El primer trimestre de 2025 marca un punto de inflexión en la ciberseguridad. El nuevo informe de WatchGuard Technologies ha sacudido al sector al revelar un alarmante crecimiento del 171 % en detecciones únicas de malware en red respecto al trimestre anterior. Pero lo más inquietante no es solo el volumen, sino la creciente sofisticación de las amenazas: el 71 % de los ataques escapan a los sistemas de detección tradicionales, aprovechando técnicas de ofuscación, cifrado y generación asistida por inteligencia artificial.
La conclusión es clara: los atacantes están dejando atrás los métodos clásicos y apostando por tácticas evasivas y automatizadas que los sistemas de protección convencionales simplemente no pueden seguir.
Un ecosistema digital en desequilibrio
El informe utiliza una poderosa metáfora: la del ecosistema natural invadido por especies agresivas. En la misma línea, el ecosistema digital está siendo invadido por nuevas “especies de malware” que alteran el equilibrio de redes, endpoints y dispositivos conectados. Mientras los profesionales de IT y ciberseguridad tratan de mantener ese equilibrio, los atacantes perfeccionan su arsenal con ayuda de herramientas impulsadas por IA generativa.
“Estamos viendo el auge de una nueva generación de malware que ya no depende de firmas para propagarse o para atacar. Es más inteligente, más rápido y más difícil de detectar”, señala Corey Nachreiner, Chief Security Officer de WatchGuard.
Las cifras del cambio: un malware más oculto, más evasivo y más dañino
Entre los principales hallazgos del informe se encuentran:
| Indicador clave | Variación en Q1 2025 |
|---|---|
| Detecciones únicas de malware en red | +171 % |
| Aumento de malware “zero-day” | +323 % (detectado por IA) |
| Malware que evade firmas (zero-day en red) | 71 % del total |
| Malware en conexiones cifradas (TLS) | 71 % del total (+11 puntos) |
| Incremento de nuevas variantes de malware en endpoints | +712 % |
| Disminución de ransomware tradicional | –85 % |
| Aumento de ataques que aprovechan software antiguo | Alta persistencia (ProxyLogon, HAProxy) |
WatchGuard señala que si todos sus Firebox activos hubieran reportado con todas las funciones habilitadas, se habrían detectado más de 1.620 millones de incidentes de malware en los tres primeros meses del año.
Endpoint bajo asedio: menos volumen, más mutaciones
A pesar de que el volumen total de malware en endpoints descendió un 22 %, se observó una explosión del 712 % en nuevas variantes únicas, lo que indica una tendencia clara hacia la automatización y la mutación de amenazas para evadir controles.
Los analistas de WatchGuard señalan que esto se debe, en parte, a la proliferación de herramientas de IA en foros clandestinos, que permiten crear malware adaptativo con rapidez y precisión, como generadores automáticos de código malicioso o empaquetadores ofuscados.
Cambios en vectores: vuelven los navegadores y herramientas pirata
Hasta ahora, los scripts (PowerShell, VBScript) eran el vector de entrada más común en endpoints. Sin embargo, en este primer trimestre los navegadores y herramientas pirata han ganado terreno. Vuelven los “drive-by downloads” y los archivos maliciosos escondidos en software de descarga dudosa o aplicaciones remotas falsificadas.
Esto indica que los atacantes están reexplorando vectores antiguos, pero con técnicas nuevas que les permiten permanecer ocultos durante más tiempo.
Ransomware se transforma: menos cifrado, más robo
Aunque el ransomware cayó un 85 % respecto al trimestre anterior, esto no es motivo de celebración. Lo que ocurre, según WatchGuard, es un cambio de estrategia: ya no interesa tanto cifrar los archivos como robarlos y amenazar con filtrarlos. La mejora en sistemas de backup y recuperación está desplazando al modelo de secuestro clásico.
Uno de los ejemplos más claros es Termite, un payload de ransomware detectado como una de las principales amenazas, aunque ahora su foco está en la extracción de datos, no en su cifrado.
Los ciberdelincuentes priorizan TLS y técnicas LoTL
La encriptación mediante TLS sigue siendo un canal preferido para la entrega de malware. De hecho, el 87 % del malware “zero-day” llegó mediante conexiones cifradas, lo que pone en evidencia la necesidad urgente de inspección profunda de tráfico TLS (SSL Inspection) en las organizaciones.
A esto se suma el auge de técnicas LoTL (Living off the Land), que usan herramientas legítimas del sistema para ejecutar ataques, como Windows binaries que actúan como caballos de Troya para inyectar malware en memoria sin archivos visibles.
Nuevas amenazas: de Cashback a Trojan.Agent.FZPI
Entre las amenazas más destacadas del trimestre:
- Application.Cashback.B.0835E4A4: un malware detectado en el 76 % de los dispositivos en Chile y el 65 % en Irlanda. Alta propagación geográfica con fuerte componente regional.
- Trojan.Agent.FZPI: un HTML malicioso que simula documentos legítimos, pero oculta conexiones cifradas hacia servidores remotos. Fusiona técnicas antiguas de phishing con comunicaciones seguras, aumentando su letalidad.
La respuesta: visibilidad, IA defensiva y concienciación
Frente a estas amenazas, WatchGuard insiste en tres líneas defensivas:
- Mayor visibilidad del tráfico cifrado, con herramientas que inspeccionen TLS sin sacrificar rendimiento.
- IA en defensa, no solo para detección (como IntelligentAV), sino también para predicción y respuesta autónoma.
- Formación y concienciación constante del personal ante campañas de phishing cada vez más creíbles, muchas de ellas generadas por IA.
Conclusión: si 2024 fue el año del malware polimórfico, 2025 está siendo el de la evasión y la automatización, impulsadas por inteligencia artificial. Como en la naturaleza, adaptarse o desaparecer será la consigna para los equipos de ciberseguridad.
