Tendencias de los ciberincidentes en 2025: Lo que las empresas deben saber

El panorama de la ciberseguridad sigue evolucionando a un ritmo alarmante a medida que los actores maliciosos explotan técnicas cada vez más sofisticadas para perturbar a organizaciones de todos los sectores. Las empresas se enfrentan a retos sin precedentes a la hora de proteger sus activos digitales y mantener la resiliencia operativa, desde las intrusiones impulsadas por la inteligencia artificial hasta la intensificación de las campañas de los estados-nación. Comprender estas amenazas emergentes e implementar estrategias defensivas sólidas se ha convertido en un factor crítico para la supervivencia de las organizaciones en el ecosistema digital interconectado de hoy en día.

La inteligencia artificial transforma los métodos de ciberataque

La inteligencia artificial ha cambiado fundamentalmente la forma en que los actores de las amenazas llevan a cabo las operaciones cibernéticas. Datos recientes revelan que aproximadamente el dieciséis por ciento de los incidentes cibernéticos denunciados implican ahora a atacantes que utilizan herramientas de IA, en particular modelos de generación de imágenes y lenguaje, para ejecutar sofisticadas campañas de ingeniería social. La IA generativa ha aumentado drásticamente la eficacia de los ataques al crear engaños más convincentes y permitir la automatización generalizada de las herramientas de intrusión.

Los actores de amenazas despliegan la tecnología de IA de varias formas peligrosas. La tecnología Deepfake permite a los delincuentes crear imitaciones de audio y vídeo realistas de ejecutivos y personal de apoyo, que utilizan para autorizar transferencias bancarias fraudulentas, robar credenciales de usuario y comprometer cuentas. En un incidente especialmente devastador, los agresores utilizaron imágenes de dominio público para crear vídeos falsos convincentes del director financiero y los empleados de una empresa, y lograron engañar a la víctima para que transfiriera más de 25 millones de dólares a los delincuentes.

El phishing de voz, o "vishing", representa otro vector de amenaza mejorado por la IA. Los atacantes utilizan guiones generados por IA y clones de voz en campañas telefónicas dirigidas a persuadir a las víctimas para que descarguen cargas maliciosas, establezcan sesiones de asistencia remota o revelen sus credenciales de inicio de sesión. Además, los actores de amenazas utilizan herramientas de IA generativa para producir mensajes de correo electrónico y de texto de phishing altamente personalizados que incluyen detalles contextuales y patrones de lenguaje natural, lo que aumenta significativamente la probabilidad de que las víctimas hagan clic en enlaces maliciosos y entreguen sus credenciales.

Los ataques de ransomware son cada vez más agresivos y costosos

El ransomware sigue asolando a las organizaciones de todos los sectores, y los últimos informes muestran un aumento interanual del doce por ciento en las infracciones relacionadas con el ransomware. Los atacantes han adoptado técnicas de extorsión cada vez más agresivas y han desplegado herramientas más sofisticadas para maximizar la presión sobre las víctimas. Las campañas modernas de ransomware combinan el cifrado tradicional de datos con tácticas disruptivas que incluyen el acoso a los empleados y amenazas a las operaciones críticas, lo que resulta en tiempos de inactividad prolongados y costes de recuperación sustancialmente más altos.

Varios grupos notables de ransomware han dominado los titulares recientes. El grupo de amenazas Scattered Spider ha resurgido empleando técnicas avanzadas de ingeniería social para obtener acceso inicial a organizaciones de diversos sectores. Mientras tanto, la operación de ransomware LockBit resurgió a principios de 2025 con su kit de herramientas actualizado, LockBit 4.0, lanzando agresivas campañas de extorsión dirigidas especialmente al sector privado en todo Estados Unidos.

