Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas de computadoras personales

Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas móviles
Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas de computadoras personales

Cifras del trimestre

En el tercer trimestre de 2025:

• Las soluciones de Kaspersky bloquearon más de 389 millones de ataques procedentes de diversos recursos de Internet;
• El antivirus web reaccionó a 52 millones de enlaces únicos;
• El antivirus de archivos bloqueó más de 21 millones de objetos maliciosos y potencialmente no deseados;
• Se detectaron 2200 nuevas modificaciones de cifradores;
• Casi 85 000 usuarios se enfrentaron a ataques de cifradores;
• El 15% de todas las víctimas de cifradores, cuyos datos se publicaron en los sitios web DLS (Data Leak Site) de los grupos, sufrieron daños infringidos por Qilin;
• Más de 254 mil usuarios se enfrentaron a criptomineros.

Programas cifradores maliciosos

Principales tendencias y eventos del trimestre

Éxitos de las fuerzas del orden

La Agencia Nacional contra el Crimen (NCA) del Reino Unido, en el marco de la investigación del ataque de cifrado que provocó fallos en muchos aeropuertos europeos en septiembre de 2025, arrestó al primer sospechoso. No se han publicado detalles, ya que la investigación aún está en curso. Según los datos proporcionados por el investigador de seguridad Kevin Beaumont, el ataque se llevó a cabo utilizando el cifrador HardBit, que el experto describió como primitivo y sin su propio DLS.

El Departamento de Justicia de EE.UU. presentó cargos contra el administrador de los grupos extorsionadores LockerGoga, MegaCortex y Nefilim. Figuraba en las listas de personas buscadas tanto por el FBI como por la Unión Europea, y sus ataques causaron millones de dólares de daños.

Las autoridades estadounidenses también incautaron más de 2,8 millones de dólares en criptomonedas, 70 000 dólares en efectivo y un coche de lujo al sospechoso de distribuir el cifrador Zeppelin. La trama delictiva incluía el robo de datos, el cifrado de archivos y la extorsión, y afectó a numerosas organizaciones de todo el mundo.

El FBI, el Servicio de Investigaciones de Seguridad Interna (HSI), el Servicio de Impuestos Internos (IRS) y las fuerzas del orden de varios otros países llevaron a cabo una operación internacional coordinada en la que se desmanteló la infraestructura del ransonware BlackSuit. Se incautaron cuatro servidores, nueve dominios y 1,09 millones de dólares en criptomonedas. La operación tenía como objetivo desestabilizar el ecosistema del software malicioso y proteger la infraestructura crítica de los Estados Unidos.

Vulnerabilidades y ataques

Ataques a SonicWall a través de SSL VPN

Desde finales de julio, los investigadores han venido registrado un aumento en el número de ataques del grupo Akira a los cortafuegos SonicWall compatibles con SSL VPN. La empresa SonicWall relaciona los incidentes con la vulnerabilidad CVE-2024-40766, ya corregida, que permitía a usuarios no autorizados acceder a los recursos del sistema. Con su ayuda, los atacantes podían robar credenciales y luego utilizarlas para acceder incluso a dispositivos ya actualizados con el parche correspondiente. Los atacantes lograban eludir la autenticación multifactor (MFA) habilitada en los dispositivos.

SonicWall recomienda cambiar todas las contraseñas y actualizar el firmware de SonicOS.

Scattered Spider hackea VMware ESXi mediante ingeniería social

El grupo Scattered Spider (UNC3944) ataca entornos virtuales VMware haciéndose pasar por empleados de la empresa. Los atacantes llaman al servicio de asistencia técnica y convencen a los empleados para que cambien la contraseña de Active Directory. Una vez que obtienen acceso a vCenter, los atacantes activan SSH en los servidores ESXi, extraen la base de datos NTDS.dit y, en la fase final del ataque, ejecutan un ransomware que cifra todas las máquinas virtuales.

Explotación de la vulnerabilidad de Microsoft SharePoint

A finales de julio, los investigadores detectaron ataques a servidores SharePoint que utilizaban la cadena de vulnerabilidades ToolShell. Durante la investigación de la campaña, que afectó a más de 140 organizaciones en todo el mundo, se descubrió el ransomware 4L4MD4R, basado en un código público conocido como Mauri870. El malware está escrito en Go y empaquetado con UPX, y exige un rescate de 0,005 BTC.

