Google, mano amiga de los estafadores: los primeros resultados de búsqueda se han convertido en un campo minado de virus

En el tercer trimestre de 2025, Beazley Security Labs registró un aumento brusco de la actividad de los principales grupos de ransomware y la aparición de nuevos esquemas de distribución de stealers de información. Las principales campañas delictivas cibernéticas se concentraron en la explotación de vulnerabilidades en tecnologías corporativas ampliamente utilizadas, así como en el abuso de VPN y motores de búsqueda.

Como resultado, Akira, Qilin e INC Ransomware representaron el 65% de todos los ataques investigados, mientras que los nuevos métodos de envenenamiento SEO y las herramientas falsificadas facilitaron considerablemente la infección de usuarios finales. Estas tendencias muestran que los atacantes son más agresivos, actúan con mayor rapidez y recurren cada vez más a la implantación directa de software malicioso en estaciones de trabajo, evitando los esquemas tradicionales de ingeniería social.

Entre agosto y septiembre el número de ataques aumentó de forma especialmente notable: casi la mitad de todos los incidentes registrados se concentraron en esos dos meses. El incremento coincidió con una campaña a gran escala del grupo Akira, que explotó activamente fallos conocidos pero aún muy presentes en dispositivos SonicWall. Al mismo tiempo, SonicWall sufrió una grave crisis propia: la intrusión en el servicio en la nube MySonicWall provocó la filtración de configuraciones de todos los dispositivos de clientes, incluidas listas de ajustes VPN y credenciales administrativas cifradas. Aunque por ahora no se ha establecido una relación directa entre ambas series de incidentes, los investigadores temen que las configuraciones robadas sirvan de base para nuevos ataques dirigidos.

A pesar de la reducción en el número de vulnerabilidades añadidas por la CISA a la lista de explotadas activamente (KEV), los atacantes claramente no redujeron su actividad. Al contrario, se concentraron en un número menor de fallos críticos y los explotaron con la máxima agresividad. Beazley registró un aumento del 38% en sus propias alertas sobre vulnerabilidades 0-day en comparación con el segundo trimestre.

Entre los incidentes más notorios estuvo un 0-day en Microsoft SharePoint (ToolShell) que permitía extraer claves criptográficas e instalar web shells; una vulnerabilidad grave en CrushFTP que otorgaba acceso remoto total; y numerosas campañas contra Cisco ASA y NetScaler, en las que los atacantes no solo accedían al dispositivo sino que también instalaban rootkits.

En paralelo, el mercado de stealers de información en el ecosistema criminal cambió notablemente. Tras la sonada operación ENDGAME, que derribó la infraestructura de Lumma y RedLine, la demanda en la clandestinidad se desplazó hacia soluciones más discretas y avanzadas. Creció con especial rapidez la popularidad de Rhadamanthys, un stealer multifuncional con soporte para paquetes "corporativos", un sistema de actualizaciones desarrollado y mecanismos diseñados para evadir la detección. Este crecimiento coincidió casi al mismo tiempo con la pérdida de confianza en Lumma: sus administradores perdieron el control de canales de Telegram, dominios fueron confiscados y competidores publicaron el sitio "Lumma Rats" con supuestos datos personales de los operadores.

Al mismo tiempo, investigadores de Beazley y SentinelLabs sacaron a la luz una amplia campaña internacional del PXA Stealer: un stealer basado en Python que se distribuía mediante documentos cuidadosamente camuflados y abusaba del sideloading de DLL en aplicaciones legítimas de Microsoft. Curiosamente, el desarrollador cometió un error y contaminó su propio equipo: eso permitió a los analistas acceder directamente a sus cuentas e infraestructura, lo que supuso una oportunidad poco común para observar el funcionamiento interno de las herramientas del ciberdelito.

Por separado, los especialistas señalaron un aumento de ataques mediante envenenamiento SEO y publicidad maliciosa. Editores de PDF falsos, utilidades de acceso remoto y otros programas "útiles" se posicionaban por encima de resultados legítimos en los buscadores. Muchos de esos instrumentos obtenían firmas digitales y esperaban instrucciones para descargar el malware, lo que ayudaba a evadir las defensas y permitía infecciones masivas.

La dinámica general del tercer trimestre muestra un desplazamiento de la actividad ofensiva hacia las fases tempranas y medias del ataque —desde la recopilación de credenciales hasta el afianzamiento en la red—. No obstante, la proporción de fases tardías, que incluyen la exfiltración de datos y el despliegue de ransomware, también aumentó ligeramente. En conjunto, esto demuestra la alta capacidad de adaptación de los atacantes y la rapidez con la que reconfiguran sus métodos ante nuevas oportunidades y vulnerabilidades.

Al cierre del trimestre, Beazley Security Labs concluye de forma clara: los cibercriminales actúan más rápido, explotan menos vulnerabilidades pero más críticas, buscan infectar directamente los endpoints y adoptan activamente nuevas herramientas como camuflajes de archivos maliciosos generados por IA. Se recomienda a las organizaciones reforzar la protección del acceso remoto, ampliar el control del tráfico web, aplicar autenticación multifactor y considerar cualquier dispositivo crítico expuesto a Internet como potencialmente comprometido.