Lumu, la compañía de ciberseguridad pionera en Continuous Compromise Assessment®, publicó hoy su Compromise Report 2025, en el que identifica tres tendencias clave en ciberseguridad: nuevas técnicas de phishing, un aumento en ciertas formas de malware y técnicas de evasión cada vez más sofisticadas, como el uso de anonymizers (herramientas que ocultan la identidad o ubicación del atacante) y droppers (programas diseñados para instalar malwares).
El informe también destaca un aumento en los ataques dirigidos a cuatro sectores esenciales: Educación, Gubernamental, Finanzas y Salud. Entre ellos, el sector gubernamental y educativo fue el más afectado, concentrando el 60% de los ataques anónimos registrados, el 50% de los ataques con droppers y el 70% de los ataques con ransomware.
‘El panorama actual de la ciberseguridad es un campo de batalla en constante cambio. Desafortunadamente, la evasión ya no es la excepción, se está convirtiendo rápidamente en la norma. Para que las organizaciones puedan defenderse eficazmente ante una avalancha constante de amenazas, deben comprender mejor cómo están evolucionando sus adversarios y sus tácticas’, dijo Ricardo Villadiego, fundador y CEO de Lumu. ‘Nuestro último informe revela información esencial sobre las tácticas, técnicas y procedimientos que los atacantes están empleando para evadir incluso las defensas más sólidas, y subraya la necesidad de una detección continua, una base tecnológica bien integrada y una inteligencia siempre actualizada’.
El reporte señala que los atacantes se están volviendo más hábiles para evadir los controles de seguridad, aprovechando técnicas como Living-off-the-Land (LotL) y explotando a los drivers vulnerables. Los anonymizers y los droppers también se utilizan para ocultar las acciones de los atacantes, al mismo tiempo que entregan softwares dañinos.
Los malwares también están mejorando para evadir la detección. Los cibercriminales están recurriendo cada vez más a los infostealers, que emplean ejecución sin archivos (fileless) y técnicas de ofuscación para robar una variedad más amplia de datos, abriendo así el camino para ataques de ransomware y otros incidentes. También están evolucionando los ataques de phishing, en los que los delincuentes usan IA para generar correos polimórficos (polymorphic phishing, correos que cambian constantemente su forma o contenido para evitar ser detectados por sistemas de seguridad), explotan la fatiga del uso de autenticación multifactor (MFA) y emplean quishing, una modalidad de phishing que utiliza códigos QR para engañar a los usuarios.
El informe incluye un estudio de caso en profundidad sobre Lumma Stealer, un tipo común de infostealer que actualmente encabeza la lista de malware más detectado. Representa más del 25% de los ataques de infostealer registrados a nivel mundial.
Otros hallazgos clave incluyen:
- SocGholish lidera entre las familias de droppers a nivel mundial con un 66,3% de los casos, seguido por QakBot (14%) y ClearFake (5,6%).
- Los infostealers han permanecido como una de las principales tendencias de malware a lo largo de 2024 y hasta 2025. Sin embargo, han evolucionado más allá del robo básico de credenciales. Ahora, los infostealers utilizan técnicas más avanzadas para eludir las soluciones de EDR (Endpoint Detection and Response), lo que les permite evitar ser detectados y mejorar su capacidad para robar información sensible. Siendo el Gobierno uno de sus grupos foco, con el 19,2% de ataques, seguido por el 18,2 % del sector financiero.
- Las nuevas técnicas de ataque de phishing, como el falso CAPTCHA, el phishing polimórfico impulsado por IA y el quishing o phishing QR, van en aumento.
- Si bien se detectaron intentos de phishing en todos los sectores, los servicios esenciales, como la educación, las asociaciones y organizaciones sin fines de lucro, el gobierno, las empresas de TI y software, las finanzas y la atención médica, fueron los objetivos más populares.
- La evasión de la defensa es la táctica de MITRE más utilizada en los incidentes cibernéticos en la actualidad.
- Los atacantes utilizan tácticas de ejecución para desplegar software malicioso en sistemas comprometidos, siendo la técnica más común el archivo malicioso (T1204.002).
Para leer una copia completa del informe, visite este link. Para obtener más información sobre las soluciones de ciberseguridad líderes en la industria de Lumu, visite lumu.io.