Uso de la IA en los cifradores

Un ciberdelincuente británico creó y lanzó una plataforma de ransomware como servicio (RaaS) con la ayuda del modelo de IA Claude. Este generó el código, que incorpora técnicas antidepuración, cifrado mediante los algoritmos ChaCha20 y RSA, funciones para eliminar copias de seguridad ocultas y la capacidad de cifrar archivos en redes.

Anthropic señala que el atacante dependía casi por completo de Claude, ya que no tenía los conocimientos técnicos necesarios para proporcionar asistencia técnica a sus clientes. El atacante vendía kits de software malicioso ya preparados en la dark web por entre 400 y 1200 dólares.

Además, los investigadores descubrieron un cifrador que utilizaba el modelo LLM directamente durante el ataque y lo bautizaron PromptLock. El programa está escrito en Go. A partir de prompts predefinidos, genera scripts en Lua de forma dinámica para robar y cifrar datos en sistemas Windows, macOS y Linux. Para el cifrado utiliza el algoritmo SPECK-128, poco utilizado por los cifradores.

Más adelante, los científicos de la Escuela de Ingeniería Tandon de la Universidad de Nueva York señalaron la probabilidad de que PromptLock se basara en el proyecto educativo Ransomware 3.0, descrito en su publicación.

Las agrupaciones más activas

En esta sección se presentan datos sobre los grupos de extorsión más activos por el número de víctimas añadidas a su DLS (sitio de filtración de datos). Al igual que en el trimestre anterior, el grupo más “productivo” fue Qilin, cuya cuota aumentó en 1,89 puntos porcentuales hasta alcanzar el 14,96 %. El cifrador Clop redujo su actividad, mientras que la cuota de Akira (10,02 %) tuvo un ligero aumento. El grupo INC Ransom (8,15 %), activo desde 2023, ascendió al tercer lugar.

Porcentaje de víctimas de este grupo (según datos de su sitio web DLS), del total víctimas de todos los grupos publicados en todos los sitios web DLS analizados durante el período cubierto por el informe (descargar)

Número de nuevas modificaciones

En el tercer trimestre, las soluciones de Kaspersky detectaron 4 nuevas familias y 2259 modificaciones de cifradores, casi un tercio más que en el segundo trimestre de 2025 y ligeramente más que en el mismo trimestre de 2024.

Número de nuevas modificaciones de cifradores, tercer trimestre de 2024 – tercer trimestre de 2025 (descargar)

Número de usuarios atacados por troyanos cifradores

Durante el período analizado, nuestras soluciones protegieron a 84 903 usuarios únicos contra los cifradores. La mayor actividad del software extorsionador se registró en julio, mientras que agosto fue el mes más tranquilo.

Número de usuarios únicos atacados por troyanos cifradores, tercer trimestre de 2025 (descargar)

Distribución geográfica de los ataques

TOP 10 de países y territorios atacados por troyanos cifradores

En el tercer trimestre, la mayor proporción de usuarios atacados se registró en Israel (1,42 %). La mayor parte de los troyanos cifradores en este país se detectaron en agosto mediante análisis de comportamiento.

* En los cálculos hemos excluido a los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
** Porcentaje de usuarios únicos cuyos equipos han sido atacados por troyanos cifradores, del total de usuarios únicos de productos de Kaspersky en el país o territorio.

TOP 10 de las familias de troyanos cifradores más comunes

* Porcentaje de usuarios únicos de Kaspersky que han sido víctimas de ataques de una familia concreta de troyanos extorsionadores, respecto al número total de usuarios que han sido víctimas de ataques de troyanos extorsionadores.

Criptomineros

Número de nuevas modificaciones

En el tercer trimestre de 2025, las soluciones de Kaspersky detectaron 2863 nuevas modificaciones de criptomineros.

Número de nuevas modificaciones de criptomineros, tercer trimestre de 2025 (descargar)

Número de usuarios atacados por criptomineros

En el tercer trimestre, detectamos ataques con programas criptomineros en los equipos de 254 414 usuarios únicos de productos de Kaspersky en todo el mundo.

Número de usuarios únicos atacados por criptomineros, tercer trimestre de 2025 (descargar)

Distribución geográfica de los ataques

TOP 10 de países y territorios atacados por criptomineros

* En los cálculos hemos excluido a los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
** Porcentaje de usuarios únicos cuyos equipos han sido atacados por criptomineros, del total de usuarios únicos de los productos de Kaspersky en el país o territorio.

Ataques contra macOS

En abril, los investigadores de la empresa Iru (antes Kandji) informaron sobre un nuevo programa espía llamado PasivRobber. A lo largo del tercer trimestre, nuestro equipo observó el desarrollo de esta familia. En las nuevas modificaciones aparecieron módulos ejecutables adicionales que no estaban presentes en las anteriores. Además, los atacantes comenzaron a utilizar técnicas de ofuscación para dificultar la detección de las muestras.

