Aumenta 171% el malware único total en 2025, revela WatchGuard

Las detecciones de malware único total aumentaron 171 % de trimestre a trimestre durante el primer cuarto de 2025, dio a conocer el más reciente Internet Security Report de WatchGuard Technologies, el incremento más alto registrado por el Threat Lab de la empresa. Esto, combinado con un incremento significativo en malware de Día Cero Zero, señala un fuerte aumento en amenazas evasivas diseñadas para evitar la detección basada en firmas, es decir, los sistemas de seguridad tradicionales que dependen de patrones para detectar amenazas, afirmaron desde la empresa.

El reporte también destacó que el malware que utiliza cifrado TLS subió 11 puntos, subrayando que los canales cifrados se han convertido en vectores de ataque prioritarios. Esto, junto con el aumento de la detección proactiva mediante aprendizaje automático (ML), demuestran la creciente confianza de los atacantes en la ofuscación y el cifrado, lo que representa un desafío significativo para las defensas de seguridad tradicionales.

De acuerdo con WatchGuard, estos hallazgos resaltan la urgencia de mejorar la visibilidad y adoptar medidas de seguridad adaptativas para contrarrestar estas amenazas avanzadas y sigilosas a gran escala.

Adicionalmente, el Threat Lab también observó un aumento del 712 % en nuevas amenazas de malware en endpoints, lo que llama la atención pues las amenazas de malware nuevo habían mostrado una disminución constante durante los últimos tres trimestres. La amenaza de malware más común en endpoints fue LSASS dumper, un ladrón de credenciales utilizado para tareas como iniciar sesión en sistemas, gestionar contraseñas y crear tokens de acceso. Los atacantes explotan LSASS para acceder a componentes del sistema, evitando el modo usuario y ejecutando instrucciones directas en modo kernel.

“Los hallazgos más recientes del Informe de Seguridad en Internet del Q1 2025 parecen confirmar una tendencia más amplia en la industria de la ciberseguridad: la guerra con IA ya está aquí. Los atacantes dependen cada vez más de técnicas de ingeniería social y phishing potenciadas por herramientas de IA”, afirmó Corey Nachreiner, director de Seguridad de WatchGuard Technologies. “Ahora tienen la capacidad de lanzar campañas altamente dirigidas a escala mediante pipelines automatizados, lo que enfatiza la necesidad de que las organizaciones adopten medidas de seguridad sólidas, precisas y poderosas para adelantarse a los avances en IA y los riesgos cibernéticos en evolución”.

Otros hallazgos clave del informe

El reporte de WatchGuard Technologies encontró que el ransomware disminuyó 85 % respecto al trimestre anterior, aunque la segunda amenaza más detectada fue una carga útil de ransomware: Termite ransomware. Esto respalda la tendencia de la industria de una baja en ransomware de cifrado, ya que los atacantes están optando por el robo de datos en lugar del cifrado, dada la mejora en respaldos y recuperación.

También se encontró que los scripts (archivos derivados de lenguajes de programación de scripts) disminuyeron aproximadamente a la mitad este trimestre, su nivel más bajo registrado, a pesar de que, históricamente, el Threat Lab los ha observado como el vector de ataque número uno para detecciones de malware en endpoints. Otras técnicas LoTL (Living off the Land), como el uso de comandos de Windows, mostraron el mayor incremento trimestre a trimestre con un 18 %, llenando el vacío que dejaron los scripts.

En cuanto al malware más detectado sobre conexiones cifradas, ese fue Trojan.Agent.FZPI, un nuevo archivo HTML malicioso que combina archivos aparentemente legítimos con comunicación cifrada. Esta amenaza reúne varias técnicas empleadas por actores maliciosos en los últimos años en un solo super archivo de phishing. Las organizaciones deben implementar una inspección TLS robusta, análisis de comportamiento y protección en endpoints para detectar y neutralizar esta amenaza, recomendaron desde WatchGuard.

Además, en el primer trimestre de 2025, el malware más difundido fue Application.Cashback.B.0835E4A4, una nueva amenaza identificada entre las familias de malware más prevalentes jamás registradas, con mayor impacto en Chile (76 %) y luego en Irlanda (65 %). La alta prevalencia de variantes de Application.Cashback señala la necesidad de defensas específicas por región para enfrentar amenazas tan sofisticadas.

La cantidad única de firmas de red activadas –es decir, ataques conocidos detectados en redes– disminuyó un 16 % respecto al trimestre anterior, ya que los atacantes se concentraron en un conjunto más reducido de exploits. El panorama de ataques de red demuestra que, aunque surgen nuevos exploits, los atacantes continúan explotando vulnerabilidades heredadas sin parches a gran escala, obligando a las organizaciones a abordar ambos frentes a la vez.

El análisis igualmente mostró que las amenazas de malware están surgiendo con mayor frecuencia vía correo electrónico que desde la web, lo cual sugiere que los actores de amenaza están recurriendo a técnicas tradicionales de phishing, aprovechando que la IA facilita la creación de mensajes de spear phishing cada vez más creíbles. Sin embargo, las herramientas basadas en IA y aprendizaje automatizado están detectando significativamente más amenazas en la periferia de red y terminales.

El Internet Security Report de WatchGuard Technologies se basa en un análisis trimestral que detalló las principales amenazas de seguridad en malware, red y endpoints observadas por los investigadores de su laboratorio Threat Lab durante el primer trimestre de 2025.