Informe de fin de año sobre el panorama de las amenazas: Lo que realmente ocurrió en 2025

2025 fue un año en el que la narrativa de la ciberseguridad se dividió bruscamente entre los titulares y la realidad.

Mientras las conversaciones del sector se llenaban de pronósticos dramáticos, como los megaataques impulsados por la IA, el «colapso» del ransomware, la disrupción cuántica y el fin del phishing tal y como lo conocemos, el panorama real de las amenazas evolucionó de formas menos teatrales pero mucho más consecuentes.

Los atacantes explotaron las vulnerabilidades más rápido de lo que las organizaciones podían parchearlas. Los grupos de ransomware no desaparecieron, se reorganizaron. Y la ingeniería social se volvió silenciosamente más adaptable, más consciente del contexto y mucho más eficaz de lo que preveía la mayor parte de la educación para la concienciación.

Este informe de fin de año deja a un lado el bombo publicitario y se centra en las pruebas: los comportamientos, los patrones de ataque y las tendencias de explotación que realmente dieron forma a 2025.

Lo que ocurrió realmente en 2025

1. Las vulnerabilidades se explotaron más rápido de lo que las organizaciones podían responder

La velocidad de explotación se aceleró de nuevo en 2025. En varios casos de alta gravedad, el código de prueba de concepto y la explotación activa aparecieron pocas horas después de la revelación, no días ni semanas.

Tendencias clave:

• Los atacantes vigilaban cada vez más los avisos de los proveedores y los repositorios de pruebas de concepto para aprovechar las vulnerabilidades en cuanto se publicaban los parches.
• Los «días cero» ocuparon los titulares, pero las vulnerabilidades «antiguas» ampliamente conocidas representaron una parte significativa de las intrusiones con éxito.
• Los servicios remotos (VPN, cortafuegos, hipervisores y proveedores de identidad) siguieron siendo los objetivos más lucrativos debido a su acceso directo a las redes internas.

Para muchas organizaciones, no era la complejidad de las vulnerabilidades lo que causaba problemas, sino la brecha operativa entre la disponibilidad de los parches y su aplicación.

Por qué es importante: «Parchear más rápido» no es factible a menos que la organización disponga de visibilidad, inteligencia de activos y capacidad operativa. 2025 dejó claro que la velocidad de explotación supera ahora a los ciclos de parcheo tradicionales, lo que obliga a los equipos a priorizar el parcheo basado en el riesgo, la supervisión continua y la higiene de la configuración.

2. El ransomware no disminuyó, evolucionó

Las predicciones de un declive del ransomware no se materializaron. En su lugar, la amenaza cambió de forma.

2025 vio:

• Un repunte de los incidentes confirmados de ransomware (≈34% de aumento interanual)
• Un giro hacia el robo de datos como principal mecanismo de extorsión
• Campañas en las que la codificación era opcional o se omitía por completo
• Mayor acceso inicial mediante la explotación de vulnerabilidades combinada con el robo de credenciales

En lugar de sucesos de encriptación «big bang», muchos incidentes comenzaron de forma silenciosa: los atacantes recopilaban datos, mapeaban los sistemas internos y sólo más tarde desencadenaban la extorsión. Varios casos de gran repercusión demostraron que incluso cuando la encriptación fallaba, la amenaza de revelación era suficiente para forzar las negociaciones.

Por qué es importante: Las copias de seguridad son ahora sólo una capa de defensa. La detección y la respuesta deben cubrir todo el ciclo de vida del ransomware, desde el acceso inicial hasta el movimiento lateral y la exfiltración.

3. La ingeniería social se hizo consciente del contexto y más difícil de detectar

El mayor cambio en la ingeniería social no fue el volumen, sino la precisión.

Los atacantes utilizan cada vez más:

• Señuelos contextuales que imitan los flujos de trabajo internos, las aprobaciones, las comunicaciones con los proveedores y las alertas del sistema
• Herramientas asistidas por IA para generar variantes que eludan el filtrado estático del correo electrónico
• «Phishing polimórfico» en el que los nombres del remitente, los metadatos, la marca y el estilo de escritura cambian entre los intentos.

En muchos casos, los usuarios no caían en correos obviamente sospechosos, sino que respondían a imitaciones casi perfectas de mensajes operativos cotidianos.

