Barracuda full logo

SOC Threat Radar — Diciembre 2025

Temas:
2 dic 2025
|
Laila Mubashar

Amenazas destacadas dirigidas a organizaciones detectadas por Barracuda Managed XDR

Conclusiones

  • Un aumento de atacantes que intentan usar ScreenConnect para acceso remoto no autorizado
  • Atacantes que utilizan credenciales compradas o robadas para ransomware y robo de datos
  • Un aumento en los intentos de inicio de sesión de Microsoft 365 desde países desconocidos

Atacantes que utilizan ScreenConnect para acceso remoto no autorizado

¿Qué está pasando?

El equipo SOC apreció recientemente un aumento en el uso sospechoso de ScreenConnect. Esto incluye atacantes que intentan conectar endpoints a los despliegues de ScreenConnect de los objetivos, y atacantes que despliegan ScreenConnect ellos mismos para controlar hosts de forma remota.

ScreenConnect es una herramienta de gestión remota de dispositivos confiable y popular utilizada por muchas organizaciones y sus proveedores de servicios gestionados. Como resultado, la detección de ScreenConnect no despierta inmediatamente sospechas.

A principios de 2025, los atacantes descubrieron una grave vulnerabilidad en versiones antiguas de ScreenConnect que podría permitirles acceder a los sistemas y ejecutar programas dañinos sin permiso. Los hackers están utilizando esta vulnerabilidad para tomar control de los sistemas de forma remota, instalar ransomware, robar datos y moverse a través de la red hacia otros sistemas conectados.

El éxito en la brecha de una implementación existente puede dar a los delincuentes acceso a muchos dispositivos e incluso a organizaciones.

ScreenConnect lanzó un parche para la vulnerabilidad el 24 de abril de 2025.

Su organización puede estar en riesgo si usted:

  • Ejecuta versiones antiguas de ScreenConnect que no se han actualizado.
  • Usa herramientas de acceso remoto no gestionadas o no autorizadas.
  • No tiene implementada la autenticación multifactor (MFA) para cuentas de administrador.
  • Todavía no ha aplicado el parche de software para solucionar el error.

Para proteger su organización:

  • Implemente una solución de seguridad sólida y multinivel, como Barracuda XDR Managed Endpoint Security, que pueda detectar y contener actividades sospechosas de ScreenConnect.
  • Asegúrese de que su software ScreenConnect esté ejecutando la última versión (25.2.4 o más reciente).
  • Revise sus registros en busca de actividad sospechosa o inusual.
  • Habilite MFA para todas las cuentas, especialmente las cuentas de administrador.
  • Bloquee herramientas de acceso remoto desconocidas y supervise de cerca los intentos de buscar o conectarse a direcciones web de ScreenConnect.

Atacantes que utilizan credenciales compradas o robadas para ransomware y robo de datos

¿Qué está pasando?

Los cibercriminales están robando o comprando nombres de usuario y contraseñas (credenciales) y utilizándolos para infiltrarse en sistemas. Una vez dentro, lanzan ataques de ransomware o roban datos sensibles.

Estos ataques a menudo simulan actividad normal porque los hackers usan credenciales genuinas. Las herramientas SOC de Barracuda Managed XDR detectan las pistas dejadas por los atacantes, como el uso inusual de herramientas administrativas legítimas (PsExec, PowerShell), múltiples intentos de inicio de sesión repetidos o simultáneos, o la creación inesperada de servicios remotos.

Su organización puede estar en riesgo si usted:

  • Permitir que los empleados usen contraseñas débiles o reutilizadas.
  • Carecer de MFA o no aplicarla de manera coherente en toda la organización.
  • No supervisar inicios de sesión inusuales ni el uso de herramientas de administración.
  • Falta de alertas por accesos remotos sospechosos o ejecución de scripts.

