WatchGuard detecta la mayor oleada de malware único en su historia

Las detecciones de malware único aumentaron 171% en el primer trimestre de 2025, con un fuerte protagonismo de ataques diseñados para eludir firmas tradicionales y operar sobre canales cifrados como TLS.

El más reciente Internet Security Report del Threat Lab de WatchGuard Technologies confirma un incremento sin precedentes en la sofisticación y evasividad del malware global. El informe, correspondiente al primer trimestre de 2025, registró un alza del 171% en detecciones de malware único total, el mayor repunte histórico observado por la firma.

Este crecimiento está impulsado por una mayor proliferación de amenazas diseñadas para eludir las defensas tradicionales basadas en firmas. En particular, las detecciones de malware tipo Zero Day y el uso intensivo de canales cifrados, como TLS, sugieren una evolución deliberada por parte de los atacantes hacia técnicas más sigilosas y persistentes.

Una señal clara de esta tendencia es el aumento del 323% en detecciones proactivas mediante machine learning por parte del motor IntelligentAV (IAV), lo que evidencia que los modelos predictivos se están volviendo esenciales para interceptar código malicioso que antes pasaba desapercibido. Paralelamente, el crecimiento del 30% en amenazas detectadas por Gateway AntiVirus y el 11% de incremento en malware transportado por conexiones TLS reflejan cómo los vectores cifrados están ganando protagonismo como vías de infección.

El informe también reveló un alza del 712% en nuevas amenazas de malware en endpoints. Entre ellas, destaca el resurgimiento de herramientas como LSASS dumper, utilizadas para robar credenciales directamente desde el núcleo del sistema operativo, evitando mecanismos de seguridad a nivel de usuario.

“El informe confirma que la guerra con IA ya está aquí”, advirtió Corey Nachreiner, Chief Security Officer de WatchGuard Technologies. “Los atacantes están desplegando campañas automatizadas, apoyadas por inteligencia artificial, lo que exige a las organizaciones respuestas igualmente avanzadas”.

A pesar de una caída del 85% en los casos de ransomware en comparación con el trimestre anterior, el ransomware Termite, detectado como segunda amenaza más común, indica un cambio de táctica: los atacantes prefieren ahora el robo de datos a través de herramientas menos ruidosas, en parte porque las organizaciones están mejor preparadas para restaurar sistemas desde respaldos.

Los scripts maliciosos, tradicionalmente el vector dominante en endpoints, se redujeron a su punto más bajo registrado. En su lugar, aumentaron técnicas Living off the Land (LoTL), como comandos nativos de Windows, con un repunte del 18% trimestre a trimestre.

Sobre conexiones cifradas, el archivo malicioso más detectado fue Trojan.Agent.FZPI, un HTML que integra múltiples métodos de phishing en un solo paquete y que opera camuflado mediante cifrado TLS. Esta amenaza refuerza la necesidad de análisis de comportamiento y técnicas de inspección TLS profundas en los entornos corporativos.

También destacó Application.Cashback.B.0835E4A4 como la variante de malware más diseminada, con mayor incidencia en Chile e Irlanda, lo que resalta la necesidad de adaptar las defensas a contextos regionales.

Finalmente, aunque la actividad de ataques a redes disminuyó en 16%, persiste la explotación de vulnerabilidades heredadas sin parches, lo cual obliga a las organizaciones a mantener estrategias de defensa híbridas contra exploits antiguos y amenazas emergentes por igual.

Le puede interesar: IA, redes sociales y phishing: la tormenta perfecta del ciberfraude