El auge del trabajo a distancia y el omnipresente software de acceso remoto (VPN, RDP, herramientas de escritorio remoto) añadieron puntos de presión adicionales. Las cuentas de bastiones y administradores fueron objeto de fuertes ataques, a menudo utilizando una combinación de ingeniería social y recolección de credenciales.

Por qué es importante: La educación para la concienciación basada en los «antiguos» patrones de phishing ya no se ajusta a la realidad de la ingeniería social adaptativa y basada en la inteligencia artificial. Una defensa eficaz requiere ahora una formación sobre el comportamiento que refleje el engaño moderno, no los ejemplos heredados.

4. La identidad se convirtió en la nueva superficie de ataque principal

2025 reforzó una dura verdad: los atacantes prefieren cada vez más la intrusión basada en la identidad al compromiso basado en el malware.

Los factores más comunes en las infracciones:

• Uso indebido de credenciales
• Pulverización de contraseñas (una pequeña lista de contraseñas probables intentadas en muchas cuentas)
• Robo de tokens y secuestro de sesiones
• Fatiga por el AMF
• Cuentas con privilegios excesivos con permisos amplios o heredados

El compromiso de la identidad fue la causa principal de varios incidentes en organizaciones de fabricación, logística, educación y del sector público. Una vez dentro, los atacantes a menudo se encontraban con una segmentación mínima, lo que les daba acceso lateral con poca fricción.

Por qué es importante: La identidad ha superado a los puntos finales como punto de entrada más fiable. El mínimo privilegio, una sólida gobernanza del acceso y una AMF resistente a la suplantación de identidad son ahora controles de seguridad básicos, no mejoras opcionales.

5. La interrupción de las operaciones vino de viejos problemas, no de nuevos

Los titulares se centraron en las amenazas impulsadas por la IA, pero la mayoría de los impactos operativos en 2025 procedieron de cuestiones mucho más familiares:

• Interfaces de gestión expuestas
• Activos en la nube mal configurados
• Sistemas sin parches o al final de su vida útil
• Débil segmentación entre entornos críticos y no críticos
• Puntos únicos de fallo en servicios de terceros

Varias interrupciones de servicio de gran impacto que dominaron el ciclo de noticias se remontan a lagunas de higiene básica, no a actores de amenazas avanzadas.

Por qué es importante: La diferencia entre un pequeño incidente y una interrupción importante a menudo se reduce a los fundamentos. 2025 reafirmó que las herramientas avanzadas no pueden compensar unos cimientos operativos débiles.

Vulnerabilidades y exposiciones comunes (CVE) más explotadas

En los informes globales surgieron varios patrones:

1. La explotación se agrupó en gran medida en torno a los sistemas de cara al público
   Los dispositivos VPN, los cortafuegos, las pasarelas de correo electrónico y los proveedores de identidad en la nube siguieron siendo los principales objetivos.
2. Las vulnerabilidades ampliamente conocidas seguían figurando entre las más explotadas
   Las CVE más antiguas con parches disponibles seguían prevaleciendo debido a los largos plazos de reparación, los sistemas heredados o los despliegues incompletos de parches.
3. Los atacantes explotaron las oportunidades de encadenamiento
   En lugar de basarse en un único fallo, los actores de la amenaza combinaron con frecuencia una vulnerabilidad conocida de ejecución remota de código, un fallo de escalada de privilegios y una configuración errónea o una credencial no segura. Este enfoque de encadenamiento permitía un rápido movimiento lateral tras el acceso inicial.
4. Los tiempos de explotación se aceleraron drásticamente
   Varias vulnerabilidades críticas vieron su explotación activa el mismo día en que se publicaron los avisos de los proveedores.

Lo que esto nos dice: La amenaza no sólo tiene que ver con nuevas vulnerabilidades, sino también con la visibilidad, la priorización y la velocidad. Los atacantes se centran en la ruta de entrada más fácil, no en la más sofisticada.

