Llegados casi a final de este año, el servicio de Seguridad y Amenazas acaba de dar a conocer un informe haciendo balance de todo lo que se han encontrado últimamente los expertos de esta marca en materia de ciberataques. De acuerdo con estos registros, la actividad de los hackers sigue hablando en tono de sofisticación, hasta el punto de que el usuario ya no puede distinguir entre lo malicioso y lo legítimo. Para eso esta la tecnología de ciberseguridad, aunque aún así es muy difícil captar a tiempo todas las ciberamenazas que se presentan cada día en el mundo.
Porque la puesta en escena de los hackers es casi profesional en algunas de las estafas que los sistemas de HP han logrado detener. El informe, elaborado a partir del análisis de millones de dispositivos protegidos por HP Wolf Security, examina ataques reales detectados entre julio y septiembre de 2025. El objetivo: ofrecer a empresas y organizaciones una visión anticipada de las nuevas técnicas de evasión que emplean los atacantes en un ecosistema digital en constante mutación.
La ingeniería social entra en una nueva fase, vistos los ciberataques de 2025
Una de las tendencias más llamativas es el uso de animaciones visuales diseñadas para generar confianza y urgencia. Barras de carga falsas, desplazamientos automáticos o solicitudes de contraseñas de un solo uso se integran en sitios web fraudulentos con una estética creíble, lo que reduce la sospecha del usuario y aumenta la tasa de éxito del ataque.
“Los atacantes están explotando recursos visuales que asociamos con procesos legítimos, como una actualización de software o una verificación de seguridad”, explica Patrick Schläpfer, investigador principal de amenazas del Laboratorio de Seguridad de HP. “Estas animaciones, combinadas con malware comercializado como servicio, permiten lanzar campañas más eficaces con menos esfuerzo”.
Ataques que esquivan los sistemas tradicionales
Entre las campañas analizadas destaca una suplantación de la Fiscalía General de la Nación de Colombia, en la que las víctimas recibían falsas notificaciones legales por correo electrónico. El mensaje conducía a un sitio web gubernamental falso que mostraba una animación guiando al usuario hacia una supuesta “contraseña de un solo uso”. El resultado era la descarga de un archivo protegido que, al abrirse, desplegaba una carpeta aparentemente inofensiva.
En realidad, el archivo contenía una DLL manipulada y oculta que instalaba silenciosamente PureRAT, un troyano de acceso remoto que otorgaba a los atacantes control total del dispositivo. La eficacia del ataque fue notable: solo el 4 % de las muestras fue detectado por antivirus tradicionales, lo que evidencia la capacidad de evasión de estas técnicas.
Otro caso analizado muestra cómo una falsa actualización de Adobe puede convertirse en una puerta de entrada al secuestro del equipo. Mediante un PDF falsificado con la imagen corporativa de la marca, las víctimas eran redirigidas a una web fraudulenta que simulaba una actualización del lector de PDF. Una barra de progreso animada reforzaba la ilusión de legitimidad mientras se descargaba un ejecutable modificado de ScreenConnect, una herramienta de acceso remoto utilizada habitualmente con fines legítimos, pero que en este caso permitía a los atacantes tomar el control del sistema.
Discord y el abuso de plataformas legítimas
El informe también revela cómo los actores maliciosos están recurriendo a plataformas ampliamente utilizadas y bien reputadas, como Discord, para alojar y distribuir malware. Aprovechando la confianza que generan estos servicios, los atacantes logran sortear controles de seguridad y reducir la sospecha de los usuarios.
En uno de los ataques documentados, el malware desactivaba primero la protección de integridad de memoria de Windows 11 antes de desplegar Phantom Stealer, un infostealer distribuido mediante suscripción. Este tipo de malware, que se actualiza con frecuencia, está diseñado para robar credenciales, datos financieros y cookies de sesión, dificultando su detección por soluciones basadas únicamente en firmas.
El auge del robo de cookies de sesión
El auge del robo de cookies de sesiónMás allá del informe sobre los ciberataques de 2025, el equipo de investigación de HP ha alertado en su blog sobre el crecimiento de los ataques de secuestro de cookies, una técnica que evita la necesidad de robar contraseñas o sortear la autenticación multifactor. En lugar de ello, los atacantes capturan cookies que acreditan que el usuario ya ha iniciado sesión, obteniendo acceso inmediato a sistemas sensibles.
Los datos son reveladores: el 57 % de las principales familias de malware detectadas en el tercer trimestre de 2025 eran ladrones de información, y muchas de ellas incluyen capacidades específicas para sustraer cookies de sesión.
Tendencias que preocupan a HP en los ciberataques de 2025
El informe identifica además una diversificación en los métodos de entrega. Al menos el 11 % de las amenazas por correo electrónico logró eludir uno o más escáneres de pasarela. Los archivos comprimidos representaron el 45 % de los vectores de ataque, impulsados por el uso creciente de formatos como .tar y .z. Los archivos PDF, por su parte, concentraron el 11 % de las amenazas bloqueadas, una cifra en aumento trimestre tras trimestre.
Ante este escenario, Ian Pratt, director global de seguridad para sistemas personales de HP, subraya que ninguna tecnología de detección es infalible. “Cuando los atacantes imitan marcas conocidas, abusan de plataformas legítimas y utilizan trucos visuales sofisticados, incluso los sistemas más avanzados pueden fallar”, afirma.
