Barracuda full logo

Radar de amenazas SOC — julio de 2025

Temas:
10 jul 2025
|
Eric Russo

Durante el último mes, las soluciones de seguridad, inteligencia de amenazas y los analistas del SOC de Barracuda Managed XDR identificaron desarrollos que las organizaciones deberían conocer, incluidos:

  • Un aumento del 35 % en las detecciones de infostealer
  • Un aumento del 56% en amenazas dirigidas a servidores Linux
  • Un aumento del 13% en inicios de sesión sospechosos para consolas de AWS

Un aumento del 35% en los ataques de robo de información

¿Qué está detrás de esto?

Los analistas de amenazas del SOC y la seguridad de endpoints XDR han detectado un aumento notable en el malware infostealer dirigido a organizaciones. Los infostealers son una amenaza diversa y extendida. Interpol recientemente desmanteló 20,000 IPs que se encontraron vinculadas a 69 variantes de infostealer.

¿Cuál es el riesgo?

Los infostealers desempeñan un papel central en, entre otras cosas, los ataques de robo de credenciales, secuestro de sesiones (cookies), el ciberespionaje y la exfiltración de datos, y también se utilizan como parte de botnets más grandes para permitir a los atacantes controlar máquinas infectadas y recolectar datos.

Los ladrones de información se entregan a través de vectores de ataque comunes, incluyendo:

  1. Phishing correos electrónicos animando a los usuarios a hacer clic en enlaces o descargar archivos adjuntos que instalan y ejecutan el malware.
  2. Sitios web maliciosos donde el infostealer se descarga automáticamente a visitantes desprevenidos (conocido como descargas 'drive-by').
  3. Exploits de software dirigidos a errores sin parchear en aplicaciones o sistemas operativos para instalar ladrones de información sin el consentimiento del usuario.
  4. Software incluido donde los ladrones de información están integrados con otro software, como aplicaciones pirateadas o crackeadas.

¿Qué debo tener en cuenta?

Señales que sugieren que su organización podría ser víctima de un ataque de robo de información incluyen:

  • Cambios repentinos o inusuales en el comportamiento de la cuenta, como inicios de sesión o transacciones no autorizadas.
  • Un aumento en las llamadas al servicio de asistencia reportando credenciales perdidas o bloqueos de cuenta.
  • Una ralentización en el rendimiento del sistema a medida que el malware consume potencia de cómputo.
  • La aparición inesperada de ventanas emergentes o anuncios, lo que podría indicar la presencia de malware en el sistema.

Acción a realizar

  • La mejor defensa contra el malware infostealer es una solución robusta de seguridad de endpoints, como Barracuda XDR Endpoint Security gestionado, que puede detectar y bloquear malware en tiempo real.
  • Hacer cumplir el uso de la autenticación multifactor (MFA) para dificultar que los atacantes violen cuentas incluso si las credenciales se ven comprometidas.
  • Implemente la formación en concienciación sobre la seguridad para los empleados sobre las últimas tácticas de phishing y navegación segura.
  • Implemente una protección avanzada del correo electrónico para detectar y bloquear los intentos de phishing antes de que lleguen a los usuarios.
  • Mantenga los sistemas y el software actualizados con las últimas revisiones de seguridad.
  • Evitar que los empleados descarguen e instalen versiones piratas de aplicaciones en sus cuentas de trabajo.

Un aumento del 56% en amenazas dirigidas a servidores Linux

¿Qué está detrás de esto?

Los analistas de SOC y XDR Server Security observaron un aumento en el número de detecciones de ataques contra servidores Linux. Los sistemas Linux son vulnerables a ataques. Los informes recientes sugieren que el número de vulnerabilidades en los sistemas Linux aumentó en 3,300 en 2025, con un aumento del 130% en ataques durante los últimos 12 meses, y se anunciaron dos nuevas vulnerabilidades críticas en junio de 2025.

¿Cuál es el riesgo?

Muchas organizaciones dependen de los sistemas Linux para sus servidores, infraestructura en la nube y dispositivos IoT, y la combinación de esto con las múltiples brechas de seguridad de Linux los convierte en objetivos atractivos para ataques tales como:

  • Ataques de malware, incluyendo ransomware, rootkits y puertas traseras que brindan a los atacantes control completo del sistema infectado, así como acceso persistente para la exfiltración no autorizada de datos o para instalar cargas maliciosas adicionales, y la capacidad de regresar en cualquier momento.
  • Ataques distribuidos de denegación de servicio (DDoS) que intentan saturar los servidores Linux con tráfico, provocando tiempo de inactividad operativo y interrupción.
  • La explotación de errores no parcheados en software o servicios de Linux que permiten a los atacantes obtener acceso no autorizado y elevar sus privilegios.
  • El secuestro de la potencia de cálculo del servidorpara minar criptomonedas sin el consentimiento del propietario, lo que lleva a un rendimiento degradado y un aumento de los costos operativos.

¿Qué debo tener en cuenta?

Los signos que sugieren que su organización podría tener un sistema Linux comprometido incluyen:

  • Picos inusuales o inesperados en el tráfico o conexiones a direcciones IP desconocidas pueden indicar un ataque DDoS u otro intento de acceso no autorizado.
  • Cambios repentinos en el comportamiento de la cuenta, como intentos frecuentes de inicio de sesión fallidos o horas de inicio de sesión inusuales, ya que estos pueden indicar intentos de acceso por fuerza bruta.
  • Una ralentización en el rendimiento del sistema a medida que el malware consume potencia de cómputo.
  • Cambios inesperados en la configuración u otros cambios en archivos críticos del sistema.

