Aumentan los ataques en la industria y se expande el malware móvil: informe de ThreatLabz de Zscaler sobre dispositivos móviles, IoT y OT 2025

Los dispositivos móviles, los sensores IoT y los sistemas OT ya no son dominios distintos. Constituyen la columna vertebral interconectada de los negocios y la infraestructura modernos. Desde la planta de producción y la sala de hospital hasta la cadena de suministro global, esta convergencia impulsa la innovación y la eficiencia. Sin embargo, también ha creado una superficie de ataque extensa e interdependiente que los actores maliciosos están explotando con creciente velocidad y sofisticación.

Para ayudar a las organizaciones a desenvolverse en este entorno en constante evolución, Zscaler ThreatLabz ha publicado el Informe de Amenazas Móviles, IoT y OT de 2025.Nuestra investigación analiza miles de millones de ataques bloqueados en Zscaler Zero Trust Exchange para revelar cómo los atacantes explotan las vulnerabilidades en dispositivos móviles, entornos IoT y el creciente ecosistema de IoT con conexión celular.

Las conclusiones son claras: a mayor conectividad, mayor es el riesgo.

Principales conclusiones del informe ThreatLabz de 2025

La investigación de este año identifica un aumento significativo de las amenazas en todos los ámbitos, con atacantes que se centran en industrias críticas y aprovechan plataformas de confianza para distribuir malware.

• Las transacciones de malware para Android aumentaron un 67 % interanual, impulsadas por sofisticados programas espía y troyanos bancarios.
• Los ataques dirigidos al sector energético aumentaron en un 387 %, el transporte en un 382 % yla atención médica en un 224 %, subrayando el creciente riesgo para las industrias críticas.
• ThreatLabz identificó 239 aplicaciones maliciosas en Google Play Store que, en conjunto, se descargaron 42 millones de veces, lo que demuestra cómo los atacantes pueden eludir las protecciones de la tienda oficial.
• Las botnets de IoT siguen siendo una fuerza dominante, y las familias de malware Mirai, Mozi y Gafgyt representan el 75 % de todas las cargas útiles maliciosas de IoT.

Los routers siguen siendo el principal objetivo de los ataques a IoT, representando más del 75 % de todos los incidentes observados, ya que los atacantes los explotan como puntos de entrada para la expansión de botnets y el movimiento lateral.

Mayor enfoque en las industrias críticas

Si bien el sector manufacturero sigue siendo el principal objetivo del malware para el IoT, nuestro informe muestra un aumento significativo de los ataques contra otros sectores esenciales. Los actores maliciosos están siguiendo la senda de la transformación digital, centrándose en las industrias donde la disrupción tiene el impacto más significativo.

El notable aumento de los ataques contra los sectores de energía, salud, transporte y gobierno pone de relieve un cambio estratégico. Los atacantes reconocen el entorno de alto riesgo en estos sectores verticales, donde el potencial de interrupción operativa, robo de datos confidenciales y daño a la reputación es significativo. La interconexión de estas industrias, junto con su papel vital en la sociedad, las convierte en objetivos principales para campañas sofisticadas.

Las líneas difusas del ataque

Nuestra investigación demuestra que los atacantes ya no diferencian entre tipos de dispositivos: ven un único ecosistema conectado que explotar.

• El móvil como punto de entrada clave: Con el auge del trabajo híbrido y las políticas de BYOD (Trae tu propio dispositivo), los dispositivos móviles se han convertido en un punto de entrada principal. Los atacantes utilizan técnicas avanzadas de phishing (mishing), troyanos bancarios y spyware para comprometer los dispositivos y obtener acceso a los recursos corporativos.
• Ataques automatizados mediante botnets de IoT: Los ciberdelincuentes siguen explotando dispositivos IoT sin revisiones o mal configurados, especialmente routers expuestos a redes públicas. Una vez comprometidos, estos dispositivos se incorporan a potentes botnets como Mirai para lanzar ataques DDoS, propagar malware y moverse lateralmente por las redes.
• La superficie de sombra celular: La rápida adopción de dispositivos IoT con conexión celular en logística, fabricación e infraestructura inteligente crea nuevos puntos ciegos. Sin una visibilidad granular y seguridad a nivel de SIM, las organizaciones quedan expuestas a la filtración de datos, el uso indebido de dispositivos y posibles brechas de seguridad perimetral.

Uno de los ejemplos más destacados de esta amenaza convergente es la evolución del malware para la banca móvil.

