Exploits y vulnerabilidades en el cuarto trimestre de 2025

El cuarto trimestre de 2025 fue uno de los más saturados en cuanto a la cantidad de publicaciones de vulnerabilidades críticas de alto perfil que se encontraron en bibliotecas y aplicaciones. En este contexto, los delincuentes no tardaron en comenzar a explotar algunas de estas vulnerabilidades.

En este informe analizamos las estadísticas de vulnerabilidades y exploits publicados, así como las vulnerabilidades conocidas que se utilizaron con los frameworks C2 más populares durante el cuarto trimestre de 2025.

Estadísticas de vulnerabilidades registradas

Esta sección contiene estadísticas sobre las vulnerabilidades registradas. Los datos se obtuvieron del portal cve.org.

A continuación, se analiza la cantidad de CVE registrados por mes durante los últimos 5 años, hasta finales de 2025 inclusive. Tal como lo anticipamos en el informe anterior, en el cuarto trimestre se registraron más vulnerabilidades que en el mismo período de 2024, y los totales anuales también superaron los del año anterior.

Número total de vulnerabilidades publicadas cada mes, de 2021 a 2025 (descargar)

A continuación, se analiza la cantidad de nuevas vulnerabilidades críticas (CVSS > 8,9) durante el mismo período.

Número total de vulnerabilidades críticas publicadas cada mes, de 2021 a 2025 (descargar)

El gráfico muestra que la cantidad de vulnerabilidades críticas sigue siendo considerable; sin embargo, en la segunda mitad del año se registró una reducción hasta los niveles de 2023. Esto se debió a la rotación de vulnerabilidades: algunos problemas de seguridad publicados fueron retirados. Además, la adopción generalizada de prácticas de desarrollo seguro y el uso de lenguajes de programación más seguros influyeron en la cantidad de nuevas vulnerabilidades críticas, aunque esto no logró resolver el problema del volumen total de vulnerabilidades.

Estadísticas sobre la explotación de vulnerabilidades

La sección contiene estadísticas sobre el uso de exploits durante el cuarto trimestre de 2025. Los datos se obtuvieron de fuentes de acceso público y mediante nuestra telemetría.

Explotación de vulnerabilidades en Windows y Linux

En el cuarto trimestre de 2025, los exploits más frecuentes correspondieron a las mismas vulnerabilidades que se utilizaron con mayor frecuencia en ataques durante el resto del año. Se trata de exploits en productos de Microsoft Office con problemas de seguridad sin corregir.

Las soluciones de Kaspersky detectaron la mayor cantidad de exploits para las siguientes vulnerabilidades de la plataforma Windows:

• CVE-2018-0802: vulnerabilidad de ejecución remota de código en el componente Equation Editor.
• CVE-2017-11882: otra vulnerabilidad de ejecución remota de código que también afecta a Equation Editor;
• CVE-2017-0199: vulnerabilidad en Microsoft Office y WordPad que permite a un atacante tomar el control del sistema.

Esta lista se mantiene sin cambios desde hace varios años.

También observamos que los actores maliciosos continúan adaptando exploits para vulnerabilidades de path traversal (CWE-35) al descomprimir archivos en WinRAR. Se utilizan para obtener acceso inicial mediante archivos maliciosos en el sistema operativo Windows:

• CVE-2023-38831: vulnerabilidad que consiste en el procesamiento incorrecto de objetos que se encuentran dentro de un archivo comprimido;
• CVE-2025-6218 (anteriormente ZDI-CAN-27198): vulnerabilidad que permite especificar una ruta relativa y descomprimir archivos en un directorio arbitrario. Esto puede llevar a la ejecución de comandos maliciosos. Dimos más información sobre esta vulnerabilidad en el informe del segundo trimestre de 2025;
• CVE-2025-8088: vulnerabilidad analizada en el informe anterior, similar a CVE-2025-6218. Como mecanismo para eludir el control del directorio de descompresión, los actores maliciosos utilizaron NTFS Streams.

Al igual que en el trimestre anterior, observamos un aumento en el uso de exploits para archivadores, y los ataques aprovechan con mayor frecuencia vulnerabilidades recientes.

A continuación, se muestra la dinámica de detección de exploits en sistemas Windows durante los últimos dos años.

