La Administración fue el sector más atacado por primera vez, según el último informe de Cisco Talos
Madrid, 27 de noviembre de 2025. – Cisco ha publicado su último informe de respuesta a incidentes, que documenta las tendencias observadas por Cisco Talos Incident Response (Talos IR) durante el tercer trimestre de 2025.
La división de ciber-inteligencia de Cisco desvela que los incidentes de ransomware representaron aproximadamente el 20% de los casos en el tercer trimestre de 2025, frente al 50% del período anterior. El informe advierte que este descenso que no señala necesariamente una tendencia a largo plazo, ya que el ransomware sigue siendo una de las amenazas más persistentes para las organizaciones.
Durante el tercer trimestre, Cisco Talos identificó tres nuevas variantes de ransomware: Warlock, Babuk y Kraken, junto con amenazas conocidas como Qilin y LockBit. Qilin, que apareció por primera vez a principios de este año, intensificó sus ataques y se espera que siga representando un riesgo importante.
Uno de los ataques de malware investigados por Talos se atribuyó a Storm-2603, un grupo que se cree que opera desde China. En particular, utilizaron la herramienta de seguridad legítima Velociraptor, una ‘primicia’ en operaciones de ransomware. Velociraptor está diseñado para obtener una mayor visibilidad de ordenadores y redes, lo que permite a los atacantes recopilar datos, supervisar la actividad y mantener el control después de infiltrarse.
Explotación de aplicaciones públicas
Más del 60% de los incidentes de este trimestre comenzaron con la explotación de aplicaciones públicas (cualquier servicio o programa accesible a través de Internet, como sitios web, correo electrónico y APIs expuestas al público), un drástico aumento desde el 10% registrado el trimestre anterior. Este repunte está vinculado principalmente a una ola de ataques que explotan vulnerabilidades recién divulgadas en servidores Microsoft SharePoint locales a través de la cadena de ataque ToolShell.
La ola de ataques ToolShell también pone de relieve la rapidez con la que los ciber-delincuentes se movilizan una vez que se divulgan vulnerabilidades de día cero. La primera explotación conocida se produjo un día antes del aviso de Microsoft, y la mayoría de los incidentes gestionados por Talos ocurrieron en los siguientes diez días.
Igualmente, aproximadamente el 15% de los incidentes registrados durante el trimestre involucraron infraestructura sin parchear, destacando la importancia de la aplicación rápida de parches y de la segmentación adecuada en las estrategias de defensa.
El sector público, objetivo principal
Por primera vez desde que Talos comenzó su análisis en 2021, las organizaciones gubernamentales, especialmente las administraciones locales, fueron los objetivos más frecuentes de los ciber-ataques. Estas organizaciones proporcionan servicios críticos como educación y sanidad, pero normalmente operan con presupuestos limitados y tecnología obsoleta. Tanto actores de amenazas con motivaciones financieras como un grupo APT afiliado a Rusia atacaron principalmente a gobiernos locales.
Aumento del abuso de autenticación multifactor (MFA)
Casi un tercio de los incidentes de este trimestre involucraron a atacantes que evitaron o explotaron la autenticación multifactor (MFA), a menudo mediante técnicas como bombardear a los usuarios con solicitudes de inicio de sesión repetidas (bombardeo MFA) o explotar debilidades en las configuraciones de MFA.
Estos hallazgos desvelan que sólo con habilitar MFA no es suficiente: las organizaciones también necesitan supervisar la actividad de inicio de sesión sospechosa y garantizar que sus políticas de MFA sean sólidas. Talos también recomienda a las organizaciones priorizar la aplicación rápida de parches, una segmentación de red sólida y un registro de accesos reforzado para defenderse mejor frente a estas amenazas en evolución.
Accede aquí al informe completo.
Acerca de Cisco
Cisco (NASDAQ: CSCO) es el líder tecnológico mundial que está revolucionando la forma en que las organizaciones se conectan y protegen en la era de la IA. Durante más de 40 años, Cisco ha conectado al mundo de forma segura. Con sus soluciones y servicios basados en IA líderes en el mercado, Cisco ayuda a sus clientes y partners y a las comunidades a impulsar la innovación, mejorar la productividad y reforzar su resiliencia digital. Con el propósito como eje central, Cisco mantiene su compromiso de crear un futuro más conectado e inclusivo para todos. Descubre más en news-blogs.cisco.com/emea/es / The Network y síguenos en X en @Cisco.
Cisco y el logotipo de Cisco son marcas comerciales o marcas registradas de Cisco y/o sus filiales en Estados Unidos y otros países. Puede encontrarse un listado de las marcas comerciales de Cisco en www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas son propiedad de sus respectivos dueños. El uso de la palabra partner no implica una relación de asociación entre Cisco y cualquier otra empresa.
Para obtener más información:
Ariadna Hernández, Directora de Comunicación
Nina Janmaat
Tel: 91 926 62 82
E-mail: nina.janmaat@teamlewis.com
Juan Ortiz
Tel: 91 926 67 05
E-mail: juan.ortiz@teamlewis.com
