← Todos los artículos
Amenazas informáticas 2025: ataques en evolución, impacto en los datos y cómo protegerse
El panorama de la ciberseguridad en 2025 se presenta más turbulento que nunca. Los ciberataques están en aumento: el promedio semanal de ataques por organización se ha más que duplicado en comparación con 2021. Al mismo tiempo, la variedad y complejidad de las ciberamenazas han aumentado, en gran medida debido al uso de nuevas tecnologías como la inteligencia artificial (IA). Las grandes empresas no son las únicas afectadas: las pymes son particularmente vulnerables, con siete veces más organizaciones que reportan baja resiliencia a las ciberamenazas en comparación con 2022. Este informe analiza las tendencias clave para 2025 —desde ataques de ransomware hasta malware sofisticado, desde campañas avanzadas de phishing hasta vulnerabilidades de día cero—, destacando su impacto en los datos y el negocio y enfatizando la importancia de las copias de seguridad y los planes de continuidad del negocio para mitigar los riesgos.
Ransomware imparable
El ransomware sigue siendo la ciberamenaza más preocupante en 2025. Según el Foro Económico Mundial, las empresas consideran que los ataques de ransomware son el principal riesgo cibernético para sus operaciones. Los datos europeos de ENISA muestran que más del 81% de los incidentes analizados involucraron ransomware , frecuentemente acompañado de robo de datos y extorsión (doble extorsión), mientras que el 15% fueron violaciones de datos no cifrados. El modelo Ransomware como Servicio (RaaS) ha amplificado aún más el fenómeno, facilitando el acceso a los cibercriminales. Esto ha resultado en un volumen creciente de ataques: por ejemplo, solo en octubre de 2025, se registraron 623 ataques de ransomware, un aumento de más del 30% en comparación con el mes anterior. En general, los ataques de ransomware en los primeros diez meses del año aumentaron un 50% en comparación con el mismo período en 2024, alcanzando niveles casi récord. Los sectores afectados van desde la industria y la atención médica hasta los servicios profesionales y la energía, lo que demuestra que ningún sector es inmune. Por ejemplo, un importante minorista británico se vio obligado a suspender sus servicios en línea durante 15 semanas después de un ataque, lo que le produjo pérdidas estimadas en 300 millones de dólares.
Evolución mensual de los ataques de ransomware (2021-2025) según datos de Cyble: el gráfico muestra una tendencia ascendente con un pico de casi 900 ataques en enero de 2025 y niveles todavía elevados (>600) al final del año.
La profesionalización del ecosistema criminal es un factor crucial: los grupos de ransomware bien organizados colaboran, comparten herramientas y utilizan la automatización para maximizar su impacto. Constantemente surgen nuevas variantes y grupos, que reemplazan a los que se desmantelan. Este modelo de negocio del cibercrimen hace que los ataques de ransomware sean impredecibles y cada vez más efectivos . Para las víctimas, además de la pérdida financiera inmediata debido a la indisponibilidad del sistema, existe la amenaza añadida de que sus datos robados se publiquen en la dark web si se niegan a pagar el rescate, una forma de coerción utilizada por los delincuentes. Por lo tanto, no es sorprendente que esta doble extorsión convierta las filtraciones de datos y el ransomware en dos caras de la misma moneda en las estadísticas de este año.
Malware avanzado y técnicas sin archivos
Junto con la explosión del ransomware, 2025 estuvo marcado por una evolución del malware tradicional y las tácticas empleadas para comprometer los sistemas. Por un lado, las cifras siguen siendo impresionantes: Kaspersky informa que sus sistemas de seguridad bloquearon más de 500.000 archivos maliciosos al día en 2025, lo que demuestra la magnitud de la amenaza que representa el malware en circulación. Por otro lado, muchos ataques ni siquiera utilizan malware “clásico”: según el informe de CrowdStrike de 2025, el 79 % de las intrusiones detectadas no utilizaron archivos maliciosos ejecutables, sino técnicas de explotación del sistema, como el uso de credenciales robadas y herramientas legítimas ya presentes en los sistemas objetivo. En la práctica, los ciberdelincuentes suelen explotar las cuentas comprometidas y las funciones administrativas existentes para navegar de incógnito por las redes, evadiendo así los programas antivirus tradicionales.