Evolución del número de usuarios de Windows que se enfrentaron a exploits, Q1 2024–Q4 2025. Se toma como 100% el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2024 (descargar)

Las vulnerabilidades mencionadas pueden utilizarse para obtener acceso inicial a un sistema vulnerable. Esto subraya la importancia de aplicar actualizaciones de manera oportuna para el software correspondiente.

En dispositivos con Linux, los exploits detectados con mayor frecuencia correspondieron a las siguientes vulnerabilidades:

• CVE-2022-0847: vulnerabilidad conocida como Dirty Pipe, que permite elevar privilegios e interceptar el control de aplicaciones en ejecución;
• CVE-2019-13272: vulnerabilidad de manejo incorrecto de privilegios heredados, que puede utilizarse para elevar privilegios;
• CVE-2021-22555: vulnerabilidad de desbordamiento de montículo (heap overflow) en el subsistema del núcleo Netfilter.
• CVE-2023-32233: otra vulnerabilidad en el subsistema Netfilter que permite crear condiciones de Use-After-Free y elevar privilegios mediante el procesamiento incorrecto de solicitudes de red.

Evolución del número de usuarios de Linux que encontraron exploits, Q1 2024–Q4 2025. Se toma como 100% el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2024 (descargar)

Observamos un crecimiento notable en la cantidad de ataques con exploits para Linux: en el cuarto trimestre, el doble de usuarios se vio afectado en comparación con el tercero. Nuestras estadísticas muestran que el último trimestre del año concentró más de la mitad de todos los ataques con exploits para Linux respecto al total anual. La principal causa de este aumento es el rápido crecimiento del número de dispositivos con Linux. Cabe señalar que esto atrae la atención de los actores maliciosos, por lo que la instalación de parches de seguridad es de importancia crítica.

Los exploits publicados más difundidos

La distribución de exploits publicados por tipo de software en el cuarto trimestre de 2025 es en gran medida similar a la del trimestre anterior. La mayor cantidad de exploits que analizamos en el marco del monitoreo de investigaciones públicas, noticias y PoC sigue correspondiendo a vulnerabilidades en sistemas operativos.

Distribución de exploits publicados por plataforma, Q1 2025 (descargar)

Distribución de exploits publicados por plataforma, Q2 2025 (descargar)

Distribución de exploits publicados por plataforma, Q3 2025 (descargar)

Distribución de exploits publicados por plataforma, Q4 2025 (descargar)

En el cuarto trimestre de 2025 no aparecieron exploits públicos para productos de Microsoft Office, pero se detectaron problemas en componentes del sistema que constituyen la mayor parte de las vulnerabilidades. Para el cálculo de estadísticas, los clasificamos en la categoría “SO”.

Uso de vulnerabilidades en ataques APT

Analizamos qué vulnerabilidades se utilizaron en ataques APT durante el cuarto trimestre de 2025. La clasificación presentada a continuación incluye datos obtenidos gracias a nuestra telemetría, investigaciones y fuentes abiertas.

TOP 10 de vulnerabilidades explotadas en ataques APT, Q4 2025 (descargar)

En el cuarto trimestre de 2025, los ataques APT explotaron con mayor frecuencia vulnerabilidades recientes publicadas en los últimos seis meses. Consideramos que estos CVE se convertirán en favoritos de los actores maliciosos por un tiempo prolongado, ya que su corrección puede requerir cambios estructurales significativos en las aplicaciones o sistemas afectados. Con frecuencia, la sustitución o actualización de los componentes afectados requiere una cantidad considerable de recursos; por lo tanto, la probabilidad de ataques a través de estas vulnerabilidades puede mantenerse durante un período prolongado. Es muy probable que algunas nuevas vulnerabilidades se conviertan en una herramienta frecuente para desarrollar ataques dentro de la infraestructura de los usuarios, ya que se han detectado problemas de seguridad en los servicios de red disponibles sin autenticación. Esta explotación activa de vulnerabilidades registradas hace muy poco tiempo evidencia que los actores maliciosos son capaces de aplicar nuevas técnicas con mucha rapidez, y adaptar las antiguas en sus ataques. Por ello, recomendamos encarecidamente aplicar los parches de seguridad proporcionados por los proveedores.

Frameworks C2

En esta sección analizaremos los frameworks C2 más populares utilizados por atacantes y las vulnerabilidades y exploits que interactuaron con agentes C2 en ataques APT.

