En 2025, la actividad cibernética de los adversarios fue caracterizada por su velocidad y escala, poniendo una presión significativa sobre las fuerzas de seguridad. Según Cisco Talos, tres temas clave emergieron: el rápido aprovechamiento de nuevas vulnerabilidades, ataques a sistemas que gestionan autenticación y autorización así como la confianza del dispositivo, y el targeting de infraestructuras centralizadas para mayor impacto.
Primero, los adversarios explotaron tanto las vulnerabilidades recientemente descubiertas como aquellas conocidas durante mucho tiempo. La vulnerabilidad React2Shell, revelada en diciembre de 2025, se convirtió en la séptima más explotada CVE solo tres semanas después de su publicación. Esto subraya la sofisticación creciente del desarrollo automatizado de exploits y la rápida difusión del código de concepto probado.
Segundo, los atacantes se concentraron en sistemas que gestionan autenticación, autorización y confianza del dispositivo. Las credenciales comprometidas a menudo se utilizaron para extender el acceso mediante ataques de phishing o abuso de controles de identidad dentro de la infraestructura de redes. El control sobre estos sistemas de identidad frecuentemente significaba el control sobre el entorno más amplio.
Tercero, los actores del peligro se enfocaron en infraestructuras centralizadas como plataformas de gestión y marcos compartidos. Aproximadamente un cuarto de las principales 100 vulnerabilidades afectaban a marcos y bibliotecas ampliamente utilizados que estaban integrados profundamente en pilas de software, subrayando su potencial para una explotación masiva entre diversas empresas y aplicaciones.