Curiosamente, las respuestas de las organizaciones a los ataques de ransomware parecen estar cambiando. Investigaciones recientes del sector indican que aproximadamente el sesenta y tres por ciento de las organizaciones encuestadas se negaron a pagar rescates durante el año pasado, lo que representa un aumento con respecto al cincuenta y nueve por ciento registrado en 2024. Esta tendencia sugiere una creciente resistencia a las demandas de extorsión de los delincuentes, aunque también pone de relieve la necesidad de contar con sólidas capacidades de copia de seguridad y recuperación que permitan a las organizaciones restaurar las operaciones sin capitular ante los atacantes.

Las amenazas de los estados-nación se intensifican en medio de las tensiones geopolíticas

Las amenazas de los estados-nación han intensificado significativamente sus operaciones cibernéticas, dirigidas contra infraestructuras de telecomunicaciones, sistemas críticos y proveedores de servicios estratégicos. Estas sofisticadas campañas suelen emplear técnicas de ciberespionaje y tácticas avanzadas de engaño para robar credenciales de usuario y obtener acceso no autorizado a redes y datos confidenciales.

Los grupos de actores de amenazas con base en China han intensificado drásticamente sus actividades en el último año, y algunos sectores objetivo han experimentado un aumento de entre el doscientos y el trescientos por ciento de los ataques en comparación con el año anterior. Dos campañas de intrusión de gran repercusión captaron la atención mundial: Salt Typhoon y Volt Typhoon. La operación Salt Typhoon logró infiltrarse en importantes redes de telecomunicaciones en una campaña de ciberespionaje de gran alcance, mientras que Volt Typhoon consistió en el posicionamiento previo de código malicioso en sistemas de infraestructuras críticas, lo que suscitó gran preocupación por la posibilidad de que se produjeran daños físicos o interrupciones generalizadas.

Los actores afiliados a estados-nación también han explotado tácticas de ingeniería social más allá de las intrusiones técnicas. Agentes de amenazas afiliados a Corea del Norte se infiltraron en empresas estadounidenses falsificando documentación y creando perfiles de candidatos convincentes para conseguir empleo en puestos de apoyo informático, puestos que posteriormente aprovecharon para recopilar credenciales de usuarios y ejecutar transacciones financieras fraudulentas. Los actores vinculados a Irán han adoptado herramientas de IA generativa, y se ha informado de que un grupo amplificó la información filtrada a través de chatbots de IA tras una campaña de pirateo y filtración de datos confidenciales de periodistas en julio de 2025.

Los ataques a la cadena de suministro de terceros presentan riesgos crecientes

Los ataques de terceros se producen cuando los actores de la amenaza comprometen a socios de la cadena de suministro, vendedores o proveedores de software y aprovechan ese acceso para infiltrarse en las redes de las organizaciones objetivo. Estos ataques suelen producirse en cascada a través de sistemas interconectados, afectando a múltiples entidades y clientes que dependen del software o los servicios comprometidos. Los últimos datos de inteligencia sobre amenazas ponen de relieve un aumento de la ciberdelincuencia con motivaciones financieras que tiene como objetivo a los proveedores de software como puntos de entrada iniciales en ecosistemas corporativos más amplios.

Al penetrar en proveedores externos, los atacantes pueden eludir las defensas perimetrales tradicionales y obtener acceso privilegiado a entornos empresariales sensibles. Estas amenazas suelen explotar entornos alojados, como plataformas en la nube y ecosistemas de software como servicio, desplazándose lateralmente por las instancias de los clientes, recopilando credenciales y filtrando datos confidenciales a gran escala. Esta táctica permite un impacto generalizado, especialmente cuando los proveedores sirven a múltiples clientes de diferentes sectores.

Los ataques a la cadena de suministro de terceros se han convertido en uno de los vectores de ciberamenazas más costosos y persistentes a los que se enfrentan las organizaciones hoy en día. Datos recientes indican que estas violaciones suponen un coste medio de casi cinco millones de dólares y requieren períodos más largos para identificarlas y contenerlas que cualquier otra forma de intrusión cibernética. La complejidad de las relaciones con los proveedores y los prolongados tiempos de espera contribuyen a retrasar los esfuerzos de respuesta y a aumentar la exposición de las organizaciones afectadas.

