El malware nuevo único creció más de un 1.500 % en la segunda mitad de 2025, un dato que refleja el aumento de la complejidad en el panorama de amenazas, según el último Informe de Seguridad en Internet de WatchGuard.
La compañía, que cumple 30 años en el mercado de la ciberseguridad, señala que los proveedores de servicios gestionados (MSP) necesitan evolucionar desde modelos reactivos hacia estrategias basadas en inteligencia de amenazas y protección unificada.
El informe, elaborado a partir de datos agregados y anonimizados procedentes de sus soluciones de red, endpoint y filtrado DNS, detecta una aceleración tanto en el volumen como en la sofisticación del malware. Esta tendencia pone en cuestión la eficacia de los sistemas tradicionales basados únicamente en firmas.
Malware inédito
Durante 2025, la aparición de malware nuevo aumentó trimestre a trimestre, con un repunte del 1.548 % entre el tercer y el cuarto trimestre. Además, el 23 % de las muestras identificadas logró eludir la detección basada en firmas, lo que en la práctica las sitúa en la categoría de amenazas de día cero y apunta a la necesidad de reforzar los mecanismos de análisis de comportamiento apoyados en inteligencia artificial.
Entre las principales conclusiones, el estudio destaca que el malware inédito en el endpoint se ha multiplicado por más de 15, una señal de que los atacantes están priorizando técnicas nuevas y ofuscadas para evitar controles estáticos.
El cifrado también se consolida como vía habitual de distribución: el 96 % del malware bloqueado se entregó a través de conexiones TLS. Sin inspección HTTPS, advierte el informe, las organizaciones pierden visibilidad sobre gran parte del tráfico malicioso.
En el entorno del endpoint, se observa un descenso progresivo de los scripts maliciosos, mientras que aumentan los binarios de Windows y las herramientas conocidas como living-off-the-land (LotL), que aprovechan procesos legítimos para pasar desapercibidas. En cuanto a las amenazas de red, aunque los exploits disminuyeron en el segundo semestre, muchas detecciones siguen vinculadas a vulnerabilidades conocidas desde hace años, especialmente en aplicaciones web, lo que refuerza la importancia de defensas por capas como los sistemas de prevención de intrusiones (IPS).
Evolución de las técnicas
La investigación también apunta a cambios en la forma en que los atacantes monetizan sus campañas. En la segunda mitad de 2025 se detectaron acciones de phishing que utilizaban scripts de PowerShell para desplegar herramientas de Malware-as-a-Service, como troyanos de acceso remoto, evitando el análisis automatizado de archivos.
En paralelo, la actividad global de ransomware descendió un 68,42 % interanual, aunque los pagos públicos por extorsión alcanzaron cifras récord. El dato sugiere una estrategia más selectiva, con menos incidentes pero de mayor impacto económico. La criptominería continúa siendo otra vía frecuente de obtención de beneficios una vez que se logra acceso a los sistemas.
Para Corey Nachreiner, director de seguridad de WatchGuard, el actual entorno de amenazas ha superado a las soluciones puntuales y a los enfoques reactivos. A su juicio, para los MSP el riesgo es especialmente relevante, ya que una brecha en un cliente implica mayores costes operativos y pérdida de confianza. En este contexto, sostiene que los proveedores que destaquen serán aquellos capaces de demostrar capacidades de inteligencia proactiva y protección unificada en los entornos que gestionan.
El informe concluye que resulta imprescindible combinar prevención, detección y respuesta avanzada en el endpoint, análisis impulsado por IA y monitorización continua. Con ataques cada vez más persistentes, los servicios gestionados de detección y respuesta 24/7 se perfilan como una vía para reducir riesgos y aportar valor sostenido a los clientes.
