IBM (NYSE: IBM ) publicó hoy el Índice de Inteligencia de Amenazas X-Force 2025, que destaca que los ciberdelincuentes siguieron recurriendo a tácticas más sigilosas, con un aumento repentino del robo de credenciales de perfil bajo, mientras que los ataques de ransomware a empresas disminuyeron.
IBM X-Force observó un aumento del 84 % en los correos electrónicos enviados por ladrones de información en 2024, en comparación con el año anterior, un método del que dependían en gran medida los cibercriminales para escalar los ataques de identidad.
El informe de 2025 rastrea tendencias y patrones de ataque nuevos y existentes, basándose en interacciones de respuesta a incidentes, la web oscura y otras fuentes de inteligencia sobre amenazas.
Algunas conclusiones clave del informe de 2025 incluyen:
- Las organizaciones de infraestructura crítica representaron el 70% de todos los ataques a los que IBM X-Force respondió el año pasado, y más de una cuarta parte de estos ataques fueron causados por la explotación de vulnerabilidades.
- Más ciberdelincuentes optaron por robar datos (18%) que cifrarlos (11%) debido a que las tecnologías de detección avanzadas y los mayores esfuerzos de aplicación de la ley presionan a los ciberdelincuentes a adoptar vías de salida más rápidas.
- Casi uno de cada tres incidentes observados en 2024 resultó en el robo de credenciales, ya que los atacantes invierten en múltiples vías para acceder, exfiltrar y monetizar rápidamente la información de inicio de sesión.
«Los ciberdelincuentes suelen entrar sin dañar nada, aprovechando las brechas de identidad que surgen de los complejos entornos de nube híbrida que ofrecen a los atacantes múltiples puntos de acceso», afirmó Mark Hughes , Socio Director Global de Servicios de Ciberseguridad de IBM. «Las empresas deben abandonar la mentalidad de prevención improvisada y centrarse en medidas proactivas como la modernización de la gestión de la autenticación, la eliminación de vulnerabilidades en la autenticación multifactor y la búsqueda de amenazas en tiempo real para descubrir amenazas ocultas antes de que expongan datos confidenciales».
Los desafíos de la aplicación de parches exponen a los sectores de infraestructura crítica a amenazas sofisticadas
La dependencia de la tecnología heredada y los ciclos lentos de aplicación de parches resultan ser un desafío permanente para las organizaciones de infraestructura crítica, ya que los ciberdelincuentes explotaron vulnerabilidades en más de una cuarta parte de los incidentes a los que IBM X-Force respondió en este sector el año pasado.
Al revisar las vulnerabilidades y exposiciones comunes (CVE) más mencionadas en los foros de la dark web, IBM X-Force descubrió que cuatro de las diez principales se han vinculado a sofisticados grupos de actores de amenazas, incluyendo adversarios de estados-nación, lo que aumenta el riesgo de interrupción, espionaje y extorsión financiera. Los códigos de explotación para estas CVE se comercializaron abiertamente en numerosos foros, lo que impulsó un mercado creciente de ataques contra redes eléctricas, redes sanitarias y sistemas industriales. Este intercambio de información entre adversarios con motivaciones financieras y adversarios de estados-nación resalta la creciente necesidad de monitorizar la dark web para fundamentar las estrategias de gestión de parches y detectar posibles amenazas antes de que sean explotadas.
El robo automatizado de credenciales genera una reacción en cadena
En 2024, IBM X-Force observó un aumento en los correos electrónicos de phishing que entregaban ladrones de información y los primeros datos para 2025 revelan un aumento aún mayor del 180 % en comparación con 2023. Esta tendencia ascendente que impulsa las posteriores apropiaciones de cuentas puede atribuirse a los atacantes que aprovechan la IA para crear correos electrónicos de phishing a escala.
