizadas en diciembre de 2025

  • #1. Remitente falso («De»): es cambiar el nombre que aparece como remitente en el correo para suplantar a marcas conocidas y de confianza. Se busca esquivar los filtros de correo y conseguir que el destinatario abra el mensaje.
  • #2. Correos multipartes: usan límites MIME mal definidos, lo que puede hacer que los motores de seguridad no detecten el contenido malicioso. Sin embargo, algunos programas de correo sí lo muestran, dejando al usuario expuesto.
  • #3. Destinatario falso («Para»): los atacantes modifican el campo «Para» y así parece que el mensaje se dirige a una entidad o persona de confianza. Mientras, colocan a la víctima real en copia oculta (BCC). El correo se vuelve creíble y es más probable que el usuario confíe en él y caiga en la trampa.

Amenaza destacada: etiquetas HTML <a> vacías

En diciembre, detectamos un aumento de correos de phishing que utilizaban etiquetas HTML <a> vacías. Son enlaces invisibles que, aunque no muestran nada al usuario, contienen una URL activa en el código. Estos correos suelen estar casi vacíos o solo muestran unos cuantos elementos, como espacios, una línea fina o texto que parece inofensivo. Sin embargo, gran parte del área clicable está formada por enlaces ocultos, sin texto visible o con un ancho casi nulo. El objetivo es pasar desapercibidos tanto para los usuarios como para los sistemas de detección. La idea es evitar mostrar enlaces que saltan a la vista, botones o frases típicas de correos maliciosos.

Desde el punto de vista de la detección, esta técnica aprovecha las diferencias entre cómo se analiza el HTML, se extraen los enlaces y se muestra el mensaje visualmente. También se puede usar para incluir enlaces a dominios legítimos que ocultan la intención real del ataque, dificultando aún más su detección. Algunos motores de seguridad no detectan correctamente estos enlaces cuando están dentro de etiquetas vacías o mal formadas, sobre todo si se combinan con técnicas de ocultación usando CSS. Aun así, algunos clientes de correo sí reconocen estos enlaces. Eso hace que un clic accidental redirija al usuario a webs diseñadas para robar credenciales o distribuir malware. El incremento que hemos notado en diciembre sugiere que los atacantes están dejando atrás los correos de phishing con mucho contenido y optando por métodos más sutiles, basados en estructuras HTML engañosas y difíciles de detectar.

Incidentes relevantes y eventos del sector

Los incidentes y noticias del sector en diciembre reflejan algunos factores típicos que detectamos en ciberseguridad, como las vulnerabilidades zero-day, las actualizaciones del Patch Tuesday y las extensiones maliciosas en navegadores. No obstante, también nos encontramos con situaciones poco comunes, como la confesión de culpabilidad por parte de profesionales del sector implicados en ataques con ransomware BlackCat.

Ex-expertos en seguridad se declaran culpables por incidentes de ransomware BlackCat

Una de las noticias más llamativas de diciembre fue el caso penal contra dos antiguos especialistas en respuesta a incidentes que acabaron pasándose al lado delictivo. Usaron sus conocimientos en ciberseguridad para atacar a varias empresas en Estados Unidos como parte de la campaña de ransomware BlackCat/ALPHV en 2023. Ambos se declararon culpables y podrían enfrentarse a hasta 20 años de prisión.

En este informe solemos hablar del riesgo que suponen las amenazas internas, y cada vez son más las voces del sector que insisten en la necesidad de fijar controles para detectarlas y frenarlas. Aunque en este caso no atacaron a sus propias empresas, el incidente refuerza la importancia de conocer bien a quienes ocupan puestos sensibles y de crear mecanismos de control en áreas clave. Por ejemplo, ningún administrador debería poder eliminar por su cuenta la retención de copias de seguridad sin que otro administrador intervenga. Las empresas que incorporen este tipo de medidas en su modelo de seguridad estarán mejor preparadas para prevenir incidentes similares.

Por qué es importante

  • Tener experiencia técnica no equivale a una mayor seguridad; el conocimiento profundo del sistema es muy peligroso si se utiliza con malas intenciones.
  • Los planes de gestión de riesgos internos no deben centrarse solo en ataques externos o credenciales robadas, también deben contemplar la posibilidad de que alguien actúe con intención maliciosa desde dentro.
  • Separar funciones y aplicar controles cruzados sigue siendo esencial para evitar abusos de acceso por parte de usuarios con privilegios.
  • Las medidas de seguridad deben asumir que, incluso las personas más fiables, pueden convertirse en una amenaza si se dan las circunstancias.

Actividad zero-day: Chrome y Windows bajo la lupa

En diciembre, los grandes proveedores de plataformas reaccionaron con rapidez para corregir varias vulnerabilidades zero-day que se estaban explotando activamente, un patrón que se repite cada vez más y que demuestra lo persistentes y oportunistas que son los atacantes a día de hoy. Google publicó una actualización de urgencia para corregir su octava zero-day en Chrome en lo que iba de 2025. Era una vulnerabilidad grave que los atacantes ya estaban explotando antes de que existiera una solución. De ahí que el parche se lanzara para varios sistemas operativos, incluidos Windows, macOS y Linux. Esto refleja tanto la presencia de Chrome en entornos corporativos como la superficie de ataque que supone comprometer un navegador tan extendido.

Al mismo tiempo, el Patch Tuesday de Microsoft de diciembre de 2025 trajo correcciones para 57 fallos de seguridad, entre ellos tres zero-day. Uno de ellos ya se estaba aprovechando antes de que saliera la actualización. Entre los destacados, había una vulnerabilidad de elevación de privilegios en el controlador Mini Filter de Archivos en la Nube de Windows, junto a otras dos zero-day que ya se habían hecho públicas. El alcance de esta actualización, con correcciones que van desde ejecución remota de código hasta filtraciones de datos y escaladas de privilegios, muestra que incluso los entornos de Windows bien gestionados siguen siendo vulnerables si las actualizaciones se retrasan o si los ciclos de prueba ralentizan su implementación.

