Las Claves #ciberataques

Miguel Ángel Valero

Check Point contabiliza 85 grupos activos de ransomware, "récord histórico" según Eusebio Nieva, director técnico para España y Portugal; 1.592 nuevas víctimas (+25% anual) en el tercer trimestre de 2025. Disminuye la concentración, del 71% de peso del Top-10 se baja al 56%, con 47 grupos con más de una decena de víctimas.

Destacan Qlin, con 75 víctimas al mes y un enfoque financiero agresivo; el resurgimiento de Lockbit 5.0, primando la calidad sobre la cantidad. En ese período han nacido 14 marcas, entre ellas Warlock y The Gentleman.

Los sectores más atacados son las fábricas (10%), los servicios (otro 10%, sobre todo para captar datos de clientes), y la salud (8%). EEUU supone la mitad de los ciberataques, y Corea del Sur entra en el Top10 por Qlin. Alemania es el campo de Dragon Force, que analiza los datos que captura para maximizar la extorsión.

Pero el protagonista es la IA, y su uso para ciberataques como WormGPT, OrionGPT, y HackerGPT, en ChatGPT, y sobre todo el uso de Anthropic en la primera incursión orquestada mediante inteligencia artificial y sin intervención humana.

El lado positivo es la defensa mediante IA, pero las herramientas automáticas fallan frecuentemente por los cambios constantes en las tácticas. Las nuevas versiones son más rápidas de lo que los investigadores pueden analizar manualmente. La defensa en algunos casos necesita intervención humana.

Nieva destaca otras defensas, como la detección y prevención avanzada, basada en la identificación de anomalías de comportamiento; la automatización de respuesta frente a incidentes, con revocación de credenciales y aislamiento de los endpoints (puntos de conexión o extremos en sistemas informáticos, con dos usos principales: dispositivos conectados a una red y URL específicas en API para recibir solicitudes de datos) comprometidos; mejorar la precisión y la prevención para reducir falsos positivos y negativos, ajustar políticas y anticipar campañas.

El director técnico de Check Point alerta de la IA como cebo, con extensiones de Chrome imitando herramientas de inteligencia artificial, y web falsas. También la utilización de Youtube como cebo: un ataque logró 128 millones$ aprovechando los errores de redondeo en los contratos.

12 predicciones de ciberseguridad para 2026

Check Point presenta una docena de "predicciones clave en ciberseguridad para 2026":

