Gastaron miles de millones en ciberseguridad y olvidaron las contraseñas: Microsoft alerta que el 97% de los ataques exitosos no requieren herramientas sofisticadas

Microsoft presentó el informe Digital Defense Report 2025, en el que se registra un fuerte aumento de los ataques a la identidad digital, el abuso de la IA en los cibercrímenes y el incremento de la actividad de grupos vinculados a gobiernos. Según Microsoft Threat Intelligence, en la primera mitad de 2025 el número de ataques a cuentas aumentó un 32%, y más del 97% de esos incidentes están relacionados con la adivinación de contraseñas o intentos masivos de inicio de sesión. Al mismo tiempo, autenticación multifactor sigue siendo el medio de protección más eficaz: reduce la probabilidad de compromiso en más del 99%.

Un apartado del informe está dedicado al abuso de la IA. Los autores señalan que los modelos generativos se han convertido no solo en una herramienta, sino en un elemento integral de los ataques. Con ellos los delincuentes crean sitios y perfiles falsos, copian voces y rostros para fraudes e ingeniería social. Solo en un año Microsoft bloqueó operaciones ficticias por valor de 4.000 millones de dólares y frustró 49.000 intentos de registro de cuentas de socios falsas. Por hora, en la infraestructura de la compañía se bloquean hasta 1,6 millones de intentos automáticos de crear cuentas falsas.

El informe subraya que la creciente ola de ataques está relacionada con el uso combinado de tecnologías de inteligencia artificial y métodos de ingeniería social. Los delincuentes emplean la generación de mensajes de phishing, la automatización de intrusiones y la suplantación de dominios. Entre las nuevas amenazas Microsoft destaca el phishing por código de dispositivo, empleado activamente tanto por grupos criminales como por operadores vinculados a Irán y China: el 93% de esos casos se registró en la segunda mitad de 2025.

Los ataques de phishing por código de dispositivo se basan en la explotación del mecanismo de autenticación mediante un código de dispositivo. Los atacantes, haciéndose pasar por administradores de sistemas, organizadores de eventos u otros contactos de confianza, convencen al usuario de introducir el código en un sitio de autorización falso. Tras ello, el atacante obtiene tokens de acceso y de actualización, lo que le permite acceder a servicios corporativos sin contraseña y mantener presencia mientras el token siga siendo válido.

Microsoft señala que tales ataques con frecuencia se inician a través de mensajeros de terceros y evaden los filtros antispam habituales. En algunos casos a los usuarios se les pedía introducir el código directamente en la invitación de Microsoft Teams, lo que hace el engaño especialmente verosímil. Dado que la autorización en estos esquemas se realiza con tokens legítimos, los mecanismos antiphishing estándar a menudo no detectan la suplantación, lo que convierte este método en una de las evoluciones más peligrosas del phishing.

Un riesgo grave son las identidades "no humanas": servicios y aplicaciones que tienen acceso a recursos en la nube. Los ataques contra ellas permiten a los delincuentes moverse por la infraestructura interna y elevar privilegios sin ser detectados. Microsoft observa un aumento de ataques que combinan phishing por código de dispositivo, robo de tokens y engaños con permisos OAuth: estos métodos evaden la autenticación multifactor y mantienen el acceso incluso después del cambio de contraseña.

En la sección sobre IA y amenazas estatales, Microsoft advierte sobre la aparición de actores que adoptan la IA —estructuras que usan tecnologías generativas como arma principal de influencia informativa. Se han registrado casos de "dobles de IA" de presentadores de televisión, envenenamiento de conjuntos de entrenamiento y clonación de voces para crear vídeos de propaganda verosímiles. La empresa subraya que estas campañas se vuelven más baratas, de mayor escala y más difíciles de atribuir, por lo que requieren una revisión de los modelos existentes de análisis de desinformación.

De forma separada, en el apartado de seguridad en la nube se indica que Azure registró un aumento del 26% en el número de ataques, mientras que las campañas destructivas aumentaron un 87% y el robo de datos y de claves de cuenta aumentó un 23% y un 58%, respectivamente. Los atacantes recurren cada vez más a herramientas integradas como Run Command para ejecutar código de forma remota, lo que complica la detección de intrusiones.

Microsoft concluye que las fronteras entre operaciones criminales y estatales se difuminan, y que la ciberdelincuencia se transforma en una economía de servicios a gran escala. En 2024–2025 los investigadores identificaron 368 corredores de acceso que venden credenciales y conexiones remotas a redes corporativas; sus víctimas fueron organizaciones en 131 países. La empresa recomienda a las empresas considerar la seguridad como un elemento de continuidad del negocio, desarrollar sistemas conjuntos de intercambio de señales sobre amenazas y comenzar a planificar la protección frente a riesgos asociados a la computación cuántica.