Los ladrones de información , malware especializado en robar credenciales y sesiones de inicio de sesión, desempeñan un papel clave en estas intrusiones silenciosas. En 2025, presenciamos una proliferación masiva de estas herramientas en la dark web: Lumma Stealer, por ejemplo, fue una de las herramientas de robo de credenciales más extendidas desde principios de año. Utilizando credenciales robadas (que se revenden a redes criminales) y un acceso RDP/VPN inadecuadamente protegido, los ciberdelincuentes pueden infiltrarse discretamente en las infraestructuras sin necesidad de descargar malware identificable. Las cadenas de suministro de software también han sido explotadas: las filtraciones de actualizaciones o bibliotecas de terceros han provocado, en algunos casos, fallos de seguridad en varias organizaciones de confianza. Estas técnicas avanzadas requieren que las empresas adopten un enfoque proactivo de la seguridad, con una monitorización continua de la actividad anormal y rigurosos controles de acceso.
Phishing avanzado e ingeniería social
Los ataques de phishing, y en general las estafas de ingeniería social, alcanzaron nuevos niveles de sofisticación en 2025. El phishing sigue siendo el vector de ataque inicial más común, responsable de aproximadamente el 60 % de las filtraciones de datos iniciales analizadas . Sin embargo, los correos electrónicos anticuados y mal redactados han sido reemplazados por campañas altamente convincentes, a menudo impulsadas por inteligencia artificial generativa. Los informes del sector indican que más del 80 % de la actividad de ingeniería social observada a principios de 2025 implicó el uso de herramientas de IA. En concreto, se utilizan algoritmos avanzados para crear correos electrónicos de phishing personalizados (por ejemplo, comunicaciones internas falsas o solicitudes dirigidas al director ejecutivo) que imitan a la perfección el tono y el estilo auténticos.
Esta evolución se manifiesta en amenazas como el fraude de transferencia electrónica de próxima generación (BEC) e incluso deepfakes de audio/video . Este año, un grupo de estafadores engañó con éxito a una empresa utilizando un video alterado de altos ejecutivos durante una videoconferencia, induciendo a un empleado a transferir US$25 millones. En otro caso frustrado, los delincuentes suplantaron la voz del CEO de una importante empresa para emitir órdenes fraudulentas, que solo se detectaron como falsas gracias a una pregunta de seguridad realizada por un empleado atento. Las campañas a gran escala, como la del grupo Scattered Spider, también han demostrado la eficacia del engaño: estos hackers, sospechosos de atacar a gigantes como Allianz, Qantas, Marks & Spencer y otros, son expertos en suplantar a empleados o proveedores reales para obtener acceso a las redes corporativas.
Ante amenazas de este tipo, que explotan las debilidades humanas incluso antes que las vulnerabilidades tecnológicas, la formación del personal y la concienciación continua son esenciales : todos deben aprender a reconocer las señales de una posible estafa (URL sospechosas, solicitudes inusuales, demandas urgentes) y verificar antes de hacer clic . Para 2025, este principio se habrá reforzado: la primera línea de defensa ya no es el software antivirus, sino el usuario vigilante.
