Los ciberdelincuentes buscan el rédito económico en más de la mitad de los ataques

El robo de datos ha sido el objetivo principal de los atacantes en el 80% de incidentes de ciberseguridad investigados durante 2024 por los equipos de Microsoft. Este robo no se produce por la búsqueda de información, sino para obtener beneficios económicos, como señala el último Microsoft Digital Defense Report, elaborado junto a Igor Tsyganskiy, director de seguridad de la información de la compañía, y que muestra que más de la mitad de los ciberataques con motivo identificado tuvieron como principal objetivo la extorsión o el ransomware. 

Al menos el 52% de los incidentes tuvieron una motivación económica, mientras que los ataques cuyo único objetivo era el espionaje apenas alcanzaron el 4%. Aunque las amenazas de Estados-nación siguen siendo graves y persistentes, la mayoría de los ataques inmediatos a los que se enfrentan hoy las organizaciones provienen de delincuentes oportunistas que buscan obtener un beneficio económico.

La compañía tecnológica procesa cada día más de 100 billones de señales, bloquea aproximadamente 4,5 millones de nuevos intentos de malware, analiza 38 millones de detecciones de riesgos de identidad y examina 5.000 millones de correos electrónicos en busca de malware y phishing.

Microsoft ha situado a España en el puesto número 14 a nivel mundial entre los países cuyos clientes se vieron más afectados por actividad cibernética maliciosa durante el primer semestre de este año. En este periodo, nuestro país ha concentrado el 5,4% de los clientes afectados por actividad cibernética maliciosa en Europa, situándose en el quinto lugar entre los países europeos donde los clientes sufrieron con mayor frecuencia este tipo de ataques. 

La tecnológica procesa cada día más de 100 billones de señales, bloquea aproximadamente 4,5 millones de nuevos intentos de malware, analiza 38 millones de detecciones de riesgos de identidad y examina 5.000 millones de correos electrónicos en busca de malware y phishing.

Los avances en automatización y la disponibilidad de herramientas comerciales listas para usar han hecho que los ciberdelincuentes (incluso aquellos con conocimientos técnicos limitados) amplíen el alcance de sus operaciones. El uso de la inteligencia artificial ha acentuado aún más esta tendencia, ya que los ciberdelincuentes pueden desarrollar malware a mayor velocidad y crear contenidos sintéticos mucho más realistas, lo que incrementa la eficacia de ataques como el phishing o el ransomware. Como consecuencia, los actores maliciosos oportunistas ahora ponen en su punto de mira a todo tipo de organizaciones, grandes y pequeñas, convirtiendo el cibercrimen en una amenaza constante y universal que impacta en nuestra vida cotidiana.
 

En este contexto, los responsables de las organizaciones deben considerar la ciberseguridad como una prioridad estratégica, no solo como un asunto tecnológico, e incorporar la resiliencia en sus sistemas y operaciones desde el principio. En el sexto informe anual, que analiza las tendencias entre julio de 2024 y junio de 2025, hacemos hincapié en que las medidas de seguridad tradicionales ya no bastan; es imprescindible contar con estrategias de defensa modernas que aprovechen la inteligencia artificial, además de fomentar una colaboración sólida entre sectores e instituciones para estar a la altura de las amenazas actuales. Para los usuarios, acciones sencillas como utilizar herramientas potentes de seguridad, especialmente la autenticación multifactor resistente al phishing (MFA), marcan una gran diferencia, ya que la MFA puede bloquear más del 99% de los ataques de identidad.
 

Conclusiones

Los ciberdelincuentes siguen poniendo el foco en los servicios públicos esenciales, ya que cualquier ataque sobre ellos puede tener consecuencias inmediatas y muy reales para la ciudadanía. Hospitales y ayuntamientos, por ejemplo, son objetivos habituales porque gestionan datos sensibles y, en muchos casos, disponen de presupuestos limitados para ciberseguridad y recursos escasos para responder ante incidentes, lo que suele traducirse en sistemas y programas desactualizados. En el último año, los ciberataques a estos sectores han provocado efectos muy tangibles: desde retrasos en la atención médica de urgencia, pasando por la interrupción de servicios de emergencia, hasta la cancelación de clases o la paralización de medios de transporte.