Este es el listado de los CVEs zero-day relevantes de Chrome y Microsoft:

Por qué es importante

  • Las vulnerabilidades zero-day suponen una clara ventaja para los atacantes, que pueden explotarlas antes de que los defensores apliquen un parche.
  • El que se corrijan con frecuencia en navegadores y sistemas operativos muy usados demuestra que los atacantes van a por objetivos comunes.
  • Entre las actualizaciones de emergencia y los parches rutinarios del Patch Tuesday, los equipos de seguridad tienen que encontrar el equilibrio entre aplicar las correcciones cuanto antes y no asumir riesgos innecesarios en su entorno.

Las instalaciones de la extensión ShadyPanda superan los 4,3 millones

En diciembre, los investigadores descubrieron una campaña a gran escala protagonizada por una familia de extensiones maliciosas para navegadores, conocida como ShadyPanda, que llegaron a alcanzar más de 4,3 millones de instalaciones en tiendas oficiales. Se presentaban como herramientas legítimas (conversores de PDF, descargadores de vídeos, asistentes para cupones…), pero actuaban como inyectores de publicidad encubiertos y herramientas para el robo de credenciales. Al instalarse, llevaban a cabo actividades maliciosas que iban desde mostrar anuncios no deseados hasta redirigir a los usuarios a páginas de phishing o capturar datos sensibles. El hecho de que alcanzaran más de 4,3 millones de instalaciones indica que los atacantes supieron aprovechar muy bien la ingeniería social y las estrategias de distribución para esquivar los controles de seguridad de las tiendas oficiales.

Lo más preocupante de ShadyPanda no es solo el número de instalaciones, sino cómo ha conseguido ganarse la confianza de los usuarios y mantenerse activa durante tanto tiempo. Al hacerse pasar por herramientas útiles y distribuirse a través de canales oficiales, muchas extensiones pasaron desapercibidas tanto para los usuarios como para los sistemas de seguridad tradicionales, que suelen centrarse en analizar URLs o archivos. Además, utilizaban técnicas de ofuscación e inyección de código que complicaban más su detección por parte de los sistemas automatizados. Y aunque se retiraron de las tiendas, millones de usuarios seguían teniéndolas instaladas.

Por qué es importante

  • Las extensiones de navegador tienen acceso privilegiado a las sesiones del usuario, una vía efectiva para interceptar datos o aprovechar sesiones activas.
  • Las tiendas oficiales no están libres de extensiones maliciosas. Confiar en estos «mercados controlados» no es suficiente si no se revisa lo que se instala.
  • Cuando una extensión alcanza millones de instalaciones, el impacto se multiplica: muchos usuarios pueden estar en riesgo sin saberlo, hasta que se detecta y elimina la amenaza.
  • Los equipos de seguridad deben supervisar qué extensiones hay instaladas en los dispositivos, especialmente las no autorizadas, como parte de una buena gestión del riesgo y de la seguridad en los endpoints.

Predicciones para los próximos meses

  • Los ataques por correo electrónico seguirán evolucionando hacia técnicas más sutiles y estructurales. Es previsible que aumente el uso de encabezados manipulados, correos con múltiples partes (MIME) y HTML malformado. Los atacantes apuestan por métodos que pasen desapercibidos tanto para los filtros de seguridad como para el ojo del usuario, con apenas contenido visible.
  • Los navegadores seguirán siendo uno de los principales objetivos. Como gran parte del trabajo diario se traslada al entorno web, los atacantes aprovecharán extensiones, sesiones abiertas y puntos débiles en el lado del cliente, en lugar de depender del malware tradicional.
  • La explotación de vulnerabilidades zero-day seguirá siendo habitual. Los navegadores y los sistemas operativos muy extendidos seguirán en el punto de mira, y los atacantes actuarán rápido, antes de que los parches lleguen a implementarse de forma generalizada.
  • El riesgo interno dejará de limitarse a accesos comprometidos. Las empresas tendrán que contemplar también el posible uso malintencionado del conocimiento técnico, incluso sin acceso directo a sistemas.
  • La detección pondrá el foco en el comportamiento. A medida que los ataques se vayan volviendo más discretos, los equipos de seguridad dependerán cada vez más de la detección de anomalías, el análisis de comportamiento y los controles basados en identidad.

Recomendaciones mensuales

  • Refuerza la protección frente a correos engañosos. Usa una solución de escaneo avanzada que detecte suplantación de encabezados, trucos con MIME multipartes y HTML malformado, sin depender solo del contenido del mensaje.
  • Aplica parches según el riesgo. Prioriza vulnerabilidades que ya están siendo explotadas, sobre todo las zero-day, aunque acortes los ciclos de prueba.
  • Controla el uso de navegadores y extensiones. Revisa las extensiones instaladas, bloquea las no autorizadas y monitoriza cualquier comportamiento anómalo en el navegador, en todos los dispositivos.
  • Evita concentrar demasiado poder en una sola persona. Establece controles para que ningún administrador pueda hacer cambios críticos sin supervisión.
  • Pon el foco en la seguridad de identidad y sesión. Detecta inicios de sesión sospechosos, usos extraños de tokens y posibles robos de credenciales desde navegadores.
  • Prepárate para ataques más silenciosos. Los atacantes intentarán pasar desapercibidos. Ajusta tus sistemas de detección y respuesta para identificar señales mínimas.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar