Partner Login

Monthly Threat Report Diciembre 2025

Lecciones de seguridad a partir de los incidentes de noviembre

Escrito por Security Lab / 11.12.2025 /
Home » Blog » Monthly Threat Report Diciembre 2025

Introducción 

El Informe Mensual de Amenazas de Hornetsecurity ofrece cada mes un análisis detallado sobre las tendencias de seguridad en Microsoft 365, las amenazas sobre el email y los eventos más relevantes del panorama actual de la ciberseguridad. Esta edición se centra en los datos y sucesos ocurridos durante noviembre de 2025. 

Resumen ejecutivo 

  • Los atacantes recurren cada vez más a infraestructuras legítimas en la nube y servicios SaaS para distribuir contenido malicioso. Eso debilita los sistemas de defensa basados en reputación y la confianza de los usuarios. 
  • En noviembre, la excesiva dependencia de proveedores se vio como un riesgo operativo crítico tras la interrupción de alto impacto en Cloudflare que causó una disrupción generalizada, aunque sin comprometer la seguridad. 
  • Las vulnerabilidades conocidas y explotadas desde hace tiempo siguen siendo una amenaza. Un ejemplo fue Microsoft, que tardó en aplicar el parche para la CVE-2025-9491, tras un largo periodo de actividad maliciosa. 
  • La ampliación del catálogo de Vulnerabilidades Conocidas y Explotadas (KEV) por parte de CISA subraya que se deben priorizar las vulnerabilidades activamente explotadas, más allá de su puntuación de gravedad. 
  • La lentitud en la aplicación de parches continúa siendo uno de los factores más comunes, y evitables, detrás de las vulnerabilidades generadas. 
  • Aunque las empresas refuerzan sus capacidades de recuperación, la resiliencia operativa y los riesgos asociados a terceros siguen siendo áreas que requieren una atención cada vez mayor. 

Una palabra sobre el informe anual de ciberseguridad 2026 de Hornetsecurity 

El informe de ciberseguridad 2026 de Hornetsecurity ofrece una visión completa y basada en datos sobre la evolución del panorama de amenazas a lo largo de 2025, y por qué las empresas deben prepararse para un nuevo año de aceleración, más que de estabilización. Basado en el análisis de más de 72.000 millones de emails procesados por el Laboratorio de Seguridad de Hornetsecurity, el informe confirma que los atacantes se están moviendo cada vez con mayor rapidez, automatizan sus campañas de forma más agresiva y explotan la confianza a gran escala. Los correos con malware aumentaron más de un 130% respecto al año anterior, seguidos por las estafas y el phishing. Esto indica que el email es aún la vía de entrada más eficaz y rentable para los cibercriminales en todos los sectores. 

Uno de los hallazgos más destacados del informe es el repunte del ransomware: un 24% de las empresas informó haber sufrido al menos un incidente en 2025, revirtiendo varios años de descenso. Aunque las copias de seguridad inmutables y una mejor planificación de la recuperación han reducido el pago de rescates, los atacantes se han adaptado, centrándose ahora en el robo de credenciales, el compromiso de dispositivos y los ataques a la integridad de los datos, más allá del simple cifrado. Paralelamente, la adopción rápida (y en muchos casos poco controlada) de herramientas de inteligencia artificial por parte de las empresas está ampliando la superficie de ataque de formas que muchos equipos de seguridad aún tienen dificultades para gestionar. Los CISOs encuestados identifican, de forma abrumadora, el phishing potenciado por IA, la suplantación mediante deepfakes y el abuso de identidades como las principales preocupaciones para 2026. 

A pesar de estas amenazas, el informe transmite un moderado optimismo. Las empresas muestran avances tangibles en su capacidad de recuperación, gracias a una adopción generalizada de copias de seguridad inmutables, planes de recuperación ante desastres y mecanismos de autenticación multifactor resistentes al phishing, que cada vez son prácticas básicas más que metas aspiracionales. Pero el mensaje principal es claro: la resiliencia será el eje central de cualquier estrategia de seguridad eficaz en el futuro. Para un análisis en profundidad de los datos, tendencias y previsiones elaboradas por el Laboratorio de Seguridad, recomendamos encarecidamente consultar el informe de ciberseguridad 2026 completo de Hornetsecurity, que ofrece el contexto y la orientación necesarios para afrontar con éxito el cambiante panorama de amenazas en Microsoft 365. 

Resumen de amenazas 

Abuso de infraestructura en la nube legítima en ataques por correo  

Una de las tácticas más destacadas en el informe de ciberseguridad 2026 (y que sigue ganando protagonismo) es el uso indebido de infraestructuras legítimas en la nube y servicios de alojamiento para ejecutar campañas de correo malicioso. En lugar de recurrir a servidores claramente maliciosos o dominios temporales, los actores de amenazas optan más por alojar páginas de phishing, cargas útiles (payloads) y redireccionadores en plataformas de confianza, como proveedores de almacenamiento en la nube, servicios SaaS o empresas de hosting reconocidas. Esta estrategia les permite camuflar sus correos maliciosos entre el tráfico legítimo del entorno empresarial, lo que incrementa su tasa de entrega y reduce la eficacia de los filtros basados en reputación. Para el usuario final, los enlaces parecen apuntar a dominios «seguros», y desde el punto de vista de una pasarela de correo, suelen ser indistinguibles del tráfico habitual generado por servicios en la nube. 

Pero lo que hace especialmente peligrosa esta técnica es su persistencia. La infraestructura legítima resulta difícil de bloquear sin afectar a servicios esenciales, y las acciones de eliminación muchas veces llegar con retraso, cuando las campañas maliciosas ya están en marcha. En la práctica, esto significa que las empresas se enfrentan a oleadas de phishing o robo de credenciales, alojadas en plataformas que forman parte de su operativa diaria. Conforme los defensores refuerzan sus sistemas frente a indicadores evidentes de vulnerabilidad, los atacantes ajustan sus tácticas para explotar la confianza que generan estas infraestructuras, en lugar de evadir los sistemas de detección. La conclusión es clara: las defensas deben ir más allá de listas blancas estáticas y analizar el comportamiento, la inspección contextual de los enlaces y la formación continua de los usuarios. Cuando los atacantes operan dentro de los límites de entornos confiables, las suposiciones clásicas de seguridad pueden volverse en contra de quienes las aplican. 

Incidentes mayores y eventos del sector 

Dependencia excesiva de proveedores: lecciones del corte de servicio de Cloudflare 

En noviembre, una interrupción significativa en los servicios de Cloudflare creó problemas generalizados de disponibilidad a escala global, afectando a webs, APIs y plataformas SaaS que dependen del proveedor para funciones clave como la resolución DNS, la entrega de contenidos o la protección perimetral. Por suerte, el incidente no lo causó por un ciberataque. Pero su impacto fue inmediato y visible. Para muchas empresas, Cloudflare ha pasado de ser una capa opcional de optimización del rendimiento o seguridad a convertirse en una dependencia crítica. En consecuencia, una interrupción del proveedor puede traducirse en fallos visibles de cara al cliente, incluso cuando los sistemas internos de la empresa siguen operativos. 

Lo más revelador del incidente fue la velocidad con la que un fallo en una capa superior se propagó entre empresas que, en principio, no estaban relacionadas. La delegación de múltiples funciones críticas (como el enrutamiento, el filtrado, la terminación TLS o la aceleración del tráfico) a un único proveedor externo crea condiciones propensas a fallos en cascada, muy difíciles de mitigar en tiempo real. En la práctica, la «conveniencia» arquitectónica ha sustituido a la diversidad, simplificando las operaciones y mejorando el rendimiento en condiciones normales, pero reduciendo al mismo tiempo la capacidad de respuesta ante degradaciones cuando el proveedor sufre problemas. En estos escenarios, la disponibilidad deja de ser un aspecto bajo control interno para convertirse en un riesgo compartido. 

Por qué es importante 

  • Los fallos de disponibilidad en servicios de terceros tienen un impacto operativo tan crítico como los incidentes de ciberseguridad, incluso sin filtración de datos. 
  • El riesgo de concentración se incrementa al delegar múltiples funciones esenciales en un único proveedor. 
  • La planificación de la continuidad de negocio debe contemplar de forma explícita los fallos de proveedores externos y no limitarse a los incidentes internos. 
  • La verdadera resiliencia exige identificar claramente dónde las dependencias externas se han transformado en puntos únicos de fallo. 

Microsoft corrige una vulnerabilidad de accesos directos de Windows explotada durante años (CVE-2025-9491) 

En noviembre, Microsoft publicó un parche para la CVE-2025-9491, una vulnerabilidad de ejecución remota de código que aprovechaba el manejo de archivos de acceso directo de Windows (.LNK). Los expertos en ciberseguridad advirtieron que esta falla se había explotado activamente durante años, con indicios que la vinculan tanto a ciberdelincuentes con fines económicos como a grupos patrocinados por estados. 

