WatchGuard Technologies ha publicado los resultados de su último Informe de Seguridad en Internet, un análisis trimestral que detalla las principales amenazas de malware, red y seguridad en endpoints observadas por los investigadores de WatchGuard Threat Lab durante el primer trimestre de 2025.
Las principales conclusiones del informe revelan un aumento del 171% (trimestre a trimestre) en el total de detecciones únicas de malware, el mayor registrado hasta la fecha por el Threat Lab.
Si a esto se añade un aumento significativo del “malware zero day”, se observa un fuerte incremento de las amenazas evasivas diseñadas para eludir los sistemas de detección basados en firmas, es decir, las defensas tradicionales que se apoyan en patrones conocidos para detectar amenazas.
Destaca especialmente el crecimiento del 323% en la detección proactiva mediante machine learning (ML) ofrecida por IntelligentAV (IAV), lo que subraya su papel clave en la identificación de malware avanzado.
Los ataques de Gateway AntiVirus (GAV) aumentaron un 30%, mientras que el malware en conexiones cifradas mediante Transport Layer Security (TLS) creció en 11 puntos, lo que confirma que los canales cifrados se consolidan como una vía prioritaria de ataque.
El espectacular aumento de las detecciones por IAV y el crecimiento del malware en TLS reflejan cómo los atacantes recurren cada vez más a técnicas de ofuscación y cifrado, desafiando así a las defensas convencionales.
Estos datos ponen de relieve la necesidad urgente de contar con mayor visibilidad y soluciones de seguridad adaptativa para hacer frente a estas amenazas sofisticadas y ocultas a gran escala.
El Threat Lab también observó un aumento del 712% en nuevas amenazas de malware detectadas en endpoints.
Esta cifra adquiere aún más relevancia si se tiene en cuenta que, en los tres trimestres anteriores, las amenazas de malware en endpoints habían mostrado una tendencia a la baja.
La principal amenaza de malware en el endpoint fue el LSASS dumper, un ladrón de credenciales utilizado para tareas como el inicio de sesión en sistemas, la gestión de contraseñas y la creación de tokens de acceso.
Los atacantes aprovechan LSASS para acceder a los componentes del sistema saltándose el modo de usuario y ejecutando instrucciones directas en modo kernel.
«Las últimas conclusiones del Informe de Seguridad en Internet del primer trimestre de 2025 parecen corroborar una tendencia más amplia en el sector de la ciberseguridad: la guerra de la IA ya está aquí. Los atacantes recurren cada vez más a técnicas de ingeniería social y phishing potenciadas por herramientas de IA«, afirma Corey Nachreiner, director de Seguridad de WatchGuard Technologies.
“Los atacantes tienen ahora la capacidad de lanzar campañas altamente dirigidas a escala mediante procesos automatizados, lo que subraya la necesidad de que las organizaciones adopten medidas de seguridad robustas, precisas y potentes para para adelantarse a los avances de la IA y la evolución de los ciberriesgos”, agregó.
Otras conclusiones destacadas del Informe de Seguridad en Internet del Q1 de 2025 de WatchGuard son:
- El ransomware descendió un 85% con respecto al trimestre anterior, aunque la segunda amenaza de malware más detectada fue la carga útil de ransomware: Termite ransomware. Este dato respalda la tendencia del sector que señala una disminución del ransomware de cifrado, es decir, aquel que cifra archivos. Los atacantes están cambiando su enfoque hacia el robo de datos en lugar del cifrado, debido a las mejoras en los backups y en los sistemas de recuperación de datos.
- Los scripts, archivos derivados de un lenguaje de programación de secuencias de comandos o que los utilizan, se han reducido aproximadamente a la mitad este trimestre, alcanzando su nivel más bajo hasta la fecha. Históricamente, el Threat Lab ha observado que los scripts eran el principal vector de ataque para la detección de malware en endpoints. Otras técnicas de tipo Living off The Land (LoTL), como el uso de herramientas legítimas del sistema operativo Windows, experimentaron el mayor incremento trimestral, con un aumento del 18%, cubriendo así el vacío dejado por la caída de los scripts.
- El malware más detectado a través de conexiones cifradas fue Trojan.Agent.FZPI, un nuevo archivo HTML malicioso que combina documentos con apariencia legítima y comunicación cifrada. Esta amenaza reúne en un solo archivo varias técnicas que los actores maliciosos han utilizado en los últimos años, convirtiéndose en un super archivo adjunto de phishing. Las organizaciones deben implementar una inspección TLS robusta, análisis de comportamiento y protección avanzada en endpoints para poder detectar y neutralizar eficazmente esta amenaza.
- En Q1 de 2025, el malware más extendido fue Application.Cashback.B.0835E4A4, una amenaza recientemente identificada que se sitúa entre las familias de malware más prevalentes jamás registradas, con su mayor impacto en Chile, con un 76%, seguido de Irlanda, con un 65%. La alta presencia de variantes de Application.Cashback pone de manifiesto la necesidad de contar con defensas específicas por región para hacer frente a este tipo de sofisticadas amenazas.
- El número de firmas únicas de red activadas, es decir, ataques conocidos detectados en redes, disminuyó un 16% respecto al trimestre anterior, ya que los atacantes se centraron en un conjunto más limitado de exploits. El panorama de ataques a nivel de red revela que, aunque siguen apareciendo nuevos exploits, los atacantes continúan aprovechando de forma masiva vulnerabilidades antiguas sin parchear, lo que obliga a las organizaciones a abordar ambos frentes de forma simultánea.
- Las amenazas de malware continúan propagándose principalmente a través del correo electrónico en lugar de la web, lo que sugiere que los actores maliciosos están recurriendo a técnicas tradicionales de phishing, aprovechando que la IA facilita la creación de mensajes de spear phishing cada vez más convincentes. Sin embargo, las herramientas basadas en IA y machine learning han detectado significativamente más amenazas tanto en el perímetro de red como en el endpoint durante el primer trimestre de 2025.
En línea con el enfoque de la arquitectura Unified Security Platform de WatchGuard y con las actualizaciones trimestrales anteriores del Threat Lab, los datos analizados en este informe se basan en inteligencia de amenazas anonimizada y agregada, recopilada a partir de productos de red y de endpoint de WatchGuard activos cuyos propietarios han optado por compartir esta información para apoyar directamente las actividades de investigación de la compañía.
