Los ciberdelincuentes están cambiando su forma de acceder a las organizaciones. En lugar de explotar vulnerabilidades o desplegar malware, cada vez recurren más a credenciales comprometidas para entrar como usuarios legítimos. Así lo refleja el último informe de inteligencia de amenazas de Ontinue, correspondiente al segundo semestre de 2025.
El informe confirma que la identidad se ha convertido en el principal vector de entrada, especialmente en entornos cloud. Técnicas como el phishing AiTM o el password spraying permiten a los atacantes operar sin levantar sospechas, al utilizar credenciales válidas.
Como resume Balazs Greksza, “los atacantes ya no intentan romper las defensas, están iniciando sesión”.
Este cambio está impulsado por el crecimiento del robo de credenciales. Malware tipo infostealer captura contraseñas, cookies o tokens que luego se venden en mercados clandestinos. En el caso de LummaC2, las credenciales disponibles crecieron un 72%, reflejando la expansión de este modelo.
Más presión, más escala
El ransomware sigue muy presente, con más de 7.000 incidentes en 2025 y más de 120 grupos activos. Aunque los pagos bajan ligeramente, los ataques combinan cada vez más presión: robo de datos, interrupción o extorsión múltiple.
A esto se suma el crecimiento de ataques DDoS, que alcanzaron picos de 31,4 Tbps, y el aumento de riesgos en entornos SaaS y cadenas de suministro.
El informe también detecta los primeros indicios de uso de IA generativa en el desarrollo de malware, lo que podría facilitar su creación en el futuro.
En este escenario, el foco pasa de prevenir a resistir: detectar antes, responder mejor y mantener la operativa incluso cuando el acceso ya se ha producido.
