IBM (NYSE: IBM) publicó el Índice de Inteligencia de Amenazas X-Force 2025 que revela que América Latina representó el 8% de todos los incidentes respondidos por X-Force en 2024, frente a un 12% del año anterior. El informe destaca que los ciberdelincuentes continuaron adoptando tácticas más sigilosas, con un aumento en el robo de credenciales de menor perfil, mientras que los ataques de ransomware a las empresas disminuyeron. IBM X-Force observó un aumento del 84% en los correos electrónicos que entregaban los infostealers en 2024 en comparación con el año anterior, un método del que dependen los ciberdelincuentes en gran medida para escalar los ataques de identidad. El informe de 2025 realiza un seguimiento de las tendencias y los patrones de ataque nuevos y existentes, basándose en los compromisos de respuesta a incidentes, la web oscura y otras fuentes de inteligencia de amenazas.
Algunas de las principales conclusiones del informe de 2025 son las siguientes:
- Las organizaciones de infraestructura crítica representaron el 70% de todos los ataques a los que IBM X-Force respondió el año pasado, con más de una cuarta parte de estos ataques causados por la explotación de vulnerabilidades.
- Más ciberdelincuentes optaron por robar datos (18%) que cifrarlos (11%), pues las tecnologías de detección avanzadas y el aumento de los esfuerzos de aplicación de la ley presionan a los ciberdelincuentes para que adopten rutas de salida más rápidas.
- Casi uno de cada tres incidentes observados en 2024 resultó en robo de credenciales, ya que los atacantes invierten en múltiples vías para acceder, exfiltrar y monetizar rápidamente la información de inicio de sesión.
“La mayoría de las veces, los ciberdelincuentes irrumpen sin romper nada, aprovechando las brechas de identidad que se desbordan de los complejos entornos de nube híbrida que ofrecen a los atacantes múltiples puntos de acceso», dijo Matías Haidbauer, Cyber Security Services Leader SSA de IBM . «Las empresas deben alejarse de una mentalidad de prevención ad-hoc y centrarse en medidas proactivas como modernizar la gestión de la autenticación, tapar los agujeros de autenticación multifactor y realizar la búsqueda de amenazas en tiempo real para descubrir las amenazas ocultas antes de que expongan los datos confidenciales.”
Los desafíos de parcheo exponen a los sectores de infraestructura crítica a amenazas sofisticadas
La dependencia de la tecnología heredada y los lentos ciclos de parches demuestran ser un desafío duradero para las organizaciones de infraestructura crítica, ya que los ciberdelincuentes explotaron vulnerabilidades en más de una cuarta parte de los incidentes a los que IBM X-Force respondió en este sector el año pasado.
Al revisar las vulnerabilidades y exposiciones comunes (CVE) más mencionadas en los foros de la dark web, IBM X-Force descubrió que cuatro de las diez principales han estado vinculadas a grupos sofisticados de actores de amenazas, incluidos adversarios de estados-nación, lo que aumenta el riesgo de interrupción, espionaje y extorsión financiera. Los códigos de explotación de estos CVE se comercializaron abiertamente en numerosos foros, lo que alimentó un mercado creciente de ataques contra redes eléctricas, redes sanitarias y sistemas industriales. Este intercambio de información entre los adversarios motivados financieramente y los adversarios de los estados-nación pone de manifiesto la creciente necesidad de un seguimiento de la web oscura para ayudar a informar las estrategias de gestión de parches y detectar las amenazas potenciales antes de que sean explotadas.
El robo automatizado de credenciales desencadena una reacción en cadena
En 2024, IBM X-Force observó un aumento en los correos electrónicos de phishing que entregaban ladrones de información y los primeros datos para 2025 revelan un aumento aún mayor del 180% en comparación con 2023. Esta tendencia al alza que impulsa las adquisiciones de cuentas de seguimiento puede atribuirse a que los atacantes aprovechan la IA para crear correos electrónicos de phishing a gran escala.
El phishing de credenciales y los ladrones de información han hecho que los ataques de identidad sean baratos, escalables y altamente rentables para los actores de amenazas. Los ladrones de información permiten la exfiltración rápida de datos, lo que reduce su tiempo en el objetivo y deja pocos residuos forenses. En 2024, solo los cinco principales ladrones de información tenían más de ocho millones de anuncios en la web oscura y cada listado puede contener cientos de credenciales. Los actores de amenazas también están vendiendo kits de phishing de adversarios en el medio (AITM) y servicios de ataque AITM personalizados en la web oscura para eludir la autenticación multifactor (MFA). La disponibilidad desenfrenada de credenciales comprometidas y los métodos de omisión de MFA indican una economía de alta demanda de acceso no autorizado que no muestra signos de desaceleración.
Los operadores de ransomware cambian a modelos de menor riesgo
Si bien el ransomware representó la mayor parte de los casos de malware en 2024, con un 28%, IBM X-Force observó una reducción en los incidentes de ransomware en general en comparación con el año anterior, con un aumento de los ataques de identidad para llenar el vacío.
Los esfuerzos internacionales de desmantelamiento están empujando a los actores del ransomware a reestructurar los modelos de alto riesgo hacia operaciones más distribuidas y de menor riesgo. Por ejemplo, IBM X-Force observó que familias de malware previamente bien establecidas, como ITG23 (también conocido como Wizard Spider, Trickbot Group) e ITG26 (QakBot, Pikabot), cerraron completamente sus operaciones o recurrieron a otro malware, incluido el uso de familias nuevas y de corta duración, a medida que los grupos de ciberdelincuencia intentan encontrar reemplazos para las botnets que fueron eliminadas el año pasado.
Amenazas de IA en evolución
Si bien los ataques a gran escala a las tecnologías de IA no se materializaron en 2024, los investigadores de seguridad se apresuran a identificar y corregir las vulnerabilidades antes de que los ciberdelincuentes las exploten. Problemas como la vulnerabilidad de ejecución remota de código que IBM X-Force descubrió en un marco para crear agentes de IA serán cada vez más frecuentes. Dado que la adopción crecerá en 2025, también lo harán los incentivos para que los adversarios desarrollen kits de herramientas de ataque especializados dirigidos a la IA, por lo que es imperativo que las empresas aseguren la cartera de IA desde el principio.
Los hallazgos adicionales del informe 2025 para América Latina incluyen:
- La región representó el 8% de los incidentes en 2024, con campañas específicas centradas en la continuidad de las infraestructuras críticas y los sistemas financieros.
- Los atacantes utilizaron con frecuencia la explotación de aplicaciones públicas (50%) como vector de acceso inicial principal, seguido de los archivos adjuntos de phishing-spearphishing (25%) y las cuentas de dominio válidas (25%).
- Los principales impactos en la región fueron la recolección de credenciales (40%) y la extorsión (40%), y también se observaron daños a la reputación de la marca (20%).
- El sector financiero y de seguros en América Latina lideró con el 33% de los incidentes, seguido por la manufactura (20%), la energía (20%) y los servicios profesionales, empresariales y de consumo (13%).
