Monthly Threat Report – Marzo de 2025: La IA, un arma de doble filo

Introducción

El Monthly Threat Report de Hornetsecurity analiza las últimas tendencias en seguridad dentro de Microsoft 365, las amenazas relacionadas con el correo electrónico y los eventos más recientes en el mundo de la ciberseguridad. En esta edición, hacemos un repaso de lo ocurrido en febrero en la industria del entretenimiento.

Resumen Ejecutivo

• Los investigadores de Hornetsecurity han puesto a prueba un nuevo modelo de lenguaje (LLM) y han conseguido crear un kit de herramientas de phishing, resaltando los peligros potenciales de la IA.
• Un ex empleado ha accedido sin autorización a datos de clientes de TD Bank y los ha expuesto. Supone un riesgo importante de fraude y robo de identidad.
• Los ciberdelincuentes de Medusa han robado datos de HCRG Care Group, una empresa sanitaria. Por suerte, los servicios a los pacientes no se han parado.
• El Patch Tuesday de febrero de 2025 de Microsoft ha solucionado 55 vulnerabilidades que los atacantes podrían haber explotado, incluidas cuatro de zero-day.
• Apple ha quitado la Protección Avanzada de Datos de iCloud en el Reino Unido después de que el gobierno le presionara para añadir una puerta trasera al sistema.
• Microsoft ha corregido una vulnerabilidad grave en Outlook (CVE-2025-21298) que permitía la ejecución remota de código a través del correo electrónico.

Estás viendo un contenido de marcador de posición de Youtube. Para acceder al contenido real, haz clic en el siguiente botón. Ten en cuenta que al hacerlo compartirás datos con terceros proveedores.

Más información

Desbloquear contenido Aceptar el servicio requerido y desbloquear el contenido

Resumen de amenazas

Investigación de Hornetsecurity sobre Herramientas de IA: ¿Puede la IA Crear un Kit de Phishing?

En Hornetsecurity, nuestro equipo de seguridad investiga constantemente las amenazas más recientes en el mundo de la ciberseguridad, prestando especial atención a las técnicas que utilizan los ciberdelincuentes. La inteligencia artificial está ganando cada vez más protagonismo en este ámbito, por lo que analizamos regularmente nuevos modelos y su posible uso tanto a la hora de reforzar la seguridad como cuando se trata de llevar a cabo prácticas malintencionadas.

Hace muy poco, nuestros investigadores se han hecho eco del lanzamiento del nuevo modelo de lenguaje o3-mini. Aquí puedes ver el artículo de OpenAI donde presentan este modelo. Pues bien, la primera prueba que llevamos a cabo fue intentar hacerle jailbreak al modelo en sí. ¿El objetivo? Evaluar su capacidad de razonamiento y ver si en algún momento podía ser manipulado para generar herramientas maliciosas.

El primer prompt que usamos para explorar los límites del lenguaje era muy sencillo: pedíamos una versión corregida de una frase. Pero cuál fue nuestra sorpresa al darnos cuenta de que el modelo interpretó que estábamos pidiéndole que generara una página de inicio de sesión falsa en Netflix. Todo esto de forma totalmente inesperada.

NOTA: algunos investigadores de Hornetsecurity tienen como lengua materna el francés. Es muy probable que en las fotos veas parte del texto escrito en ese idioma.

El modelo comenzó generando un ejemplo de una página de inicio de sesión inspirada en el diseño de Netflix. Este archivo HTML incluía HTML, CSS y JavaScript, sin ninguna advertencia sobre posibles usos fraudulentos. Además, no bloqueó ni ignoró la solicitud, lo cual nos dejó bastante sorprendidos. Nuestro equipo fue un paso más allá y pidió la creación de varias páginas:

• Una página de inicio de sesión
• Una página de pago
• Una página OTP (que usan las entidades bancarias)

Uno de los principales requisitos que dio el equipo era que las tres páginas imitaran el diseño de Netflix. Para sorpresa de todos, el modelo generó justamente el código necesario para cada una de ellas sin problemas (puedes ver las imágenes más abajo).

Llegados a este punto, el equipo pidió al modelo que creara algo todavía más completo: un kit de herramientas que incluyera el front-end y el back-end e, incluso, un bot de Telegram capaz de recopilar y enviar todos los datos a un canal privado.

NOTA: hemos decidido no compartir los prompts que el equipo de investigadores utilizó para evitar que este método pueda reproducirse.

En el paso a paso, hubo momentos en los que el modelo se negaba a seguir por restricciones éticas. Pero sortear estas limitaciones no costaba nada: bastaba con reformular la solicitud para que pareciera un proyecto legítimo en desarrollo.

Tras varios ajustes, el modelo generó lo que sería una primera versión de un kit de phishing. Y sí, era una versión inicial y le faltaba mucho recorrido, pero lo que asombró a los investigadores es lo rápido que podía hacerse la base de algo tan peligroso. De hecho, la primera versión se podía poner en marcha con apenas unos clics a través de un servicio de alojamiento en la nube. Y una vez en marcha estaba claro que, en las manos equivocadas, algo así podía tener un uso totalmente malintencionado.