1. La era de la IA agentiva: los sistemas autónomos asumen el control operativo. La IA pasará de asistir a actuar. Los agentes autónomos gestionarán presupuestos, optimizarán líneas de producción, tomarán decisiones logísticas, y ejecutarán tareas críticas sin intervención humana directa. Ante el riesgo de una autonomía sin supervisión, las organizaciones necesitarán barreras protectoras ('guardrails'), auditorías continuas, y trazabilidad completa de cada decisión automatizada.
2. Web 4.0: la computación espacial, la realidad extendida y los 'gemelos digitales' permitirán modelar ciudades, plantas industriales o campus corporativos en tiempo real.
3. La IA, núcleo estratégico de la ciberseguridad. No solo acelerará la detección , sino que coordinará la toma de decisiones dentro de los equipos de seguridad. Las organizaciones deberán integrar modelos de IA bajo una estrategia unificada que garantice coherencia, reducción de tiempos de respuesta, y automatización gobernada.
4. La suplantación mediante voz, video y chat impulsados por IA alcanzará niveles nunca vistos. Una llamada falsificada podrá autorizar pagos o solicitar accesos privilegiados. La autenticidad técnica ya no será suficiente: las empresas deberán validar comportamiento, contexto, y patrones de interacción.
5. Los ciberdelincuentes manipularán contenido, documentos o bases de datos para alterar el comportamiento de un modelo de IA. La integridad del ciclo de vida de los modelos será crítica: gobernanza, datos trazables, validación en tiempo real, y red teaming continuo (CART por sus siglas en inglés, simulación de ciberataques reales de forma automatizada y constante para validar la resiliencia de las defensas).
6. Uso responsable de la IA: tras dos años de adopción intensiva, muchas empresas descubrirán sistemas sin gobernanza, fugas. Será el año en que surjan marcos formales de auditoría, transparencia y robustez para evaluar IA en entornos corporativos.
7. Endurecimiento de la regulación: NIS2, AI Act o las reglas de divulgación de incidentes de la SEC exigirán resiliencia demostrable y continua. El cumplimiento dejará de ser anual, se impondrá la monitorización automatizada, las políticas legibles por máquina, y el análisis de riesgo en tiempo real.
8. La criptografía actual ya no basta: aunque los ordenadores cuánticos capaces de romper cifrados aún están en desarrollo, los ciberdelincuentes ya emplean la estrategia 'harvest now, decrypt later' (cosecha ahora, descifra después). Las organizaciones deberán inventariar su criptografía, adoptar algoritmos poscuánticos.
9. Extorsión basada en filtraciones: los ciberdelincuentes abandonarán el cifrado para centrarse en la extorsión basada en filtraciones, presión mediática, y manipulación regulatoria. Las organizaciones necesitarán planes de respuesta que integren estrategia legal, comunicación, y verificación rápida de la información robada.
10. La dependencia de proveedores, API, servicios cloud, convertirá cada conexión en un posible vector de ciberataque. La automatización basará el riesgo en IA capaz de analizar relaciones, dependencias, y cumplimiento en tiempo real, pero también amplificará los impactos de cualquier brecha. La visibilidad deberá extenderse al cuarto nivel, los proveedores de tus proveedores
11. Los dispositivos como routers, cámaras, Internet de las Cosas, serán objetivos prioritarios. Se explotará la IA para lanzar ataques de ingeniería social totalmente adaptativos, capaces de imitar estilos, voces y patrones digitales. Será necesario un análisis continuo del comportamiento.
12. A medida que los agentes y los navegadores basados en IA consuman más información externa, cualquier contenido (un documento, un informe de proveedor, incluso un anuncio) podrá contener instrucciones ocultas destinadas a manipular al sistema. Los flujos de información de los modelos deberán protegerse mediante filtrado, control de origen, y validación persistente.

La Gran Convergencia: innovación y riesgo avanzan en paralelo

La combinación de IA agentiva, la Web 4.0, la computación cuántica, la automatización masiva y los ecosistemas hiperconectados transformará por completo la resiliencia digital. Esa convergencia será más evidente en:

• infraestructuras crítica, que dependerán de modelos predictivos y gemelos digitales
• cadenas de suministro autónomas: logística y manufactura incorporarán IA autoajustable
• resiliencia sistémica: continuidad y prevención deberán integrarse en cada capa operativa

"La unión entre IA, cuántica e infraestructuras inmersivas obliga a repensar la ciberseguridad desde la base. La prevención , la gobernanza, y la transparencia serán esenciales para mantener la resiliencia", subraya Eusebio Nieva.

En ese sentido, Check Point ofrece cuatro principio fundamentales para reforzar la resiliencia digita de una organización:

• prevención primero: anticipar y bloquear los ciberataques antes de que se produzcan
• seguridad IA-first: uso responsable de la IA para adelantarse a amenazas autónomas cada vez más sofisticadas
• protección del tejido conectivo: tratar cada dispositivo, flujo de datos, y servicio en la nube como parte de un mismo ecosistema interdependiente.
• plataforma abierta: unificar visibilidad, análisis y control en toda la organización para reducir silos y mejorar la toma de decisiones.

También propone seis acciones prioritarias en 2026:

• crear un consejo de gobernanza de IA que supervise la adopción de sistemas autónomos
• lanzar un piloto de gemelo digital en un área crítica del negocio
• iniciar un inventario crioptográfico poscuántico alineado con los estándares NIST (National Institute of Standards and Technology, de EEUU)
• adoptar soluciones de seguridad predictiva impulsadas por IA capaces de anticipar y prevenir ciberataques
• implantar la evaluación continua de proveedores mediante análisis automatizado del riesgo
• formar a los equipos para una colaboración eficaz entre personas y sistemas inteligentes

Miguel Ángel Valero

Iberia ha confirmado haber sufrido un ciberataque por el que se ha extraído información como nombres, apellidos y direcciones de correo electrónico, entre otros datos. Un ciberataque que pone de relieve el interés que tienen los hackers en un sector como el de los transportes. “Es el sector esencial que mayor porcentaje de ciberataques recibe, y eso es porque su funcionamiento es clave en cualquier economía”, indica Sancho Lerena, experto en ciberseguridad y CEO de la tecnológica española Pandora FMS. 