Los grupos de actores de ransomware, en particular, ponen el foco en estos sectores críticos porque saben que sus víctimas tienen muy poco margen de maniobra. Por ejemplo, un hospital necesita recuperar sus sistemas cifrados cuanto antes, ya que la vida de los pacientes puede depender de ello, lo que a menudo deja como única salida el pago del rescate. Además, tanto las administraciones públicas como los hospitales y los centros de investigación gestionan datos sensibles que los delincuentes pueden robar y vender en mercados ilegales de la dark web, alimentando así otras actividades delictivas. Por eso, la colaboración entre el sector público y la industria resulta clave para reforzar la ciberseguridad en estos ámbitos, especialmente en los más vulnerables. Estos esfuerzos son esenciales para proteger a la ciudadanía y garantizar la continuidad de servicios tan fundamentales como la atención sanitaria, la educación o la respuesta ante emergencias.

Aunque la mayor parte de los ciberataques, por volumen, sigue viniendo de la ciberdelincuencia común, los actores estado-nación mantienen su foco en sectores y regiones estratégicas, ampliando su actividad tanto en espionaje como, en algunos casos, en la obtención de beneficios económicos. Los objetivos geopolíticos siguen impulsando un aumento de la actividad cibernética patrocinada por Estados, con una expansión especialmente notable hacia sectores como las comunicaciones, la investigación y el ámbito académico.

Situación global

China sigue intensificando su actividad en todo tipo de sectores para espiar y hacerse con datos sensibles. Los actores vinculados al Estado están atacando cada vez más a ONGs para ampliar su acceso a información y utilizan redes encubiertas y dispositivos vulnerables conectados a Internet para entrar y pasar desapercibidos. Además, cada vez son más rápidos a la hora de aprovechar nuevas vulnerabilidades en cuanto se hacen públicas.

Por su parte, Irán ha ampliado como nunca antes el abanico de sus objetivos, actuando desde Oriente Medio hasta Norteamérica dentro de unas operaciones de espionaje cada vez más ambiciosas. Recientemente, tres grupos iraníes vinculados al Estado han atacado empresas de transporte marítimo y logística en Europa y el Golfo Pérsico para mantener acceso continuado a datos comerciales sensibles, lo que apunta a que Irán podría estar preparándose para poder interferir en operaciones comerciales de transporte.

Aunque Rusia sigue en guerra con Ucrania, ha ampliado el alcance de sus ataques. Por ejemplo, Microsoft ha detectado que actores rusos vinculados al Estado están atacando pequeñas empresas en países que apoyan a Ucrania. De hecho, fuera de Ucrania, los diez países más afectados por la actividad cibernética maliciosa rusa pertenecen a la OTAN, lo que supone un 25% más que el año pasado. Estos grupos ven en las pequeñas empresas posibles puntos de entrada menos protegidos para acceder a organizaciones más grandes y, además, recurren cada vez más al ecosistema de la ciberdelincuencia para llevar a cabo sus ataques.

Por último, Corea del Norte continúa centrada en la generación de ingresos y el espionaje. En los últimos tiempos, miles de trabajadores norcoreanos de TI vinculados al Estado han solicitado empleo en empresas de todo el mundo, enviando sus salarios al régimen como remesas. Cuando son descubiertos, algunos de estos trabajadores recurren a la extorsión como otra vía para conseguir fondos para el gobierno.

Las amenazas cibernéticas procedentes de actores estado-nación son cada vez más numerosas y difíciles de prever. Además, el hecho de que algunos de estos actores estén recurriendo cada vez más a las redes de la ciberdelincuencia complica aún más la atribución de los ataques. Todo esto pone de relieve la importancia de que las organizaciones estén al tanto de las amenazas que afectan a su sector y colaboren tanto con otras empresas como con las administraciones públicas para hacer frente a los riesgos que plantean los actores estado-nación.

Impacto de la IA

El año 2025 ha visto una escalada en el uso de la inteligencia artificial tanto por parte de los atacantes como de los defensores.

