Durante el segundo trimestre de 2025, el phishing representó un tercio de los accesos iniciales a sistemas, mientras que los incidentes de ransomware y pre-ransomware alcanzaron el 50 % de todos los ataques

Durante el segundo trimestre de 2025, el phishing continuó siendo el principal método de acceso inicial, presente en un tercio de todos los incidentes, lo que representa un descenso respecto al 50 % del trimestre anterior.

Los actores maliciosos explotaron cuentas de correo electrónico internas o de socios comerciales comprometidas en el 75 % de los ataques de phishing, enviando correos maliciosos para evadir controles de seguridad y ganar confianza de los objetivos.

La mayoría de los ataques de phishing se orientaron a la recopilación de credenciales, lo que indica que su venta es considerada más sencilla y rentable que actividades posteriores como el fraude financiero o el robo de datos privados.

Los incidentes de ransomware y pre-ransomware representaron el 50 % de los ataques en este trimestre, igual que en el trimestre anterior.

Cisco Talos Incident Response identificó por primera vez el ransomware Qilin y Medusa, y respondió a Chaos. La actividad de Qilin mostró posible expansión del grupo o aumento de ritmo operativo. El grupo patrocinado por el Estado norcoreano Moonstone Sleet desplegó Qilin en febrero de 2025, y afiliados del ransomware RansomHub se integraron al grupo tras la desconexión del sitio de filtración de datos de RansomHub en abril de 2025. Los autores de ransomware utilizaron PowerShell 1.0 en un tercio de los incidentes, versión anterior a la 7.4, para evadir detección y aumentar la flexibilidad ofensiva.

El sector educativo fue el más atacado en este trimestre, en contraste con el trimestre anterior, coincidiendo con un patrón observado en 2024 durante los meses de abril a junio. El phishing, seguido del uso de cuentas válidas comprometidas, explotación de aplicaciones públicas y ataques de fuerza bruta, fue el medio más utilizado para obtener acceso inicial.

Más del 40 % de los casos estuvieron relacionados con problemas de autenticación multifactor (MFA), incluyendo configuraciones incorrectas, falta de MFA o elusión mediante dispositivos controlados por los atacantes, permitiendo establecer persistencia.

Un 25% de los incidentes afectó a organizaciones con capacidades insuficientes de registro centralizado, dificultando la investigación forense y la remediación. Para mitigar este riesgo, se recomienda implementar soluciones SIEM, firewall de aplicaciones web y registro de flujos en todos los endpoints para monitoreo en tiempo real.

En un cuarto de los incidentes se evidenció manipulación de soluciones de seguridad de endpoints (EDR), permitiendo a los atacantes desactivar defensas. Se recomienda proteger las soluciones EDR con contraseñas de agente, personalizar configuraciones y aplicar controles adicionales más allá de los ajustes predeterminados para mantener la integridad de la defensa.