La Administración aparece como el sector más atacado en un trimestre marcado por el descenso del ransomware

Los ataques de 'ransomware' han disminuido en el tercer trimestre al tiempo que han aumentado las explotaciones de aplicaciones públicas, hasta representar el 60 por ciento de las incidencias de dicho periodo, en el que la Administración destaca como el sector más atacado, según el último informe de Cisco Talos.

Los incidentes de 'ransomware' representaron aproximadamente el 20 por ciento de los casos en el tercer trimestre de 2025, frente al 50 por ciento del período anterior; un descenso que los expertos de la división de ciberinteligencia de Cisco ven como algo puntual, ya que el 'ransomware' sigue siendo una de las amenazas más persistentes para las organizaciones.

En este periodo, Cisco Talos identificó tres nuevas variantes de 'ransomware': Warlock, Babuk y Kraken, junto con amenazas conocidas como Qilin y LockBit. Qilin.

Uno de los ataques de 'malware' investigados por Talos se atribuyó a Storm-2603, un grupo que se cree que opera desde China y que utilizó la herramienta de seguridad legítima Velociraptor para obtener una mayor visibilidad de ordenadores y redes, con l objetivo de recopilar datos, supervisar la actividad y mantener el control después de infiltrarse.

Estos datos se recogen en el informe de la compañía tecnológica de respuesta a incidentes, que documenta las tendencias observadas por Cisco Talos Incident Response (Talos IR) durante el tercer trimestre de 2025.

En él también se destaca el aumento de la explotación de aplicaciones públicas, que representan el 60 por ciento de los incidentes detectados en este trimestre, frente al 10 por ciento del trimestre anterior.

Vinculan este repunte principalmente a una ola de ataques que explotan vulnerabilidades recién divulgadas en servidores Microsoft SharePoint locales a través de la cadena de ataque ToolShell. La primera explotación conocida se produjo un día antes del aviso de Microsoft, y la mayoría de los incidentes gestionados por Talos ocurrieron en los siguientes diez días.

Ademas, aproximadamente el 15 por ciento de los incidentes registrados durante el trimestre involucraron infraestructura sin parchear, lo que destaca la importancia de la aplicación rápida de parches y de la segmentación adecuada en las estrategias de defensa.

Además, casi un tercio de los incidentes de este trimestre involucraron a atacantes que evitaron o explotaron la autenticación multifactor (MFA), a menudo mediante técnicas como bombardear a los usuarios con solicitudes de inicio de sesión repetidas (bombardeo MFA) o explotar debilidades en las configuraciones de MFA.

Por primera vez desde que Talos comenzó su análisis en 2021, las organizaciones gubernamentales, especialmente las administraciones locales, fueron los objetivos más frecuentes de los ciberataques.

Estas organizaciones proporcionan servicios críticos como educación y sanidad, pero normalmente operan con presupuestos limitados y tecnología obsoleta. Tanto actores de amenazas con motivaciones financieras como un grupo APT afiliado a Rusia atacaron principalmente a gobiernos locales.