Desarrollo de las amenazas informáticas en el segundo trimestre de 2025. Estadísticas de computadoras personales

Desarrollo de las amenazas informáticas en el segundo trimestre de 2025. Estadísticas de computadoras personales
Desarrollo de las amenazas informáticas en el segundo trimestre de 2025. Estadísticas móviles

Las estadísticas que se presentan en este informe se basan en los veredictos de detección de los productos de Kaspersky, a menos que se indique lo contrario. La información fue proporcionada por usuarios de los productos de Kaspersky que dieron su consentimiento para compartir datos estadísticos.

Cifras del trimestre

En el segundo trimestre de 2025:

• las soluciones de Kaspersky repelieron más de 471 millones de ataques lanzados desde diferentes recursos de Internet;
• el antivirus web reaccionó a 77 millones de enlaces únicos;
• el antivirus de archivos bloqueó más de 23 millones de objetos maliciosos y que podrían ser no deseados;
• se descubrieron 1702 modificaciones nuevas de ransomware;
• un poco menos de 86 mil usuarios se enfrentaron a ataques de ransomware;
• el 12% de todas las víctimas de ransomware, cuyos datos fueron publicados en sitios de filtración de datos (DLS), fueron afectadas por Qilin;
• casi 280 mil usuarios se enfrentaron a criptomineros.

Programas cifradores maliciosos

Principales tendencias y eventos del trimestre

Éxitos de las fuerzas del orden

Estados Unidos presentó cargos contra el delincuente responsable de los ataques lanzados con el ransomware Black Kingdom. Se trata de un ciudadano de Yemen, acusado de infectar alrededor de 1500 equipos en Estados Unidos y otros países mediante vulnerabilidades en Microsoft Exchange, además de extorsionar a las víctimas exigiendo un rescate de 10 000 dólares en bitcoins, según el monto indicado en la nota de rescate. Se afirma que él también es el desarrollador del cifrador Black Kingdom.

Un ciudadano de Ucrania fue extraditado a Estados Unidos en relación con el caso Nefilim. Se lo detuvo en España en junio de 2024, acusado de distribuir un ransomware y dedicarse a la extorsión. Según la investigación, formaba parte del programa Nefilim RaaS desde 2021 y atacó a organizaciones con altos niveles de ingresos. Nefilim utiliza un esquema clásico de doble extorsión: los delincuentes primero roban los datos de la víctima, los cifran en las instalaciones del cliente y después amenazan con publicarlos en la red.

Se arrestó a un delincuente que participaba en el grupo Ryuk y era responsable de organizar el acceso inicial a las redes de las víctimas (intermediario de acceso inicial). En abril de 2025, fue arrestado en Kiev a petición del FBI y, en junio, extraditado a Estados Unidos.

Se detuvo a un sospechoso de participar en los ataques del grupo DoppelPaymer. En una operación conjunta, las policías de los Países Bajos y Moldavia arrestaron en mayo a un hombre de 45 años acusado de lanzar ataques contra organizaciones neerlandesas en 2021; se confiscaron alrededor de €84 800 y varios dispositivos.

Un ciudadano iraní de 39 años se declaró culpable de participar en ataques utilizando el ransomware RobbinHood. Los ataques se llevaron a cabo desde 2019 hasta 2024 y estuvieron dirigidos contra las autoridades locales de Estados Unidos, proveedores de servicios médicos y organizaciones sin fines de lucro, entre otros.

Vulnerabilidades y ataques

Explotación masiva de una vulnerabilidad en SAP NetWeaver

En mayo se supo que varios grupos de extorsionadores (en particular, BianLian y RansomExx) habían aprovechado la vulnerabilidad CVE-2025-31324 en el software SAP NetWeaver. Esta vulnerabilidad permite a los atacantes cargar archivos maliciosos sin autenticación, lo que puede resultar en la total vulneración del sistema.

Ataques mediante la herramienta de administración remota SimpleHelp

El grupo DragonForce comprometió a un proveedor MSP y atacó a sus clientes a través de la herramienta de administración remota SimpleHelp. Según los investigadores, los atacantes explotaron el conjunto de vulnerabilidades CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726 en este software para lanzar el ransomware DragonForce en los hosts de las víctimas.

