Retrospectiva cyber 2025: cuatro casos que explican el año

Cuatro incidentes con criterio editorial explícito, no ranking exhaustivo. Lo que estos cuatro tienen en común: cada uno cambia la postura defensiva de una categoría entera de empresa y no de un sector concreto. Multi-sig en cripto, retail con helpdesk en UK, SharePoint on-prem en cualquier sitio, y la base instalada de Windows 10. Cuatro lecciones operativas para 2026, una por caso.

No es lo único que pasó en 2025. Es lo que merece ser leído en conjunto.

1. ByBit — el frontend como cadena de visualización

21 de febrero de 2025. Lazarus Group (TraderTraitor según FBI) ejecuta el mayor robo de criptomonedas de la historia: ~$1.5 mil millones en ETH desde una cold wallet de ByBit. El vector no es bug en multi-sig, no es bug en blockchain, no es phishing al firmante. Es compromiso del frontend de Safe{Wallet} (app.safe.global), la UI que ByBit y media industria usan para firmar transacciones multi-sig.

El atacante inyecta código JavaScript en el bundle del frontend hosted. Cuando los firmantes de ByBit abren la página para aprobar una transferencia rutinaria, la UI les muestra una transacción benigna. La transacción real — un setImplementation() que cambia el contrato proxy de la wallet por uno controlado por el atacante — se firma sin que el firmante la vea, porque la wallet hardware muestra el hash y no la calldata decodificada. Tres firmantes en secuencia. Operación on-chain ejecutada. Movimiento del ETH a través de mixers y bridges durante las semanas siguientes.

El técnico de febrero cubre el chain completo. El patrón que importa para 2026:

• La cadena de visualización entre la transacción real y lo que el firmante ve depende del frontend hosted. Cualquier multi-sig — DeFi, custodian, organización — que use UI servida por terceros está en la misma postura. La wallet hardware no es el último mile defensible; muestra hash que el humano no puede validar a ojo.
• La defensa estructural es calldata verification offline: una herramienta independiente del frontend que decodifica la transacción a partir del raw bytecode antes de firmar. Existe (Safe lo añade después del incidente como Safe Transaction Service decoder), pero la mayoría de los operadores no lo usa porque añade fricción.
• El threat model “el frontend hosted está comprometido” pasa a ser caso bautizado, no hipótesis. Aplica a cualquier operación financiera que dependa de UI de terceros — no solo cripto.

Safe{Wallet} publica post-mortem el 26 de febrero. ByBit recupera operaciones en 72 horas con préstamos puente. Lazarus mueve el ETH a través de THORChain en cantidades que sobrepasan el volumen normal del bridge durante días. FBI advisory confirma atribución el 26 de febrero.

2. Wave UK retail — el helpdesk como vector industrial

25 de abril de 2025. Marks & Spencer detecta intrusión en sus sistemas. Ecommerce caído, contactless payments interrumpidos, base de loyalty afectada. Vector reportado: social engineering al helpdesk para reset de credenciales privilegiadas, atribuido a DragonForce con afiliados de Scattered Spider. Cuatro días después, 29 de abril, Co-op Group detecta intrusión con vector idéntico. A finales de mes, Harrods anuncia intento de intrusión contenido. Tres retailers UK en quince días, mismo vector.

M&S queda con ecommerce offline durante seis semanas. Costes reportados al cierre del año fiscal: £300 millones impacto según comunicado oficial. Co-op pierde temporalmente capacidad de procesar pagos en tiendas durante varios días. El playbook reconstruido por NCSC y por Mandiant:

1. Reconocimiento OSINT del directorio activo de la empresa (LinkedIn + leaked breaches) para identificar nombres de empleados senior con privilegios IT.
2. Llamada al helpdesk de tier-1 outsourced. Suplantar al empleado. Pedir reset de MFA “porque he perdido el teléfono”.
3. Helpdesk reset, atacante registra nuevo método MFA, accede al directorio.
4. Privilege escalation con técnicas de Scattered Spider conocidas desde MGM 2023.
5. Despliegue de ransomware DragonForce con doble extorsión.

El técnico de abril cubre el chain. La lección para 2026:

• Identity verification de tier-1 support no escala con plantillas de outsourcing. El operador del helpdesk lee un script; el atacante lee el mismo script. La asimetría se resuelve añadiendo verificación por canal alternativo (Slack interno con código one-time, callback al manager registrado), no por más entrenamiento del operador.
• Los retailers UK comparten patrones de outsourcing. Cuando un playbook funciona contra M&S, funciona contra Co-op la siguiente semana porque el helpdesk lo gestiona el mismo proveedor o usa el mismo procedimiento. La industrialización del social engineering contra retail es real.
• El control compensatorio realista: para resets de credenciales privilegiadas, two-person approval asíncrono con time-delay automático de 30 minutos. No frena el reset legítimo del CTO; sí frena el playbook Scattered Spider porque la ventana de oportunidad se cierra.

