Unit 42, la Unidad de Investigación y Amenazas de Palo Alto Networks, publicó su Informe Global de Respuesta a Incidentes 2025, que revela que el 86% de los principales incidentes cibernéticos en 2024 provocaron paradas operativas, daños a la reputación o pérdidas financieras.
El informe, basado en 500 incidentes cibernéticos importantes a los que Unit 42 respondió en 38 países y en todas las industrias importantes, destaca una nueva tendencia: los atacantes motivados financieramente han cambiado su enfoque a la interrupción operativa deliberada, priorizando el sabotaje (destruyendo sistemas, bloqueando clientes y causando tiempo de inactividad prolongado) para maximizar el impacto y presionar a las organizaciones para que paguen demandas de extorsión.
La velocidad, la sofisticación y la escala de los ataques han alcanzado niveles sin precedentes con amenazas asistidas por IA e intrusiones múltiples, lo que subraya que las organizaciones se enfrentan a un panorama de amenazas cada vez más volátil en 2024.
A medida que los atacantes reescriben las reglas de enfrentamiento, los defensores luchan por mantenerse al día. El abanico de jugadas del atacante es múltiple, está centrado en la nube y está impulsado por la IA. El Informe Global de Respuesta a Incidentes 2025 destaca varias tendencias:
Los ciberataques avanzan más rápido que nunca: los atacantes exfiltraron datos en menos de 5 horas en el 25% de los incidentes, lo que supone tres veces más rápido que en 2021. Lo que es aún más alarmante es que en uno de cada cinco casos, el robo de datos ocurrió en menos de 1 hora.
El aumento de las amenazas internas: los incidentes cibernéticos impulsados por personas internas vinculados a Corea del Norte se triplicaron en 2024. Se ha observado que actores patrocinados por el estado norcoreano se infiltran en las organizaciones haciéndose pasar por profesionales de TI, asegurando el empleo y luego introduciendo metódicamente puertas traseras, robando datos e incluso alterando el código fuente.
Los ataques múltiples son la nueva norma: el 70% de los incidentes involucraron a atacantes que explotaron tres o más superficies de ataque, lo que obligó a los equipos de seguridad a defender los puntos finales, las redes, los entornos en la nube y el factor humano en conjunto.
Después de que las vulnerabilidades ocuparan el primer lugar del vector de acceso inicial el año pasado, el phishing ha resurgido como el punto de entrada más común para los ciberataques, responsable del 23% de todo el acceso inicial. Impulsadas por la IA generativa, las campañas de phishing son ahora más sofisticadas, convincentes y escalables que nunca.
Los ataques a la nube están aumentando: casi el 29% de los incidentes cibernéticos involucraron entornos en la nube, y el 21% causó daños operativos a los entornos o activos en la nube como actores de amenazas integrados en entornos mal configurados para escanear grandes redes en busca de datos valiosos.
La IA está acelerando el ciclo de vida de los ataques: los atacantes utilizan métodos impulsados por la IA para permitir campañas de phishing más convincentes, automatizar el desarrollo de malware y acelerar la progresión a través de la cadena de ataque, lo que hace que los ciberataques sean más difíciles de detectar y más rápidos de ejecutar. En un experimento controlado, los investigadores de Unit 42 descubrieron que los ataques asistidos por IA podían reducir el tiempo de exfiltración a solo 25 minutos.
Por qué los ciberataques tienen éxito: los atacantes se aprovechan de la complejidad, las brechas de visibilidad y la confianza excesiva. El informe subraya tres factores principales que permiten a los adversarios tener éxito:
La complejidad está acabando con la eficacia de la seguridad: el 75 % de los incidentes tenían pruebas en los registros, pero los silos impedían su detección.
Las brechas en la visibilidad permiten que los ataques pasen desapercibidos: el 40% de los incidentes en la nube se derivaron de activos en la nube no supervisados y TI en la sombra, lo que facilita el movimiento lateral de los atacantes.
La confianza excesiva hace que los ataques sean más devastadores: el 41% de los ataques aprovecharon privilegios excesivos, lo que permitió el movimiento lateral y la escalada de privilegios.
Los atacantes han reescrito sus libros de jugadas aprovechando la IA, la automatización y las estrategias de ataque multifacéticas para eludir las defensas tradicionales. El tiempo que transcurre entre el compromiso inicial y el impacto a gran escala se está reduciendo, lo que hace que la detección, la respuesta y la corrección rápidas sean críticas.
