El panorama de la ciberseguridad en 2025 confirma lo que muchos analistas temían: los exploits siguen siendo la herramienta preferida de los atacantes para irrumpir en sistemas corporativos y personales. El último informe de Kaspersky sobre Exploits y vulnerabilidades en el segundo trimestre de 2025 revela un incremento significativo en el número de usuarios de Linux y Windows afectados, así como un aumento histórico en el registro de vulnerabilidades críticas.
Más CVE, más superficie de ataque
De acuerdo con datos de cve.org, en 2024 se registraban unas 2.600 vulnerabilidades al mes, mientras que en 2025 la cifra ya supera las 4.000 mensuales. Este crecimiento, acompañado de un mayor número de fallos clasificados como críticos (CVSS > 8.9), está ampliando la superficie de ataque de forma preocupante.
Alexander Kolesnikov, experto en seguridad de Kaspersky, lo resume así:
“En el segundo trimestre de 2025, el 64% de los exploits registrados se dirigieron a sistemas operativos, el 29% a aplicaciones de terceros y el 7% a navegadores”.
Windows: los exploits clásicos nunca mueren
Los datos confirman que Windows sigue siendo el sistema operativo más atacado, en gran parte debido a la persistencia de vulnerabilidades históricas:
- CVE-2018-0802 y CVE-2017-11882 en Equation Editor de Microsoft Office, aún explotadas masivamente.
- CVE-2017-0199: vulnerabilidad en Office y WordPad que permite la toma de control del sistema.
- CVE-2023-38831 (WinRAR): manipulación de archivos comprimidos sigue siendo una vía común de ataque.
- CVE-2025-24071 en Windows Explorer: facilita el robo de credenciales NetNTLM.
Este escenario refleja un problema recurrente: muchos usuarios y organizaciones no aplican parches críticos a tiempo, manteniendo vivas vulnerabilidades con años de antigüedad.
Linux: el blanco cada vez más atractivo
El informe de Kaspersky también subraya que Linux ya no es un refugio seguro. En el segundo trimestre de 2025, los usuarios de este sistema se enfrentaron a un 50% más de exploits que en el mismo periodo de 2024.
Entre los exploits más activos destacan:
- CVE-2022-0847 (Dirty Pipe): escalada de privilegios ampliamente explotada.
- CVE-2019-13272: abuso de herencia de privilegios para comprometer el sistema.
- CVE-2021-22555: desbordamiento de memoria en Netfilter con técnicas avanzadas de explotación (Use-After-Free).
El crecimiento de Linux en servidores, dispositivos IoT y entornos corporativos lo ha convertido en un objetivo prioritario para atacantes que buscan persistencia y acceso a infraestructuras críticas.
APTs y frameworks C2: la combinación perfecta
El informe también destaca que los grupos de amenazas persistentes avanzadas (APT) siguen explotando tanto día cero como vulnerabilidades conocidas. La novedad está en el uso intensivo de frameworks de comando y control (C2) como Metasploit, Sliver, Havoc y Brute Ratel C4, que permiten automatizar la explotación y el movimiento lateral.
Entre las vulnerabilidades críticas utilizadas en estas campañas aparecen:
- CVE-2025-31324 (SAP NetWeaver, CVSS 10.0).
- CVE-2024-1709 (ConnectWise ScreenConnect, CVSS 10.0).
- CVE-2025-33053 (Windows LNK, ejecución remota).
La conclusión es clara: los atacantes han perfeccionado la integración entre exploits y herramientas C2, dificultando su detección y acelerando la fase post-explotación.
Implicaciones para la seguridad empresarial
La tendencia obliga a reforzar las medidas de seguridad:
- Gestión ágil de parches: aplicar actualizaciones críticas en el menor tiempo posible.
- Protección en endpoints: con soluciones EDR/XDR capaces de detectar comportamientos anómalos más allá de las firmas tradicionales.
- Monitorización continua: tanto en el perímetro como en los sistemas internos.
- Ciberinteligencia proactiva: para anticipar campañas APT que explotan vulnerabilidades recién publicadas.
Kolesnikov lo advierte sin rodeos:
“El aumento del número de CVE y de exploits activos es un recordatorio de que los parches deben gestionarse como prioridad estratégica. Los atacantes no necesitan sofisticación cuando encuentran puertas abiertas”.
FAQ sobre exploits y vulnerabilidades en 2025
1. ¿Por qué los exploits siguen siendo efectivos si las vulnerabilidades ya son conocidas?
Porque muchas organizaciones no aplican parches a tiempo. Factores como la complejidad operativa, sistemas heredados o falta de recursos permiten que vulnerabilidades de hace más de 5 años sigan siendo explotadas con éxito.
2. ¿Linux es ya tan vulnerable como Windows?
No exactamente. Linux sigue siendo más robusto por diseño, pero su creciente adopción en entornos críticos lo hace más atractivo para atacantes. El número de exploits dirigidos a Linux creció de forma significativa en 2025.
3. ¿Qué papel juegan los grupos APT en estos ataques?
Los APT combinan exploits con frameworks C2 para maximizar la persistencia y el control sobre sistemas comprometidos. Además, suelen aprovechar vulnerabilidades de día cero antes de que existan parches.
4. ¿Qué medidas concretas deben priorizar las empresas?
- Implementar una estrategia de parcheo rápido y automatizado.
- Adoptar soluciones EDR/XDR con análisis de comportamiento.
- Mantener programas de ciberinteligencia y red-teaming.
- Formar a los empleados en higiene digital y phishing, ya que muchos exploits llegan como adjuntos maliciosos.