Para proteger su organización:

  • Haga cumplir el uso de contraseñas complejas y únicas.
  • Implemente políticas de contraseñas que roten las credenciales a intervalos regulares, por ejemplo, cada tres meses.
  • Habilite MFA en todas partes, especialmente para las cuentas de administrador y acceso remoto.
  • Supervise la actividad, buscando horarios de inicio de sesión inusuales, el uso inesperado de herramientas de administración o nuevos servicios remotos.
  • Capacite a los empleados para detectar intentos de phishing y reportarlos.
  • Implemente una solución de seguridad sólida y multicapa que pueda detectar y bloquear incidentes en diferentes etapas de la cadena de ataque.

Un aumento en los intentos de inicio de sesión de Microsoft 365 desde países desconocidos

¿Qué está pasando?

El equipo SOC de Barracuda ha detectado un aumento significativo en los intentos de inicio de sesión en cuentas de Microsoft 365 desde países donde los objetivos no operan, una clara señal de alerta de que los atacantes están intentando acceder a las cuentas utilizando nombres de usuario y contraseñas robados.

Si los atacantes logran vulnerar la red, pueden acceder a correos electrónicos y archivos y suplantar al titular legítimo de la cuenta para lanzar ataques de phishing internos convincentes y moverse más profundamente en la red.

Su organización puede estar en riesgo si usted:

  • No implementar el bloqueo geográfico ni las reglas de inicio de sesión basadas en la ubicación.
  • Permitir que los empleados usen contraseñas débiles o reutilizadas.
  • Carecer de MFA o no aplicarla de manera coherente en toda la organización.
  • No supervisar los inicios de sesión en busca de ubicaciones o horarios inusuales.
  • Falta de monitoreo de patrones de inicio de sesión inusuales.

Para proteger su organización:

  • Haga cumplir el uso de contraseñas complejas y únicas, y considere la posibilidad de utilizar gestores de contraseñas.
  • Habilite MFA en todas partes: este es el paso más efectivo que puede tomar.
  • Supervise alertas de inicio de sesión.
  • Implemente políticas de acceso condicional que bloqueen los inicios de sesión provinientes de un país/región restringido.
  • Capacite a los empleados para detectar intentos de phishing y reportarlos.
  • Implemente una solución de seguridad sólida y multicapa que pueda detectar y bloquear incidentes en diferentes etapas de la cadena de ataque.

Cómo Barracuda Managed XDR puede ayudar a su organización

Barracuda Managed XDR ofrece protección avanzada contra las amenazas identificadas en este informe al combinar tecnología de vanguardia con la supervisión experta del SOC. Con inteligencia de amenazas en tiempo real, respuestas automatizadas, un equipo SOC disponible 24 horas al día, 7 días a la semana, 365 días al año y

XDR, Managed Vulnerability Security, que identifica brechas y descuidos de seguridad, Barracuda Managed XDR garantiza una protección integral y proactiva en toda su red, nube, correo electrónico, servidores y endpoints, dándole la confianza para adelantarse a las amenazas en evolución.

Para obtener más información sobre cómo podemos ayudar, por favor, póngase en contacto con Barracuda Managed XDR.

Detenga las amenazas con ciberseguridad 24 horas al día, 7 días a la semana
Laila Mubashar

Como analista sénior de ciberseguridad, Laila Mubashar dirige las iniciativas de detección, investigación y respuesta frente a amenazas avanzadas para proteger a las organizaciones de la evolución de los ciberriesgos. Se centra en la defensa proactiva, el análisis de incidentes y el fortalecimiento de la estrategia general de seguridad en los diversos entornos de clientes.

 

Publicaciones relacionadas:
Threat Spotlight: Cómo evolucionaron los kits de phishing en 2025
Threat Spotlight: Cómo evolucionaron los kits de phishing en 2025
 Los 3 principales webinars imprescindibles de Barracuda en 2025: conocimientos de seguridad bajo demanda
Los 3 principales webinars imprescindibles de Barracuda en 2025: conocimientos de seguridad bajo demanda
 Revisión del año 2025: Publicaciones destacadas del blog de Barracuda
Revisión del año 2025: Publicaciones destacadas del blog de Barracuda
 Barracuda Assistant llega al panel de control de Barracuda Managed XDR
Barracuda Assistant llega al panel de control de Barracuda Managed XDR
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.