El primer trimestre de 2025 ha dejado claro que la seguridad en la web sigue siendo una carrera de fondo, con amenazas en constante evolución y con un protagonismo creciente de los ataques automatizados. El informe de Fastly, basado en el análisis de más de 6,5 billones de solicitudes mensuales a través de más de 130.000 aplicaciones y APIs protegidas, ofrece una radiografía actualizada del panorama de ciberamenazas globales.
Si hay un ataque que domina el escenario web, ese es el Cross-Site Scripting (XSS), que representó el 40 % de todos los ataques observados en el trimestre, frente al 35 % en el mismo periodo de 2024 y al 21 % en 2023. Esta escalada es especialmente preocupante por su facilidad de explotación y su capacidad para robar sesiones, inyectar código malicioso o espiar al usuario sin que este lo perciba.
El informe señala una campaña activa que explota vulnerabilidades XSS almacenadas en plugins de WordPress. Los atacantes, sin mucho afán por ocultarse, usan scripts externos y direcciones IP repetidas, y buscan crear usuarios administradores, insertar puertas traseras o activar mecanismos de seguimiento persistente.
Comercio electrónico en la diana
El sector comercio ha duplicado su cuota de ataques en un año: del 15 % al 31 % del total, justo por detrás del sector de alta tecnología (35 %). La motivación parece clara: obtener recompensas inmediatas, como datos de tarjetas, credenciales o información personal. En este ámbito, el 54% de los ataques fueron XSS, lo que revela una clara orientación hacia técnicas de fácil ejecución y alto impacto.
los atacantes han asumido con naturalidad el uso de automatización, inteligencia distribuida y vectores de ataque simples pero eficaces
NLX: inteligencia colectiva para frenar al enemigo
Uno de los pilares de la defensa planteada por Fastly es su Network Learning Exchange (NLX), una fuente compartida de direcciones IP maliciosas observadas en múltiples entornos. En el primer trimestre, el 28 % de los ataques provenían de IPs ya listadas en NLX, y la mitad de estas IPs atacaron a varios clientes. Esta inteligencia compartida permite actuar de forma preventiva y detectar campañas que reutilizan infraestructuras conocidas, especialmente activas en sectores como Educación (61% de ataques vinculados a NLX), Sanidad (46 %) o Media y Entretenimiento (41 %).
Bots: uno de cada tres paquetes es sospechoso
El informe revela un dato inquietante: el 37 % del tráfico observado provino de bots, y de ese porcentaje, el 89 % eran bots no deseados. Es decir, un 33 % del tráfico total no aporta valor de negocio y puede estar asociado a actividades como fraudes, scraping, acaparamiento de recursos o ataques automatizados. Especialmente llamativo es el caso del sector comercio, que concentró el mayor volumen de tráfico de bots maliciosos.
ATO y contraseñas comprometidas
Los ataques de toma de control de cuentas (Account Takeover, ATO) siguen en alza. En marzo de 2025, los intentos de acceso con contraseñas comprometidas superaron los 1,3 millones diarios, con picos importantes entre el 7 y el 10, el 18 y el 20, y el 31 de marzo. En un solo día, una campaña bien organizada lanzó 1,5 millones de intentos desde más de 275.000 IPs diferentes, usando proxys y encabezados específicos para camuflar la actividad.
DDoS de precisión y escala moderada
Aunque no se registraron grandes megaataques de denegación de servicio (DDoS), sí hubo un incremento paulatino y campañas sostenidas, según el estudio de Fastly. Los ataques se centraron en aplicaciones (capa 7) más que en la red, buscando agotar recursos del servidor con tráfico bajo pero constante. Un dato clave: el 48% de los ataques DDoS observados se dirigieron a pymes, que tienen menor capacidad de respuesta y se convierten en blancos accesibles para causar disrupción.
Los puntos de presencia (PoP) más afectados fueron EE. UU. (26 %), Alemania (18 %) y Singapur (14 %).
El informe de Fastly deja claro que, a pesar de que las organizaciones cuentan con mejores herramientas de detección y defensa, los atacantes han asumido con naturalidad el uso de automatización, inteligencia distribuida y vectores de ataque simples pero eficaces.
