Inside The Border – Informe sobre amenazas del último trimestre
Lo que hay que saber sobre las ciberamenazas en el segundo trimestre de 2025
Las campañas de ransomware se han intensificado agresivamente, desatando el caos en sectores críticos. Los ataques de phishing se han vuelto más inteligentes y engañosos que nunca, engañando incluso a los usuarios más vigilantes. Las vulnerabilidades de día cero se han explotado con una rapidez alarmante, poniendo en peligro innumerables redes antes de que pudieran aplicarse los parches.
El campo de batalla cibernético evoluciona rápidamente. Si quiere ir un paso por delante de los piratas informáticos y mantener la seguridad de su organización, necesita saber exactamente qué está ocurriendo ahora mismo, qué amenazas están surgiendo, cómo se están adaptando los atacantes y, lo que es más importante, qué puede hacer hoy para defender sus fronteras digitales.
Vamos a sumergirnos en el panorama de amenazas del último trimestre, descifrar las últimas tácticas de ataque y equiparle con las ideas y acciones que realmente marcan la diferencia.
El ransomware contraataca: CrimsonCrypt en auge
En los últimos tres meses se ha producido un fuerte e inquietante repunte de la actividad del ransomware, con un aumento de más del 40% de los ataques del grupo de amenazas emergentes CrimsonCrypt. No se trata sólo de un repunte numérico, sino de una ofensiva en toda regla dirigida a la columna vertebral de la industria moderna: las instalaciones de fabricación y los sistemas de control industrial (ICS).
CrimsonCrypt ha demostrado tener un libro de jugadas claro: infiltrarse en las redes a través de puntos de acceso remoto débiles, escalar privilegios rápidamente y, a continuación, bloquear los entornos de producción con cifrado de grado militar. Las víctimas suelen quedar paralizadas, obligadas a detener por completo sus operaciones mientras los atacantes exigen rescates multimillonarios a cambio de las claves de descifrado.
En varios casos documentados, las fábricas sufrieron paradas completas de la producción, retrasos en las entregas y graves daños a su reputación. Y lo que es peor, estos ataques suelen pasar desapercibidos hasta que es demasiado tarde, una vez que los sistemas están bloqueados y el tiempo de inactividad operativa cuesta miles por minuto.
El mensaje es claro: la ciberseguridad reactiva ya no es suficiente.
Las organizaciones del sector manufacturero deben adoptar la detección de amenazas en tiempo real, una visibilidad profunda de la red y mecanismos de respuesta automatizados para identificar y contener las intrusiones antes de que se produzcan daños.
Aquí es exactamente donde la plataforma NDR de Redborder interviene proporcionando detección basada en anomalías en el tráfico este-oeste, de modo que incluso los movimientos más sigilosos de CrimsonCrypt o de cualquier actor de ransomware no pasen desapercibidos.
Vulnerabilidad de día cero en software VPN
Una vulnerabilidad crítica de día cero (CVE-2025-XYZ123) que afecta a un software VPN muy utilizado ha sido explotada activamente. Los atacantes están aprovechando este fallo para obtener acceso remoto, a menudo como primer paso para desplegar ransomware. Si su organización utiliza esta solución de VPN, es esencial parchearla inmediatamente.
El phishing y la ingeniería social siguen dominando
El phishing sigue dominando como el punto de entrada más común para los ciberataques, con un 65% de los incidentes originados por correos electrónicos cuidadosamente diseñados para engañar. No se trata de los típicos mensajes de spam, los atacantes se hacen pasar por proveedores de confianza, departamentos internos e incluso altos ejecutivos, utilizando logotipos realistas, firmas y un lenguaje adaptado a sus objetivos.
Lo que hace que estas campañas de phishing sean especialmente peligrosas es su creciente sofisticación. En la actualidad, algunos mensajes de correo electrónico eluden por completo los filtros de spam básicos y envían enlaces o archivos adjuntos maliciosos que parecen totalmente legítimos a ojos inexpertos. Un clic erróneo puede entregar credenciales de inicio de sesión, dar a los atacantes acceso a sistemas críticos o incluso desplegar malware silenciosamente en segundo plano.
El elemento humano sigue siendo el eslabón más débil, pero también uno de los más fáciles de reforzar. Las organizaciones deben ir más allá de las sesiones de concienciación puntuales. Las simulaciones de phishing realistas y continuas, combinadas con herramientas de detección de comportamientos en tiempo real, son cruciales para reducir el riesgo.
El motor de análisis del comportamiento de Redborder supervisa la actividad de los usuarios y señala los patrones sospechosos antes de que un simple error se convierta en una infracción en toda regla. La prevención comienza con la concienciación, pero termina con la visibilidad, la rapidez y el control.
