Infoblox presenta el informe de amenazas DNS de 2025, que revela un aumento de las amenazas impulsadas por IA y la tecnología publicitaria maliciosa
Más de 100 millones de nuevos dominios potencialmente sospechosos detectados el año pasado, con una antigüedad media de tan solo un día.
El 82% de las organizaciones bajo observación lanzaron peticiones DNS en algún momento a dominios vinculados con tecnologías de publicidad online (Adtech) maliciosas.
Agosto de 2025 – Infoblox, líder en gestión basada en cloud de servicios críticos de red y ciberseguridad, ha hecho público el informe 2025 DNS Threat Landscape Report, que pone de manifiesto un drástico aumento de las ciberamenazas que utilizan de forma abusiva el DNS para perpetrar sus ataques, y la creciente sofisticación de los actores maliciosos, que hacen un uso intensivo de la Inteligencia Artificial, de tecnologías de publicidad online (Adtech) y de diferentes tácticas para eludir la detección de los dominios maliciosos.
Entre las principales conclusiones de este informe se encuentran:
De los más de 100 millones de nuevos dominios observados el año pasado, el 25,1% de estos nuevos dominios observados se clasificaron como maliciosos o sospechosos.
El 95% de los dominios relacionados con amenazas eran dominios de un solo uso, dirigidos a una única organización víctima, para evitar su correlación y detección.
El 82% de las organizaciones bajo observación consultaron dominios vinculados con tecnologías de publicidad online (Adtech) maliciosas, que realizan una alta rotación de dominios masivos para evadir las herramientas de seguridad y distribuir contenido malicioso.
Se detectaron más de 750 dominios únicos de tunelización DNS al mes, tanto legítimos como maliciosos, que a menudo utilizan herramientas como Cobalt Strike, Sliver y Iodine.
Este informe se ha elaborado a partir de telemetrías previas a ataques y de análisis en tiempo real de consultas DNS (DNS queries) de miles de organizaciones (más de 70.000 millones de consultas DNS diarias) y el informe ofrece una visión completa de cómo los actores de amenazas utilizan de forma ilegítima el DNS para explotar la confianza de los usuarios y evadir los sistemas de detección.
Desde su puesta en marcha, Infoblox Threat Intel ha identificado más de 660 actores de amenazas únicos y más de 204.000 clústeres de dominios sospechosos, un importante grupo de los cuales pertenecen a un único actor. En los últimos 12 meses ha publicado investigaciones sobre 10 nuevos actores y descubierto la amplitud y profundidad con que se están usando de forma maliciosa las Adtech, que ocultan amenazas y engañan a los usuarios mediante sistemas de distribución de tráfico (TDS). El informe recopila los hallazgos de los últimos 12 meses, y pretende ofrecer información útil sobre los diferentes tipos de ataques, proporcionando a los responsables de ciberseguridad el conocimiento necesario para anticiparse.
Como comenta Renée Burton, directora de Infoblox Threat Intel, el departamento de inteligencia de seguridad de Infoblox, “el informe de este año pone de relieve las múltiples maneras en que los actores de amenazas hacen un uso abusivo del DNS para ejecutar sus campañas, tanto registrando grandes volúmenes de nombres de dominio como aprovechando configuraciones incorrectas del DNS para secuestrar dominios existentes y suplantar la identidad de organizaciones de alta reputación. El informe muestra el uso generalizado de sistemas de distribución de tráfico (TDS) para camuflar estas actividades, algo que los departamentos de seguridad deben tener en cuenta para anticiparse a los atacantes”.
Aumento de nuevos dominios
El análisis de amenazas de Infoblox identificó 100,8 millones de nuevos dominios, de los cuales más del 25% se clasificaron como maliciosos o sospechosos. A lo largo del año, actores maliciosos registraron, activaron e implementaron continuamente nuevos dominios, utilizando más de 25 millones de dominios como parte de la cadena de suministro de sus ataques. Al aumentar el número de dominios utilizados, los actores pueden eludir las defensas forenses tradicionales, basadas en un enfoque de seguridad de “paciente cero”. Este enfoque reactivo se basa en la detección y el análisis de malware después de que ya se haya producido algún ataque en algún lugar del mundo. A medida que los atacantes aprovechan cada vez más la infraestructura de un solo uso, este enfoque se vuelve ineficaz, dejando a las organizaciones vulnerables.
Los actores utilizan estos dominios para diversos fines maliciosos, desde la creación de páginas de phishing hasta la implementación de malware mediante descargas no autorizadas, pasando por la participación en actividades fraudulentas y estafas, como sitios web fraudulentos de inversión en criptomonedas.
La necesidad de seguridad preventiva
Las conclusiones del estudio subrayan la necesidad de adoptar una estrategia de ciberseguridad proactiva frente a actores de amenazas que utilizan tecnologías de IA. Una estrategia de ciberseguridad preventiva puede ser clave a la hora de mitigar con éxito estas amenazas de nueva generación.
Utilizando inteligencia predictiva sobre amenazas, Infoblox Threat Defense, la solución Protective DNS (PDNS) de Infoblox ha sido capaz de bloquear el 82% de las consultas a sitios vinculados a amenazas antes de que consiguieran causar impacto alguno en las organizaciones. La protección proactiva, combinada con una supervisión constante de amenazas emergentes permite anticiparse a los ataques e interrumpir su cadena de suministro.
