Los hackers aprendieron a esperar: ahora planifican sus ataques con más meticulosidad que los emprendedores al lanzar una startup.
La fuerza bruta dio paso a fríos cálculos.
El año pasado no trajo nuevas amenazas "exóticas", pero mostró con mayor dureza el precio de los errores básicos. El informe anual Annual Cyber Threat Intelligence Report 2025 de NCC Group y Fox-IT describe 2025 como un periodo en el que los atacantes rompían menos "de frente" y ganaban con más frecuencia gracias a la paciencia, a la comprensión de los procesos internos y al trabajo con relaciones de confianza.
En el prólogo, el vicepresidente de inteligencia y respuesta cibernética Matt Hall relaciona muchos de los ataques exitosos con la compromisión de identidades digitales. Los autores del informe subrayan que el inicio del ataque con frecuencia estuvo dado por credenciales robadas por malware tipo infostealer, la reutilización de contraseñas, la ausencia de autenticación multifactor y una ingeniería social bien planificada.
Tras entrar en la red, los atacantes con frecuencia no se apresuraron; examinaban cómo funcionan los procesos empresariales para golpear los puntos más sensibles. Paralelamente, la IA generativa elevó el nivel del phishing al eliminar los correos primitivos y permitir escalar relatos verosímiles y voces falsas, por lo que la verificación de la identidad se volvió más difícil incluso en incidentes de gran envergadura.
En una sección separada del informe se registró un fuerte aumento de la actividad de ransomware. Durante 2025 se contabilizaron 7.874 ataques, lo que supone un 50 % más que en 2024, y el sector industrial se situó en primer lugar por número de organizaciones afectadas.
El operador más destacado fue Qilin, y los picos se registraron en febrero y diciembre, cuando las empresas suelen operar en modo de vacaciones y con dotación de personal reducida. En este contexto, la proporción de organizaciones que accedieron a pagar, según el informe, descendió hasta el 23 %.
Como ejemplo destacado, los autores citan el ataque a Marks & Spencer, tras el cual las ventas en línea estuvieron inactivas durante semanas y la estimación de pérdidas en beneficios alcanzó aproximadamente 300 millones de libras. En el caso de Jaguar Land Rover, la paralización de la producción y las interrupciones en el comercio minorista se prolongaron durante más de un mes, y las pérdidas, según el informe, superaron los 890 millones de dólares.
Se incrementaron también los riesgos de las cadenas de suministro, los servicios en la nube y las integraciones externas confiables. En el informe se describe un esquema en el que credenciales comprometidas de Amazon Web Services se usaron para re-cifrar datos en S3 mediante el mecanismo SSE-C, lo que bloqueaba la recuperación sin la clave de los atacantes.
Otro ejemplo está relacionado con Salesloft y la aplicación Drift, donde tokens OAuth robados abrían acceso a entornos de clientes de Salesforce y permitían extraer datos de CRM para luego buscar entre ellos claves de otros servicios en la nube y repositorios. Entre los episodios sonados se menciona el robo de criptoactivos a Bybit por la cifra récord de 1.500 millones de dólares en Ethereum, en el que los atacantes no atacaron directamente el intercambio sino el entorno de un participante externo de multisig.
El apartado sobre aplicación de la ley muestra que la presión sobre la infraestructura del cibercrimen aumentó, aunque aún no se aprecia un punto de inflexión sostenido. Los autores citan la operación Endgame, con el apagado de cientos de servidores y dominios, así como la coordinación de Microsoft, Europol y socios contra la infraestructura de Lumma Stealer.
Se mencionan por separado operaciones de Interpol en África con cientos de detenciones y el decomiso de miles de dispositivos. En un capítulo paralelo sobre campañas estatales, el informe registra un interés sostenido en redes de telecomunicaciones y sectores críticos, y en la sección sobre desinformación señala el aumento de la disponibilidad de herramientas deepfake en la darknet y la atención del Foro Económico Mundial al tema como uno de los principales riesgos globales a corto plazo.