Vulnerabilidades de día cero y exploits de Flash
Otro frente crítico de amenazas en 2025 se refiere a las vulnerabilidades de software. Los hackers continúan explotando fallas desconocidas (día cero) o recién descubiertas a una velocidad impresionante. Se estima que más del 21% de las intrusiones iniciales ocurren a través de la explotación de vulnerabilidades en sistemas expuestos. Tan pronto como un proveedor anuncia una solución para una vulnerabilidad crítica, los cibercriminales la analizan y lanzan campañas de explotación a gran escala en cuestión de días, antes de que las organizaciones puedan siquiera actualizar sus sistemas. Esta aceleración de la explotación ha afectado particularmente a aplicaciones de internet ampliamente utilizadas como VPN y firewalls corporativos (como Citrix NetScaler, Fortinet y Palo Alto), plataformas de colaboración y tickets, servidores de correo electrónico obsoletos y mucho más. Una de las lecciones de 2025 es que el tiempo entre la divulgación de una vulnerabilidad crítica y su explotación activa ha disminuido considerablemente, a veces a unos pocos días, o incluso unas pocas horas, saturando los procesos tradicionales de gestión de parches .
Las vulnerabilidades de día cero descubiertas y explotadas por actores sofisticados, a menudo utilizando inteligencia artificial, son numerosas. De hecho, la inteligencia artificial no es solo defensiva: como señala el Foro Económico Mundial, los delincuentes la utilizan para identificar vulnerabilidades desconocidas y desarrollar exploits complejos y personalizados. Para 2025, los ataques habrán explotado fallas críticas en software ampliamente utilizado (por ejemplo, una vulnerabilidad en Oracle E-Business Suite fue explotada por el ransomware Clop y una falla en GoAnywhere MFT por el grupo Medusa). Incluso las vulnerabilidades conocidas pero sin parchear (sistemas sin parchear) facilitaron las infecciones, lo que recuerda a las empresas la importancia de una higiene de seguridad rigurosa . En general, estas tendencias resaltan la necesidad de un enfoque proactivo: monitorear nuevas amenazas, aplicar actualizaciones rápidamente y, potencialmente, adoptar parches virtuales y segmentación de red para mitigar los riesgos.
Ataques contra infraestructuras críticas
Las infraestructuras críticas ( salud, transporte, energía y gobierno) continuaron siendo blanco de ataques en 2025, con posibles consecuencias para la comunidad. Los hospitales y el sector salud, en particular, sufrieron una intensa presión: los cibercriminales saben que el costo de la interrupción del servicio es extremadamente alto (se estiman pérdidas de US$7,900 por minuto debido a la indisponibilidad de los sistemas de salud esenciales). Por lo tanto, los ataques de ransomware contra hospitales les otorgan una ventaja considerable para exigir rescates. Desafortunadamente, varias instituciones de salud han sufrido el robo de datos de millones de pacientes. Por ejemplo, un ataque de ransomware revelado en 2025 contra un gran grupo de clínicas comprometió la información personal y médica de 1.27 millones de personas. Además del daño financiero y a la reputación, estos incidentes representan riesgos reales para la seguridad del paciente y la continuidad de la atención.
El sector del transporte también sufrió incidentes significativos: en septiembre, un ciberataque a un sistema informático compartido interrumpió los mostradores de facturación y las cintas transportadoras de equipaje en varios aeropuertos europeos importantes, causando retrasos, cancelaciones e interrupciones generalizadas. Este incidente puso de relieve la interdependencia de los servicios críticos y cómo una sola brecha de seguridad puede tener repercusiones internacionales, requiriendo la colaboración entre empresas, proveedores de tecnología y autoridades para restablecer las operaciones normales. En el sector de la energía y los servicios públicos, la vigilancia sigue siendo crucial tras los incidentes de los últimos años; en 2025, varios intentos de intrusión (tanto exitosos como fallidos) tuvieron como objetivo redes eléctricas e instalaciones industriales, con el objetivo de sabotear o extorsionar. Ni siquiera las agencias gubernamentales estratégicas se salvaron: el caso de una importante agencia nuclear estadounidense que fue blanco de hackers es un excelente ejemplo, que demuestra que cualquier organización, por muy bien protegida que esté, puede convertirse en un objetivo.