En julio informamos obre un criptominero que se propagaba mediante extensiones falsas del entorno de desarrollo Cursor AI para Visual Studio Code. En ese momento, el script JS malicioso descargaba la utilidad de acceso remoto ScreenConnect, a través de la cual se descargaban en el dispositivo de la víctima scripts VBS maliciosos destinados a robar criptomonedas. Más tarde, el investigador Michael Bocanegra informó sobre nuevas extensiones falsas para VSCode, en las que también se ejecutaba código JS malicioso. En esta ocasión, descargaba una carga maliciosa para macOS en forma de un cargador escrito en Rust, que a su vez instalaba un backdoor en el dispositivo de la víctima (probablemente destinado también al robo de criptomonedas) y permitía descargar módulos adicionales para recopilar información del sistema. El cargador Rust fue analizado en detalle por los investigadores de Iru.

En septiembre, los investigadores de Jamf informaron del descubrimiento de una versión hasta entonces desconocida del backdoor modular ChillyHell, descrito por primera vez en 2023. Cabe destacar que, en el momento de su descubrimiento, los archivos ejecutables del troyano estaban firmados con el certificado válido del desarrollador.

La nueva muestra estaba disponible en Dropbox desde 2021. Además de la funcionalidad de backdoor, también contiene un módulo que lleva a cabo el descifrado por fuerza bruta de las contraseñas de los usuarios existentes en el sistema.

A finales del tercer trimestre, los investigadores de Microsoft informaron que habían aparecido nuevas versiones del espía XCSSET, dirigido a los desarrolladores y que se propaga en proyectos Xcode infectados. En ellas aparecieron módulos adicionales para robar datos y afianzarse en el sistema.

TOP 20 de amenazas para macOS

Porcentaje* de usuarios únicos atacados por este malware, del total de usuarios de las soluciones de seguridad de Kaspersky para macOS atacados (descargar)

* Los datos del trimestre anterior pueden diferir un poco de los publicados en informes anteriores debido a la revisión retrospectiva de algunos veredictos.

El espía PasivRobber sigue intensificando sus actividades. Sus modificaciones ocupan los primeros puestos en la lista de los programas maliciosos más comunes para macOS. También figuran entre los más activos los troyanos Amos, dedicados al robo de contraseñas y datos de carteras criptográficas, y varias apps de publicidad. Los backdoors Backdoor.OSX.Agent.l, que ocupan el decimotercer lugar, son una variante del conocido malware de código abierto Mettle.

Distribución geográfica de las amenazas para macOS

TOP 10 de países y territorios por porcentaje de usuarios atacados

Estadísticas de amenazas para IoT

En esta sección se presentan las estadísticas de ataques a los honeypots de IoT de Kaspersky. La geolocalización del origen de los ataques se basa en las direcciones IP de los dispositivos atacantes.

En el tercer trimestre de 2025, tuvo lugar un ligero aumento de la proporción de dispositivos que atacaron las trampas de Kaspersky a través del protocolo SSH.

Distribución de los servicios atacados, según el número de direcciones IP únicas de dispositivos que lanzaron los ataques (descargar)

Por el contrario, la proporción de ataques a través del protocolo SSH disminuyó ligeramente.

Distribución de las sesiones de actividad de los ciberdelincuentes con las trampas de Kaspersky (descargar)

TOP 10 de amenazas cargadas en dispositivos IoT:

Porcentaje de amenazas específicas cargadas en un dispositivo infectado tras un ataque exitoso, del total de amenazas cargadas (descargar)

En el tercer trimestre, las proporciones de los botnets NyaDrop y Mirai.b en el total de amenazas a IoT disminuyeron de forma notable, pero aumentó la actividad de algunos otros miembros de la familia Mirai, así como del botnet Gafgyt. Al mismo tiempo, como de costumbre, la mayor parte de la lista de los programas maliciosos más comunes está ocupada por diversas variantes de Mirai.

Ataques a los honeypots de IoT

Alemania y Estados Unidos siguen “liderando” la distribución de los ataques por el protocolo SSH. También ha experimentado un ligero aumento la proporción de ataques procedentes de Panamá e Irán.

Como es habitual, la mayoría de los ataques mediante el protocolo Telnet se realizaron desde territorio chino. Los dispositivos situados en India han bajado su nivel de actividad, y la participación de ataques desde Indonesia, en cambio, se ha incrementado.

