El Índice Global de Amenazas de junio de 2025 revela que los ciberdelincuentes intensifican sus tácticas utilizando AsyncRAT a través de enlaces de Discord, mientras FakeUpdates sigue siendo el malware más extendido a nivel mundial

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, presenta su Índice Global de Amenazas correspondiente al mes de junio de 2025, en el que destaca el aumento de amenazas complejas y multietapa. Los investigadores han descubierto que AsyncRAT —un troyano de acceso remoto (RAT)— se sitúa en el top 3 de las amenazas más destacadas, tras detectarse su uso en campañas que aprovechan enlaces de invitación de Discord para distribuir cargas maliciosas. Por su parte, FakeUpdates mantiene su posición como el malware más común a nivel global.

Además, el grupo de ransomware Qilin continúa realizando ataques dirigidos a grandes empresas, especialmente en los sectores de salud y educación, confirmando su papel como uno de los actores más activos del cibercrimen actual.

"A medida que los ciberdelincuentes perfeccionan sus técnicas, se vuelve indispensable que las organizaciones implementen soluciones de seguridad proactivas y multicapa", afirma Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software. "La campaña de AsyncRAT y la persistencia de FakeUpdates reflejan la creciente sofisticación de los ataques actuales. La presencia de grupos como Qilin evidencia una evolución hacia campañas más selectivas y destructivas".

Principales familias de malware en España en junio *Las flechas se refieren al cambio de rango en comparación con el mes anterior.

FakeUpdates (AKA SocGholish) – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 7,3% de las empresas en España.Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 3,7% de las compañías españolas. ↑ AsyncRat Troyano de acceso remoto (RAT) dirigido a sistemas Windows, identificado por primera vez en 2019. Extrae información del sistema hacia un servidor de comando y control y puede ejecutar diversas acciones, como descargar complementos, terminar procesos, capturar capturas de pantalla y actualizarse automáticamente. Se distribuye comúnmente a través de campañas de phishing para el robo de datos y la toma de control de sistemas. Ha impactado al 2,1% de los negocios en España.

Los tres malware móviles más usados en junio El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de AhMyth y Necro.

Anubis – Anubis es el malware móvil más prevalente, conocido por su capacidad para eludir la autenticación multifactor (MFA) y robar credenciales bancarias. A menudo se distribuye a través de aplicaciones maliciosas disponibles en Google Play Store. AhMyth – AhMyth es un troyano de acceso remoto (RAT) para Android, se disfraza como aplicaciones legítimas y otorga a los atacantes acceso para exfiltrar credenciales bancarias, códigos MFA, así como realizar keylogging y capturas de pantalla. Necro – Necro es un descargador malicioso que puede ejecutar comandos dañinos en dispositivos Android, incluyendo la descarga de malware y anuncios, y la redirección del tráfico de internet a través de dispositivos comprometidos, convirtiéndolos en parte de una botnet.

Principales grupos de ransomware en junio

Qilin – También conocido como Agenda, sigue siendo el principal grupo de ransomware, responsable del 17% de los ataques en junio de 2025. Este grupo de ransomware como servicio se especializa en atacar grandes empresas, particularmente en los sectores de salud y educación. SafePay – SafePay continúa siendo una amenaza importante de ransomware, utilizando un modelo de doble extorsión para cifrar los archivos de las víctimas mientras roba datos sensibles. Este grupo de ransomware ha estado activo tanto contra grandes organizaciones como pequeñas empresas. Akira – Un grupo de ransomware más reciente que se enfoca en Windows y Linux. Ha sido vinculado a campañas de phishing y explotación de vulnerabilidades en VPNs, convirtiéndose en una seria amenaza para las empresas.

Los sectores más atacados en España en junio El mes pasado, Gobierno/Militar se mantuvo en el primer puesto de los sectores más atacados en España, seguido de Bienes y servicios de consumo y Telecomunicaciones.

Gobierno/Militar Bienes y servicios de consumo Telecomunicaciones

Los datos de junio reflejan el auge de campañas de malware sofisticadas y la creciente amenaza de grupos de ransomware como Qilin. Mientras FakeUpdates sigue siendo el malware más extendido, amenazas adicionales como AsyncRAT y el ransomware Qilin exigen atención urgente. Las empresas de los sectores Gobierno/Militar, Bienes y servicios de consumo y Telecomunicaciones siguen siendo las más vulnerables. Está claro que a medida que los ciberdelincuentes evolucionan en sus tácticas, las compañías deben adoptar medidas de seguridad integrales y proactivas para protegerse contra estas amenazas avanzadas.