El gráfico a continuación muestra la frecuencia de casos conocidos de uso de C2-frameworks en ataques a usuarios durante el cuarto trimestre de 2025, según fuentes abiertas.

TOP 10 de frameworks C2 utilizados por APT para comprometer sistemas de usuarios, Q4 2025 (descargar)

El primer lugar en la lista de C2-frameworks más utilizados sigue siendo Sliver, a pesar de la gran cantidad de rastros que puede dejar cuando se usa en su configuración estándar. En segundo y tercer lugar se encuentran Mythic y Havoc, respectivamente. Analizamos fuentes abiertas, examinamos muestras de agentes C2 maliciosos que contienen exploits y determinamos que en los ataques APT con los C2-frameworks mencionados se utilizaron las siguientes vulnerabilidades:

• CVE-2025-55182: vulnerabilidad React2Shell en React Server Components, que permite a un usuario no autorizado enviar comandos directamente al servidor y ejecutarlos desde la memoria;
• CVE-2023-36884: vulnerabilidad en el componente Búsqueda de Windows que permite ejecutar comandos en el sistema eludiendo los mecanismos de protección integrados en las aplicaciones de Microsoft Office;
• CVE-2025-53770: vulnerabilidad de deserialización insegura en Microsoft SharePoint que permite ejecutar comandos en el servidor sin autenticación;
• CVE-2020-1472: vulnerabilidad conocida como Zerologon, que permite comprometer un controlador de dominio vulnerable y ejecutar comandos con privilegios de usuario elevados;
• CVE-2021-34527: vulnerabilidad conocida como PrintNightmare, que aprovecha deficiencias en el subsistema de impresión de Windows y permite acceder de forma remota al sistema operativo vulnerable y ejecutar comandos con altos privilegios;
• CVE-2025-8088 y CVE-2025-6218: vulnerabilidades similares de path traversal que permiten descomprimir archivos de un archivo comprimido en una ruta predefinida, sin que el archivador muestre ningún mensaje al usuario.

El conjunto de vulnerabilidades descrito permite determinar que los actores maliciosos las utilizaron para iniciar el ataque y realizar acciones iniciales en los sistemas vulnerables, creando las condiciones para el lanzamiento del agente C2. Entre las vulnerabilidades hay tanto zero-days como problemas de seguridad bastante conocidos.

Vulnerabilidades interesantes

Esta sección contiene las vulnerabilidades más relevantes publicadas en el cuarto trimestre de 2025 que cuentan con una descripción disponible al público.

React2Shell (CVE-2025-55182): vulnerabilidad en React Server Components

Por lo general, describimos vulnerabilidades que afectan a una aplicación específica. La vulnerabilidad CVE-2025-55182 fue una excepción, ya que fue descubierta en la biblioteca React para el desarrollo de aplicaciones web. Esto significa que la explotación de la vulnerabilidad podría afectar potencialmente a una gran cantidad de aplicaciones que utilizan la biblioteca. La vulnerabilidad en sí se encuentra en el mecanismo de interacción entre el cliente y el servidor, que se basa en el envío de objetos serializados. Si un actor malicioso envía datos serializados con funcionalidad maliciosa, puede ejecutar comandos en JavaScript directo en el servidor, sin validación de la solicitud por parte del cliente. Los detalles técnicos sobre esta vulnerabilidad y un ejemplo de detección por parte de las soluciones de Kaspersky se pueden encontrar en nuestro artículo.

CVE-2025-54100: inyección de comandos al ejecutar el comando curl (Invoke-WebRequest)

Vulnerabilidad que consiste en el procesamiento incorrecto de datos al recibirlos desde un servidor remoto: al ejecutar el comando curl o Invoke-WebRequest, Windows inicia Internet Explorer en segundo plano. Esto puede derivar en un ataque de tipo cross-site scripting (XSS).

CVE-2025-11001: vulnerabilidad en 7-Zip

Esta vulnerabilidad refuerza la tendencia de explotación de problemas de seguridad encontrados en archivadores. La esencia de CVE-2025-11001 radica en el procesamiento incorrecto de enlaces simbólicos. Un actor malicioso puede crear un archivo comprimido de tal manera que, al descomprimirlo en un directorio arbitrario, el contenido del archivo quede donde apunta el enlace simbólico. La probabilidad de explotación de esta vulnerabilidad se reduce considerablemente, ya que para utilizar dicha funcionalidad es necesario que el usuario que abre el archivo comprimido tenga derechos de administrador del sistema.