Qilin utiliza vulnerabilidades de Fortinet

En junio se informó que el grupo Qilin (también conocido como Agenda) explotaba de forma activa y constante vulnerabilidades críticas en los dispositivos Fortinet para infiltrarse en redes corporativas. Se afirma que los atacantes explotan las vulnerabilidades CVE-2024-21762 y CVE-2024-55591 en el software de los dispositivos FortiGate, lo que les permite eludir la autenticación y ejecutar código malicioso de forma remota. Después de la infiltración, los delincuentes cifran los datos en los sistemas dentro de la red corporativa y exigen un rescate.

Explotación de la vulnerabilidad de Windows CLFS

En abril, se registraron ataques que utilizaban CVE-2025-29824, una vulnerabilidad de día cero en el controlador del Sistema de Archivos de Registro Común, que es un componente del sistema operativo Windows. Esta vulnerabilidad permite a un atacante elevar privilegios en el sistema comprometido. Los investigadores vincularon estos incidentes con el trabajo de los grupos RansomExx y Play. Los objetivos de los atacantes fueron empresas en América del Norte y del Sur, Europa y el Medio Oriente.

Las agrupaciones más activas

En esta sección detallamos los grupos de ransomware más activos según el número de víctimas de cada uno registradas en los sitios de filtración de datos (DLS, por sus siglas en inglés) durante el período del informe. En el segundo trimestre, el grupo Qilin se destacó como el más “prolífico”, con un 12,07%. El líder de 2024 y del primer trimestre, RansomHub, al parecer, ha pasado a la clandestinidad desde abril. Los grupos Clop (10,83%) y Akira (8,53%) intercambiaron posiciones en comparación con el período de informe anterior.

Porcentaje de víctimas de un grupo específico (según los datos del sitio DLS de dicho grupo) en relación con todas las víctimas de todos los grupos publicadas en los sitios DLS analizados durante el período del informe (descargar)

Número de nuevas modificaciones

En el segundo trimestre, las soluciones de Kaspersky detectaron tres nuevas familias y 1702 nuevas modificaciones de ransomware. Son cifras mucho menores que las del informe anterior.

Número de nuevas modificaciones de cifradores, segundo trimestre de 2024 – segundo trimestre de 2025 (descargar)

Número de usuarios atacados por troyanos cifradores

Durante el trimestre, nuestras soluciones protegieron a 85 702 usuarios únicos contra programas de cifrado maliciosos.

Cantidad de usuarios únicos atacados por troyanos de cifrado, segundo trimestre de 2025 (descargar)

Geografía de los ataques

TOP 10 de países y territorios afectados por los ataques de troyanos cifradores

* Excluimos de los cálculos los países y territorios donde el número de usuarios de Kaspersky es bajo (menos de 50 000).
** Proporción de usuarios únicos cuyos equipos fueron atacados por troyanos cifradores, de todos los usuarios únicos de productos de Kaspersky en el país o territorio.

TOP 10 de las familias de troyanos cifradores más comunes

* Porcentaje de usuarios únicos de Kaspersky que sufrieron ataques de una familia específica de troyanos extorsionadores, del total de usuarios víctimas de ataques lanzados por troyanos extorsionadores.

Criptomineros

Número de nuevas modificaciones

En el segundo trimestre de 2025, las soluciones de Kaspersky detectaron 2 245 nuevas modificaciones de criptomineros.

Número de nuevas modificaciones de mineros, segundo trimestre de 2025 (descargar)

Número de usuarios atacados por criptomineros

En el segundo trimestre, detectamos ataques utilizando programas de minería en las computadoras de 279 630 usuarios únicos de productos de Kaspersky en todo el mundo.

Número de nuevas modificaciones de mineros, segundo trimestre de 2025 (descargar)

Geografía de los ataques

TOP 10 de países y territorios atacados por criptomineros

* Excluimos de los cálculos los países y territorios donde el número de usuarios de Kaspersky es bajo (menos de 50 000).
** Proporción de usuarios únicos cuyos equipos fueron atacados por criptomineros, de todos los usuarios únicos de productos de Kaspersky en el país o territorio.

Ataques contra macOS

Entre las amenazas para macOS, uno de los mayores hallazgos del segundo trimestre fue la familia PasivRobber, un espía compuesto por una gran cantidad de módulos diseñados para robar datos de QQ, WeChat y otros mensajeros y aplicaciones, populares sobre todo entre los usuarios chinos. Una de sus características distintivas es que los módulos espía se integran en el proceso de destino en el momento en que el dispositivo entra en modo de suspensión.

