Aumentan los ataques a la industria y se propaga el malware móvil: El informe sobre dispositivos móviles, IoT y OT de ThreatLabz de 2025

Los dispositivos móviles, los sensores IoT y los sistemas OT ya no son dominios separados; constituyen la columna vertebral interconectada de las empresas y la infraestructura modernas. Desde la planta de producción y el pabellón del hospital hasta la cadena de suministro global, esta convergencia impulsa la innovación y la eficiencia. Sin embargo, también ha creado una superficie de ataque extensa e interdependiente que los malintencionados están explotando con creciente velocidad y sofisticación.

Para ayudar a las organizaciones a desenvolverse en este entorno en constante evolución, Zscaler ThreatLabz ha publicado el Informe sobre amenazas a dispositivos móviles, IoT y OT de 2025. Nuestra investigación analiza miles de millones de ataques bloqueados en Zscaler Zero Trust Exchange para revelar cómo los atacantes explotan las vulnerabilidades en dispositivos móviles, entornos IoT y el creciente ecosistema de IoT con conexión celular.

Las conclusiones son claras: a mayor conectividad, mayor riesgo.

Principales conclusiones del informe de ThreatLabz de 2025

La investigación de este año identifica un aumento significativo de las amenazas en todos los ámbitos, con atacantes que se centran en industrias críticas y aprovechan plataformas confiables para distribuir malware.

• Las transacciones de malware para Android aumentaron un 67 % interanual, impulsadas por sofisticados programas espía y troyanos bancarios.
• Los ataques dirigidos al sector energético aumentaron en un 387 %, transporte en un 382 %, yel sector sanitario en un 224 %, subrayando el creciente riesgo para las industrias críticas.
• ThreatLabz identificó 239 aplicaciones maliciosas en la tienda Google Play descargadas 42 millones de veces en total, lo que demuestra cómo los atacantes pueden eludir las protecciones oficiales del mercado.
• Las botnets de IoT siguen siendo una fuerza dominante, y las familias de malware Mirai, Mozi y Gafgyt representan el75 % de todas las cargas útiles maliciosas de IoT.

Los routers siguen siendo el principal objetivo de los ataques a IoT, con más del 75 % de todos los incidentes observados, ya que los atacantes los explotan como puntos de entrada para la expansión de botnets y movimiento lateral.

Mayor enfoque en las industrias críticas

Si bien el sector de la fabricación sigue siendo el principal objetivo del malware para IoT, nuestro informe muestra un aumento significativo de los ataques contra otros sectores esenciales. Los malintencionados están siguiendo la vía de la transformación digital, centrándose en las industrias donde la interrupción tiene el impacto más significativo.

El notable aumento de los ataques contra los sectores de energía, sanitario, transporte y gobierno pone de relieve un cambio estratégico. Los atacantes reconocen el entorno de alto riesgo en estos sectores verticales, donde la posibilidad de interrupción operativa, robo de datos confidenciales y daño a la reputación es significativa. La interconexión de estos sectores, junto con su papel vital en la sociedad, los convierte en objetivos principales de las campañas sofisticadas.

Las líneas difusas de ataque

Nuestra investigación demuestra que los atacantes ya no diferencian entre tipos de dispositivos; ven un único ecosistema conectado que explotar.

• El dispositivo móvil como punto de entrada clave: Con el auge del trabajo híbrido y las políticas de BYOD, los dispositivos móviles se han convertido en un punto de entrada principal. Los atacantes utilizan técnicas avanzadas de phishing (mishing), troyanos bancarios y spyware para comprometer los dispositivos y obtener acceso a los recursos corporativos.
• Ataques automatizados mediante botnets de IoT: Los ciberdelincuentes siguen explotando dispositivos IoT sin parchear o mal configurados, especialmente routers expuestos a redes públicas. Una vez comprometidos, estos dispositivos se incorporan a potentes botnets como Mirai para lanzar ataques DDoS, propagar malware y moverse lateralmente por las redes.
• La superficie celular oculta: La rápida adopción de dispositivos IoT con conexión celular en logística, fabricación e infraestructura inteligente crea nuevos puntos ciegos. Sin una visibilidad granular y seguridad a nivel de la tarjeta SIM, las organizaciones quedan expuestas a la exfiltración de datos, el uso indebido de dispositivos y posibles violaciones perimetrales.

Uno de los ejemplos más destacados de esta amenaza convergente es la evolución del malware para la banca móvil.

Malware bancario: La billetera digital es un objetivo primordial

La comodidad de la banca móvil ha transformado cómo gestionamos nuestras finanzas, pero esto no ha pasado desapercibido para los ciberdelincuentes. El malware bancario moderno para Android ha evolucionado desde simples ladrones de credenciales hasta troyanos multifuncionales diseñados para eludir los controles de seguridad y robar fondos.

