# Amenazas Cibernéticas 2025: Análisis MDR de Kaspersky sobre 400.000 Alertas
Los servicios MDR, Respuesta a Incidentes y Evaluación de Compromisos de Kaspersky procesaron datos de 200.000 clientes corporativos. En 2025, registraron 400.000 alertas. La IA resolvió automáticamente 95.000 (24%), los analistas del SOC filtraron el 87% de las 300.000 restantes. Solo 21.000 incidentes llegaron a los clientes.
Tiempos de respuesta: 42 minutos para críticos, 33 minutos para medios y 31 minutos para bajos. Eso supone una mejora del 22% respecto a 2024, gracias a la automatización.
Tendencias en la Criticidad de los Incidentes
La proporción de incidentes críticos lleva seis años consecutivos a la baja: del 14,3% en 2021 al 3,8% en 2025. El MDR detectó hasta tres casos diarios de este tipo. El 97% de los incidentes fueron de severidad media o baja, sobre todo por malware automatizado y ataques oportunistas.
Los ataques operados por humanos son menos frecuentes en porcentaje, pero siguen siendo los más peligrosos. Detectarlos pronto explica la tendencia descendente en criticidad.
Industrias Más Atacadas
Las tres industrias principales por cuota de incidentes:
- Gobierno — 19%
- Manufactura — 17%
- TI — 15% (superando al sector financiero)
El sector TI registró un 4,9% de incidentes críticos, el gobierno un 4,3% (por encima de la media). El aumento de ataques a TI se vincula a compromisos en la cadena de suministro: los hackers infiltran proveedores de servicios e integradores para llegar a los clientes. Hemos visto casos que encadenan varias organizaciones.
Vectores Iniciales de Acceso
De los datos de Respuesta a Incidentes:
- Explotación de apps públicas — 43,7%
- Credenciales comprometidas — 25,4%
- Relaciones de confianza (proveedores) — 15,5%
El phishing salió del top 3 en 2023 y ahora juega un papel secundario en las cadenas de ataque. Los ataques a proveedores se dispararon desde 2023: vulnerando empresas con accesos remotos débiles a clientes, lo que hace que el tráfico parezca legítimo.
Impacto de Ataques Exitosos
El cifrado de datos encabezó los incidentes causantes de daños con un 39%. Le siguen: persistencia para disrupción (12%), exfiltración web (7%).
Diferencias en el momento de detección:
- Post-daño: cifrado, destrucción de datos, caídas de servicio.
- Pre-daño: persistencia, compromiso de Active Directory.
El tiempo de permanencia depende de la madurez del monitoreo, no del punto de entrada.
Vulnerabilidades Explotadas
El 50% de las vulnerabilidades en Respuesta a Incidentes fueron RCE, a menudo sin autenticación. Las principales:
- CVE-2025-31324 (SAP NetWeaver, CVSS 9,8) — carga de archivos no autorizada
- CVE-2025-42999 (SAP NetWeaver, CVSS 9,1) — deserialización insegura, RCE
- CVE-2025-61882 (Oracle E-Business Suite, CVSS 9,8) — toma de control de servicio sin autenticación
- CVE-2024-55591 (Fortinet FortiOS, CVSS 9,8) — bypass de autenticación
Un tercio de las vulnerabilidades databan de 2021: ProxyLogon en Exchange sigue vigente cuatro años después. Los atacantes explotan fallos conocidos con parches disponibles.
Herramientas de los Atacantes
LOLBins en incidentes críticos MDR:
| Herramienta | Cuota |
|---------------|-------|
| powershell.exe| 14,4% |
| rundll32.exe | 5,9% |
| mshta.exe | 3,8% |
| comsvcs.dll | 3,0% |
| msedge.exe | 2,7% |
mshta.exe se disparó por cebos falsos de CAPTCHA. Herramientas especializadas: Mimikatz (14,3%), PowerShell (8,1%), PsExec/AnyDesk (7,5%). Ejemplo: secuestro de DLL vía MPDefender.exe.
Desafíos del SOC
La cobertura de reglas promedia el 43%, cayendo al 30% con más de 50 fuentes de datos. Problemas clave:
- Degradación de cobertura sin supervisión.
- Reglas de proveedores sin ajuste: falsos positivos a montones.
- Registro desequilibrado sin detección (red, BD, web).
Técnicas Emergentes en 2025
T1568 Resolución Dinámica entró en el top 10 de conversiones (23%): DGA, Fast Flux DNS. Caso: abuso de reservas URL en HTTP.sys para C2 sigiloso, imitando tráfico de Exchange.
Conclusiones Principales
- Incidentes críticos al 3,8%, pero el MDR los detiene antes del daño.
- Vectores top: apps públicas (43,7%), credenciales (25,4%), proveedores (15,5%).
- Vulnerabilidades: 50% RCE, un tercio de 2021 — con parches disponibles.
- Los SOC cubren el 43% de datos; la degradación es un riesgo mayor.
- TI en el top 3 (15%), atacado vía cadenas de suministro.
— Editorial Team
Aún no hay comentarios.