El phishing de credenciales y los robos de información han hecho que los ataques de identidad sean económicos, escalables y altamente rentables para los actores de amenazas. Los robos de información permiten la exfiltración rápida de datos, reduciendo el tiempo que tardan en llegar al objetivo y dejando poco residuo forense. En 2024, solo los cinco principales robos de información tenían más de ocho millones de anuncios en la dark web, y cada anuncio puede contener cientos de credenciales. Los actores de amenazas también venden kits de phishing de adversario en el medio (AITM) y servicios de ataque AITM personalizados en la dark web para eludir la autenticación multifactor (MFA). La disponibilidad desenfrenada de credenciales comprometidas y métodos de evasión de MFA indica una economía de alta demanda de acceso no autorizado que no muestra signos de desaceleración.
Los operadores de ransomware cambian a modelos de menor riesgo
Si bien el ransomware representó la mayor parte de los casos de malware en 2024 con un 28%, IBM X-Force observó una reducción en los incidentes de ransomware en general en comparación con el año anterior, y los ataques de identidad aumentaron para llenar el vacío.
Las iniciativas internacionales de desmantelamiento están impulsando a los actores de ransomware a reestructurar modelos de alto riesgo hacia operaciones más distribuidas y de menor riesgo. Por ejemplo, IBM X-Force observó que familias de malware consolidadas, como ITG23 (también conocidas como Wizard Spider, Trickbot Group) e ITG26 (QakBot, Pikabot), interrumpían sus operaciones por completo o recurrían a otro malware, incluyendo familias nuevas y de corta duración, a medida que los grupos de ciberdelincuentes intentaban encontrar sustitutos para las botnets desmanteladas el año pasado.
Otros hallazgos del informe de 2025 incluyen:
- Amenazas de IA en evolución. Si bien los ataques a gran escala contra las tecnologías de IA no se materializaron en 2024, los investigadores de seguridad se apresuran a identificar y corregir vulnerabilidades antes de que los ciberdelincuentes las exploten. Problemas como la vulnerabilidad de ejecución remota de código que IBM X-Force descubrió en un marco para el desarrollo de agentes de IA serán cada vez más frecuentes. Con el aumento previsto de su adopción en 2025, también aumentarán los incentivos para que los adversarios desarrollen herramientas de ataque especializadas dirigidas a la IA, lo que hace imperativo que las empresas aseguren el flujo de trabajo de la IA desde el principio, incluyendo los datos, el modelo, el uso y la infraestructura que rodea a los modelos.
- Asia y Norteamérica , las regiones más atacadas. En conjunto, representaron casi el 60 % de todos los ataques a los que IBM X-Force respondió a nivel mundial; Asia (34 %) y Norteamérica (24 %) sufrieron más ciberataques que cualquier otra región en 2024.
- El sector manufacturero sufrió las consecuencias de los ataques de ransomware. Por cuarto año consecutivo, fue el más atacado. Tras el mayor número de casos de ransomware el año pasado, el retorno de la inversión en cifrado se mantiene sólido para este sector debido a su extremadamente baja tolerancia a los tiempos de inactividad.
- Amenazas para Linux. En colaboración con Red Hat Insights, IBM X-Force descubrió que más de la mitad de los entornos de clientes de Red Hat Enterprise Linux no habían implementado un parche para al menos un CVE crítico , y el 18 % no había aplicado parches para cinco o más. Al mismo tiempo, IBM X-Force descubrió que las familias de ransomware más activas (p. ej., Akira, Clop, Lockbit y RansomHub) ahora son compatibles con las versiones de su ransomware para Windows y Linux.
Recursos adicionales
- Descargue una copia del Índice de inteligencia de amenazas IBM X-Force 2025.
- Regístrese para el seminario web IBM X-Force Threat Intelligence 2025 el martes 22 de abril a las 11:00 a. m. (hora del Este de EE. UU.) .
- Conéctese con el equipo de IBM X-Force para una revisión personalizada de los hallazgos.
- Lea más sobre los principales hallazgos del informe en este blog de IBM.
IBM News. Traducido al español
Contacto