ARMONK, Nueva York, 24 de abril, 2025 — IBM (NYSE: IBM) ha publicado el Índice de Inteligencia de Amenazas X-Force 2025 (X-Force Threat Intelligence Index) que revela un cambio en las tácticas de los cibercriminales hacia métodos más sigilosos, con un aumento en el robo de credenciales de perfil bajo, mientras que los ataques de ransomware a empresas han disminuido. IBM X-Force ha observado también un incremento del 84% en el envío de correos electrónicos procedentes de ladrones de información (infostealers) en 2024 en comparación con el año anterior, un método muy utilizado por los ciberdelincuentes para ampliar los ataques de identidad.

El informe de 2025 analiza las principales tendencias y patrones de ataque, recopilando  respuestas a incidentes, información sobre amenazas, dark web y otras fuentes.

Algunas de las conclusiones del informe son:

• El 70% de todos los ataques a los que IBM X-Force dio respuesta a nivel global el año pasado tuvieron como objetivo organizaciones de infraestructura crítica, y más de una cuarta parte de estos ataques fueron causados por la explotación de vulnerabilidades. 
• Los ciberdelincuentes optaron más por robar datos (18%) que por cifrarlos (11%) ya que la mejora en tecnologías de detección y el aumento del esfuerzo por parte de los equipos de seguridad han obligado a los ciberdelincuentes a adoptar vías de salida más rápidas.
• Casi uno de cada tres incidentes observados en 2024 resultó en el robo de credenciales, ya que los atacantes están invirtiendo en múltiples métodos para acceder rápidamente, extraer y monetizar la información de inicio de sesión. Por su parte, la explotación de aplicaciones de cara al público fue el principal vector de acceso inicial en esta región.
• En Europa, la acción más observada fue el acceso a servidores (15%), seguida de la adquisición de credenciales de herramientas (12%) y el malware-ransomware (9%).

“La mayoría de las veces, los ciberdelincuentes consiguen entrar sin que se note, aprovechando las brechas de identidad que surgen por la complejidad de los entornos de nube híbrida que les ofrecen múltiples puntos de acceso”, ha señalado Mark Hughes, Global Managing Partner of Cybersecurity Services en IBM. «Las empresas deben centrarse en medidas proactivas como modernizar la autenticación, el refuerzo de la verificación en dos pasos y la detección activa de amenazas en tiempo real para anticiparse a filtraciones de datos sensibles.» 

Los problemas en el parcheado exponen a los sectores de infraestructura crítica a amenazas cada vez más sofisticadas

Depender de la tecnología heredada y tener que esperar nuevas actualizaciones y parches supone un reto persistente para las organizaciones de infraestructura crítica. Los ciberdelincuentes se aprovecharon de estas vulnerabilidades, representando más de una cuarta parte de los incidentes a los que respondió IBM X-Force en este sector el año pasado.

Al revisar las vulnerabilidades y exposiciones comunes (CVE) más mencionadas en foros de la dark web, IBM X-Force detectó que cuatro de las diez principales están relacionadas con grupos de actores de amenazas sofisticados, entre los que se incluyen atacantes de estado-nación, lo que aumenta el riesgo de interrupción, espionaje y extorsión financiera. Los códigos de explotación de estos CVE se comercializaron abiertamente en numerosos foros, lo que alimentó un mercado creciente de ataques contra redes eléctricas, redes sanitarias y sistemas industriales. Este intercambio de información entre adversarios con motivaciones económicas y enemigos estado-nación aumenta la creciente necesidad de vigilar la dark web para ayudar a elaborar estrategias de gestión de parches y detectar posibles amenazas antes de que sean explotadas.

El robo automatizado de credenciales provoca una reacción en cadena

En 2024, IBM X-Force observó un repunte en los correos electrónicos de phishing y los primeros datos para 2025 revelan un aumento aún mayor del 180 % en comparación con 2023. Esta tendencia ascendente para hacerse con las cuentas de las empresas se puede atribuir a que los atacantes aprovechan la IA para crear emails de phishing a escala. 

El phishing de credenciales y los infostealers han hecho que los ataques de identidad sean baratos, escalables y muy rentables para los actores de amenazas. Estos programas permiten extraer datos de forma rápida, reduciendo el tiempo de permanencia del atacante en el sistema y dejando pocos rastros. En 2024, solo los cinco principales infostealers acumularon más de ocho millones de anuncios en la dark web, cada uno con cientos de credenciales. Los ciberdelincuentes también están vendiendo kits de phishing de adversario en el medio (AITM) y servicios de ataque AITM personalizados en la dark web para eludir la autenticación multifactor (MFA). La gran disponibilidad de credenciales comprometidas y métodos para eludir la autenticación multifactor pone en relieve la alta demanda que genera el acceso no autorizado, que no muestra signos de desaceleración. 

