App pubbliche e relazioni di fiducia restano tra i punti di ingresso più usati negli attacchi informatici del 2025. Il nuovo report di Kaspersky mostra una situazione piuttosto netta: i vettori iniziali più comuni cambiano poco rispetto al passato, ma la loro incidenza complessiva cresce e supera l’80%.

Nel dettaglio, le applicazioni accessibili al pubblico rappresentano il 43,7% dei casi. Gli account validi arrivano al 25,4%. Le relazioni di fiducia salgono invece al 15,5%, in crescita rispetto al 12,7%. Per le aziende il segnale è semplice: gli attaccanti continuano a entrare dove trovano servizi esposti, credenziali già disponibili o collegamenti esterni poco controllati.

App pubbliche restano il primo punto debole

Le app pubbliche continuano a occupare il primo posto. Questo dato conta perché conferma una debolezza ormai strutturale. Ogni servizio esposto su internet allarga la superficie di attacco. Se una vulnerabilità resta aperta, il rischio cresce in fretta.

Qui il problema non riguarda solo la tecnologia. Riguarda anche tempi di aggiornamento, gestione delle configurazioni e monitoraggio continuo. Un’app visibile dall’esterno, se gestita male, può diventare il punto di ingresso più rapido per una compromissione.

Le relazioni di fiducia crescono ancora

Le relazioni di fiducia hanno un peso sempre più alto. Kaspersky spiega che nel tempo hanno preso il posto delle email dannose nella top 3 dei vettori iniziali. Nel 2025 questa crescita continua.

Il meccanismo è noto. Gli aggressori colpiscono fornitori di servizi, consulenti o integratori IT per arrivare poi ai clienti. Se un partner ha accessi remoti o strumenti collegati ai sistemi aziendali, una sola violazione può propagarsi molto più facilmente.

I vettori si combinano nella stessa catena

Un punto utile del report riguarda proprio questo aspetto: i vettori iniziali non agiscono sempre da soli. Spesso fanno parte della stessa catena di attacco. Un’azienda compromessa tramite una relazione di fiducia può essere stata colpita, in origine, da un exploit su applicazioni pubbliche del fornitore coinvolto.

Questo rende il quadro più duro da gestire. Non basta difendere il perimetro diretto. Bisogna valutare anche il livello di sicurezza di chi ha accesso ai sistemi, ai dati o agli ambienti gestiti da remoto.

App pubbliche: gli attacchi rapidi sono ancora i più frequenti

Kaspersky divide poi gli incidenti anche per durata e impatto. La quota più alta, pari al 50,9%, riguarda attacchi rapidi. In molti casi durano meno di un giorno e sono accompagnati dalla cifratura dei file.

Questo tipo di attacco lascia poco tempo di reazione. Se il rilevamento arriva tardi, il danno si concretizza in poche ore. Per questo il monitoraggio continuo diventa sempre più importante.

Gli attacchi lunghi fanno più danni

Accanto agli attacchi rapidi, il report segnala un 33% di casi di lunga durata, con una media di 108 ore. Qui gli aggressori fanno molto di più: installano meccanismi di persistenza, compromettono Active Directory e provocano anche fuga di dati.

C’è poi un 16,1% di attacchi ibridi. La violazione iniziale appare veloce, ma le attività dannose arrivano molto dopo. In questi casi la durata complessiva può estendersi fino a quasi 19 giorni.

Le aziende devono intervenire prima

La conclusione di Kaspersky è diretta. Un approccio solo reattivo non basta più. Serve una difesa più attiva, costruita su controllo continuo, visibilità in tempo reale e risposta rapida.

Tra le misure indicate ci sono tre priorità molto concrete: patch tempestive, autenticazione a più fattori e controllo rigoroso degli accessi di terze parti. Sono proprio questi i punti che tornano più spesso nelle catene di attacco osservate nel report.

App pubbliche restano il nodo centrale

Nel complesso, il quadro 2025 conferma una cosa precisa: le app pubbliche restano il primo varco. Gli account validi continuano a essere una scorciatoia efficace. Le relazioni di fiducia aumentano e allargano il rischio lungo tutta la filiera.

Per le aziende questo significa una sola cosa: la sicurezza non può fermarsi alla rete interna. Deve coprire anche servizi esposti, credenziali, partner esterni e capacità di risposta continua. È lì che oggi passa una parte importante del rischio.