Un nuevo informe de WatchGuard Technologies, referente global en ciberseguridad unificada para proveedores de servicios gestionados (MSP), revela un dato alarmante: el número de malware único detectado aumentó un 171% durante el primer trimestre del año, el mayor incremento registrado por su laboratorio de amenazas hasta la fecha. Este salto marca un punto de inflexión en la evolución de los ataques informáticos, donde las herramientas tradicionales de defensa ya no alcanzan para frenar el avance de técnicas cada vez más sofisticadas, potenciado todo por la inteligencia artificial.
El Informe de Seguridad en Internet Q1 2025, elaborado por el Threat Lab de la compañía, pone en evidencia que los ciberdelincuentes no solo están cambiando sus tácticas, sino también la naturaleza misma del software malicioso que emplean. Los sistemas basados en firmas, que dependen de patrones conocidos para detectar amenazas, están quedando obsoletos frente a una ola creciente de malware evasivo y “zero day” diseñado para pasar desapercibido.
El nuevo panorama: IA ofensiva, cifrado y evasión
Entre los datos más significativos del informe destaca un aumento del 323% en la detección proactiva de amenazas gracias a Inteligencia Artificial, específicamente mediante la tecnología de machine learning IntelligentAV (IAV). Este crecimiento refleja no solo la capacidad ofensiva de los atacantes, sino también la importancia creciente de incorporar sistemas de defensa automatizados, adaptativos y basados en comportamiento.
Además, se registró un aumento del 30% en ataques detectados por Gateway AntiVirus (GAV) y un crecimiento de 11 puntos en malware transmitido por conexiones cifradas (TLS), lo que indica que los canales seguros se están convirtiendo en rutas predilectas para infiltrar software malicioso. Estos canales cifrados, si no son adecuadamente inspeccionados, funcionan como un "caballo de Troya digital", ocultando cargas maliciosas bajo una apariencia legítima.
“El informe confirma lo que muchos temíamos: la guerra de la IA ya está aquí”, advirtió Corey Nachreiner, Director de Seguridad de WatchGuard Technologies. “Los atacantes ahora pueden lanzar campañas de phishing personalizadas y altamente dirigidas a gran escala mediante procesos automatizados, lo que exige un enfoque renovado, preciso y potente por parte de las organizaciones”.
Los endpoints, en la mira: +712% en amenazas nuevas
El foco de los atacantes también se desplazó con fuerza hacia los endpoints, los dispositivos de los usuarios donde se inicia gran parte de la actividad corporativa. WatchGuard detectó un aumento del 712% en nuevas amenazas de malware en endpoints, tras tres trimestres consecutivos de caída.
El principal actor en esta categoría fue el LSASS dumper, un ladrón de credenciales altamente técnico que se aprovecha del sistema para extraer contraseñas y crear accesos persistentes. Este tipo de ataque puede burlar las protecciones de modo usuario y ejecutar comandos directamente en modo kernel, accediendo al corazón del sistema operativo.
A la par, los scripts como vector de ataque se redujeron a la mitad, alcanzando su nivel más bajo hasta la fecha. En su lugar, ganaron protagonismo las técnicas Living off the Land (LoTL), que explotan herramientas legítimas del sistema operativo para realizar acciones maliciosas. Estas técnicas crecieron un 18% en el trimestre, consolidándose como alternativa silenciosa y efectiva para sortear controles de seguridad.
Phishing cada vez más convincente y menos ransomware
Otro hallazgo relevante: el phishing transmitido por correo electrónico volvió a destacarse como el canal principal de propagación del malware, por encima de la web. La razón, según el informe, es que la inteligencia artificial facilita la redacción de mensajes de spear phishing más persuasivos, aumentando la tasa de éxito de estas campañas.
En contraste, los ataques de ransomware descendieron un 85%, aunque la segunda amenaza más detectada fue precisamente una carga útil de ransomware: Termite ransomware. Esto sugiere una evolución del modelo de ataque: en lugar de cifrar archivos, los cibercriminales prefieren ahora el robo de datos, ante la creciente eficacia de las copias de seguridad y los sistemas de recuperación.
El malware más extendido y la amenaza más avanzada
El informe también detalla dos amenazas destacadas por su alcance y sofisticación:
- Application.Cashback.B.0835E4A4, el malware más extendido del trimestre, afectó especialmente a Chile (76%) e Irlanda (65%), lo que subraya la necesidad de contar con defensas regionalizadas frente a campañas dirigidas.
- Trojan.Agent.FZPI, el malware más detectado a través de conexiones cifradas, es un archivo HTML malicioso que simula ser un documento legítimo. Esta amenaza compila múltiples técnicas usadas en los últimos años en un solo archivo, convirtiéndose en un “super archivo adjunto” diseñado para burlar filtros de seguridad básicos. Su detección requiere análisis de comportamiento, inspección TLS robusta y protección avanzada en los endpoints.
Reducción en ataques de red, pero foco en vulnerabilidades antiguas
El informe señala que el número de firmas únicas de red activadas descendió un 16%, lo que indica que los atacantes se centraron en explotar un menor número de vulnerabilidades, pero de forma más intensiva. Preocupa que muchas de estas vulnerabilidades sean viejas y sin parchear, lo que obliga a las organizaciones a reforzar sus procesos de actualización y gestión de parches.
El Informe de Seguridad en Internet Q1 2025 de WatchGuard deja un mensaje claro: la ciberguerra impulsada por IA ha comenzado, y los atacantes van varios pasos adelante, utilizando técnicas sofisticadas, cifrado, evasión y automatización para desafiar incluso a las defensas más robustas.
Para hacer frente a esta nueva realidad, las organizaciones deben adoptar un enfoque proactivo, basado en machine learning, visibilidad total, y seguridad adaptativa, tanto en la red como en los endpoints. La protección debe estar unificada, actualizada y ser capaz de detectar lo que no se ve, porque el malware del futuro ya no se esconde entre las sombras, sino que viaja disfrazado de normalidad, dentro de conexiones cifradas y comandos legítimos.