NCSC publica advisory consolidado el 7 de mayo. Microsoft Threat Intelligence atribuye la actividad a Storm-0875, alineado con Scattered Spider / Octo Tempest, ahora con afiliación a DragonForce como ransomware-as-a-service.

3. SharePoint ToolShell — auth bypass + deserialización pre-auth

19-20 de julio de 2025. Microsoft publica advisory de emergencia sobre SharePoint on-premises. La cadena que Eye Security nombra como ToolShell:

• CVE-2025-49706 + CVE-2025-49704 — primer par publicado el 8 de julio en Patch Tuesday. RCE pre-auth en endpoint ToolPane con auth bypass por header Referer: /_layouts/SignOut.aspx. PoC público de watchTowr Labs al día.
• CVE-2025-53770 + CVE-2025-53771 — el 18 de julio aparece variante que bypasea el parche del 8. Microsoft publica patch out-of-band; CISA emite Emergency Directive 25-XX el 23 de julio. CVSS 9.8.

Explotación masiva por actores China-nexus desde antes del parche. Microsoft tracking publica los tres grupos identificados: Linen Typhoon, Violet Typhoon, Storm-2603. Eye Security reporta ~85 servidores comprometidos en las primeras 48 horas tras el bypass; el conteo final supera 400 organizaciones en las primeras dos semanas, incluyendo agencias federales US y gobiernos europeos. El web shell desplegado — spinstall0.aspx — roba las MachineKeys del IIS de SharePoint y permite persistencia post-patch porque las keys son las que firman los ViewState; quien las tenga puede forjar ViewState malicioso después del fix.

El técnico de julio cubre el chain con PoC. La lección para 2026:

• SharePoint Server on-prem heredado en empresa grande es un perímetro expuesto que se ha quedado fuera del ciclo de modernización. La mayoría de las víctimas tenían SharePoint sin parchear durante semanas a meses. Patch hygiene en on-prem legacy sigue siendo la asignatura suspensa de la industria.
• El patch incompleto del 8 de julio es la lección estructural. Cuando el primer parche aborda los CVE específicos sin auditar la gadget chain completa, la variante aparece. Para vendors: el mantra es root cause analysis del bypass class, no del bug concreto. Para clientes: asumir que el primer patch puede ser incompleto durante la ventana de panic-patching.
• MachineKeys robadas = persistencia que sobrevive al patch. Cualquier organización afectada que solo aplicó el patch sin rotar MachineKeys sigue comprometida. La forensic decision tree post-incidente tiene que incluir rotación.

CISA, Mandiant, Eye Security y watchTowr publican análisis detallado durante agosto. Microsoft acaba publicando guía de hardening y rotación de keys en KB de agosto.

4. Windows 10 fin de soporte — la base instalada que se queda

14 de octubre de 2025. Microsoft cierra el soporte gratuito para Windows 10. A esa fecha ~40 % de los desktops Windows del mundo corren Windows 10 según StatCounter — varios cientos de millones de máquinas. Sale el Extended Security Updates (ESU) program: gratis para consumidores en la EEA durante un año tras decisión regulatoria del DG-GROW; $30 / año para consumidor fuera de la EEA; $61 / dispositivo / año el primer año para empresa, escalando a $122 y $244 en años 2 y 3.

No es un CVE; es el modelo de soporte que se acaba. El técnico de octubre cubre las primeras CVE que se han visto explotando la base instalada y el cálculo realista de coste empresarial. La lección para 2026:

• El cliffhanger de soporte crea una superficie de ataque previsible. Cualquier CVE crítica que afecte al kernel o a componentes core en Windows 10 a partir de octubre va a tener una ventana de explotación más larga que en Windows 11, porque ESU es opt-in y la mayoría de los consumidores no lo activa. Microsoft Defender sigue actualizándose hasta octubre 2028, lo que da cierto colchón — pero solo contra detection-after-the-fact.
• El cálculo de migración no es solo licencias. Empresas que no migraron antes del 14 de octubre llegan tarde por hardware (Windows 11 requiere TPM 2.0 y SSE 4.2, lo que excluye ~25 % del parque empresarial existente) o por aplicaciones legacy. Para 2026 el inventario empresarial real es ESU pagado / migrado a Win11 / migrado a Linux+VM Windows / aceptando riesgo. Las cuatro categorías son aceptables; sin inventario explícito, ninguna lo es.
• La transición de Windows 7 (enero 2020) dejó datos: WannaCry-equivalentes contra Windows 7 unsupported aparecieron durante 2-3 años. La curva para Windows 10 va a ser similar, con más base instalada y con grupos ransomware mejor coordinados para targetear sistemas EoL.