Malware bancario: La billetera digital es un objetivo principal

La comodidad de la banca móvil ha transformado la forma en la que gestionamos nuestras finanzas, pero esto no ha pasado desapercibido para los ciberdelincuentes. El malware bancario moderno para Android ha evolucionado desde simples ladrones de credenciales hasta troyanos multifuncionales diseñados para eludir los controles de seguridad y robar fondos.

Los ciberdelincuentes despliegan sofisticados troyanos bancarios como Anatsa, Ermac y TrickMo, que suelen hacerse pasar por utilidades o aplicaciones de productividad legítimas tanto en tiendas de aplicaciones oficiales como de terceros. Una vez instalados, utilizan técnicas altamente engañosas para capturar nombres de usuario, contraseñas e incluso los códigos de autenticación de dos factores (2FA) necesarios para autorizar transacciones. Nuestra investigación demuestra que el aumento del malware móvil se debe en gran medida a la rentabilidad y eficacia de estos troyanos bancarios.

Características clave del malware bancario moderno para Android:

• Ataques de superposición: El malware detecta cuando un usuario abre una aplicación bancaria legítima y coloca encima una ventana de inicio de sesión falsa, con una precisión de píxeles impecable, para robar sus credenciales.
• Intercepción y redirección de SMS: Para burlar la autenticación de dos factores (2FA), los troyanos como Ermac obtienen permiso para leer y ocultar los mensajes SMS entrantes, lo que les permite capturar contraseñas de un solo uso (OTP).
• Abuso de los servicios de accesibilidad: El troyano Anatsa es conocido por abusar de los permisos de los servicios de accesibilidad para realizar fraude directamente en el dispositivo, simulando toques del usuario para navegar por las aplicaciones bancarias y aprobar transacciones de forma autónoma.
• Registro de pulsaciones de teclas y grabación de pantalla: Muchas variantes registran las pulsaciones de teclas o graban el contenido de la pantalla para garantizar la captura de credenciales confidenciales, incluso si otros métodos fallan.

Capacidades de los troyanos de acceso remoto (RAT): El malware avanzado, incluidas las variantes de TrickMo, funciona también como un RAT completo, lo que otorga al atacante el control remoto directo sobre un dispositivo.

Proteger el futuro con un enfoque Zero Trust

La convergencia de las amenazas móviles, de IoT y de OT hace que los modelos de seguridad tradicionales basados en el perímetro resulten ineficaces. Defender este complejo panorama requiere una estrategia unificada basada en los principios Zero Trust.

Este enfoque debe extenderse a la superficie de sombra celular. Con Zscaler para IoT celular, las organizaciones pueden aplicar el poder del Zero Trust Exchange directamente a los dispositivos con SIM, reemplazando las IP públicas vulnerables con una ruta directa y segura a la nube de Zscaler. Esto permite a las organizaciones aplicar políticas granulares a nivel de SIM, inspeccionar todo el tráfico de IoT en busca de amenazas y prevenir el movimiento lateral.

Simultáneamente, las organizaciones deben proteger los miles de dispositivos IoT y OT que operan dentro de sus instalaciones físicas. En redes planas dentro de sucursales, fábricas y almacenes, un solo sensor o controlador comprometido puede convertirse en una puerta de entrada para que un atacante se mueva lateralmente e interrumpa las operaciones. Al implementar Zscaler para sucursales y fábricas, todo el tráfico de estos sitios (incluido el de los dispositivos IoT/OT sin interfaz) se enruta a través de la nube de Zscaler para una inspección completa y la aplicación de políticas. Esto aísla las ubicaciones de la WAN corporativa y entre sí, evitando que una brecha en un sitio se propague por toda la empresa.

En última instancia, las organizaciones deben avanzar hacia una arquitectura de seguridad que elimine la superficie de ataque, impida el movimiento lateral de amenazas y detenga la pérdida de datos. Esto implica implementar una segmentación granular para aislar los sistemas críticos, aplicar la detección de amenazas basada en IA para identificar anomalías y aplicar políticas de seguridad uniformes en todos los dispositivos, usuarios y aplicaciones, independientemente de cómo o dónde se conecten.

Descargue el informe completo

Los hallazgos de este blog son solo el comienzo. El informe de amenazas móviles, IoT y OT de Zscaler ThreatLabz 2025 proporciona análisis en profundidad, estudios de casos y recomendaciones prácticas para ayudarle a proteger su ecosistema conectado.

Descargue hoy mismo el informe completo para explorar:

• Análisis detallados de las principales familias de malware y técnicas de ataque.
• Análisis exhaustivo de los sectores y zonas geográficas más relevantes.
• Buenas prácticas para la implementación de una arquitectura Zero Trust para dispositivos móviles, IoT y OT.
• Nuestras predicciones para 2026 sobre el panorama de amenazas en constante evolución.