Los ciberdelincuentes implementan troyanos bancarios sofisticados como Anatsa, Ermacy TrickMo, que suelen hacerse pasar por utilidades o aplicaciones de productividad legítimas tanto en tiendas de aplicaciones oficiales como de terceros. Una vez instalados, utilizan técnicas altamente engañosas para capturar nombres de usuario, contraseñas e incluso los códigos de autenticación de dos factores (2FA) necesarios para autorizar transacciones. Nuestra investigación demuestra que el aumento del malware móvil se debe en gran medida a la rentabilidad y eficacia de estos troyanos bancarios.

Características clave del malware bancario moderno para Android:

• Ataques de superposición: El malware detecta cuando un usuario abre una aplicación bancaria legítima y le superpone una ventana de inicio de sesión falsa, con una precisión de píxeles impecable, para robar sus credenciales.
• Intercepción y redirección de SMS: Para burlar la autenticación de dos factores (2FA), los troyanos como Ermac obtienen permiso para leer y ocultar los mensajes SMS entrantes, lo que les permite capturar contraseñas de un solo uso (OTP).
• Abuso de los servicios de accesibilidad: El troyano Anatsa es conocido por abusar de los permisos de los servicios de accesibilidad para realizar fraude en el dispositivo, simulando toques del usuario para navegar por aplicaciones bancarias y aprobar transacciones de manera autónoma.
• Registro de pulsaciones de teclas y grabación de pantalla: Muchas variantes registran las pulsaciones de teclas o graban el contenido de la pantalla para garantizar la captura de credenciales confidenciales, incluso si otros métodos fallan.

Capacidades de los troyanos de acceso remoto (RAT): El malware avanzado, incluidas las variantes de TrickMo, funciona también como un RAT con todas las funciones, lo que otorga al atacante el control remoto directo sobre un dispositivo.

Asegurar el futuro con un enfoque Zero Trust

La convergencia de las amenazas contra dispositivos móviles, de IoT y de OT hace que los modelos de seguridad tradicionales basados en el perímetro resulten ineficaces. Defender este complejo panorama requiere una estrategia unificada basada en los principios Zero Trust.

Este enfoque debe extenderse a la superficie celular oculta. Con Zscaler para IoT celular, las organizaciones pueden aplicar el poder del Zero Trust Exchange directamente a los dispositivos con SIM, reemplazando las IP públicas vulnerables con una vía directa y segura a la nube de Zscaler. Esto permite a las organizaciones aplicar políticas granulares a nivel de la SIM, inspeccionar todo el tráfico de IoT en busca de amenazas y evitar el movimiento lateral.

Simultáneamente, las organizaciones deben proteger los miles de dispositivos de IoT y OT que operan dentro de sus instalaciones físicas. En redes planas dentro de sucursales, fábricas y almacenes, un solo sensor o controlador infectado puede convertirse en una puerta de entrada para que un atacante se mueva lateralmente e interrumpa las operaciones. Al implementar Zscaler para sucursales y fábricas, todo el tráfico de estos sitios, incluido el de los dispositivos IoT/OT sin supervisión, se enruta a través de la nube de Zscaler para una inspección completa y la aplicación de políticas. Esto aísla las ubicaciones de la WAN corporativa y entre sí, y evita que una violación en un sitio se propague por toda la empresa.

En última instancia, las organizaciones deben avanzar hacia una arquitectura de seguridad que elimine la superficie de ataque, impida el movimiento lateral de amenazas y detenga la pérdida de datos. Esto supone implementar una segmentación granular para aislar los sistemas críticos, aplicar la detección de amenazas basada en la IA para identificar anomalías y aplicar políticas de seguridad uniformes en todos los dispositivos, usuarios y aplicaciones, independientemente de cómo o dónde se conecten.

Descargue el informe completo

Los hallazgos de este blog son solo el comienzo. El informe de Zscaler sobre amenazas a dispositivos móviles, IoT y OT de ThreatLabz de 2025 proporciona análisis en profundidad, estudios de casos y recomendaciones prácticas para ayudarle a proteger su ecosistema conectado.

Descargue hoy mismo el informe completo para explorar:

• Análisis detallados de las principales familias de malware y técnicas de ataque.
• Análisis exhaustivo de los sectores y zonas geográficas más atacadas.
• Buenas prácticas para la implementación de una arquitectura Zero Trust para dispositivos móviles, IoT y OT.
• Nuestras predicciones para 2026 sobre el panorama de amenazas en constante evolución.