El último Digital Defense Report 2025 informe de Microsoft revela que la mayoría de los ciberataques observados en todo el mundo están impulsados por motivos financieros y no por espionaje o sabotaje. Los hallazgos destacan cómo los grupos delictivos organizados están explotando las vulnerabilidades tanto en el sector público como en el privado para generar ganancias, a menudo a través de ransomware, robo de credenciales y extorsión de datos.
Según Microsoft, la actividad motivada financieramente representa casi tres cuartas partes de todos los ataques que analizó entre junio de 2023 y junio de 2024. El informe se basa en datos recopilados en la red global de inteligencia de amenazas de Microsoft, que monitorea más de 78 billones de señales de seguridad diariamente.
El informe muestra que el cibercrimen financiero continúa superando a las operaciones patrocinadas por el estado tanto en escala como en frecuencia. El ransomware y el robo de información siguen siendo los principales métodos de ataque. Estas operaciones a menudo comienzan con campañas de phishing o la explotación de vulnerabilidades de software sin parches antes de avanzar al robo o cifrado de datos valiosos.
Microsoft observó que los atacantes han cambiado hacia campañas de ransomware más cortas y específicas diseñadas para presionar a las víctimas para que paguen rápidamente. Los grupos criminales también están adoptando cada vez más modelos de “ransomware como servicio”, que permiten a los actores menos capacitados técnicamente comprar acceso a herramientas de ataque listas para usar.
El informe enfatiza que las redes de delitos financieros ahora están estructuradas más como negocios tradicionales. Tienen jerarquías, cadenas de suministro y sistemas de comunicación al estilo de atención al cliente para coordinar pagos y negociaciones.
Aumento del robo de credenciales y la ingeniería social
Más allá del ransomware, el robo de credenciales y la ingeniería social representan una parte creciente de los ataques motivados financieramente. Microsoft señala que las amenazas basadas en la identidad se han convertido en un punto débil crítico en todas las organizaciones. Los atacantes con frecuencia explotan el error humano enviando mensajes de phishing convincentes, utilizando portales de inicio de sesión falsos o lanzando estafas basadas en voz diseñadas para robar credenciales.
Una vez que los atacantes obtienen acceso a cuentas válidas, pueden eludir las herramientas de seguridad y moverse lateralmente a través de las redes sin ser detectados. El informe advierte que esta tendencia continúa expandiéndose a pesar de la mayor adopción de la autenticación multifactor, lo que sugiere que los delincuentes están evolucionando sus técnicas más rápido de lo que muchas organizaciones pueden adaptarse.
Microsoft también observó un aumento en los “corredores de datos” dentro del ecosistema del cibercrimen. Estos actores se especializan en la venta de credenciales robadas y acceso a redes comprometidas, proporcionando un punto de entrada para operadores de ransomware y grupos de fraude.
La actividad patrocinada por el estado continúa, pero se centra en la interrupción
Si bien domina el cibercrimen por motivos financieros, los ataques patrocinados por el estado siguen siendo una preocupación grave. Según los hallazgos de Microsoft, las operaciones de espionaje e información se están volviendo más sofisticadas, particularmente aquellas vinculadas a Rusia, China, Irán y Corea del Norte.
Estas campañas a menudo se dirigen a agencias gubernamentales, infraestructura energética y redes de telecomunicaciones. Microsoft informa que algunas operaciones tienen como objetivo recopilar inteligencia, mientras que otras tienen la intención de causar interrupciones o confusión, particularmente durante conflictos geopolíticos o elecciones.
Los analistas de la compañía señalan que las operaciones cibernéticas relacionadas con la tensión geopolítica están cada vez más vinculadas a los esfuerzos de desinformación en línea, que tienen como objetivo manipular la percepción pública a través de campañas coordinadas en las redes sociales.
Inteligencia artificial en operaciones cibernéticas
El informe de 2025 subraya cómo la inteligencia artificial está cambiando las estrategias cibernéticas ofensivas y defensivas. Los delincuentes están utilizando herramientas de IA para crear correos electrónicos de phishing más persuasivos, automatizar el robo de credenciales y desarrollar contenido deepfake que mejore las tácticas de ingeniería social.
Al mismo tiempo, los defensores están implementando análisis impulsados por IA para detectar anomalías más rápido y predecir posibles infracciones. Microsoft destaca que la IA puede ayudar a los equipos de seguridad a procesar cantidades masivas de datos en tiempo real, mejorando la respuesta a incidentes y reduciendo los retrasos en la detección.
Sin embargo, el informe también advierte que la dependencia de la IA debe equilibrarse con la supervisión humana. Los sistemas automatizados por sí solos no siempre pueden distinguir entre actividad legítima y maliciosa, especialmente cuando los atacantes imitan deliberadamente el comportamiento normal del usuario.
Recomendaciones de Microsoft para la defensa
Para combatir la creciente escala y sofisticación de los ataques motivados financieramente, Microsoft aconseja a las organizaciones que se centren en la protección de identidad, la administración de vulnerabilidades y la concienciación de los empleados. La compañía recomienda implementar la autenticación multifactor en todas las cuentas, parchear los sistemas con prontitud y reducir los privilegios administrativos para limitar la exposición.
Capacitar al personal para reconocer los intentos de phishing sigue siendo una de las defensas más efectivas. Microsoft también sugiere adoptar un modelo de seguridad de “confianza cero”, que asume que cada solicitud de acceso podría ser maliciosa hasta que se verifique.
Además, el informe enfatiza la necesidad de cooperación global entre gobiernos, empresas privadas e investigadores de ciberseguridad. La colaboración permite un intercambio de información más rápido y respuestas coordinadas a operaciones de ciberdelincuencia a gran escala.
El creciente costo del cibercrimen
Microsoft estima que el costo económico del cibercrimen seguirá aumentando considerablemente en los próximos años, impulsado por el creciente profesionalismo de las redes criminales y la expansión de la infraestructura digital. La compañía señala que, si bien las amenazas respaldadas por el estado atraen la atención del público, los grupos con motivaciones financieras causan el daño más generalizado tanto a las personas como a las empresas.
El informe concluye que la resiliencia de la ciberseguridad depende de la vigilancia constante, la inversión en prevención y el desarrollo de sistemas de defensa adaptativos. Con los atacantes refinando sus métodos a diario, las organizaciones deben tratar la ciberseguridad no como un proyecto sino como un proceso continuo que evoluciona con la tecnología y el comportamiento humano.