Hacia la mitad del trimestre, aparecieron varios informes (1, 2, 3) sobre delincuentes que se hacían pasar por contactos de confianza en Telegram y convencían a la víctima de llamarlos por Zoom. Antes o durante la llamada, persuadían al usuario para que ejecutara una supuesta utilidad relacionada con Zoom, que en realidad era un malware. La cadena de infección hacía que se cargara una puerta trasera escrita en el lenguaje Nim y scripts bash que robaban datos de los navegadores.

TOP 20 de amenazas para macOS

Proporción* de usuarios únicos que se encontraron con este malware, del total de usuarios atacados que utilizan las soluciones de protección de Kaspersky para macOS (descargar)

*Los datos del trimestre anterior publicados en este informe pueden tener pequeñas diferencias con los de informes previos debido a la revisión retrospectiva de algunos veredictos.

El spyware PasivRobber, detectado en el segundo trimestre, ocupó de inmediato los primeros lugares en cuanto al número de usuarios atacados, superando con creces a las habituales aplicaciones falsas de “limpieza” y de publicidad para macOS. También entre las amenazas más comunes se encuentran el troyano Amos, que roba contraseñas y datos de criptomonedas, y el detector colectivo Trojan.OSX.Agent.gen, que describimos en el informe anterior.

Geografía de amenazas para macOS

TOP 10 de países y territorios por porcentaje de usuarios atacados

* Porcentaje de usuarios únicos que se enfrentaron a amenazas para macOS, del total de usuarios únicos de productos de Kaspersky en el país o territorio.

Estadísticas de amenazas para IoT

En esta sección presentamos las estadísticas sobre los ataques a las trampas (honeypots) de IoT de Kaspersky. La geolocalización de los orígenes de los ataques se basa en las direcciones IP de los dispositivos que los realizaron.

En el segundo trimestre de 2025, volvió a aumentar tanto el número de ataques por el protocolo Telnet como el de dispositivos que se conectan a las trampas de Kaspersky mediante este protocolo.

Distribución de los servicios atacados, según el número de direcciones IP únicas de dispositivos que lanzaron los ataques (descargar)

Distribución de las sesiones de actividad de los ciberdelincuentes con las trampas de Kaspersky (descargar)

TOP 10 de amenazas cargadas en dispositivos IoT

Proporción de una amenaza específica, que fue cargada en un dispositivo infectado tras un ataque exitoso, del total de amenazas cargadas (descargar)

En el segundo trimestre, el botnet NyaDrop (30,27 %) ganó mayor presencia entre las amenazas cargadas en nuestros honeypots. A su vez, disminuyó la cantidad de variantes de Mirai en la lista de los programas maliciosos más comunes. También disminuyó la proporción de la mayoría de ellos. Además, después del aumento en el primer trimestre, la participación de los mineros de BitCoinMiner volvió a disminuir (1,57%).

Durante el período cubierto por el informe, la lista de las amenazas IoT más comunes se amplió con nuevas familias. Aumentó de forma notable la actividad del backdoor Agent.nx (4,48 %), que se controla por P2P a través de la tabla hash distribuida BitTorrent DHT. Otro “novato” en la lista es Prometei, la versión para Linux de la botnet homónima para Windows descubierta por primera vez en diciembre de 2020.

Ataques a los honeypots de IoT

En la distribución geográfica de los ataques por el protocolo SSH, aumentó de forma notoria la proporción de ataques provenientes de Alemania y Estados Unidos.

La proporción de ataques al protocolo Telnet desde los territorios de China e India sigue siendo alta; en conjunto, desde estos países se realiza más de la mitad de todos los ataques a los honeypots de Kaspersky.

Ataques a través de páginas web

Los datos estadísticos en esta sección se basan en los veredictos de detección del antivirus web, que protege a los usuarios en el momento de descargar objetos sospechosos de una página web maliciosa o infectada. Los delincuentes crean las páginas maliciosas para fines específicos. Pueden resultar infectados los recursos web donde los propios usuarios crean su contenido (por ejemplo, los foros), así como los sitios web legítimos comprometidos.

