El phishing siguió siendo el método principal de acceso inicial durante este trimestre, apareciendo en un tercio de todos los incidentes, lo que supone un descenso con respecto al 50 % del trimestre anterior. Los actores maliciosos aprovecharon en gran medida cuentas de correo electrónico internas o de socios comerciales de confianza comprometidas para enviar emails maliciosos, eludiendo los controles de seguridad y ganándose la confianza de los objetivos. Curiosamente, el objetivo de la mayoría de los ataques de phishing observados parecía ser la recopilación de credenciales, lo que sugiere que los ciberdelincuentes pueden considerar que la venta de credenciales comprometidas es más sencilla y rentable que otras actividades posteriores a la explotación, como la ingeniería de un pago financiero o el robo de datos privados.

Los incidentes de ransomware y pre-ransomware representaron la mitad de todos los ataques de este trimestre, al igual que en el trimestre anterior. Cisco Talos Incident Response (Talos IR) respondió por primera vez al ransomware Qilin e identificó herramientas y tácticas, técnicas y procedimientos (TTP) no reportados anteriormente, incluido un nuevo método de exfiltración de datos. Las observaciones de la actividad de Qilin indican una posible expansión del grupo y/o un aumento del ritmo operativo en un futuro próximo, lo que justifica que se considere una amenaza a vigilar. Además, los autores del ransomware utilizaron una versión antigua de PowerShell, PowerShell 1.0, en un tercio de los incidentes de ransomware y pre-ransomware de este trimestre, probablemente para evadir la detección y ganar más flexibilidad para sus capacidades ofensivas.

Los actores aprovechan las cuentas de correo electrónico comprometidas para lanzar ataques de phishing destinados a recopilar credenciales  

Como se ha mencionado anteriormente, los actores maliciosos utilizaron el phishing para el acceso inicial en un tercio de los ataques de este trimestre, lo que supone un descenso con respecto al 50 % del trimestre anterior, cuando también fue la técnica de acceso inicial más observada. Sin embargo, el trimestre pasado destacó una campaña dominante de phishing de voz (vishing) que utilizaba el ransomware Cactus y Black Basta, cuya presencia fue significativamente menor este trimestre, lo que podría haber contribuido a este descenso.

Los actores maliciosos aprovecharon en gran medida las cuentas de correo electrónico internas o de socios comerciales de confianza comprometidas para enviar correos electrónicos maliciosos, que aparecieron en el 75 % de los incidentes en los que se utilizó el phishing para el acceso inicial. El uso de una cuenta legítima y de confianza ofrece al atacante numerosas ventajas, como la posibilidad de eludir los controles de seguridad de una organización y parecer más fiable para el destinatario. Por ejemplo, en una incidencia de phishing, los usuarios de la organización objetivo fueron víctimas de una campaña de phishing enviada desde la dirección de correo electrónico comprometida de un socio comercial legítimo. Los correos electrónicos de phishing utilizaban enlaces maliciosos que dirigían a las víctimas a una página de inicio de sesión falsa de Microsoft O365 que solicitaba a los visitantes que se autenticaran con MFA, probablemente para que el atacante pudiera robar las credenciales y los tokens de sesión de los usuarios.

Se considera que la recopilación de credenciales fue el objetivo final de la mayoría de los ataques de phishing de este trimestre, como en el ejemplo destacado anteriormente. Aunque la táctica de aprovechar cuentas de correo electrónico válidas comprometidas se asocia a menudo con los ataques de compromiso del correo electrónico empresarial (BEC), esta observación sugiere que los ciberdelincuentes pueden considerar que la intermediación de credenciales comprometidas es más rentable que intentar manipular a un objetivo para que realice un pago financiero. Además, el hecho de no incluir una solicitud económica en el cuerpo del correo electrónico probablemente hace que este resulte menos sospechoso para la víctima, lo que aumenta las posibilidades de que el ataque tenga éxito.

Tendencias del ransomware

Los incidentes relacionados con ransomware y pre-ransomware constituyeron la mitad de todos los incidentes de este trimestre, al igual que en el trimestre anterior. Cisco Talos IR observó por primera vez el ransomware Qilin y Medusa, al tiempo que respondió al ransomware Chaos, ya conocido anteriormente.

Perspectivas: El análisis de la actividad de Qilin durante este trimestre indica una posible expansión del grupo de afiliados y/o un aumento del ritmo operativo. Además de esta actividad, se observaron otras actividades del ransomware Qilin durante este trimestre, pero no se incluyeron en las estadísticas del segundo trimestre, ya que el análisis aún estaba en curso al finalizar el trimestre. Además, las publicaciones en el sitio web de filtración de datos del grupo muestran que las revelaciones se han duplicado desde febrero de 2025, lo que sugiere que se trata de una amenaza de ransomware que hay que vigilar en el futuro inmediato.

Según se informa, el grupo cibernético patrocinado por el Estado norcoreano Moonstone Sleet comenzó a desplegar el ransomware Qilin el pasado mes de febrero, y algunas empresas de seguridad creen que afiliados del ransomware como servicio (RaaS) RansomHub, cuyo sitio web de filtración de datos dejó de estar operativo a principios de abril de 2025, también se han unido a Qilin. Tras la desconexión del sitio web de filtración de datos RansomHub, se observó que miembros de Qilin interactuaban con miembros activos de RansomHub y anunciaban una versión actualizada de Qilin, probablemente con el fin de reclutar nuevos afiliados y ampliar sus operaciones.

Los autores del ransomware aprovechan una versión antigua de PowerShell para evadir la detección  

En un tercio de los ataques de ransomware y pre-ransomware de este trimestre, los actores maliciosos utilizaron PowerShell 1.0, una versión antigua del lenguaje de scripting, cuya versión más reciente es la 7.4. El uso de esta versión insegura ofrece a los atacantes numerosas ventajas potenciales, ya que carece de las funciones de seguridad que incorporan las versiones más recientes, como el registro de bloques de scripts, que registra el contenido de los scripts ejecutados, y el registro de transcripciones, que registra todas las entradas y salidas de las sesiones de PowerShell.