Lo que los CISO necesitan saber ahora cada mes trae nueva evidencia de que la ciberseguridad no se trata solo de reaccionar a los incidentes, sino anticipándolos. El panorama de amenazas de mayo de 2025 destaca la creciente necesidad de vigilancia estratégica, inteligencia procesable e intervención oportuna. Con setenta y siete nuevas vulnerabilidades, cinco hazañas activas y un aumento en la actividad de ransomware, el mes refuerza un mensaje claro: el riesgo es real y la ventana para actuar ahora. Para obtener información técnica detallada, consulte la sesión informativa de PowerPoint que lo acompaña disponible aquí. Las CVE críticas exigen atención inmediata que Microsoft emitió actualizaciones para servicios de escritorio de Azure, Windows, Office y Remote, incluidas ocho vulnerabilidades críticas. CVE-2025-29813, que afecta el servidor Azure DevOps con un puntaje CVSS perfecto de 10.0, se encuentra entre los más urgentes debido a su potencial de escalada de privilegios. Otras vulnerabilidades notables incluyen CVE-2025-30386 en Microsoft Office, que se considera muy probable que sea explotada. Las revelaciones de seguridad de otros proveedores importantes se agregaron a la urgencia. Apple abordó fallas en su nuevo módem de banda base y servicios principales de iOS. Google parcheó vulnerabilidades en Android y Chrome, algunas ya bajo un ataque activo. Cisco corrigió treinta y cinco fallas, incluidos uno que afecta a los controladores inalámbricos con una puntuación CVSS de 10.0. SAP y VMware también repararon problemas de alto impacto, con SAP que informa la actividad de explotación en curso vinculada al espionaje y los actores de ransomware. Los grupos de ransomware continúan evolucionando cinco grupos de ransomware dominaron el panorama este mes: Safepay, Qilin, Play, Akira y Devman. Safepay, observado por primera vez en septiembre de 2024, lanzó más de setenta ataques solo en mayo. Utiliza herramientas similares a Lockbit y evita los sistemas de cifrado en los países de habla rusa. Devman es un nuevo actor de amenaza visto por primera vez en abril de 2025 y parece ser un cambio de marca o spin-off de un ex afiliado de Qilin. Estos grupos continúan explotando las debilidades en la infraestructura de acceso remoto y el software obsoleto, enfatizando la necesidad de controles de acceso sólidos y evaluaciones regulares de vulnerabilidad. Las vulnerabilidades explotadas que ya están en el Catálogo de vulnerabilidades explotadas de la CISA salvaje enumeraron varias amenazas nuevas, incluidos CVE-2024-38475 en el servidor Apache HTTP, CVE-2023-44221 en los dispositivos Sonicwall y CVE-2025-20188 en Cisco IOS XE. Estas vulnerabilidades están siendo utilizadas activamente por los actores de amenaza, y las organizaciones con exposición deben parchear de inmediato o implementar estrategias de mitigación. Los envíos de malware revelan que los datos de Sandbox de riesgo continuo muestran el uso continuo de malware diseñado para obtener acceso persistente y robar información confidencial. Berbew, un troyano de puerta trasera de Windows, se presentó con frecuencia y sigue siendo una preocupación clave debido a sus capacidades de robo de credenciales. Otras familias de malware observadas incluyen Nimzod, Systex, VB y Autoruns, todas las cuales respaldan el movimiento lateral y la exfiltración de datos. 1. Priorice las CVE explotables, no solo las críticas, mientras que los puntajes CVSS son útiles, no cuentan toda la historia. Use los alimentos de inteligencia de amenazas y la CISA conocida vulnerabilidades explotadas catálogos para identificar vulnerabilidades que los atacantes utilizan activamente. CVE-2025-29813 y CVE-2025-30386, por ejemplo, se marcan como «la explotación más probable» y deben tratarse como urgente. 2. Implemente el descubrimiento continuo de activos Asegúrese de tener una visibilidad total en su entorno, incluida la TI de la sombra y los activos no administrados. Los activos desconocidos son a menudo los enlaces débiles que los atacantes explotan primero. 3. Integre la inteligencia de amenazas en la gravedad de la capa de priorización de vulnerabilidad con inteligencia de amenazas en tiempo real para evaluar el impacto comercial de cada vulnerabilidad. Por ejemplo, las vulnerabilidades vinculadas a grupos de ransomware como Safepay o Devman deben ser acelerados para la remediación. 4. Segmento y endurecimiento Los actores de amenaza de servicios expuestos están aprovechando los servicios vulnerables expuestos a Internet (por ejemplo, VPN, correo web, controladores de dispositivos). Aislar estos activos, hacer cumplir la autenticación multifactor y limitar el acceso por GEO o IP según sea necesario. 5. Automatice los flujos de trabajo de configuración de gestión de parche y configuración para impulsar automáticamente las actualizaciones de software de alto riesgo, especialmente los servicios relacionados con Microsoft, Cisco y el navegador. La automatización reduce el tiempo de retraso entre la liberación de parche y la implementación. 6. Medida e informe sobre las tendencias de exposición rastrean las métricas de exposición clave, como el tiempo medio para remediar (MTTR), el número de activos de alto riesgo sin parches y el porcentaje de activos con vulnerabilidades explotadas conocidas. Úselos para informar el liderazgo e impulsar la responsabilidad. 7. Expandir más allá de las CVE: incluya configuraciones erróneas y la exposición débil de valor predeterminado no se trata solo de parches faltantes. Revise las reglas del firewall, las configuraciones de identidad y acceso, la configuración de registro y los permisos de la nube para descubrir el riesgo silencioso. 8. Simule las rutas de explotación Use el modelado de la ruta de ataque o los ejercicios de equipo rojo para mapear cómo una CVE conocida podría estar encadenada con otras debilidades. Esto ayuda a priorizar las soluciones basadas en la probabilidad de incumplimiento del mundo real. Pensamiento final El panorama de amenazas de mayo confirma que las amenazas no son teóricas. Están aquí, activos y cada vez más sofisticados. Las organizaciones que combinan parches inteligentes, educación de usuarios y monitoreo proactivo estarán mejor posicionados para reducir el riesgo y responder de manera efectiva. Si su equipo necesita apoyo para interpretar esta inteligencia o traducirla en acción, LevelBlue está listo para ayudar. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.