Lo que no aparece en estos cuatro y se queda apuntado

• Snowflake one-year postmortem (mayo) — Mandiant publica el análisis consolidado de UNC5537 un año después. Lección que se confirma: PaaS analítica sin MFA enforce por defecto sigue siendo categoría de exposición. Snowflake cambió defaults en julio 2024; los datos de 2025 muestran cuántos clientes seguían con MFA opcional al cumplirse el aniversario.
• CrowdStrike anniversary (19 de julio) — un año del Channel File 291. Microsoft cierra durante 2025 el Windows Resiliency Initiative con vendors EDR. Las recomendaciones técnicas sobre kernel mode driver alternatives se quedan en staging; ningún vendor EDR migra completamente off-kernel durante 2025.
• Volt Typhoon / Salt Typhoon updates — CISA publica advisory consolidado en Q3 sobre persistencia de la actividad China-nexus en infraestructura de telcos US. La parte interesante: detección retroactiva en routers que se asumían limpios. No es incidente nuevo; es el incidente de 2023-2024 que sigue produciendo hallazgos dos años después.
• Cleo MFT (eco de diciembre 2024) — Cl0p mantiene actividad durante el primer trimestre de 2025 con víctimas adicionales del leak del año anterior. Cubierto en el técnico de Cleo de diciembre 2024.

Patrón transversal

Si tengo que destilar 2025 cyber en una frase: el atacante operativo industrializa playbooks que en 2024 todavía eran investigación o caso aislado. Lazarus tiene playbook industrial para frontend compromise contra exchanges cripto — ByBit no es el último. Scattered Spider tiene playbook contra retail UK — los CISO retail europeos llevan seis meses esperando que les toque. China-nexus tiene playbook para auth bypass + deserialización contra software server on-prem — ToolShell es uno de varios. Los grupos están especializados, disciplinados, y reproducen con menor variación que los defensores.

El plan operativo que sale para 2026:

1. Audit de cadenas de visualización financiera. Cualquier operación crítica que dependa de UI servida por terceros — multi-sig wallets, payment gateways, signing portals — necesita verificación offline del raw transaction antes de firmar. La fricción es real; la alternativa es más cara.
2. Verificación por canal alternativo para resets privilegiados. Two-person approval con time-delay automático para credenciales y MFA de cuentas IT senior. Aplica a helpdesk, a IAM self-service, a flujos de break-glass.
3. Patch hygiene en on-prem legacy con asunción de patch incompleto. SharePoint, Exchange, Confluence on-prem, Citrix appliances. Rotación de keys / secrets post-incidente como parte del playbook estándar, no como decisión caso a caso.
4. Inventario explícito de Windows 10 post-EoL. ESU pagado / migrado / aceptando riesgo / desconocido. La cuarta categoría es la peligrosa.

Para los AI security patrones de este mismo año, la retrospectiva paralela tiene seis hilos que merecen lectura conjunta.

Referencias clave

• ByBit post-mortem (Ben Zhou, CEO, 22-feb-2025): https://www.bybit.com/en/blog/post/incident-update-bybit-eth-cold-wallet-compromise
• Safe{Wallet} post-mortem (26-feb-2025): https://safe.global/blog/safe-wallet-statement-on-targeted-attack-on-bybit
• FBI PSA, North Korea Responsible for $1.5 Billion Bybit Hack (26-feb-2025): https://www.ic3.gov/PSA/2025/PSA250226
• Mandiant, Threat Activity Targeting Retail Industry (mayo 2025): https://cloud.google.com/blog/topics/threat-intelligence/scattered-spider-attacking-financial-and-insurance-industries
• NCSC UK, Retail sector cyber incidents — consolidated advisory (mayo 2025): https://www.ncsc.gov.uk/news/advice-following-recent-cyber-attacks-affecting-retail-sector
• Microsoft Threat Intelligence, Storm-0875 / Octo Tempest tradecraft update: https://www.microsoft.com/en-us/security/blog/2025/05/13/scattered-spider-shifts-focus-to-retail/
• Eye Security, ToolShell technical analysis: https://research.eye.security/sharepoint-toolshell/
• watchTowr Labs, Pre-auth RCE in SharePoint via ViewState abuse: https://labs.watchtowr.com/sharepoint-toolshell-cve-2025-53770/
• CISA Emergency Directive on SharePoint (julio 2025): https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a
• Microsoft, SharePoint Server: Hardening guidance and MachineKey rotation (KB de agosto 2025): https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/rotate-machine-keys
• Microsoft, Windows 10 end of support: https://www.microsoft.com/en-us/windows/end-of-support
• Microsoft, Extended Security Updates for Windows 10: https://learn.microsoft.com/en-us/windows/whats-new/extended-security-updates
• StatCounter Global Stats — desktop OS market share (octubre 2025): https://gs.statcounter.com/os-market-share/desktop/worldwide