Madrid, 21 de octubre de 2025. — WatchGuard® Technologies, líder global en ciberseguridad unificada para proveedores de servicios gestionados (MSP), publica los resultados de su último Internet Security Report, un análisis trimestral que detalla los principales malware y amenazas de seguridad endpoint y de red detectadas por los investigadores de WatchGuard Threat Lab entre abril y junio.
Las conclusiones más destacadas de este informe correspondiente al segundo trimestre de 2025, revelan un incremento trimestral del 40% del malware avanzado y evasivo. Los datos destacan los canales cifrados como el vector de ataque preferido por los adversarios, utilizando Transport Layer Security (TLS), el protocolo de cifrado que sustenta la mayor parte del tráfico web seguro. Si bien TLS es vital para proteger a los usuarios, los atacantes lo explotan cada vez más para disfrazar cargas maliciosas.
Las detecciones de malware en general aumentaron un 15% en el segundo trimestre, impulsadas por un aumento del 85% de Gateway AntiVirus (GAV) y un aumento del 10% de IntelligentAV (IAV), lo que subraya el papel cada vez más importante de IAV en la detección de amenazas sofisticadas. Dado que el 70% de todo el malware se distribuye ahora a través de conexiones cifradas, los resultados ponen de relieve la creciente dependencia de los atacantes del ocultamiento y el sigilo, así como la necesidad de que las organizaciones mejoren la visibilidad del tráfico cifrado y adopten estrategias de protección flexibles.
El Threat Lab también observó un ligero aumento en los ataques de red, que crecieron un 8,3%. Al mismo tiempo, la diversidad de ataques se redujo, con 380 firmas únicas detectadas frente a las 412 del trimestre anterior. Cabe destacar la aparición de una nueva detección de JavaScript malicioso, “WEB-CLIENT JavaScript Obfuscation in Exploit Kits”, que pone de manifiesto la rapidez con la que pueden proliferar las nuevas amenazas utilizando la ofuscación como técnica de evasión para eludir los controles heredados. Los resultados muestran que, aunque surgen nuevos exploits, los atacantes siguen confiando en gran medida en vulnerabilidades antiguas y ampliamente utilizadas en navegadores, marcos web y herramientas de código abierto.
“Durante el segundo trimestre, los resultados del informe apuntan a un aumento del malware evasivo a través de canales cifrados, ya que los atacantes se esfuerzan por eludir la detección y maximizar su impacto”, señala Corey Nachreiner, director de seguridad de WatchGuard Technologies. “Para los MSP con recursos limitados y los equipos de TI reducidos, este cambio implica que el verdadero reto es adaptarse con rapidez mediante medidas contundentes. El parcheo constante, las defensas probadas y las tecnologías avanzadas de detección y respuesta capaces de actuar rápidamente siguen siendo las contramedidas más eficaces para mitigar estas amenazas”.
Otras conclusiones clave del Informe de Seguridad en Internet del segundo trimestre de 2025 de WatchGuard incluyen:
- Aumento del 26% en las amenazas de malware totalmente nuevas y únicas, lo que demuestra lo habitual que resulta el uso de técnicas de cifrado de empaquetado, un tipo de evasión de malware, entre los actores de amenazas. Estas amenazas polimórficas eluden la detección basada en firmas, lo que provoca un mayor número de detecciones por parte de los servicios avanzados de WatchGuard, como APT Blocker (Advanced Persistent Threat Blocker) y las cifras de IntelligentAV (IAV).
- Threat Lab identificó de forma inesperada dos amenazas de malware basadas en USB: PUMPBENCH, una puerta trasera de acceso remoto y HIGHREPS, un cargador. Ambas desplegaron un coin miner, XMRig, que mina la criptomoneda Monero (XMR), y es probable que estén relacionados con el uso de carteras de hardware entre los poseedores de criptomonedas
- Los ataques de ransomware disminuyeron un 47%, reflejando un cambio hacia ataques menos numerosos pero de mayor impacto, dirigidos a objetivos de alto perfil con consecuencias más graves. Cabe destacar que el número de grupos de extorsión activos ha aumentado, siendo Akira y Qilin algunos de los más agresivos.
- Los droppers dominaron el malware de red. Siete de las diez detecciones más comunes correspondieron a cargas útiles de primera fase, como Trojan.VBA.Agent.BIZ y el ladrón de credenciales PonyStealer, que aprovechan macros activadas por el usuario para lograr la primera intrusión. La conocida botnet Mirai también reapareció tras cinco años, con una concentración de actividad principalmente en la región APAC. El predominio de los droppers indica la preferencia de los atacantes por infecciones en múltiples etapas.
- El malware zero-day sigue dominando el panorama, representando más del 76% de todas las detecciones y casi el 90% del malware cifrado. Estos resultados subrayan la necesidad de contar con capacidades avanzadas de detección más allá de las firmas tradicionales, especialmente frente a amenazas ocultas dentro del tráfico TLS.
- Las amenazas basadas en DNS persistieron, incluyendo dominios vinculados al remote access trojan (RAT) DarkGate, un cargador que actúa también como RAT, lo que refuerza la importancia del filtrado DNS como capa defensiva crítica.
En línea con las anteriores actualizaciones trimestrales del Threat Lab, los datos incluidos en este informe se basan en información de inteligencia de amenazas anonimizada y agregada, procedente de los productos activos de red y endpoint de WatchGuard cuyos propietarios han optado por compartir sus datos para apoyar directamente los esfuerzos de investigación de la compañía.
Para obtener una visión más detallada de la investigación de WatchGuard, descargue el Informe completo de Seguridad en Internet correspondiente al segundo trimestre de 2025.