Ataques mediante páginas web

Los datos estadísticos en esta sección se basan en los veredictos de detección del antivirus web, que protege a los usuarios al momento de descargar objetos sospechosos de una página web maliciosa o infectada. Los ciberdelincuentes crean las páginas maliciosas de manera intencionada. La infección puede afectar a los recursos web donde los usuarios generan el contenido (como los foros) o sitios legítimos que han sido hackeados.

TOP 10 de países de origen de los ataques web

Estas estadísticas muestran la distribución de los ataques de Internet bloqueados por los productos de Kaspersky (páginas web con redireccionamiento a exploits, sitios web con exploits y otros programas maliciosos, centros de control de botnets, etc.) por origen geográfico. Cabe destacar que cada host único podría haber sido la fuente de uno o más ataques web.

Para determinar el origen geográfico de los ataques web, se utilizó la técnica de asignar un nombre de dominio a la dirección IP real en la que se aloja ese dominio y establecer la ubicación geográfica de esa dirección IP (GeoIP).

En el tercer trimestre de 2025, las soluciones de Kaspersky neutralizaron 389 755 481 ataques lanzados desde recursos de Internet ubicados en todo el mundo. Se registraron 51 886 619 URL únicas en las que se activó el antivirus web.

Distribución de los orígenes de ataques web por países, tercer trimestre de 2025 (descargar)

Países y territorios en los que los usuarios estuvieron más expuestos al riesgo de infección a través de Internet

Para evaluar el grado de riesgo de infección por programas maliciosos a través de Internet al que están expuestos los equipos en diferentes países y territorios del mundo, hemos calculado para cada uno de ellos la proporción de usuarios de productos de Kaspersky en cuyos equipos ocurrieron reacciones del antivirus web durante el período del informe. Los datos obtenidos indican la agresividad del entorno en el que funcionan los equipos en diferentes países y territorios.

Cabe señalar que en este ranking solo se toman en cuenta los ataques con objetos maliciosos de la clase Malware. En los cálculos, hemos excluido las activaciones del antivirus web ante programas potencialmente peligrosos y no deseados, como RiskTool y el software publicitario.

* En los cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos que han sido víctimas de ataques de objetos maliciosos de clase Malware, respecto al total de usuarios únicos de productos de Kaspersky en el país o territorio.

En promedio, durante el trimestre, el 4,88 % de los dispositivos del mundo sufrieron al menos un ataque web de la clase Malware.

Amenazas locales

La estadística de las infecciones locales en las computadoras de los usuarios es un indicador importante. Aquí se incluyen los objetos que llegaron al dispositivo mediante archivos infectados o medios extraíbles, o que no fueron introducidos de forma explícita por el usuario (por ejemplo, componentes integrados en instaladores legítimos, archivos cifrados recibidos por correo, etc.).

En esta sección analizamos los datos estadísticos obtenidos a partir del funcionamiento del antivirus, que escanea los archivos del disco duro en el momento de su creación o acceso, así como los datos del escaneo de diversos soportes de información extraíbles: memorias USB, tarjetas de memoria de cámaras fotográficas, teléfonos, discos duros externos. La estadística se basa en los veredictos de detección de los módulos OAS (on-access scan) y ODS (on-demand scan) del antivirus de archivos.

En el tercer trimestre de 2025, nuestro antivirus de archivos detectó 21 356 075 objetos maliciosos y potencialmente no deseados.

Países y territorios en los que los equipos de los usuarios estuvieron expuestos a un mayor riesgo de infección local

Para cada uno de los países y territorios, calculamos la proporción de usuarios de productos de Kaspersky que experimentaron la activación del antivirus de archivos durante el período de informe. Esta estadística refleja el nivel de infección de las computadoras personales en diferentes países y territorios del mundo.

Cabe destacar que en esta clasificación solo se tienen en cuenta los ataques de objetos maliciosos de la clase Malware. En los cálculos, hemos excluido las activaciones del antivirus de archivos en programas potencialmente peligrosos o no deseados, como RiskTool y el software publicitario.

*En nuestros cálculos, hemos excluido los países donde el número de usuarios de Kaspersky es relativamente pequeño (menor a 10 000).
**Porcentaje de usuarios únicos en cuyos equipos se bloquearon amenazas locales de la clase Malware, del total de usuarios de productos de Kaspersky en el país.

En promedio, en todo el mundo, al menos una vez durante el tercer trimestre se registraron amenazas locales de clase Malware en el 12,36 % de los equipos.