Ataques a la cadena de suministro: Una preocupación creciente
También hemos observado un aumento de los intentos de penetrar en las empresas de logística a través de proveedores de software externos. Los ataques a la cadena de suministro siguen siendo una amenaza compleja que requiere una gestión rigurosa de los riesgos de los proveedores y una supervisión continua de la red.
Impacto en el mundo real: Lo más destacado del incidente
Ransomware contenido: Una fábrica europea se salva de la catástrofe
A mediados de mayo, una conocida fábrica europea se convirtió en el objetivo de una campaña de ransomware vinculada al grupo CrimsonCrypt. Los atacantes consiguieron acceder aprovechando una vulnerabilidad de día cero no parcheada en la infraestructura VPN de la empresa, un punto ciego que podría haber pasado fácilmente desapercibido.
Una vez dentro, los atacantes comenzaron a moverse lateralmente, mapeando la red interna e intentando hacerse con el control de los sistemas de control industrial (ICS). Sin embargo, la plataforma Network Detection and Response (NDR) de Redborder detectó inmediatamente el comportamiento inusual del tráfico -incluido el uso indebido de credenciales y los patrones de exfiltración de datos- que los cortafuegos y las herramientas antivirus tradicionales habían pasado por alto.
Gracias a la detección de comportamientos en tiempo real y a la respuesta automatizada de Redborder, el equipo de seguridad pudo:
- Aislar al instante los segmentos afectados de la red
- Evitar que la carga útil del ransomware se propagara a los sistemas críticos.
Evitar una interrupción completa de la producción, ahorrando millones en tiempo de inactividad potencial.
Lo que podría haber sido una interrupción catastrófica de varios días se redujo a unas horas de contención controlada: no se pagó rescate y las operaciones volvieron a estar en línea al turno siguiente.
Phishing bloqueado: Una empresa financiera protege los datos confidenciales de sus clientes
Mientras tanto, una mediana empresa de servicios financieros se enfrentaba a otro tipo de amenaza: un correo electrónico de phishing muy selectivo disfrazado de alerta interna de TI, en el que se pedía a los usuarios que «restablecieran sus credenciales» a través de un enlace malicioso. El mensaje era lo suficientemente convincente como para eludir los filtros de spam básicos de la empresa y llegar directamente a las bandejas de entrada de los empleados.
Pero antes de que se produjera ningún daño, el análisis de comportamiento basado en IA de Redborder detectó anomalías en el comportamiento de los usuarios, incluidos intentos fallidos de inicio de sesión desde IP sospechosas y solicitudes de acceso irregulares a zonas restringidas de la red. La plataforma señaló inmediatamente la amenaza, lo que permitió al equipo SOC de la empresa:
- Identificar y alertar al usuario antes de que introdujera sus credenciales.
- Bloquear el dominio malicioso a nivel de red
- Iniciar una investigación completa y educar al empleado afectado.
El ataque se neutralizó antes de que se robara ningún dato, y la reputación de la organización -y el cumplimiento de la normativa- permanecieron intactos.
¿Cuáles son las tendencias en ciberamenazas?
– Los correos electrónicos de phishing aumentaron un 25% en comparación con el mes pasado, lo que indica campañas de ingeniería social más agresivas.
– Los atacantes están reduciendo su tiempo de permanencia tras el ataque en un 15%, lo que significa que se están moviendo más rápido y son más eficientes.
– Redborder detectó un aumento del 30% en las direcciones IP sospechosas, lo que pone de manifiesto la ampliación de la superficie de amenazas.
Cómo le ayuda Redborder a mantenerse a la vanguardia
Este mes, Redborder ha introducido una importante mejora en nuestro motor de detección de amenazas: un nuevo modelo de anomalías de comportamiento que ofrece un aumento del 20% en la identificación de amenazas de día cero. Está diseñado para detectar lo que los sistemas tradicionales pasan por alto: comportamientos sutiles e impredecibles de los agresores que indican problemas antes de que exista una firma.
Cuando se combina con nuestras funciones de aislamiento automatizado, esta mejora acorta drásticamente el tiempo de respuesta, lo que permite a los equipos de seguridad contener las amenazas en minutos, no en horas.
A medida que los atacantes evolucionan, también deben hacerlo nuestras defensas. Esta actualización dota a su organización de una visibilidad más nítida, una actuación más rápida y una mayor resistencia frente a las amenazas del futuro.
Recomendaciones para su equipo de seguridad
- Parchea inmediatamente: Solucione la vulnerabilidad crítica VPN y cualquier debilidad relacionada con ICS.
- Forma a tu equipo: Los simulacros periódicos de phishing ayudan a los empleados a reconocer y denunciar los correos sospechosos.
- Segmenta su red: Una fuerte segmentación de la red limita el movimiento lateral de los atacantes.
- Aproveche las herramientas basadas en IA: Soluciones como Redborder permiten la detección temprana y la respuesta automatizada a las amenazas.
