La extorsión y el ransomware impulsan más de la mitad de los ciberataques 

Collage digital que presenta una obra abstracta con una estructura en espiral compuesta por formas azules translúcidas en capas, sobre un fondo degradado que va del azul profundo al cian claro.

Por: Amy Hogan-Burney, vicepresidenta corporativa, seguridad y confianza del cliente.

En el 80% de los incidentes cibernéticos que los equipos de seguridad de Microsoft investigaron el año pasado, los atacantes buscaron robar datos, una tendencia impulsada más por ganancias financieras que por la recopilación de inteligencia. Según el último Informe de Defensa Digital de Microsoft, escrito en conjunto con nuestro director de seguridad de la información Igor Tsyganskiy, más de la mitad de los ciberataques con motivos conocidos fueron impulsados por extorsión o ransomware. Eso es al menos el 52% de los incidentes impulsados por ganancias financieras, mientras que los ataques centrados tan solo en el espionaje representaron solo el 4%. Las amenazas de estado-nación siguen como una amenaza grave y persistente, pero la mayoría de los ataques inmediatos que enfrentan las organizaciones hoy en día provienen de delincuentes oportunistas que buscan obtener ganancias.

Cada día, Microsoft procesa más de 100 billones de señales, bloquea alrededor de 4,5 millones de nuevos intentos de malware, analiza 38 millones de detecciones de riesgo de identidad y filtra 5 mil millones de correos electrónicos en busca de malware y phishing. Los avances en la automatización y las herramientas disponibles, listas para usar con facilidad, han permitido a los ciberdelincuentes, incluso aquellos con experiencia técnica limitada, expandir sus operaciones de manera significativa. El uso de la IA se ha sumado a esta tendencia, ya que los ciberdelincuentes aceleran el desarrollo de malware y crean contenido sintético más realista, lo que mejora la eficiencia de actividades como los ataques de phishing y ransomware. Como resultado, los actores maliciosos oportunistas ahora apuntan a todos, grandes o pequeños, lo que convierte al cibercrimen en una amenaza universal y siempre presente que se extiende a nuestra vida diaria.

En este entorno, los líderes organizacionales deben tratar la ciberseguridad como una prioridad estratégica central, no solo como un problema de TI, y desarrollar resiliencia en su tecnología y operaciones desde cero. En nuestro sexto informe anual de defensa digital de Microsoft, que cubre las tendencias desde julio de 2024 hasta junio de 2025, destacamos que las medidas de seguridad heredadas ya no son suficientes; necesitamos defensas modernas que aprovechen la IA y una fuerte colaboración entre industrias y gobiernos para seguir el ritmo de la amenaza. Para las personas, pasos simples como el uso de herramientas de seguridad sólidas, en especial la autenticación multifactor (MFA, por sus siglas en inglés) resistente al phishing, marcan una gran diferencia, ya que MFA puede bloquear más del 99% de los ataques basados en identidad. A continuación, se presentan algunos de los hallazgos clave. 

Mapa mundial que muestra los países más frecuentemente afectados por amenazas cibernéticas entre enero y junio de 2025, con Estados Unidos a la cabeza con un 24.8%, seguido por Reino Unido, Israel y Alemania. Los círculos verdes indican la escala del impacto.

Los servicios críticos son objetivos principales con un impacto en el mundo real

Los actores maliciosos siguen centrados en atacar servicios públicos críticos, objetivos que, cuando se ven comprometidos, pueden tener un impacto directo e inmediato en la vida de las personas. Los hospitales y los gobiernos locales, por ejemplo, son objetivos porque almacenan datos confidenciales o tienen presupuestos ajustados de ciberseguridad con capacidades limitadas de respuesta a incidentes, lo que a menudo resulta en software obsoleto. El año pasado, los ataques cibernéticos a estos sectores tuvieron consecuencias en el mundo real, incluida la atención médica de emergencia retrasada, servicios de emergencia interrumpidos, clases escolares canceladas y sistemas de transporte detenidos.

Los actores de ransomware en particular se enfocan en estos sectores críticos debido a las opciones limitadas de los objetivos. Por ejemplo, un hospital debe resolver con rapidez sus sistemas encriptados o los pacientes podrían morir, sin dejar otro recurso que pagar. Además, los gobiernos, hospitales e instituciones de investigación almacenan datos confidenciales que los delincuentes pueden robar y monetizar a través de mercados ilícitos en la web oscura, lo que alimenta la actividad delictiva posterior. El gobierno y la industria pueden colaborar para fortalecer la ciberseguridad en estos sectores, en particular para los más vulnerables. Estos esfuerzos son fundamentales para proteger a las comunidades y garantizar la continuidad de la atención, la educación y la respuesta a emergencias. 

Los actores del estado-nación expanden sus operaciones

Si bien los ciberdelincuentes son la mayor amenaza cibernética por volumen, los actores del estado-nación aún apuntan a industrias y regiones clave, amplían su enfoque en el espionaje y, en algunos casos, en las ganancias financieras. Los objetivos geopolíticos continúan con el impulso de un aumento en la actividad cibernética patrocinada por el estado, con una notable expansión en la orientación a las comunicaciones, la investigación y la academia. 

Gráfico de barras con los sectores más atacados por estados-nación

Hallazgos clave: 

  • China continúa su amplio impulso en todas las industrias para realizar espionaje y robar datos confidenciales. Los actores afiliados al Estado atacan cada vez más a las organizaciones no gubernamentales (ONG) para ampliar sus conocimientos y utilizan redes encubiertas y dispositivos vulnerables orientados a Internet para ingresar y evitar la detección. También se han vuelto más rápidos en la puesta en práctica de vulnerabilidades reveladas de manera reciente.
  • Irán persigue una gama más amplia de objetivos que nunca, desde Oriente Medio hasta América del Norte, como parte de la ampliación de las operaciones de espionaje. De manera reciente, tres actores afiliados al estado iraní atacaron empresas de transporte y logística en Europa y el Golfo Pérsico para obtener acceso continuo a datos comerciales confidenciales, lo que aumenta la posibilidad de que Irán se posicione de manera anticipada para tener la capacidad de interferir con las operaciones de transporte marítimo comercial.
  • Rusia, aunque todavía está centrada en la guerra en Ucrania, ha ampliado sus objetivos. Por ejemplo, Microsoft ha observado que actores afiliados al estado ruso apuntan a pequeñas empresas en países que apoyan a Ucrania. De hecho, fuera de Ucrania, los diez países más afectados por la actividad cibernética rusa pertenecen a la Organización del Tratado del Atlántico Norte (OTAN), un aumento del 25% en comparación con el año pasado. Los actores rusos pueden ver a estas empresas más pequeñas como puntos de pivote que tal vez consumen menos recursos y que pueden usar para acceder a organizaciones más grandes. Estos actores también aprovechan cada vez más el ecosistema cibercriminal para sus ataques.
  • Corea del Norte sigue centrada en la generación de ingresos y el espionaje. En una tendencia que ha ganado mucha atención, miles de trabajadores de TI remotos de Corea del Norte afiliados al estado han solicitado trabajos en empresas de todo el mundo, para enviar sus salarios al gobierno como remesas. Cuando se descubren, algunos de estos trabajadores han recurrido a la extorsión como otro enfoque para traer dinero para el régimen. 

Las amenazas cibernéticas planteadas por los estados-nación son cada vez más expansivas e impredecibles. Además, el cambio de al menos algunos actores de estados-nación para aprovechar aún más el ecosistema cibercriminal hará que la atribución sea aún más complicada. Esto subraya la necesidad de que las organizaciones se mantengan al tanto de las amenazas a sus industrias y trabajen tanto con sus pares de la industria como con los gobiernos para enfrentar las amenazas planteadas por los actores del estado-nación.

En 2025 se produjo una escalada en el uso de la IA tanto por parte de atacantes como de defensores

Durante el año pasado, tanto los atacantes como los defensores aprovecharon el poder de la IA generativa. Los actores de amenazas utilizan la IA para impulsar sus ataques mediante la automatización del phishing, la escalada de la ingeniería social, la creación de medios sintéticos, la búsqueda de vulnerabilidades más rápido y la creación de malware que puede adaptarse. Los actores del estado-nación también han incorporado la IA en sus operaciones de influencia cibernética. Esta actividad se ha acelerado en los últimos seis meses a medida que los actores utilizan la tecnología para hacer que sus esfuerzos sean más avanzados, escalables y específicos.

Gráfico en azul que muestra el aumento en el uso de IA en ataques

Para los defensores, la IA también ha demostrado ser una herramienta valiosa. Microsoft, por ejemplo, utiliza la IA para detectar amenazas, cerrar brechas de detección, detectar intentos de phishing y proteger a los usuarios vulnerables. A medida que los riesgos y las oportunidades de la IA evolucionan con rapidez, las organizaciones deben priorizar la seguridad de sus herramientas de IA y la capacitación de sus equipos. Todos, desde la industria hasta el gobierno, deben ser proactivos para seguir el ritmo de los atacantes cada vez más sofisticados y garantizar que los defensores se mantengan por delante de los adversarios. 

Los adversarios no entran, inician sesión

En medio de la creciente sofisticación de las amenazas cibernéticas, se destaca una estadística: más del 97% de los ataques de identidad son ataques de contraseña. Solo en la primera mitad de 2025, los ataques basados en la identidad aumentaron un 32%. Eso significa que la gran mayoría de los intentos de inicio de sesión maliciosos que puede recibir una organización se realizan a través de intentos de adivinación de contraseñas a gran escala. Los atacantes obtienen nombres de usuario y contraseñas («credenciales») para estos ataques masivos en gran medida a partir de fugas de credenciales. 

Sin embargo, las fugas de credenciales no son el único lugar donde los atacantes pueden obtener credenciales. Este año, vimos un aumento en el uso de malware de robo de información por parte de los ciberdelincuentes. Los ladrones de información pueden recopilar en secreto credenciales e información sobre sus cuentas en línea, como tokens de sesión del navegador, a escala. Los ciberdelincuentes pueden comprar esta información robada en foros de ciberdelincuencia, lo que facilita que cualquier persona acceda a las cuentas con fines como la entrega de ransomware. 

Por fortuna, la solución al compromiso de identidad es simple. La implementación de la autenticación multifactor (MFA) resistente al phishing puede detener más del 99% de este tipo de ataque, incluso si el atacante tiene la combinación correcta de nombre de usuario y contraseña. Para atacar la cadena de suministro maliciosa, la Unidad de Delitos Digitales (DCU, por sus siglas en inglés) de Microsoft lucha contra el uso cibercriminal de ladrones de información. En mayo, la DCU interrumpió al ladrón de información más popular, Lumma Stealer, junto con el Departamento de Justicia de EE. UU. y Europol. 

Hacia adelante: La ciberseguridad es una prioridad defensiva compartida.

A medida que los actores de amenazas se vuelven más sofisticados, persistentes y oportunistas, las organizaciones deben mantenerse alerta, actualizar de manera continua sus defensas y compartir inteligencia. Microsoft mantiene su compromiso de hacer su parte para fortalecer nuestros productos y servicios a través de nuestra Iniciativa de Futuro Seguro. También continuamos la colaboración con otros para rastrear amenazas, alertar a clientes específicos y compartir información con el público en general cuando sea apropiado. 

Sin embargo, la seguridad no es solo un desafío técnico, sino un imperativo de gobernanza. Las medidas defensivas por sí solas no son suficientes para disuadir a los adversarios del estado-nación. Los gobiernos deben crear marcos que señalen consecuencias creíbles y proporcionadas para las actividades maliciosas que violan las normas internacionales. Es alentador que los gobiernos atribuyan cada vez más los ciberataques a actores extranjeros e impongan consecuencias como acusaciones y sanciones. Esta creciente transparencia y rendición de cuentas son pasos importantes hacia la construcción de la disuasión colectiva. A medida que se acelera la transformación digital, amplificada por el auge de la IA, las amenazas cibernéticas plantean riesgos para la estabilidad económica, la gobernanza y la seguridad personal. Abordar estos desafíos requiere no solo innovación técnica, sino también una acción social coordinada.

Panorama en América Latina

Durante el primer semestre de 2025, varios países latinoamericanos enfrentaron distintos niveles de impacto por actividad cibernética, según datos de este informe. A continuación, se presentan algunos hallazgos relevantes:

  • Brasil: Ocupó el puesto 16 a nivel global y el tercero en el continente americano en cuanto a clientes más frecuentemente impactados por actividad cibernética. Fue el país más afectado en Sudamérica, representando aproximadamente el 4.2% de los clientes impactados en las Américas.
  • México: Se ubicó en el lugar 24 a nivel global y cuarto en el continente americano. Fue el segundo país más afectado en Sudamérica, con un 2.8% de los clientes impactados en la región.
  • Colombia: Ocupó el puesto 34 a nivel global y el quinto en el continente americano. Fue el tercero más afectado en Sudamérica, con un 2% de los clientes impactados.
  • Perú: Se posicionó en el lugar 38 a nivel global, sexto en el continente americano y cuarto en Sudamérica. Representó el 1.6% de los clientes impactados en las Américas.
  • Chile: Ocupó el puesto 48 a nivel global, aunque no figura entre los países más afectados en el continente.
  • Argentina: Se ubicó en el lugar 51 a nivel global, sin figurar entre los países con más de 20 amenazas registradas en las Américas.
  • Costa Rica: Ocupó el puesto 57 a nivel global, sin presencia destacada en el ranking continental.

Etiquetas: