Informe de Acronis sobre ciberamenazas (2.º semestre de 2025)

Los ciberdelincuentes están dedicando menos tiempo a utilizar la IA para desarrollar nuevos tipos de ciberataques. Por desgracia, eso no es una buena noticia. Según el "Informe de Acronis sobre ciberamenazas (2.º semestre de 2025)", los ciberdelincuentes se están centrando en emplear la IA para escalar y perfeccionar los ataques que ya han desarrollado. Como resultado, operan de forma más eficiente.

El resumen ejecutivo del Informe de Acronis sobre ciberamenazas (2.º semestre de 2025) profundiza en muchas más tendencias de ciberseguridad y analiza con mayor detalle el impacto evolutivo de la IA en las ciberamenazas.

Según el resumen del informe, el 80 % de los proveedores de ransomware como servicio (‑RaaS‑‑) anuncian funciones basadas en IA o automatización. Los atacantes aprovechan la IA para escalar ataques existentes, en lugar de invertir tiempo en crear ataques nuevos. Asimismo, utilizan funciones basadas en IA para amplificar técnicas y tácticas ya contrastadas, como la extorsión de datos, la fase de reconocimiento, el fraude y las negociaciones de ransomware.

Y, al igual que muchos trabajadores de oficina, los ciberatacantes emplean la IA para ahorrar tiempo al aprovechar la ejecución de tareas autónomas y semiautónomas. Con la IA, los atacantes pueden reducir la carga de trabajo y llevar a cabo más ataques en menos tiempo. Se benefician de las mismas ventajas de la IA que los proveedores de servicios gestionados (MSP) y otras empresas.

• La organización de ransomware GLOBAL GROUP introdujo un chatbot impulsado por IA‑ para negociar con las víctimas y obtener el mayor rescate posible.
• La banda de ransomware GTG‑2002 utilizó herramientas de IA para generar scripts, recopilar credenciales y analizar datos robados.
• Una intrusión alineada con el Estado chino demostró un comportamiento de IA‑ agentiva al conectar el reconocimiento y el uso de credenciales con una mínima intervención humana.
• Las estafas de secuestro virtual aumentaron su tasa de éxito mediante fotos y vídeos alterados con IA como falsas "pruebas de vida".

La segunda mitad de 2025 registró claros repuntes de ciberataques en el correo electrónico, las plataformas de colaboración y el ransomware. El correo electrónico siguió siendo el vector de ataque dominante, mientras que las aplicaciones de colaboración se consolidaron como el entorno preferido para los ciberataques basados en ingeniería social de precisión y el abuso de privilegios.

• Los ataques basados en el correo electrónico por organización aumentaron un 16 % interanual, y los ataques por usuario, un 20 %.
• Los ataques por correo electrónico se dispararon un 36 % en el segundo semestre de 2025 en comparación con el primero, lo que confirma que el correo electrónico es el principal punto de acceso inicial.
• El phishing dominó las amenazas de correo electrónico en el segundo semestre, ya que representó el 83 % del total, mientras que los ataques avanzados supusieron solo el 1 %.

• Los ataques avanzados en aplicaciones de colaboración aumentaron drásticamente del 12 % de todos los ataques en 2024 al 31 % en 2025, una tasa más de 30 veces superior a la del correo electrónico.
• El malware representó el 54 % de los ataques y el phishing, el 15 %.

• Los sectores de la fabricación y la tecnología fueron los más atacados, lo que refleja la presión operativa en entornos complejos de TI/OT.
• Los compromisos de seguridad de terceros y de la cadena de suministro‑ afectaron al menos a 1200 víctimas entre enero y noviembre de 2025.

• Acronis detectó casi 100 proveedores activos de RaaS, con 34 nuevos grupos observados solo en el segundo semestre de 2025.
• Los ataques de ransomware aumentaron un 50 % interanual hasta octubre, impulsados por los grupos Qilin, Sinobi y Akira.

Para los proveedores de servicios, las vulnerabilidades siguieron siendo un problema significativo, y algunos no lograron aplicar parches en sus sistemas de forma eficaz. El resumen del informe señala que casi 150 proveedores de servicios y operadores de telecomunicaciones fueron víctimas de ransomware en 2025, de los cuales 69 eran MSP.

• Phishing: con un 52 %, sigue siendo el principal vector.

• Vulnerabilidades sin corregir mediante parches: predominan en incidentes que afectan a MSP y a cadenas de suministro; este tipo de ataque representó el vector de acceso inicial en el 27 % de los ataques a MSP.

• Abuso de credenciales: 13 %.

• Relaciones de confianza: 5 %.

• Protocolo de escritorio remoto (RDP): 3 %.

Casi 3000 vulnerabilidades críticas se hicieron públicas en 2025, lo que subraya la importancia y la urgencia de administrar parches cuanto antes y de forma eficaz. Además, el 100 % de las vulnerabilidades publicadas en plataformas utilizadas por MSP, como herramientas de RMM y PSA, se clasificaron como de nivel Alto o Crítico, lo que evidencia un riesgo operativo considerable.

Para obtener estadísticas, observaciones y consejos sobre ciberseguridad, lea el resumen ejecutivo del Informe de Acronis sobre ciberamenazas (2.º semestre de 2025).