Askhat - stock.adobe.com
Cibercriminales siguen el modelo de los negocios para escalar y acelerar ataques
Los adversarios cibernéticos están adoptando modelos similares a los empresariales para atacar a todos los sectores principales, afirma HPE Threat Labs, y están usando IA generativa para producir voces, imágenes y videos sintéticos en campañas de fraude.
Los ciberadversarios modernos han cambiado la forma en que operan a gran escala en industrias globales y sectores públicos críticos, utilizando la automatización y las vulnerabilidades para escalar campañas y comprometer repetidamente objetivos de alto valor más rápido de lo que los defensores pueden responder. Así lo reveló la investigación “In the Wild” de HPE, que analizó la actividad de amenazas reales globales durante 2025.
Según el informe, la capacidad de las empresas para superar eficazmente estas campañas agresivas de amenazas y mantener la confianza digital dentro de sus redes es una prioridad empresarial fundamental.
El entorno global de amenazas cibernéticas actual está definido por la escala, la organización y la velocidad. Basándose en el análisis cibernético de 1.186 campañas activas de amenazas –observadas en todo el mundo entre el 1 de enero y el 31 de diciembre de 2025–, los hallazgos revelan un ecosistema adversario en rápida evolución definido por profesionalidad, automatización y segmentación estratégica, con atacantes que utilizan infraestructuras repetibles y vulnerabilidades de larga data para atacar sectores de alto valor con precisión.
“‘In the Wild’ refleja la realidad a la que se enfrentan las organizaciones cada día", dijo Mounir Hahad, jefe de HPE Threat Labs. "Nuestra investigación se basa en actividades de amenazas reales, no en pruebas teóricas en escenarios de laboratorio controlados. Captura cómo se comportan los atacantes en campañas activas, cómo se adaptan y dónde tienen éxito. Estas observaciones y conocimientos de primera mano ayudan a afinar la detección, fortalecer las defensas y ofrecer a los clientes una visión más clara de las amenazas más propensas a afectar sus datos, infraestructura y operaciones. Eso significa una seguridad más fuerte, una respuesta más rápida y mayor resiliencia ante ataques cada vez más organizados y persistentes”.
HPE Threat Labs observó un aumento tanto en el volumen de los ataques, como en la sofisticación de las tácticas y técnicas empleadas. Los actores amenazantes, incluidos grupos de espionaje vinculados a estados-nación y operaciones organizadas de ciberdelito, están gestionando cada vez más sus operaciones como grandes empresas, utilizando estructuras de mando jerárquicas, equipos especializados y coordinación rápida para desplegar infraestructuras de ataque expansivas e industrializadas, y un profundo conocimiento de las aplicaciones y documentos de la fuerza laboral comúnmente utilizados.
Los sectores más atacados, a nivel mundial, fueron:
- Las organizaciones gubernamentales, con 274 campañas que abarcan organismos federales, estatales y municipales.
- Los sectores financiero y tecnológico, con 211 y 179 campañas, respectivamente, lo que refleja el enfoque sostenido de los atacantes en datos de alto valor y ganancias financieras.
- Las organizaciones de defensa, manufactura, telecomunicaciones, sanidad y educación.
En conjunto, estos hallazgos subrayan que los atacantes están priorizando sectores vinculados a la infraestructura nacional, los datos sensibles y la estabilidad económica, aunque ningún sector está exento.
Además, HPE Threat Labs detalló que, a lo largo del año, los actores amenazantes desplegaron más de 147.000 dominios maliciosos, casi 58.000 archivos de malware y explotaron activamente 549 vulnerabilidades. “Esta profesionalización del cibercrimen hace que los ataques sean más predecibles en su ejecución, pero más difíciles de interrumpir”, señalaron desde la empresa, ya que desmantelar un componente de una operación rara vez detiene la campaña en general.
Automatización e IA aceleran la velocidad e impacto de los atacantes
Los atacantes también han adoptado nuevas técnicas para aumentar la velocidad y el impacto de sus ataques. Por ejemplo, algunas operaciones utilizaban flujos de trabajo automatizados de "línea de montaje", a través de plataformas como Telegram, para extraer datos robados en tiempo real.
Otros aprovecharon la IA generativa para producir voces sintéticas y videos deepfake para el phishing dirigido (vishing) y el fraude por suplantación de ejecutivos, mientras que una banda de extorsiones realizó una investigación de mercado sobre vulnerabilidades de redes privadas virtuales (VPN) para optimizar su estrategia de intrusión.
Estas tácticas, indicaron desde la empresa, permiten a los atacantes actuar con mayor rapidez, ampliar su alcance y concentrar sus esfuerzos en sectores críticos. Al optimizar sus operaciones y priorizar objetivos de alto valor, logran maximizar el beneficio económico con mayor eficiencia, siguiendo de forma estratégica el rastro del dinero.
"El informe ‘In the Wild’ muestra que los atacantes actuales operan con la disciplina, escala y eficiencia de las empresas globales, y defenderse de ellos requiere el mismo nivel de estrategia, integración y rigor operativo", resaltó David Hughes, vicepresidente y director general de SASE y Seguridad para Redes de HPE.
Pasos para fortalecer la ciberresiliencia
El informe subraya que una defensa eficaz depende menos de añadir herramientas y más de mejorar la coordinación, la visibilidad y la respuesta en toda la red. Entre las medidas que las organizaciones pueden tomar para mejorar su postura de seguridad están:
- Eliminar silos, mediante el intercambio de inteligencia de amenazas entre equipos internos, clientes e industrias, apoyándose en un enfoque SASE (secure access service edge) que unifique red y seguridad y permita detectar antes los patrones de ataque.
- Corregir puntos de entrada habituales, como VPN, SharePoint y dispositivos en el borde para reducir la exposición y cerrar rutas de acceso a la red que se explotan con frecuencia.
- Aplicar principios de confianza cero para reforzar la autenticación y limitar el movimiento lateral, con el acceso a red de confianza cero (ZTNA) verificando continuamente a usuarios y dispositivos antes de conceder acceso.
- Mejorar la visibilidad y la respuesta, con inteligencia de amenazas, tecnologías de engaño y detección nativa de IA, que ayudan a las organizaciones a detectar, analizar y responder a ataques con mayor rapidez y precisión.
- Extender la seguridad más allá del perímetro corporativo a redes domésticas, herramientas de terceros y entornos de cadena de suministro.
En conjunto, estos pasos pueden ayudar a las organizaciones a actuar más rápido, reducir riesgos y defenderse mejor frente a amenazas cada vez más organizadas y persistentes.