El ciberataque a Iberia se suma a otras muchas complicaciones que ha vivido el sector. Otras aerolíneas como Air Europa también fueron víctimas de estos ataques meses atrás. Hace apenas unas semanas, de hecho, varios aeropuertos internacionales se vieron afectados por otro ciberataque que puso en jaque la movilidad aérea del continente. “Representan más del 24% de los ciberataques a sectores esenciales, no es baladí”, destaca Lerena según datos de INCIBE analizados por Pandora FMS. 

El transporte supera al sector financiero, que le sigue de cerca con el 23,8%. Y ambos superan con creces al sector TIC, al sector energético y al del agua. Todos ellos considerados esenciales por su relevancia en el correcto funcionamiento diario de la sociedad. “Esto es clave, porque los ciberataques tienen muchos objetivos. Uno económico, y otro también de desestabilización para la víctima y su entorno”, subraya el experto. 

Incluso en 2024, en pleno verano, la caída de CrowdStrike por un fallo interno puso en evidencia la dependencia tecnológica del sector y la necesidad tanto de mayor inversión como de una independencia IT que Europa sigue sin tener. Según Lerena, desde todos estos sucesos “la situación apenas ha cambiado. En un entorno mucho más tenso en cuanto a amenazas de ciberseguridad se refiere, seguimos sin avanzar en conceptos tan básicos como la soberanía IT respecto a EEUU Hay que implantar sistemas propios y potenciar la diversidad, no utilizando todos un proveedor que al caerse paraliza por completo la actividad”, explica el CEO.  

“La tecnología y especialmente el software cada vez suponen una mayor complejidad. No se trata de elegir al mejor proveedor, se trata de entender que a más tecnología más probabilidad de fallo”, afirma. A ojos de los expertos, a más complejidad del stock tecnológico, el coste de mantenerlo es mayor y también hay más posibilidades de entrar en una situación de alerta como la actual. “Como fabricantes de software de seguridad nuestra pesadilla es justo lo que le pasó a Crowdstrike: matar al paciente que queremos proteger. No se libra nadie”, incide Lerena. “Quizás por esto mismo no hemos vuelto a la Luna desde los años 60, porque antes la tecnología se usaba con la cabeza y era menos compleja, hoy el exceso pasa factura y la calidad del software no es que sea menor, es que es muchísimo más compleja. Si queremos volver a la luna tenemos que entender esto y mientras, cruzar los dedos para que cuando vayamos al aeropuerto otro parche no nos deje en tierra”, explica. La solución, indican, no es otra que seguir invirtiendo en formación y en sistemas de seguridad informática mediante sistemas de monitorización, que permiten adelantarse a situaciones de estas características y reducir los daños. El transporte opera bajo presión continua. La resiliencia depende de diversificar y reducir las dependencias.

Sophos: el 58% del retail termina pagando rescates por sus datos

El informe El Estado del Ransomware en Retail 2025 de Sophos revela que el 46% de los ataques se originaron en brechas de seguridad desconocidas, mientras que el 58% de las organizaciones con datos cifrados terminaron pagando el rescate. El informe también muestra que la demanda de rescate alcanzó casi una media de 2 millones$ (el doble que el año pasado) y que los atacantes están diversificando técnicas, combinando explotación de vulnerabilidades, extorsión y compromiso de cuentas para maximizar su impacto en el sector.

El comercio minorista continúa siendo un objetivo prioritario para los ciberdelincuentes debido a su alta dependencia tecnológica, la criticidad de sus operaciones y el valor de los datos que gestionan. La complejidad de sus ecosistemas que abarcan pagos, inventarios y plataformas online amplía la superficie de ataque y facilita la explotación de cualquier brecha operativa o técnica.

En este contexto, la explotación de vulnerabilidades volvió a ser la causa técnica más frecuente, presente en el 30% de los ataques, seguida del uso de credenciales comprometidas y del phishing. A nivel organizativo, casi la mitad de los incidentes (el 46%) se originaron en brechas desconocidas, mientras que la falta de experiencia especializada y las carencias de protección afectaron a más del 40% de los casos, mostrando una exposición multifactorial.

