En un reciente informe de Cisco Talos, se ha revelado que los ataques de 'ransomware' han experimentado una notable disminución en el tercer trimestre de 2025. Sin embargo, este descenso no oculta el alarmante aumento en las explotaciones de aplicaciones públicas, las cuales han llegado a representar el 60 por ciento de los incidentes reportados durante este periodo. La Administración Pública se posiciona como el sector más vulnerable, siendo objeto de la mayoría de estos ciberataques.

Los autores del informe señalan que los incidentes de 'ransomware' constituyeron alrededor del 20 por ciento de los casos, una reducción significativa comparado con el 50 por ciento del trimestre anterior. No obstante, los expertos advierten que este descenso podría ser temporal, ya que el 'ransomware' continúa siendo una de las amenazas más persistentes para las empresas y organizaciones.

Durante este análisis, Cisco Talos detectó la aparición de tres nuevas variantes de 'ransomware': Warlock, Babuk y Kraken, además de volver a identificar amenazas previamente conocidas como Qilin y LockBit. Un ataque digno de mención fue atribuido al grupo Storm-2603, que presuntamente opera desde China. Este grupo utilizó una herramienta de seguridad legítima llamada Velociraptor, que les permitió espiar ordenadores y redes con el fin de recopilar información, vigilar actividades y mantener el control tras su infiltración.

El informe también destaca el alarmante auge en la explotación de aplicaciones públicas, que pasó del 10 por ciento en el trimestre anterior al resplandeciente 60 por ciento en el último periodo analizado. Según el documento, este crecimiento se debe en gran parte a una serie de ataques que aprovechan vulnerabilidades recientemente descubiertas en servidores de Microsoft SharePoint. La primera explotación registrada se realizó un día antes de que Microsoft emitiera su aviso correspondiente, y los incidentes más significativos ocurrieron en los diez días siguientes.

Además, aproximadamente el 15 por ciento de los incidentes que tuvieron lugar en este trimestre involucraron infraestructuras que no habían sido parcheadas, lo que enfatiza la crucial necesidad de aplicar actualizaciones de seguridad de forma rápida y de implementar estrategias de segmentación en la defensa cibernética.

Otro hallazgo significativo es que casi un tercio de los incidentes analizados fueron gestionados por atacantes que lograron eludir o explotar la autenticación multifactor (MFA). Muchos de estos ataques utilizaron tácticas como el 'bombardeo de MFA', que abrumaba a los usuarios con solicitudes de inicio de sesión, además de aprovechar debilidades en la configuración de la MFA misma.

Por primera vez, desde que Cisco Talos comenzó su estudio en 2021, las entidades gubernamentales, en especial las administraciones locales, han destacado como los blancos más frecuentes de los ciberataques. Estas organizaciones son responsables de ofrecer servicios esenciales como educación y atención médica, pero frecuentemente se enfrentan a limitaciones presupuestarias y a tecnología desactualizada, lo que las convierte en objetivos atractivos para grupos adversarios con motivaciones financieras, así como actores de amenazas relacionados con grupos APT afines a Rusia.