UEFI, controladores, navegadores: todo bajo ataque simultáneamente. Kaspersky ha registrado un ataque total a los subsistemas informáticos.

Según el informe de Kaspersky Lab, en el segundo trimestre de 2025 la actividad alrededor de las vulnerabilidades se intensificó notablemente: prácticamente todas las sub‑sistemas de los ordenadores modernos estuvieron en el punto de mira —desde UEFI y drivers hasta navegadores, sistemas operativos y aplicaciones. Como antes, los atacantes siguen explotando estas fallas en ataques reales para acceder a dispositivos de usuarios, y además las combinan activamente con frameworks C2 en operaciones dirigidas y complejas.

El análisis de las estadísticas sobre CVE de los últimos cinco años muestra un crecimiento sostenido del número total de vulnerabilidades registradas. Si a principios de 2024 había alrededor de 2.600, en enero de 2025 esa cifra superó las 4.000. Solo mayo fue una excepción; fuera de ese mes la dinámica siguió aumentando. Parte de las CVE pueden haberse registrado con identificadores de años anteriores y publicarse solo en 2025. Lo que resulta especialmente preocupante es que en el primer semestre de 2025 también creció de forma significativa el número de vulnerabilidades críticas con puntuación CVSS por encima de 8.9. Aunque no todas las vulnerabilidades reciben una calificación en esa escala, se observa una tendencia positiva: los fallos críticos suelen venir acompañados de descripciones detalladas y análisis públicos, lo que puede facilitar una mitigación más rápida de los riesgos.

Las vulnerabilidades más explotadas en Windows durante el segundo trimestre volvieron a ser problemas antiguos de Microsoft Office —CVE-2018-0802, CVE-2017-11882 y CVE-2017-0199— que afectan al componente Equation Editor. A continuación figuran exploits para WinRAR (CVE-2023-38831), una vulnerabilidad en el Explorador de Windows (CVE-2025-24071) que permite robar hashes NetNTLM, y un bug en el driver ks.sys (CVE-2024-35250) que permite ejecutar código arbitrario. Todas estas vulnerabilidades se emplean tanto para el acceso inicial como para la elevación de privilegios.

En Linux, los exploits más extendidos fueron Dirty Pipe (CVE-2022-0847), CVE-2019-13272, ligada a privilegios heredados, y CVE-2021-22555 —una vulnerabilidad de heap en la subsistema Netfilter que utiliza una técnica de Use-After-Free mediante manipulaciones con msg_msg. Esto confirma el creciente interés de los atacantes por los sistemas Linux, sobre todo por el aumento de su base de usuarios.

En fuentes públicas siguen dominando los exploits para sistemas operativos, mientras que en este trimestre no hubo nuevas publicaciones sobre vulnerabilidades en Microsoft Office. En ataques dirigidos, las operaciones APT explotaron con más frecuencia fallos en herramientas de acceso remoto, editores de documentos y subsistemas de logging. En primer lugar están las herramientas low-code/no-code e incluso frameworks para aplicaciones con IA, lo que indica el interés creciente de los atacantes por las herramientas modernas de desarrollo. Curiosamente, los bugs localizados afectaban al software de infraestructura, no al código generado.

Entre los frameworks C2 en el primer semestre de 2025 lideraron Sliver, Metasploit, Havoc y Brute Ratel C4 —estos soportan directamente el trabajo con exploits y ofrecen a los atacantes amplias capacidades para asentarse, gestionar remotamente y automatizar tareas. Las demás herramientas, por lo general, se adaptaron manualmente para ataques concretos.

Del análisis de muestras con exploits y agentes C2 se identificaron las siguientes vulnerabilidades clave usadas en operaciones APT: CVE-2025-31324 en SAP NetWeaver Visual Composer Metadata Uploader (ejecución remota de código, CVSS 10.0), CVE-2024-1709 en ConnectWise ScreenConnect (evasión de autenticación, CVSS 10.0), CVE-2024-31839 y CVE-2024-30850 en CHAOS v5.0.1 (XSS y RCE), así como CVE-2025-33053 en Windows, que permite ejecutar código arbitrario por el tratamiento incorrecto de rutas a accesos directos.

Estos exploits permitían tanto inyectar código malicioso de forma inmediata como operar por fases, comenzando por la recolección de credenciales.

También merecen atención las vulnerabilidades publicadas recientemente. CVE-2025-32433 es un bug RCE en el servidor SSH del framework Erlang/OTP que permite ejecutar comandos de forma remota sin verificación, incluso por parte de usuarios no autorizados. CVE-2025-6218 es otra vulnerabilidad de directory traversal en WinRAR, similar a CVE-2023-38831: permite alterar la ruta de extracción de un archivo y ejecutar código al iniciar el sistema o aplicaciones. CVE-2025-3052 en UEFI permite eludir Secure Boot mediante un manejo inseguro de las variables NVRAM. La vulnerabilidad CVE-2025-49113 en Roundcube Webmail es un caso clásico de deserialización insegura y requiere acceso autorizado. Por último, CVE-2025-1533 en el driver AsIO3.sys provoca el bloqueo del sistema al trabajar con rutas de más de 256 caracteres —los desarrolladores no tuvieron en cuenta que el límite moderno en NTFS es de 32 767 caracteres.

La conclusión es obvia: el número de vulnerabilidades sigue creciendo, especialmente las críticas. Por eso es importante no solo instalar actualizaciones de manera oportuna, sino también vigilar la presencia de agentes C2 en sistemas comprometidos, proteger los dispositivos finales y establecer una política flexible de gestión de parches. Solo así se pueden reducir eficazmente los riesgos de explotación y garantizar la resiliencia de la infraestructura.