Con esta vulnerabilidad se asocia una ola de noticias erróneas sobre su uso en ataques reales contra sistemas de usuarios: el malentendido surgió por un error en el boletín de seguridad.

RediShell (CVE-2025-49844): vulnerabilidad en Redis

El año 2025 fue prolífico en vulnerabilidades de alto perfil con nombre propio. Una de ellas fue CVE-2025-49844, también conocida como RediShell, que fue descubierta durante una competencia. Esta vulnerabilidad es un problema de Use-After-Free relacionado con el funcionamiento del comando load en scripts del intérprete Lua. Para llevar a cabo el ataque, al actor malicioso le basta con preparar un script malicioso y cargarlo en el intérprete.

Como cualquier vulnerabilidad con nombre propio, RediShell fue adoptada de inmediato por actores maliciosos y spammers, aunque de una manera algo inusual. Dado que inicialmente se publicaron en la red datos incompletos sobre la naturaleza de la vulnerabilidad, Internet se inundó de PoC y escáneres falsos que ofrecían verificar la posibilidad de explotación. Sin embargo, en el mejor de los casos estos “escáneres” no hacían nada, y en el peor infectaban el sistema. Cabe destacar que estos proyectos fueron generados y presentados con mayor frecuencia mediante LLM. Utilizaban una plantilla uniforme y citaban como código fuente otras fuentes falsas similares.

CVE-2025-24990: vulnerabilidad en el controlador ltmdm64.sys

Con frecuencia, las vulnerabilidades en controladores se publican para aplicaciones legítimas de terceros incluidas en la distribución oficial del SO, escritas por desarrolladores hace bastante tiempo. Así, la vulnerabilidad CVE-2025-24990 existió en la distribución de Microsoft durante casi toda la historia del desarrollo del SO Windows. El controlador vulnerable se incluía en el SO desde al menos Windows 7 como controlador de terceros para trabajar con Agere Modem. Según el propio Microsoft, este controlador no tiene soporte y, tras identificarse la vulnerabilidad, simplemente fue excluido de la distribución.

La vulnerabilidad es bastante simple: procesamiento inseguro de códigos IOCTL y posterior desreferenciación de puntero nulo (Null Pointer Dereference). Las consecuencias de la explotación pueden incluir la ejecución de comandos maliciosos o, por ejemplo, la aparición de una “pantalla azul de la muerte” (BSOD) en sistemas modernos.

CVE-2025-59287: vulnerabilidad en los servicios WSUS de Microsoft Windows

CVE-2025-59287 representa la variante más simple de deserialización insegura. La explotación es posible sin autenticación; debido a la simplicidad de su uso, esta vulnerabilidad adquirió popularidad muy rápido entre los actores. Los detalles técnicos y los métodos de detección usados por nuestros productos ya fueron descritos en artículos anteriores.

Conclusiones y recomendaciones

En el cuarto trimestre de 2025, las tendencias de registro de vulnerabilidades mantienen su ritmo, por lo que el monitoreo continuo y la aplicación oportuna de parches son tareas cada vez más importantes. Para garantizar una protección estable, resulta crítico evaluar y remediar de forma regular las vulnerabilidades conocidas, así como implementar tecnologías capaces de reducir las consecuencias de su posible explotación.

El monitoreo constante del estado de la infraestructura, incluido el perímetro, permite identificar amenazas con rapidez y prevenir su desarrollo. Una protección eficaz también implica el seguimiento de las amenazas actuales y la aplicación de medidas proactivas para minimizar los riesgos asociados a las deficiencias en los sistemas. El instrumento Kaspersky Next actúa como un socio confiable en este proceso, porque proporciona la identificación oportuna y la descripción detallada de las vulnerabilidades en la infraestructura.

La seguridad de los puestos de trabajo sigue siendo una prioridad: la protección de los dispositivos corporativos requiere la implementación de soluciones capaces de bloquear programas maliciosos y prevenir su propagación. Además de las medidas básicas, las empresas deben implementar sistemas adaptativos que permitan aplicar actualizaciones de seguridad con rapidez y automatizar el manejo de parches.