La sofisticación creciente de los ciberdelincuentes y el cambio hacia tácticas menos visibles están transformando el panorama de la ciberseguridad en 2025. Así lo revela el Índice de Inteligencia de Amenazas X-Force 2025 de IBM, que destaca el robo de credenciales como la forma de ataque más prevalente a escala global, al tiempo que señala una disminución en los ataques de ransomware tradicionales.
Basado en datos de respuesta a incidentes, vigilancia de amenazas en la dark web y múltiples fuentes de inteligencia, el informe de IBM identifica un desplazamiento estratégico de los atacantes hacia métodos de bajo perfil, más difíciles de detectar, impulsados en gran medida por el aumento de la protección perimetral y la modernización de los sistemas de ciberdefensa.
Robo de datos y vulnerabilidades: el doble filo para la infraestructura crítica
En 2024, el 70% de los ciberataques investigados por IBM X-Force tuvieron como objetivo organizaciones de infraestructura crítica, un sector que, debido a su dependencia de tecnologías heredadas y a los retos en la gestión de parches, resulta especialmente vulnerable.
Más de una cuarta parte de los incidentes estuvieron relacionados con la explotación de vulnerabilidades conocidas (CVE). El informe resalta que cuatro de las diez vulnerabilidades más citadas en foros clandestinos fueron utilizadas por grupos de amenazas estatales, elevando los riesgos de espionaje, interrupción de servicios esenciales y extorsión económica. Estos exploits se comercializaron abiertamente en plataformas de la dark web, alimentando una cadena de ataques contra sectores clave como redes eléctricas, sistemas de salud y entornos industriales.
La persistencia de sistemas sin actualizar expone no solo a amenazas tradicionales, sino también a riesgos de impacto nacional, dado que la infraestructura crítica constituye la columna vertebral de la economía y la seguridad pública.
La automatización del robo de credenciales y el papel de la IA en los ataques
Uno de los fenómenos más significativos en el último año ha sido la intensificación del phishing y el despliegue masivo de infostealers, impulsados en gran parte por herramientas de inteligencia artificial. El volumen de correos de phishing aumentó un 180% en 2024 respecto al año anterior, con una tendencia creciente a lo largo de 2025.
Esta expansión ha permitido a los actores de amenazas automatizar la creación de correos electrónicos engañosos, personalizar campañas a gran escala y generar escenarios de suplantación de identidad cada vez más convincentes. Como resultado, el robo de credenciales se ha convertido en un proceso más económico, accesible y escalable.
Los infostealers, por su parte, han acumulado más de ocho millones de credenciales comprometidas en anuncios de la dark web. Además, IBM X-Force detecta la proliferación de kits de phishing de adversario en el medio (AITM), diseñados específicamente para sortear mecanismos de autenticación multifactor, aumentando considerablemente la eficacia de los ataques de identidad.
Esta disponibilidad masiva de credenciales y herramientas de ataque evidencia un mercado criminal dinámico y en expansión, que refuerza la necesidad de estrategias de ciberseguridad basadas en la defensa en profundidad y la detección proactiva de anomalías.
Evolución del ransomware: hacia estructuras más discretas
Aunque el ransomware continúa siendo el principal tipo de malware, representando el 28% de los casos analizados, IBM X-Force documenta una caída generalizada de estos ataques durante 2024, atribuida principalmente a las operaciones internacionales contra redes de ransomware.
Los grupos criminales, presionados por los esfuerzos de desmantelamiento, han evolucionado hacia modelos de operación descentralizados y de menor visibilidad. Organizaciones como ITG23 (Wizard Spider, Trickbot) y ITG26 (QakBot, Pikabot) han reestructurado o cesado sus actividades, reemplazando las botnets tradicionales por nuevos tipos de malware de corta vida útil.
Este cambio no supone una disminución de la amenaza, sino una reconfiguración del riesgo, en la que los ataques son menos visibles pero potencialmente igual de dañinos, con un enfoque creciente en el robo de identidad y la persistencia lateral en los sistemas atacados.
Panorama europeo: acceso no autorizado y sectores más afectados
En el ámbito europeo, IBM X-Force señala que el acceso no autorizado a servidores (15%) y la adquisición de credenciales (12%) fueron las acciones más recurrentes en los incidentes analizados. Los ataques de ransomware representaron el 9% de los incidentes en la región.
La infraestructura de aplicaciones expuestas públicamente sigue siendo la principal vía de acceso inicial para los ciberdelincuentes en Europa. Entre los sectores más afectados, destacan los servicios profesionales, empresariales y de consumo, desplazando a la manufactura, tradicionalmente más golpeada a nivel global.
Este cambio de objetivos refleja un ajuste en las tácticas de los atacantes, que priorizan sectores donde el acceso a datos críticos o el impacto en la cadena de valor resulta más inmediato.
Nuevos frentes: amenazas a Linux y la infraestructura de inteligencia artificial
El informe también subraya amenazas emergentes en sistemas Linux, tradicionalmente considerados más seguros. En colaboración con Red Hat Insights, IBM X-Force detectó que más del 50% de los entornos de clientes de Red Hat Enterprise Linux analizados mantenían al menos un CVE crítico sin parchear. Además, el 18% de estos entornos presentaban cinco o más vulnerabilidades graves.
Simultáneamente, las principales familias de ransomware (Akira, Clop, Lockbit, RansomHub) han adaptado sus versiones para explotar tanto entornos Windows como Linux, extendiendo así su ámbito de actuación.
Respecto a la inteligencia artificial, aunque en 2024 no se produjeron ataques a gran escala contra sistemas de IA, IBM X-Force advierte que las vulnerabilidades descubiertas en frameworks de agentes de IA —como la posibilidad de ejecución remota de código— incrementarán el atractivo de estos entornos para los atacantes en 2025.
La protección de la infraestructura de IA emerge como una prioridad estratégica, abarcando no solo los modelos y los datos, sino también los procesos y la arquitectura subyacente.
Perspectivas globales y evolución de las amenazas
Geográficamente, Asia lideró en número de incidentes, concentrando el 34% de los ataques globales, seguida por América del Norte con el 24%. Europa, pese a la disminución de ataques del 32% al 23%, sigue siendo un objetivo significativo, especialmente en sectores donde la transformación digital ha generado nuevas superficies de ataque.
El informe concluye que la creciente sofisticación de las amenazas, la automatización del robo de credenciales y la explotación de nuevas tecnologías como la inteligencia artificial demandan una evolución urgente en las estrategias de ciberseguridad empresarial.