Acción a realizar

  • Mantén los sistemas, incluidos los sistemas operativos, y el software actualizados con los últimos parches de seguridad.
  • Implemente firewalls para restringir el acceso a servicios críticos y monitorear el tráfico entrante y saliente en busca de actividad sospechosa.
  • Haga cumplir políticas de contraseñas y autenticación sólidas, y considere el uso de autenticación basada en claves para el acceso SSH (un protocolo criptográfico para inicio de sesión remoto seguro) para reducir el riesgo de ataques de fuerza bruta.
  • Implemente un plan sólido de copia de seguridad y recuperación para limitar el impacto operativo y restaurar rápidamente los servicios después de un incidente.
  • Despliegue una solución de detección y respuesta extendida (XDR), idealmente cubriendo endpoints, servidores y redes, ya que esto incluye sistemas de detección de intrusiones (IDS) que monitorizan la actividad y alertan a los administradores sobre amenazas potenciales en tiempo real.

Un aumento del 13% en inicios de sesión sospechosos para consolas de AWS

¿Qué está detrás de esto?

Los analistas de SOC y XDR Cloud Security han detectado un aumento en los intentos no autorizados y potencialmente maliciosos de acceder a la Consola de Administración de Amazon Web Services (AWS).

¿Cuál es el riesgo?

Aunque el aumento en las detecciones es relativamente bajo, es importante que los usuarios de AWS sean conscientes de los riesgos potenciales de una brecha exitosa, que pueden incluir:

  • Ataques de fuerza bruta y robo de credenciales, proporcionando a los atacantes acceso no autorizado a cuentas de AWS y llevando a potenciales filtraciones de datos o interrupciones del servicio.
  • Ataques de phishing que aprovechan la ingeniería social para engañar a los usuarios y hacerles compartir sus credenciales de AWS, de modo que los atacantes puedan iniciar sesión como usuarios legítimos.
  • Los ataques de usurpación de cuentas una vez que se ha logrado el acceso. Estos ataques pueden ser altamente dañinos, permitiendo a los atacantes manipular recursos, robar datos sensibles o lanzar más ataques desde la cuenta comprometida.

¿Qué debo tener en cuenta?

Los signos que sugieren que su organización podría ser un objetivo de un ataque de inicio de sesión en AWS incluyen:

  • Inicios de sesión o intentos de inicio de sesión desde ubicaciones o direcciones IP que son inusuales para esa cuenta: esto es una clara señal de alerta de un intento de acceso no autorizado.
  • Un alto número de intentos fallidos de inicio de sesión, ya que esto puede indicar un ataque de fuerza bruta.
  • Otras anomalías de la cuenta, como cambios repentinos en el uso de recursos o un cambio de configuración, también pueden significar que una cuenta ha sido comprometida.

Acción a realizar

  • Haga cumplir el uso de contraseñas fuertes y la autenticación multifactor (MFA) para dificultar que los atacantes violen las cuentas incluso si las credenciales se ven comprometidas.
  • Implemente formación en concienciación sobre la seguridad para los empleados sobre las últimas tácticas de phishing y navegación segura.
  • Revise y corrija continuamente las configuraciones incorrectas en los ajustes del servicio en la nube.
  • Implemente la segmentación de la red y restrinja los permisos de acceso de los empleados para limitar el acceso a áreas sensibles de la red.
  • Implemente una solución de seguridad en la nube XDR que verifique regularmente la actividad de inicio de sesión inusual y marque cualquier evento sospechoso.

Cómo Barracuda Managed XDR puede ayudar a su organización

Barracuda Managed XDR ofrece protección avanzada contra las amenazas identificadas en este informe al combinar tecnología de vanguardia con la supervisión experta del SOC. Con inteligencia de amenazas en tiempo real, respuestas automatizadas, un equipo SOC disponible 24 horas al día, 7 días a la semana, 365 días al año y XDR Managed Vulnerability Security que identifica brechas y omisiones de seguridad, Barracuda Managed XDR garantiza una protección integral y proactiva en toda su red, nube, correo electrónico, servidores y puntos finales, dándole la confianza para adelantarse a las amenazas en evolución.

Para obtener más información sobre cómo podemos ayudar, por favor, póngase en contacto con Barracuda Managed XDR.

Programe su demostración de Managed XDR
Eric Russo

Eric Russo es Director de Seguridad Defensiva SOC en Barracuda.

Publicaciones relacionadas:
Threat Spotlight: el kit de phishing Tycoon revela nuevas técnicas para ocultar enlaces maliciosos
Threat Spotlight: el kit de phishing Tycoon revela nuevas técnicas para ocultar enlaces maliciosos
 Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»
Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»
 Tredion utiliza Barracuda Managed XDR para ayudar a un grupo de escuelas holandesas a contener las amenazas cibernéticas
Tredion utiliza Barracuda Managed XDR para ayudar a un grupo de escuelas holandesas a contener las amenazas cibernéticas
Por qué los atacantes de ransomware siguen regresando por más
Por qué los atacantes de ransomware siguen regresando por más
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.