La vulnerabilidad permitía a los atacantes ejecutar código malicioso cuando las víctimas interactuaban con accesos directos especialmente manipulados, distribuidos a través de medios extraíbles, archivos adjuntos en correos de phishing o ficheros comprimidos. Aunque requería cierta interacción por parte del usuario, la técnica resultó ser lo bastante eficaz y fiable como para mantenerse en el arsenal de múltiples actores de amenazas durante un largo periodo. 

Lo que hace que esta actualización sea significativa no es tanto la complejidad técnica del fallo, sino su persistencia en el tiempo. A pesar de haberse detectado múltiples abusos en entornos reales, la vulnerabilidad permaneció sin corregir durante años, consolidándose como un vector de ataque silencioso pero efectivo. 

Por qué es importante 

  • Las vulnerabilidades antiguas pueden seguir siendo operativamente útiles mucho tiempo después de ser descubiertas. 
  • La ejecución a través de accesos directos logra eludir con mayor eficacia la desconfianza del usuario que los ejecutables convencionales. 
  • La lentitud en la aplicación de parches continúa siendo un problema estructural en numerosos entornos Windows. 

CISA amplía el catálogo de vulnerabilidades conocidas y explotadas (KEV) 

A mediados de noviembre, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) incorporó una nueva entrada a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), confirmando que el software afectado estaba siendo aprovechado activamente en ataques reales. 

La inclusión en la lista KEV implica una relevancia operativa mucho mayor que una simple divulgación de vulnerabilidad. Indica que la amenaza no es teórica ni se limita a pruebas de concepto: los atacantes ya están explotando la falla, a menudo de forma masiva. Aunque las agencias federales estadounidenses están legalmente obligadas a aplicar los parches correspondientes dentro de plazos estrictos, muchas organizaciones del sector privado siguen teniendo dificultades para monitorizar eficazmente estas actualizaciones y reaccionar a tiempo. 

Por qué es importante 

  • Las vulnerabilidades incluidas en KEV representan vectores de ataque confirmados en entornos reales, no riesgos potenciales. 
  • Las empresas que no siguen de cerca las actualizaciones del catálogo KEV pueden enfrentarse a semanas o incluso meses de exposición innecesaria. 
  • Los programas de gestión de vulnerabilidades deben priorizar el estado de explotación activa, más allá de las puntuaciones CVSS. 

Predicciones para los próximos meses 

  • El abuso de infraestructuras legítimas continuará. Conforme los sistemas defensivos mejoren en la detección de dominios e infraestructuras maliciosas, los atacantes recurrirán cada vez más a plataformas de confianza para ejecutar campañas de phishing y robo de credenciales. 
  • La demora en la aplicación de parches seguirá siendo crítico. La explotación de vulnerabilidades conocidas desde hace tiempo, como la CVE-2025-9491, prueba que los atacantes no necesitan zero-days. 
  • La resiliencia operativa se cuestionará cada vez más. Incidentes visibles como la interrupción de Cloudflare llevarán a más empresas a replantearse los riesgos asociados a la dependencia de terceros, tanto desde el punto de vista de la ciberseguridad como de la continuidad operativa. 
Cybersecurity 2026 is out now!

Cybersecurity Report 2026

La aceleración de las amenazas globales impulsada por la IA

Descargar ahora

Recomendaciones mensuales 

  • Revisar el riesgo de dependencia y concentración entre proveedores críticos. Identifica dónde un único proveedor ofrece múltiples servicios fundamentales (DNS, CDN, seguridad, identidad) y evalúa si existen planes de contingencia o conmutación por error adecuados. 
  • Refuerza las defensas frente al abuso de enlaces de confianza. Más que el uso exclusivo de listas blancas estáticas o filtros basados en reputación, haz análisis de comportamiento, inspección de enlaces al hacer clic y forma a usuarios sobre campañas de phishing que explotan plataformas legítimas. 
  • Prioriza el parcheo según la explotación activa. Integra el catálogo de Vulnerabilidades Conocidas y Explotadas (KEV) de CISA en los procesos de gestión de vulnerabilidades, garantizando que las amenazas activamente utilizadas en ataques reales reciban atención prioritaria. 
  • Fortalece los controles de protección de identidad. Da prioridad al uso de MFA resistente al phishing, mejora las políticas de consentimiento OAuth y monitoriza patrones de inicio de sesión anómalos que puedan indicar el uso indebido de tokens o ataques de repetición de sesión (session replay). 
  • Pon a prueba la resiliencia, no solo la prevención. Verifica de vez en cuando la integridad de las copias de seguridad, ensaya los procesos de recuperación y asegúrate de que los planes de respuesta ante desastres contemplen incidentes de seguridad y caídas de servicios de terceros. 

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar