Los cibercriminales optan por métodos más sigilosos, como el robo de credenciales de perfil bajo

El panorama de amenazas de 2024 revela un cambio en las tácticas de los cibercriminales hacia métodos más sigilosos, con un aumento en el robo de credenciales de perfil bajo, mientras que los ataques de ransomware a empresas han disminuido. Así lo indica el Índice de Inteligencia de Amenazas X-Force 2025 de IBM, que revela un incremento del 84% en el envío de correos electrónicos procedentes de ladrones de información (infostealers) en 2024 en comparación con el año anterior, un método muy utilizado por los ciberdelincuentes para ampliar los ataques de identidad.

El 70% de todos los ataques el año pasado tuvieron como objetivo organizaciones de infraestructura crítica, y más de una cuarta parte de estos ataques fueron causados por la explotación de vulnerabilidades. Los ciberdelincuentes optaron más por robar datos (18%) que por cifrarlos (11%) ya que la mejora en tecnologías de detección y el aumento del esfuerzo por parte de los equipos de seguridad han obligado a los ciberdelincuentes a adoptar vías de salida más rápidas.

Casi uno de cada tres incidentes observados en 2024 resultó en el robo de credenciales, ya que los atacantes están invirtiendo en múltiples métodos para acceder rápidamente, extraer y monetizar la información de inicio de sesión. Por su parte, la explotación de aplicaciones de cara al público fue el principal vector de acceso inicial en esta región.

En Europa, la acción más observada fue el acceso a servidores (15%), seguida de la adquisición de credenciales de herramientas (12%) y el malware-ransomware (9%).

 

Las vulnerabilidades exponen a los sectores de infraestructura crítica a amenazas sofisticadas

Depender de la tecnología heredada y tener que esperar nuevas actualizaciones y parches supone un reto persistente para las organizaciones de infraestructura crítica. Los ciberdelincuentes se aprovecharon de estas vulnerabilidades, representando más de una cuarta parte de los incidentes en este sector el año pasado.

Al revisar las vulnerabilidades y exposiciones comunes (CVE) más mencionadas en foros de la dark web, se detectó que cuatro de las diez principales están relacionadas con grupos de actores de amenazas sofisticados, entre los que se incluyen atacantes de estado-nación, lo que aumenta el riesgo de interrupción, espionaje y extorsión financiera. Los códigos de explotación de estos CVE se comercializaron abiertamente en numerosos foros, lo que alimentó un mercado creciente de ataques contra redes eléctricas, redes sanitarias y sistemas industriales. Este intercambio de información entre adversarios con motivaciones económicas y enemigos estado-nación aumenta la creciente necesidad de vigilar la dark web para ayudar a elaborar estrategias de gestión de parches y detectar posibles amenazas antes de que sean explotadas.

 

El robo automatizado de credenciales provoca una reacción en cadena

En 2024, hubo un repunte en los correos electrónicos de phishing y los primeros datos para 2025 revelan un aumento aún mayor del 180 % en comparación con 2023. Esta tendencia ascendente para hacerse con las cuentas de las empresas se puede atribuir a que los atacantes aprovechan la IA para crear emails de phishing a escala.

El phishing de credenciales y los infostealers han hecho que los ataques de identidad sean baratos, escalables y muy rentables para los actores de amenazas. Estos programas permiten extraer datos de forma rápida, reduciendo el tiempo de permanencia del atacante en el sistema y dejando pocos rastros. En 2024, solo los cinco principales infostealers acumularon más de ocho millones de anuncios en la dark web, cada uno con cientos de credenciales.

Los ciberdelincuentes también están vendiendo kits de phishing de adversario en el medio (AITM) y servicios de ataque AITM personalizados en la dark web para eludir la autenticación multifactor (MFA). La gran disponibilidad de credenciales comprometidas y métodos para eludir la autenticación multifactor pone en relieve la alta demanda que genera el acceso no autorizado, que no muestra signos de desaceleración.

 

Los operadores de ransomware cambian a modelos de menor riesgo

Si bien el ransomware representó la mayor parte de los casos de malware en 2024 con un 28%, se observó una reducción general en este tipo de ataques en comparación con el año anterior, a la vez que aumentaban los ataques centrados en la identidad.

Las operaciones internacionales de desmantelamiento han forzado a los grupos de ransomware a abandonar estructuras de alto riesgo en favor de modelos más descentralizados y discretos. Por ejemplo, IBM X-Force ha observado familias de malware bien establecidas, como ITG23 (también conocido como Wizard Spider, Trickbot Group) y ITG26 (QakBot, Pikabot) que han cerrado completamente sus operaciones o han recurrido a otro tipo de malware, incluido el uso de familias nuevas y de poca duración, a medida que los grupos de ciberdelincuentes intentan encontrar reemplazos para las redes de bots que fueron desmanteladas el año pasado.

Aunque en 2024 no se materializaron ataques a gran escala contra las tecnologías de IA, los investigadores de seguridad están trabajando en identificar y corregir las vulnerabilidades antes de que los ciberdelincuentes las exploten. La adopción creciente de IA en 2025 incrementará el atractivo de estos sistemas como objetivo, lo que obliga a las empresas a proteger la infraestructura de la IA desde el principio, incluyendo los datos, el modelo, el uso y la infraestructura que rodea los modelos.

Por cuarto año consecutivo, el sector manufacturero fue el más atacado a nivel mundial. Este sector, que sufrió el mayor número de casos de ransomware el año pasado, sigue siendo muy rentable porque no puede permitirse interrupciones en su actividad. En el caso de Europa, el sector que recibió la mayor cantidad de ataques fue el de servicios profesionales, empresariales y de consumo.