Las demandas de rescate en el sector retail se duplicaron en un año y alcanzaron los 2 millones de dólares de media, mientras que el pago promedio solo aumentó un 5% y se situó en 1 millón. Aun así, el 58% de las organizaciones que sufrieron cifrado terminaron pagando para recuperar sus datos, aunque sólo un 29% abonaron la cifra inicial exigida y la mayoría lograron reducirla, lo que sugiere una mayor resistencia y un uso más frecuente de asesoramiento experto.

El coste medio de recuperación (excluyendo rescates) cayó un 40% hasta 1,65 millones$, su nivel más bajo en tres años, gracias a una mejor detección temprana y a la adopción de servicios especializados. Además, los tiempos de restablecimiento también mejoraron: el 51% de los retailers se recuperaron en una semana y el 96% lo hicieron en menos de tres meses, mientras que el 98% de las empresas afectadas por cifrado consiguieron restaurar sus datos pese al descenso en el uso de copias de seguridad.

Los ataques de ransomware tuvieron un efecto directo sobre los equipos de TI y ciberseguridad, ya que el 47% de los profesionales del sector retail experimentaron un aumento de presión tras sufrir cifrado de datos. Este incremento refleja la exigencia creciente de responder con rapidez ante incidentes que pueden comprometer operaciones críticas.

El impacto organizativo también fue significativo: en el 26% de los casos se produjeron cambios en los equipos directivos responsables de TI y ciberseguridad tras un ataque. Estos datos evidencian cómo el ransomware no sólo afecta a sistemas y procesos, sino también a la estructura y dinámica interna de los equipos técnicos.

Sophos recomienda reforzar sus defensas en cuatro áreas clave:

• Prevención: identificar y corregir vulnerabilidades antes de los picos de actividad comercial. 
• Protección: asegurar que todos los endpoints, servidores y redes cuenten con defensas anti-ransomware específicas.
• Detección y respuesta: implementar servicios de Managed Detection and Response (MDR) para vigilancia continua 24/7 y respuesta experta en tiempo real.
• Planificación: disponer de un plan de respuesta probado, mantener copias de seguridad verificadas y formar al personal en verificación de identidad.

“En momentos de alta presión comercial, la combinación de ingeniería social y ransomware convierte a las personas en la nueva frontera de la ciberseguridad. La prevención, la verificación y la visibilidad continua son esenciales para evitar que la próxima brecha comience con una simple voz conocida”, afirma Chester Wisniewski, Director de Seguridad de Campo Global (Field CISO) en Sophos.

Mastercard: el 75% de los españoles compra en webs desconocidas

A pesar de las intenciones de ser más cautelosos, una gran mayoría de consumidores españoles (75%) se arriesga comprando en sitios web desconocidos durante las compras de Black Friday y Navidad. Una encuesta de Mastercard a consumidores sobre sus hábitos respecto a la ciberseguridad en las compras de Black Friday y Navidad, destaca que únicamente el 51% realiza una investigación significativa antes de realizar la compra. De hecho, el 24% realiza poca o ninguna investigación, lo que aumenta su vulnerabilidad.

El estudio devela que el 25% de los consumidores españoles no modifica en absoluto sus prácticas de seguridad durante el periodo de compras navideño, algo que aumenta la vulnerabilidad ante las estafas. Y es que un 14% admite estar más dispuesto a utilizar sitios web desconocidos en busca de ofertas, y un 15% está más dispuesto a ignorar advertencias de seguridad o a comprar utilizando redes Wi-Fi públicas (13%). 

Las medidas adicionales de seguridad son: 

• El 34% revisa sus extractos bancarios con más frecuencia
• El 27% examina la seguridad del sitio web con mayor atención
• El 25% utiliza diferentes métodos de pago para una protección adicional.

A pesar de ello, existen algunas alertas que hacen que los usuarios abandonen aquellos sitios web que les parecen sospechosos, entre las que destacan: 

• El sitio web solicita información personal innecesaria (47%)
• Precios que parecen demasiado buenos para ser verdad (46%)
• Faltas de ortografía sospechosas en el sitio web (45%)
• Falta de reseñas o calificaciones de clientes (44%)
• Ausencia de indicadores de pago seguro (44%) 
• Diseño poco profesional o de baja calidad del sitio web (42%)
• Pocas opciones de pago (29%)

Muchos compradores han tenido al menos una experiencia de compra online negativa durante las festividades: el 18% asegura que los artículos nunca llegaron, el 13% recibió productos falsificados, el 10% sufrió cargos incorrectos y el 9% vio comprometida su información de pago. Por el contrario, el 53% de los encuestados afirma no haber tenido ningún problema.

Con el objetivo de minimizar la vulnerabilidad en las compras, Mastercard ha elaborado seis pasos sencillos y prácticos para ayudar a los consumidores a proteger su información personal y financiera mientras disfrutan de la comodidad de las compras online:

• 1.Usar contraseñas seguras: utilizar una contraseña única para cada cuenta, mezclando letras, números y símbolos. Evitar los nombres de mascotas y las fechas de cumpleaños, ya que los ciberdelincuentes son los primeros en adivinarlos. Un gestor de contraseñas puede ayudar a recordarlas todas.
• 2.Duplicar la seguridad con la autenticación de dos factores: este sistema añade un segundo bloqueo, como un código enviado a tu teléfono, lo que dificulta mucho más el acceso a los defraudadores. Es importante activar la autenticación multifactorial para las cuentas bancarias siempre que sea posible.
• 3.Comprar en sitios fiables: asegurarse siempre de que la dirección del sitio web comience por https:// y muestre un icono de candado antes de introducir cualquier información personal o de pago. Si falta o parece sospechoso, es mejor no arriesgarse. 
• 4.Comparte menos, mantente más seguro: hay que tener cuidado con la cantidad de datos personales que se proporcionan en la red y rellenar únicamente los campos que sean necesarios para la compra. La tecnología de tokenización de Mastercard ayuda a proteger los datos de la tarjeta sustituyéndolos por un token digital seguro, de modo que el número real de la tarjeta nunca se comparte con el comerciante.
  5.Vigilar la cuenta bancaria en tiempo real: es clave controlar los extractos bancarios y de gasto con tarjeta para detectar a tiempo los cargos sospechosos, así como configurar alertas instantáneas por SMS o por la aplicación para saber inmediatamente si algo resulta sospechoso. 
• 6.No dejarse engañar por los trucos de la IA: los estafadores utilizan cada vez más la IA para crear voces, fotos y vídeos falsos que parecen reales. Si alguien presiona para realizar un pago urgente, incluso si es alguien que resulta familiar, verificarlo a través de un número de teléfono o contacto conocido antes de hacer nada.

Semperis: ciberataques en vacaciones y fines de semana

Semperis, proveedor de seguridad de identidades y ciberresiliencia basada en IA, publica un estudio mundial sobre ransomware que subraya que la mayoría de los ataques siguen produciéndose en vacaciones y fines de semana, cuando el personal de ciberseguridad es reducido. Además, el estudio muestra que los grupos de ransomware también intensifican sus ataques durante eventos empresariales importantes, como fusiones, adquisiciones, salidas a Bolsa y procesos de despido, para explotar la interrupción organizativa y lar educción del enfoque de seguridad.

“El sur de Europa es conocido por su sólida cultura, su capacidad de adaptación y su habilidad para sortear la complejidad”, ha señalado Antonio Feninno, Vicepresidente del Área de Ventas de Semperis para el sur de Europa. “Los grupos de ransomware ven la imprevisibilidad de las vacaciones, las reorganizaciones y los cambios de mercado como una oportunidad, pero este informe muestra que la seguridad basada en la identidad puedeconvertir nuestros mayores desafíos en fortalezas. Cuando protegemos el núcleo de lo que somos, nuestras identidades, convertimos la resiliencia en una ventaja competitiva para toda la región”, ha sentenciado Feninno.

"Los ciberatacantes siguen aprovechando la reducción de personal de ciberseguridad en vacaciones y fines de semana para lanzar ataques de ransomware. La vigilancia durante estas épocas es más crítica que nunca porque la persistencia y paciencia que tienen los atacantes puede llevar a interrupciones duraderas de los negocios", ha dicho Chris Inglis, primer Director Cibernético Nacional de EEUU y Asesor Estratégico de Semperis.“Además, los eventos corporativos, como las fusiones y adquisiciones, a menudo crean distracciones y ambigüedad en la gobernanza y la rendición de cuentas, exactamente el entorno en el que prosperan los grupos de ransomware”.

El informe, 2025 Holiday Ransomware Risk Report, revela que el 52% de las organizaciones en EEUU, España, Italia, Reino Unido, Francia,Alemania, Singapur, Canadá, Australia y Nueva Zelanda fueron atacadas en días festivos o fines de semana. Resulta alarmante que el 78% de las empresas redujeran el personal de sus centros de operaciones de seguridad (SOC) en un 50% o más durante los días festivos y los fines de semana, mientras que el 6% recortó totalmente su personal de SOC durante esas mismas fechas. El 60% de los ataques se produjeron tras una salida a Bolsa, una fusión o adquisición, o un proceso de despidos.

En el caso de España, el 41% de los ataques de ransomware ocurrieron durante un fin de semana o festivo y el 58% después de un evento corporativo importante. Ante las amenazas, el 93% de las organizaciones en España mantienen un SOC, siendo interno en el 83% de los casos y subcontratadoen el 17%. El 95% reducen el personal del SOC en un 50% o más durante fines de semana y festivos y el 2% elimina completamente el personal del SOC en esos periodos.

El 62% de las organizaciones comenta que la reducción de personal se debe a la necesidad de ofrecer a sus empleados un equilibrio entre trabajo y vida personal, el 47%informaron de que su empresa está cerrada los días festivos y fines de semana y el 29%no pensaban que fueran a ser atacados. En el caso de España, las organizaciones que no pensaban que fueran a ser atacadas ascienden al 33%.

El 60% de los ataques de ransomware se produjeron después de un acontecimiento corporativo importante y, de los atacados después de un acontecimiento de este tipo, el 54% de las empresas declararon haber sido atacadas tras un proceso de fusión o adquisición.

Los planes de detección y respuesta a amenazas de identidad (ITDR) ganan terreno, con un 90% de los encuestados que afirman que sus planes detectan las vulnerabilidades delos sistemas de identidad. Sin embargo, sólo el 45% de los planes incluyen procedimientos de corrección, y sólo el 63% automatizan la recuperación del sistema de identidad.

Miguel Ángel Valero

El Índice Global de Amenazas correspondiente a octubre de 2025, elaborado por Check Point Research, la división de Inteligencia de Amenazas del grupo de ciberseguridad  CheckPoint Software Technologies Ltd, muestra que las empresas de todo el mundo se enfrentaron a una media de 1.938 ciberataques semanales por semana. Esta cifra representa un aumento del 2% respecto a septiembre y un incremento interanual del 5%, lo que refleja una escalada continua de las ciberamenazas globales impulsadas por la expansión del ransomware y los riesgos relacionados con la IA generativa (GenAI).

Por sectores, Educación volvió a ser el más atacado a nivel mundial, con una media de 4.470 ataques semanales por organización, lo que supone un aumento interanual del 5%. Esta persistencia refleja tanto la rápida digitalización del sector, que amplía su superficie de ataque, como su tradicional falta de inversión en ciberseguridad, lo que lo convierte en un objetivo habitual para los ciberdelincuentes.

La industria de las Telecomunicaciones registró 2.583 ataques semanales por organización (+2% interanual), mientras que las Instituciones Gubernamentales sufrieron 2.550 ataques semanales (-2% interanual), manteniéndose entre los sectores más vigilados por ciberdelincuentes y agentes estatales. Destaca el notable incremento del 40% interanual en el sector de la Hostelería, que asciende del octavo al quinto puesto entre las industrias más atacadas, impulsado por la cercanía de la temporada vacacional.

“Los datos de octubre muestran que, además del incremento general del número de ataques, la verdadera preocupación reside en sus consecuencias, reflejadas en el fuerte aumento de los incidentes exitosos de ransomware", afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “A ello se suman los riesgos de exposición de datos a través de la IA generativa y otros vectores, que pueden proporcionar a los atacantes nuevas herramientas para futuros ciberataques. Esta evolución plantea desafíos inéditos para los profesionales de la ciberseguridad. La única estrategia verdaderamente eficaz es una basada en la prevención proactiva, impulsada por IA en tiempo real y por inteligencia de amenazas avanzada, capaz de bloquear los ataques antes de que causen daños”, subraya.