Aquí tienes una muestra de la página de inicio de sesión falsa que generó el modelo:

Después, la información del usuario se envía a Telegram tal y como se había pedido:

Te dejamos una imagen de cómo se ve la página de pago:

Después de que se publicaran los detalles de pago en Telegram:

También hemos conseguido crear una pantalla simulada de OTP (contraseña de un solo uso) que cualquier ciberdelincuente podría utilizar para intentar robar el código OTP de un usuario. Así es como lo explica uno de nuestros investigadores:

Aquí tengo toda la información de la víctima y ya puedo empezar a generar una página de OTP. Si fuera un hacker, lo que haría es una compra online o utilizaría la tarjeta en un móvil con Google Pay o Apple Pay. En ese caso, se activaría automáticamente una alerta de 3D Secure y se enviaría un código OTP real a la víctima. Si la víctima no está atenta, podría llegar a introducir el código en la web de phishing y revelaría el código al ciberdelincuente.

Básicamente, esta es la primera versión de un kit de phishing creado al 100% con inteligencia artificial generativa. Así demostramos lo fácil que puede llegar a ser desarrollar herramientas de este tipo y también ponemos en evidencia los riesgos potenciales de la IA. Al final, siempre hay alguna forma de explotar cualquier tecnología, incluida la inteligencia artificial, usando trucos y técnicas avanzadas.

Tendremos más información sobre esta investigación en el informe del próximo mes.

Incidentes Importantes en la Industria

Fuga de Datos en TD Bank

En febrero de 2025, TD Bank confirmó que se había producido una brecha de seguridad bastante seria. Un exempleado accedió sin autorización a información de clientes y la compartió, exponiendo nombres, datos de contacto, fechas de nacimiento, números de cuenta y detalles de transacciones. Si bien es cierto que no se filtraron números de la Seguridad Social ni contraseñas, el incidente sigue siendo un motivo de alarma, ya que puede facilitar fraudes y robos de identidad.

Este caso se vuelve a poner sobre la mesa un problema frecuente: las amenazas internas. Muchas empresas buscan defenderse de ataques externos, pero descuidan los riesgos que pueden venir desde dentro. Cuando se manejan datos tan sensibles, contar con medidas de seguridad sólidas no es una opción, sino una necesidad.

Ataque de MEDUSA a HCRG Care Group

Febrero también trajo consigo un nuevo ataque de los grupos de ransomware. Esta vez, el objetivo fue HCRG Care Group (una empresa privada relacionada con la sanidad y asistencia social). El grupo de ciberdelincuentes Medusa se atribuyó el ataque, diciendo que habían conseguido robar con éxito una enorme cantidad de datos y amenazando con venderlos o publicarlos en la red. A pesar de la fuga, los servicios que ofrece la empresa no se han visto afectados hasta el día de hoy.

Un Patch Tuesday Movidito para Microsoft

Como cada mes, Microsoft lanzó su Patch Tuesday. En febrero de 2025, la empresa publicó actualizaciones para corregir 55 vulnerabilidades de seguridad, incluidas cuatro de zero-day (¡toma nota!). ¿Lo malo? Que dos de estas vulnerabilidades ya se estaban explotando en la red, lo cual abrió la puerta a riesgos de elevación de privilegios y fallos en los sistemas muy serios. En pocas palabras: un mes de trabajo extra para los administradores de sistemas, que tienen que garantizar que todo esté actualizado y protegido.

Apple y el Gobierno del Reino Unido: el debate sobre el cifrado

Esta noticia no es nueva, pero sigue dando mucho de qué hablar en la ciberseguridad por las implicaciones que tiene para la privacidad y la seguridad de los usuarios.

En febrero de 2025, Apple eliminó la función de Protección Avanzada de Datos (ADP) para los usuarios de iCloud en el Reino Unido. ¿La razón? Las exigencias del gobierno de incluir una puerta trasera que permitiera acceder a los datos cifrados. Hasta ahora, ADP garantizaba que los datos almacenados en iCloud estuvieran protegidos con cifrado de extremo a extremo, impidiendo que ni Apple ni las autoridades pudieran acceder a ellos. La petición del gobierno británico ha desatado un debate entre expertos en privacidad y seguridad, que advierten sobre las posibles repercusiones en la privacidad de los usuarios y el aumento de la vigilancia gubernamental.

Esta medida de Apple ha generado un gran revuelo entre los expertos en privacidad y seguridad, que advierten del riesgo que supone para los derechos de los usuarios y el posible abuso de poder por parte del gobierno del Reino Unido. Aunque Apple sigue protegiendo con cifrado de extremo a extremo datos sensibles como historiales clínicos y mensajes, la eliminación de ADP deja otros tipos de datos mucho más vulnerables. Sin duda, es un tema que dará que hablar en los próximos meses.

Vulnerabilidad crítica en Microsoft Outlook

Otro problema que nos llama la atención, aunque no sea exclusivo de febrero, es la vulnerabilidad grave que afectó a Microsoft Outlook a principios de 2025.

En enero, Microsoft corrigió un fallo crítico llamado CVE-2025-21298, que tenía un grado de alerta de 9.8 sobre 10. Este agujero de seguridad permitía a los atacantes distribuir malware a través del correo electrónico, aprovechando la función Windows Object Linking and Embedding (OLE). Lo preocupante es que el ataque se ejecutaba con solo previsualizar un correo malicioso en Outlook, sin necesidad de abrirlo. Para evitar riesgos, Microsoft lanzó un parche de seguridad e instó a los usuarios a hacer la actualización. Si aún no lo has hecho, comprueba que tu sistema está protegido.

---

Recomendaciones del mes

• Instala las actualizaciones de seguridad más recientes de Microsoft.
• Forma a tus usuarios con un servicio de formación en seguridad para que identifiquen y eviten ataques de phishing. Esto minimiza el riesgo de ataques basados en IA y otras amenazas como las que aparecen en este informe.
• Refuerza la seguridad interna en tu organización implementando un proceso para detectar y gestionar posibles amenazas internas.

---

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes.