.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
El equipo de investigación de la Counter Threat Unit™ (CTU) analiza las amenazas de seguridad para ayudar a las organizaciones a proteger sus sistemas. Basándose en las observaciones realizadas en septiembre y octubre, los investigadores de la CTU identificaron los siguientes problemas y cambios destacados en el panorama global de amenazas:
- Los EDR killers suponen una amenaza
- La configuración es importante
- Los infostealers siguen siendo los principales precursores del ransomware
Los EDR killers suponen una amenaza
Una buena higiene de seguridad podría impedir que los actores maliciosos desactiven las detecciones de los endpoints.
Los investigadores de CTU investigaron un incidente de ransomware Chaos durante el cual los atacantes pudieron «desactivar» la protección de detección y respuesta de endpoint (EDR) en el sistema comprometido. Chaos es una variante emergente de ransomware que se observó por primera vez a principios de 2025 y parece ser una continuación directa de las familias de ransomware Royal y BlackSuit.
Neutralizar las soluciones de seguridad de los endpoint podría permitir a los actores maliciosos evitar la detección mientras llevan a cabo su ataque y despliegan sus cargas útiles. Las herramientas con estas capacidades están a la venta en foros clandestinos. Pueden utilizarse en ataques Bring Your Own Vulnerable Driver (BYOVD), en los que un actor malicioso instala un driver en el sistema de la víctima y luego aprovecha una vulnerabilidad conocida en el driver para llevar a cabo actividades posteriores al compromiso. Es posible que existan otras herramientas que ofrezcan la misma funcionalidad como parte de marcos de pruebas de penetración o como herramientas de código abierto en GitHub. Cada vez son más sofisticadas y se incorporan cada vez más al arsenal de ataques de los grupos de ransomware. Hay pruebas de que varios grupos comparten y personalizan herramientas eficaces.
Sophos ha desarrollado detecciones y reglas de protección del comportamiento que pueden identificar y detener este tipo de evasión de la defensa. Una buena higiene de seguridad también proporciona una línea de defensa adicional. En general, estas herramientas solo pueden utilizarse de forma eficaz si los atacantes han podido escalar privilegios y obtener derechos de administrador. La separación estricta de los derechos de administrador y de usuario puede ayudar a proteger contra los actores maliciosos que cargan este tipo de controladores y herramientas.
 | Qué debes hacer Habilita la protección contra manipulaciones si tu sistema EDR la ofrece. |
La configuración es importante
Unos sencillos cambios en la configuración pueden suponer importantes mejoras en la seguridad.
Varios incidentes reforzaron la idea de que los actores maliciosos aprovechan las características nativas del sistema si no se implementan las medidas defensivas adecuadas. Por ejemplo, en septiembre, los atacantes continuaron utilizando la función Direct Send de Microsoft 365 para enviar correos electrónicos de phishing que parecían provenir de las organizaciones de las víctimas. Las impresoras, los escáneres y otros dispositivos utilizan Direct Send para enviar mensajes en nombre de una organización, pero su falta de autenticación lo deja expuesto a abusos. Estos correos electrónicos invitaban a las víctimas a revisar su información salarial con el objetivo de capturar las credenciales de los usuarios.
Según Microsoft, el uso seguro de Direct Send supone que los clientes han configurado correctamente los protocolos de seguridad del correo electrónico de Microsoft Exchange con el fin de evitar la suplantación de identidad en el correo electrónico. Pero eso no siempre ocurre. Además de una configuración adecuada, los clientes pueden seguir las instrucciones de Microsoft para introducir un mayor control sobre Direct Send o pueden desactivarlo por completo.
Los investigadores de la CTU también observaron que los actores maliciosos abusaban de los servidores Windows que ejecutaban versiones sin parchear de Windows Server Update Services (WSUS) después de que Microsoft lanzara parches para CVE-2025-59287 y un investigador publicara un exploit de prueba de concepto. Sin embargo, el consejo de mitigación de Microsoft aclaró que la función de servidor WSUS no está habilitada de forma predeterminada en los servidores Windows. Desactivar esta función o bloquear el tráfico entrante a determinados puertos del firewall del host evita que los servidores sean vulnerables a este fallo.
En muchos casos, el cambio de configuración más sencillo y útil para reforzar la seguridad sigue siendo bloquear el acceso a dispositivos y servicios desde Internet cuando no es necesario.
| Qué debes hacer Audita la configuración de Direct Send y determina si es necesario reforzar la seguridad. |
Los infostealers siguen siendo los principales precursores del ransomware
Las credenciales robadas abren la puerta a ataques adicionales, normalmente la implementación de ransomware.
Los investigadores de la CTU analizaron la implementación del ransomware Qilin después de que un ataque ClickFix provocara una infección por infostealer. Qilin es una familia de ransomware muy activa operada por GOLD FEATHER. Su sitio de filtración enumeró la mayoría de las víctimas de cualquier esquema de denuncia pública entre octubre de 2024 y septiembre de 2025. ClickFix es una táctica cada vez más común utilizada por los actores maliciosos para engañar a las víctimas y que peguen código malicioso en el cuadro de diálogo Ejecutar de sus dispositivos. En este caso, el código malicioso provocó la descarga del infostealer StealC V2.
Los infostealers son malware que roban datos de los dispositivos que infectan, incluidas las credenciales y los tokens de los usuarios. A continuación, estas credenciales son utilizadas por el mismo actor malicioso para acceder a las redes o se empaquetan como registros y se venden en mercados clandestinos. Los compradores las utilizan en ataques que a menudo culminan en el despliegue de ransomware. Los infostealers pueden distribuirse a través de ataques de phishing, descargas drive-by u otro malware.
StealC se puso a la venta por primera vez en la dark web en enero de 2023 o antes, y se ha utilizado regularmente desde entonces. La versión 2 se lanzó en 2025. Otros infostealers ofrecían un número significativamente mayor de registros; por ejemplo, a finales de 2024 se vendían más de cinco veces más registros de LummaC2 en Russian Market. Sin embargo, LummaC2 ha experimentado una fuerte caída en el número de registros capturados, posiblemente debido a una serie de interrupciones en 2025, entre las que se incluyen una redada policial en mayo y una posterior divulgación de datos personales de sus desarrolladores que afectó a la infraestructura y a los operadores de LummaC2. Como resultado, StealC y otros infostealers populares pueden experimentar un aumento en su uso.
Los stealers individuales van y vienen, pero en general siguen siendo una amenaza persistente. Las organizaciones pueden protegerse contra esta amenaza aplicando regularmente parches a los dispositivos conectados a Internet, implementando de forma exhaustiva la autenticación multifactorial (MFA) resistente al phishing como parte de una política de acceso condicional y supervisando su red y sus endpoints en busca de actividades maliciosas.
| Qué deben hacer Educar a los empleados sobre los peligros de los infostealers como parte de la formación continua en materia de seguridad. |
Conclusión
Una buena postura defensiva no siempre requiere capas de productos de seguridad diferentes o nuevos. A veces, se pueden lograr mejoras significativas con medidas tan sencillas como garantizar que las implementaciones sean completas, reforzar las configuraciones o aplicar el principio del mínimo privilegio a los permisos de las cuentas.