Recomendaciones esenciales para la ciberresiliencia

Mantener un programa de ciberseguridad exhaustivo y basado en los riesgos sigue siendo la defensa más eficaz contra las ciberamenazas en evolución. Las organizaciones deben dar prioridad a la preparación de la respuesta a incidentes mediante la realización de ejercicios prácticos en los que participen ejecutivos clave, representantes de la junta directiva y jefes de departamento para validar las funciones, los procedimientos de escalada y los marcos de toma de decisiones. Estos ejercicios deben incorporar amenazas emergentes, como el uso malicioso de IA generativa, para garantizar que los equipos estén preparados para escenarios realistas.

La gestión de políticas requiere una atención continua. Las organizaciones deben revisar y actualizar periódicamente los planes de respuesta a incidentes, los procedimientos de continuidad de negocio y los procesos de aprobación de comunicaciones para asegurarse de que reflejan las amenazas actuales y cumplen los requisitos de notificación rápida, como el requisito de notificación inicial de veinticuatro horas de la Directiva NIS2 de la Unión Europea y la norma de divulgación de cuatro días hábiles de la SEC para incidentes materiales. Las políticas actualizadas deben distribuirse a las partes interesadas pertinentes y deben abordar la tolerancia al riesgo de tecnologías emergentes como la IA generativa.

La mitigación de los riesgos de terceros exige una diligencia debida por parte del proveedor y salvaguardias contractuales sólidas. Las organizaciones deben realizar análisis de criticidad para identificar a los proveedores y componentes cuyo compromiso causaría el mayor impacto operativo. Las medidas de protección clave incluyen exigir a los proveedores que certifiquen sus prácticas de desarrollo de software seguro, aplicar protecciones contractuales sólidas con requisitos de notificación rápida de incidentes y derechos de auditoría, realizar evaluaciones periódicas de las prácticas de seguridad de los proveedores y poner a prueba los esfuerzos de respuesta mediante ejercicios de simulación que incluyan escenarios de proveedores externos.

Los procesos de gestión de vulnerabilidades deben ser rápidos y sistemáticos, dada la frecuencia de los parches de seguridad y el desarrollo de exploits. Las organizaciones deben mantener procesos documentados para identificar, evaluar, priorizar, remediar y hacer un seguimiento de las vulnerabilidades, al tiempo que asignan una propiedad clara y plazos para las actividades de remediación. La implantación de herramientas de supervisión continua y gestión proactiva de parches que produzcan registros auditables permite a las organizaciones abordar las vulnerabilidades antes de que los agentes de amenazas puedan explotarlas.

Por último, participar en grupos del sector y mantenerse informado sobre las actualizaciones de la normativa y la aplicación de la ley refuerza la postura de seguridad de la organización. A pesar de la reciente incertidumbre jurídica en torno al intercambio de información sobre ciberseguridad tras la expiración de determinadas disposiciones legales, el intercambio oportuno y coordinado de información sigue siendo vital. Las organizaciones deben unirse a grupos de ciberseguridad específicos de la industria para mantenerse informadas de las amenazas específicas del sector y de las mejores prácticas, al tiempo que supervisan las actualizaciones de las agencias gubernamentales y se suscriben a los boletines de inteligencia sobre amenazas de las fuerzas de seguridad.

Aunque eliminar por completo el riesgo cibernético sigue siendo imposible, dar prioridad a la preparación para la respuesta a incidentes y al cumplimiento de la normativa refuerza la resistencia técnica y posiciona a las organizaciones de forma más favorable tanto desde el punto de vista operativo como jurídico cuando inevitablemente se conviertan en blanco de ciberataques.

Fuente: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know