El primer trimestre de 2025 ha irrumpido en la agenda de ciberseguridad con cifras alarmantes, presentadas en el último informe de WatchGuard Technologies, que destaca un aumento del 171 % en detecciones únicas de malware en comparación al trimestre anterior. Este crecimiento no solo es significativo por su magnitud, sino por la sofisticación de las amenazas que desafían a los sistemas de detección tradicionales. Un 71 % de los ataques evaden estas barreras, utilizando técnicas avanzadas de ofuscación, cifrado y herramientas de inteligencia artificial.
El panorama digital se visualiza como un ecosistema invadido por nuevas especies de malware que alteran el equilibrio de redes y dispositivos. Los ciberdelincuentes han dejado atrás métodos clásicos, adoptando tácticas evasivas que superan las capacidades de protección convencionales.
El informe destaca algunos datos cruciales: un incremento del 323 % en ataques «zero-day» detectados por inteligencia artificial, y un alarmante 712 % en nuevas variantes de malware en endpoints. La detección de malware mediante conexiones cifradas ha aumentado un 11 %, mientras los métodos de ransomware tradicionales declinan, sustituidos por estrategias que favorecen el robo y la filtración de datos sobre el cifrado.
WatchGuard sugiere que si todos sus Firebox activos estuvieran totalmente operativos, se hubieran reportado más de 1.620 millones de incidentes en el trimestre.
Mientras los endpoints registran una disminución del 22 % en el volumen de malware, las variantes únicas se han disparado un 712 %, indicando una clara tendencia hacia las amenazas automatizadas y mutantes. Esto se debe, en parte, a la proliferación de herramientas de IA en foros clandestinos que facilitan la creación y adaptación rápida de malware.
Por otra parte, los navegadores y herramientas pirata resurgieron como vectores de ataque, sustituyendo a scripts como PowerShell. Los «drive-by downloads» y software de descarga dudosa permiten a los atacantes mantener su presencia de forma más encubierta.
El ransomware, aunque disminuido, se transforma. En lugar de cifrar datos, ahora los delincuentes priorizan el robo, con la amenaza de exponer información sensible si no se cumplen sus demandas. Un ejemplo es el payload conocido como Termite, que enfatiza la extracción en lugar del cifrado.
En cuanto a los métodos de entrega, el canal de encriptación mediante TLS es predominante, utilizado en el 87 % de los ataques «zero-day». La urgencia por implementar una inspección profunda de tráfico TLS en las organizaciones es evidente.
Las tácticas LoTL, que emplean herramientas del sistema para ejecutar ataques, ganan relevancia. Estas técnicas explotan binarios de Windows para inyectar malware sin dejar rastro visible.
Entre las amenazas más graves del trimestre se encuentran Application.Cashback.B.0835E4A4 y Trojan.Agent.FZPI, malware que simula documentos legítimos con conexiones cifradas, integrando el phishing tradicional con avanzadas técnicas de encriptación.
Para enfrentar esta ola de amenazas, la estrategia de defensa debe centrarse en una mayor visibilidad del tráfico cifrado, una IA para predicción y respuesta autónoma, y una constante formación y concienciación del personal sobre el phishing.
Con 2025 avanzando como el año de la evasión y la automatización, adaptarse es la única salida viable para los equipos de ciberseguridad. La inteligencia artificial, utilizada tanto para el bien como para el mal, sigue siendo una fuerza impulsora en el cambiante campo de batalla digital.