TOP 10 de países de origen de los ataques web

La sección contiene la distribución por países y territorios de los lugares donde se originaron los ataques por internet que los productos Kaspersky bloquearon (páginas web con redirecciones a exploits, sitios con exploits y otros programas maliciosos, centros de control de botnets, etc.). Se debe tomar en cuenta que cada host único podría ser el origen de uno o más ataques web.

Para determinar el origen geográfico de los ataques web, se utilizó un método que compara el nombre de dominio con la dirección IP real donde se aloja dicho dominio, y se establece la ubicación geográfica de esa dirección IP (GeoIP).

En el segundo trimestre de 2025, las soluciones de Kaspersky repelieron 471 066 028 ataques lanzados desde recursos de Internet en todo el mundo. El antivirus web reaccionó a 77 371 384 URL únicas.

Distribución de orígenes de ataques web por países, segundo trimestre de 2025 (descargar)

Países y territorios en los que los usuarios corrieron más riesgo de infectarse a través de Internet

Para evaluar el grado de riesgo de infección por malware a través de internet al que se exponen las computadoras de los usuarios en diferentes países y territorios del mundo, calculamos para cada uno de ellos la proporción de usuarios de productos de Kaspersky en cuyos equipos se activó el antivirus web durante el período del informe. Los datos obtenidos indican la agresividad del entorno en el que funcionan los equipos en diferentes países y territorios.

Recordemos que en este ranking solo se toman en cuenta los ataques con objetos maliciosos de la clase Malware. No hemos incluido en nuestros cálculos las reacciones del antivirus web a programas potencialmente peligrosos y no deseados, como RiskTool y Adware.

* Excluimos de los cálculos los países y territorios en los que el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Proporción de usuarios únicos que fueron objeto de ataques web con objetos maliciosos de la clase Malware, del total de usuarios únicos de los productos de Kaspersky en el país.

En promedio, durante el trimestre, el 6,36% de los equipos de los usuarios de internet en el mundo fueron objeto de al menos un ataque web de la clase Malware.

Amenazas locales

La estadística de las infecciones locales en las computadoras de los usuarios es un indicador importante. Esto incluye objetos que han irrumpido en la computadora mediante la infección de archivos o medios extraíbles, o que llegaron a la computadora en forma encubierta (por ejemplo, programas que forman parte de instaladores complejos, archivos cifrados, etc.).

En este apartado analizaremos los datos estadísticos obtenidos durante el funcionamiento del antivirus, que analiza los archivos en el disco duro en el momento en que se los crea o cuando se los lee, además de los datos del análisis de diferentes memorias extraíbles. La estadística se basa en los veredictos de detección de los módulos OAS (on-access scan) y ODS (on-demand scan) del antivirus de archivos. Hemos tomado en cuenta los programas maliciosos que se encontraron en los equipos de los usuarios o en las memorias extraíbles conectadas a ellos: memorias USB, tarjetas de memoria de cámaras, teléfonos y discos duros externos.

En el segundo trimestre de 2025, nuestro antivirus de archivos detectó 23 260 596 objetos maliciosos y potencialmente no deseados.

Países y territorios donde las computadoras de los usuarios estuvieron expuestas al mayor riesgo de infección local

Para cada uno de los países y territorios, calculamos la proporción de usuarios de productos de Kaspersky en cuyos dispositivos el antivirus de archivos se activó al menos una vez durante el período del informe. Esta estadística refleja el nivel de infección de las computadoras personales en diferentes países y territorios del mundo.

Cabe señalar que en este ranking solo se incluyen los ataques de objetos maliciosos de la clase Malware. Excluimos de los cálculos las activaciones del antivirus de archivos en programas potencialmente peligrosos o no deseados, como RiskTool y programas publicitarios.

* Excluimos de los cálculos a los países y territorios donde el número de usuarios de Kaspersky es bajo (menos de 10 000).
** Proporción de usuarios únicos, en cuyas computadoras se bloquearon amenazas locales de la clase Malware, del total de usuarios únicos de los productos de Kaspersky en el país o territorio.

En promedio, al menos una vez durante el tercer trimestre, las amenazas locales clasificadas como Malware afectaron al 12,94% de los equipos de todo el mundo.

El índice de Rusia en esta clasificación fue del 14,27%.