Ante estas amenazas, la Unión Europea y otros gobiernos también están adoptando medidas regulatorias. Para 2025, entrarán en vigor en la UE nuevas regulaciones sobre resiliencia digital (como la NIS2 , la Ley de Ciberresiliencia y la Ley de Resiliencia Operativa Digital) para imponer estándares de seguridad más estrictos, y países como el Reino Unido están considerando prohibir por ley el pago de rescates por parte de entidades públicas. El objetivo es disuadir a los delincuentes y fortalecer la resiliencia de las infraestructuras críticas.
Impacto en los datos y la actividad empresarial, y la importancia de las copias de seguridad.
Las consecuencias concretas de estas amenazas a la economía y los datos de los usuarios en 2025 fueron considerables. Las filtraciones de datos a gran escala expusieron a millones de personas al robo de información confidencial: en octubre de 2025, por ejemplo, casi todos los incidentes graves notificados implicaron la exfiltración de datos (así como malware o cifrado), y millones de usuarios vieron sus datos personales puestos a la venta en la red oscura. Estas filtraciones resultan en costos directos e indirectos extremadamente altos para las empresas afectadas: según un informe de IBM, el costo promedio global de una filtración de datos en 2025 fue de US$4,4 millones . Aunque ligeramente inferior al año anterior (gracias a las capacidades mejoradas de detección y respuesta), esta cantidad todavía puede dañar gravemente a una organización no preparada. Los sectores altamente regulados, como la atención médica, también son vulnerables a sanciones legales y demandas colectivas después de una filtración, lo que amplifica los costos a largo plazo durante años después del incidente. Además, como hemos visto, las interrupciones del servicio causadas por un ataque pueden generar enormes pérdidas comerciales: basta con recordar las 15 semanas de inactividad operativa de M&S mencionadas anteriormente, o las horas de inactividad que sufrieron los servicios financieros y el comercio electrónico durante ciertos ataques, lo que resultó en pérdida de ventas y un mal servicio al cliente.
Dados estos riesgos, invertir en ciberresiliencia es crucial para empresas de todos los tamaños . Esto significa no solo prevenir ataques, sino también saber cómo reaccionar y recuperarse rápidamente en caso de un incidente. En particular, tener copias de seguridad actualizadas y un plan de continuidad empresarial sólido puede significar la diferencia entre una simple alerta y un desastre. Las copias de seguridad aisladas permiten la restauración de datos sin tener que ceder a las demandas de rescate de los ciberdelincuentes, evitando así interrupciones prolongadas del servicio y la pérdida permanente de información importante. No es coincidencia que los expertos de Kaspersky enfaticen que las copias de seguridad periódicas de archivos críticos son un verdadero salvavidas en caso de un ataque de ransomware , permitiendo la restauración del sistema sin pago y sin pérdida de datos. Una buena planificación de la respuesta a incidentes (simulaciones, procedimientos claros, roles asignados) también ha demostrado ser esencial: las empresas con equipos de respuesta a incidentes y planes probados han visto una reducción de más del 50% en el costo de las violaciones de datos en comparación con las que no tienen estos recursos. En resumen, 2025 nos enseñó que la preparación y la capacidad de respuesta son elementos indispensables de la seguridad.
Conclusiones y consejos prácticos
El año 2025 planteó importantes desafíos en ciberseguridad , pero también reforzó la importancia de un enfoque integrado . La tecnología, los procesos y los recursos humanos deben colaborar para crear defensas robustas. Para cualquier organización, independientemente del sector, invertir en protección de datos (mediante copias de seguridad fiables, formación y herramientas avanzadas) ya no es solo una buena práctica de TI, sino una necesidad absoluta para garantizar la seguridad de los datos y la continuidad del negocio en la era de las amenazas digitales generalizadas. De cara a 2026, la clave sigue siendo la resiliencia : prepararse para lo peor y esperar lo mejor nos permite afrontar eficazmente los escenarios de ataque más críticos.
Para cualquier pregunta o duda sobre este artículo,
Contáctanos