Los sectores más atacados en España en octubre

En el caso de España, las compañías han sufrido 1.932 ataques semanales de media en octubre, un 6% más que en el mismo mes de 2024. Los sectores más atacados son: 

• 1. Gobierno
• 2. Bienes y Servicios de Consumo
• 3. Telecomunicaciones
• 4. Industria Manufacturera
• 5. Finanzas
• 6. Servicios Empresariales
• 7. Energía y servicios Públicos

Por regiones, Latinoamérica fue la zona más atacada, con una media de 2.966 ataques semanales por organización, lo que supone un incremento interanual del 16%, seguida de África, con 2.782 ataques (-15%) y Asia Pacífico, con 2.703 (-8%). Europa registró un aumento moderado del 4%, mientras que Norteamérica volvió a destacar con el mayor crecimiento interanual, del 18%, impulsado en parte por la intensificación de los ciberataques de ransomware.

El uso de herramientas de Inteligencia Artificial Generativa (GenAI) se ha generalizado en los entornos corporativos, lo que está incrementando los riesgos de exposición de información sensible. Durante octubre, una de cada 44 interacciones o 'prompts' realizadas desde redes empresariales presentó un alto riesgo de fuga de datos, una tendencia que ya afecta al 87% de las organizaciones que utilizan habitualmente soluciones de GenAI. Además, el 19% de los prompts analizados contenían información potencialmente confidencial, privada o propietaria.

Estos riesgos coinciden con un aumento del 8% en el uso diario promedio de herramientas de IA generativa en entornos corporativos. Destaca especialmente el incremento relativo en la exposición de código fuente y credenciales, por encima de otros tipos de datos como la información personal o financiera. Aunque parte de este uso se realiza a través de herramientas gestionadas, las organizaciones emplean una media de 11 herramientas de GenAI diferentes al mes, la mayoría sin supervisión ni control de seguridad adecuados.

La actividad de ransomware experimentó un fuerte repunte en octubre, con 801 ataques denunciado spúblicamente en todo el mundo, lo que supone un aumento interanual del 48% respecto al mismo mes de2024. Norteamérica concentró la mayoría de los incidentes (62%), seguida de Europa (19%). EEUU se mantuvo como el principal objetivo, con el 57% de las víctimas registradas y un incremento mensual del 56,8%, mientras que otros países especialmente afectados fueron Canadá (5%), Francia (4%) yReino Unido (3%), reflejando la creciente expansión global de este tipo de ciberataques.

Por sectores, Servicios empresariales fue el más afectado por el ransomware, concentrando el 12% del total de víctimas, seguido de Bienes y servicios de consumo (10,5%) e Industria manufacturera (10,4%). Estos datos reflejan cómo el ransomware continúa diversificando sus objetivos, afectando tanto a sectores críticos como a industrias orientadas al consumidor.

Los datos de octubre de los “puntos calientes” del ransomware ponen de relieve los cambios en la dinámica entre los principales grupos:

• Qilin (Agenda) – responsable de aproximadamente el 22,7% de los ataques publicados, se consolida como el grupo más activo del mes. Este colectivo ha evolucionado hasta convertirse en unasofisticada operación de Ransomware como Servicio (RaaS), con una amplia red de afiliados y un cifrador basado en Rust.
• Akira – ocupa la segunda posición, con el 8,7% de los ataques registrados. Mantiene su foco en los sectores empresarial e industrial, utilizando cargas útiles tanto para Windows como para Linux.
• Sinobi – actor emergente aparecido a mediados de 2025, representó el 7,8% de los incidentes. Destaca por su especialización en ataques dirigidos al sector sanitario de EEUU.

El panorama de amenazas de octubre de 2025 refleja un entorno en el que los ciberdelincuentes actúan de forma cada vez más oportunista, aprovechando la inestabilidad geopolítica, la automatización impulsada por IA y las tácticas de doble extorsión para ampliar su alcance. A medida que los grupos de ransomware evolucionan y los riesgos asociados a la IA generativa se multiplican, resulta imprescindible que las organizaciones refuercen sus estrategias de prevención de amenazas, seguridad de datos y gobernanza de IA para mantenerse un paso por delante de sus adversarios.