Los operadores de ransomware cambian a modelos de menor riesgo

Si bien el ransomware representó la mayor parte de los casos de malware en 2024 con un 28%, IBM X-Force observó una reducción general en este tipo de ataques en comparación con el año anterior, a la vez que aumentaban los ataques centrados en la identidad.

Las operaciones internacionales de desmantelamiento han forzado a los grupos de ransomware a abandonar estructuras de alto riesgo en favor de modelos más descentralizados y discretos. Por ejemplo, IBM X-Force ha observado familias de malware bien establecidas, como ITG23 (también conocido como Wizard Spider, Trickbot Group) y ITG26 (QakBot, Pikabot) que han cerrado completamente sus operaciones o han recurrido a otro tipo de malware, incluido el uso de familias nuevas y de poca duración, a medida que los grupos de ciberdelincuentes intentan encontrar reemplazos para las redes de bots que fueron desmanteladas el año pasado.                       

Otros hallazgos del informe de 2025 son:

●      Evolución de las amenazas de IA. Aunque en 2024 no se materializaron ataques a gran escala contra las tecnologías de IA, los investigadores de seguridad están trabajando en identificar y corregir las vulnerabilidades antes de que los ciberdelincuentes las exploten. Vulnerabilidades como la ejecución remota de código, descubierta por IBM X-Force en un framework para crear agentes de IA, serán cada vez más frecuentes. La adopción creciente de IA en 2025 incrementará el atractivo de estos sistemas como objetivo, lo que obliga a las empresas a proteger la infraestructura de la IA desde el principio, incluyendo los datos, el modelo, el uso y la infraestructura que rodea los modelos.

●      Asia y América del Norte son las regiones más atacadas. Entre ambas concentraron cerca del 60% de los ataques que IBM X-Force respondió a nivel global en 2024. Asia lideró con un 34%, seguida de Norteamérica con un 24%. Europa, por su parte, vio cómo los ataques bajaron del 32% al 23% respecto al año anterior.

●      El sector manufacturero se llevó peor parte de los ataques de ransomware. Por cuarto año consecutivo, el sector manufacturero fue el más atacado a nivel mundial. Este sector, que sufrió el mayor número de casos de ransomware el año pasado, sigue siendo muy rentable porque no puede permitirse interrupciones en su actividad. En el caso de Europa, el sector que recibió la mayor cantidad de ataques fue el de servicios profesionales, empresariales y de consumo.

●      Amenazas para Linux. En colaboración con Red Hat Insights, IBM X-Force identificó que más de la mitad de los entornos de clientes de Red Hat Enterprise Linux tenían al menos un CVE crítico sin abordar y el 18 % enfrentaba cinco o más vulnerabilidades. Al mismo tiempo, IBM X-Force descubrió que las cinco familias de ransomware más activas (por ejemplo, Akira, Clop, Lockbit y RansomHub) son ahora compatibles con versiones de Windows y Linux de su ransomware.

Recursos adicionales

●      Descargue una copia del Índice de Inteligencia de Amenazas de IBM X-Force 2025.

●      Conecte con el equipo IBM X-Force para una revisión personalizada de los hallazgos.

●      Lea más sobre los hallazgos principales del informe en este blog de IBM.

Acerca de IBM 

IBM es un proveedor líder de cloud híbrido global e IA, así como de experiencia en consultoría. Ayudamos a clientes de más de 175 países a capitalizar los insights de sus datos, agilizar los procesos de negocio, reducir costes y obtener una ventaja competitiva en sus sectores. Miles de gobiernos y entidades corporativas en áreas de infraestructura crítica como servicios financieros, telecomunicaciones y atención médica confían en la plataforma de nube híbrida de IBM y Red Hat OpenShift para realizar sus transformaciones digitales de manera rápida, eficiente y segura. Las revolucionarias innovaciones de IBM en IA, computación cuántica, soluciones cloud específicas del sector y consultoría ofrecen opciones abiertas y flexibles a nuestros clientes. Todo esto está respaldado por el compromiso de larga trayectoria de IBM con la confianza, la transparencia, la responsabilidad, la inclusión y el servicio. Visite www.ibm.com para obtener más información.