Tanto los ciberdelincuentes como los responsables de seguridad han aprovechado el poder de la IA generativa. Los actores maliciosos utilizan la IA para potenciar sus ataques mediante la automatización del phishing, la ampliación de técnicas de ingeniería social, la creación de medios sintéticos, la detección más rápida de vulnerabilidades y el desarrollo de malware capaz de adaptarse. Los actores estado-nación también han seguido incorporando la IA en sus operaciones de influencia cibernética. Esta actividad se ha intensificado en los últimos seis meses, utilizando esta tecnología para que sus esfuerzos sean más sofisticados, tengan un mayor alcance y precisión.

Por su parte, para los equipos de seguridad, la inteligencia artificial se está consolidando como una herramienta imprescindible. Microsoft, por ejemplo, emplea la IA para detectar amenazas, cerrar brechas de detección, interceptar intentos de phishing y proteger a los usuarios más vulnerables. Dado que los riesgos y las oportunidades que plantea la IA evolucionan a gran velocidad, las organizaciones deben dar prioridad tanto a la protección de sus herramientas de IA como a la formación de sus equipos. Es fundamental que todos, desde el sector privado hasta las administraciones públicas, actúen con anticipación para no quedarse atrás frente a atacantes cada vez más sofisticados y garantizar que siempre vayan un paso por delante de ellos.
 

En un contexto donde las amenazas cibernéticas son cada vez más sofisticadas, hay una cifra que llama especialmente la atención: más del 97% de los ataques relacionados con la identidad se centran en las contraseñas. Solo en el primer semestre de 2025, este tipo de ataques aumentó un 32%. Es decir, la mayoría de los intentos maliciosos de acceso a sistemas se realizan mediante ataques masivos de adivinación de contraseñas. Los ciberdelincuentes obtienen los nombres de usuario y contraseñas, las llamadas credenciales, principalmente a través de filtraciones de datos.

Además, este año se ha disparado el uso de malware tipo infostealer, que permite a los atacantes recopilar de forma silenciosa credenciales e información sobre cuentas online, como los tokens de sesión del navegador, y hacerlo a gran escala. Luego, esta información robada se vende en foros del cibercrimen, lo que facilita que cualquiera pueda acceder a cuentas ajenas, por ejemplo, para desplegar ataques de ransomware.
 

La solución ante el robo de identidad consiste en aplicar sistemas de autenticación multifactor resistentes al phishing (MFA) que permiten bloquear más del 99% de estos ataques, incluso cuando el atacante dispone del nombre de usuario y la contraseña correctos.
 

La Unidad de Delitos Digitales de Microsoft (DCU) está tomando medidas para frenar el uso delictivo de los infostealers, programas diseñados para robar credenciales. En mayo, esta unidad logró desmantelar el infostealer más utilizado, Lumma Stealer, en colaboración con el Departamento de Justicia de Estados Unidos y la Europol.

Responsabilidad compartida

A medida que los actores maliciosos se vuelven más sofisticados, persistentes y oportunistas, las organizaciones deben mantenerse en alerta, reforzar, de forma continua, sus sistemas de protección y compartir información sobre amenazas. Microsoft mantiene su compromiso con el fortalecimiento de sus productos y servicios a través de la iniciativa Futuro Seguro. También colaboramos activamente con otras entidades para rastrear amenazas, avisar a los clientes afectados y compartir información relevante con el público cuando es necesario.

Ahora bien, la seguridad no es solo un reto técnico, sino también una cuestión de gobernanza. Las medidas de seguridad por sí solas no bastan para disuadir a los ciberdelincuentes respaldados por Estados. Los gobiernos deben establecer marcos legales que dejen claro que las actividades maliciosas que vulneran las normas internacionales tendrán consecuencias reales y proporcionadas. Lo positivo es que cada vez más gobiernos están señalando públicamente a los responsables de los ciberataques, identificando a actores extranjeros y tomando medidas como imponer sanciones o presentar cargos judiciales. Con la aceleración de la transformación digital, impulsada por el auge de la IA, las amenazas cibernéticas se han convertido en un riesgo real para la estabilidad económica, el buen funcionamiento de las instituciones y la seguridad de las personas.

Hacer frente a estos desafíos no solo exige innovación tecnológica, sino también una respuesta coordinada a nivel social.