Tácticas, técnicas y procedimientos del ransomware

• La actividad del ransomware repuntó en 2025: un análisis estima un aumento del ~34 % en incidentes de ransomware confirmados en comparación con 2024.
• Muchos atacantes favorecen ahora la doble extorsión: primero exfiltran los datos y después los cifran o amenazan con filtrarlos.
• La economía del ransomware está cambiando. Según una encuesta mundial, el pago medio por rescate en 2025 seguía siendo elevado (≈ 1,0 M USD), pero sólo una minoría de organizaciones pagó.
• Los actores del ransomware combinan cada vez más la explotación de vulnerabilidades (por ejemplo, VPN/firewalls sin parches) con el robo de credenciales o el phishing/ingeniería social para obtener el acceso inicial.

Por qué es importante: El cambio hacia la táctica de la exfiltración primero y el cifrado después significa que los defensores no pueden confiar únicamente en las copias de seguridad de los archivos. La detección y la prevención deben cubrir ahora todo el ciclo de vida de la intrusión, desde el acceso hasta la exfiltración, y seguir el ritmo de los ataques impulsados por exploits.

Evoluciones de la ingeniería social: Lo que sorprendió (y tuvo éxito)

• La ingeniería social sigue siendo uno de los principales impulsores de las campañas de ransomware y brechas en 2025. En particular, el phishing como punto de acceso inicial dio un salto significativo.
• El auge del phishing potenciado por la IA: los atacantes utilizan con frecuencia herramientas automatizadas o asistidas por la IA para elaborar correos electrónicos de phishing convincentes y muy adaptados que eluden la detección tradicional.
• Muchos correos electrónicos de phishing utilizan ahora características «polimórficas » que varían los nombres del remitente, los metadatos, los asuntos y los logotipos para burlar los filtros basados en firmas y evitar la detección de patrones.
• El cambio al trabajo híbrido, los entornos remotos y el uso generalizado de software de acceso remoto (VPN, RDP, herramientas de escritorio remoto) aumentaron aún más la eficacia del robo de credenciales y las tácticas de ingeniería social.

Por qué es importante: La concienciación sobre la seguridad por sí sola ya no es suficiente. A medida que los atacantes utilizan la IA para escalar y adaptar la ingeniería social, las organizaciones necesitan invertir en defensas en capas (controles técnicos + formación humana + detección de anomalías) especialmente en torno al correo electrónico y el acceso a la identidad.

Dónde fallaron las predicciones y por qué

Muchas previsiones anteriores daban por hecho que el ransomware seguiría dominado por los ataques de cifrado de alto impacto y que los ciclos de aplicación de parches seguirían el mismo ritmo. Esa opinión se subestimó:

1. La explosión del volumen de vulnerabilidades y su rápida militarización: en 2025 se produjeron muchas más divulgaciones de CVE de lo que muchas predicciones preveían, y los atacantes explotaron muchas de ellas en cuestión de horas.
2. El cambio a modelos de negocio de doble extorsión / fuga de datos: El cifrado por sí solo está perdiendo su valor cuando los objetivos tienen buenas copias de seguridad; el robo de datos y la extorsión dan más ventaja.
3. El poder de la ingeniería social + IA: las previsiones que se centraban únicamente en las vulnerabilidades técnicas pasaron por alto lo eficaces que llegarían a ser el phishing asistido por IA y los ataques basados en credenciales.

Esto significa que los defensores y los modelos de riesgo que se basaban principalmente en los ciclos de parches, la resistencia de las copias de seguridad o la mitigación basada en el cifrado necesitaban una reevaluación. La amenaza real, especialmente para muchas organizaciones, es ahora más amplia: abarca la identidad, el acceso inicial, la exfiltración de datos y la ingeniería social.

Lo que las organizaciones deben tomar de 2025 y en lo que deben centrarse en 2026

Las mayores lecciones de 2025:

• La identidad es la principal superficie de ataque.
• La aplicación de parches debe pasar de basarse en el calendario a basarse en el riesgo.
• La defensa contra el ransomware consiste ahora en la protección de los datos, no sólo en la recuperación del cifrado.
• Los modelos de concienciación deben reflejar las técnicas modernas de engaño.

Descubra cómo la plataforma de gestión de riesgos humanos MetaCompliance puede ayudar a su organización a gestionar de forma proactiva los ciberriesgos de origen humano en 2026. Desde reducir las amenazas de phishing e ingeniería social hasta reforzar la protección de la identidad y garantizar el cumplimiento, nuestra plataforma convierte la concienciación en resultados de seguridad medibles, haciendo de su personal su línea de defensa más fuerte.