El informe anual de amenazas de Darktrace de sitúa a la identidad como el principal vector de entrada en los ciberataques, en un contexto en el que las vulnerabilidades de software registradas crecieron un 20 % en 2025. Sin embargo, el aumento de fallos publicados no se traduce necesariamente en una mayor explotación técnica: los atacantes optan cada vez más por el abuso de credenciales y el uso indebido de cuentas legítimas.
En 2025 el entorno de amenazas estuvo marcado por la aceleración y la complejidad. Los adversarios combinan nuevas técnicas y tecnologías para moverse con mayor rapidez y precisión, lo que dificulta la detección mediante controles tradicionales.
El abuso de credenciales, la interconexión cloud y la adopción de IA están redefiniendo la superficie de ataque
El informe señala que en América casi el 70 % de los incidentes comenzó con cuentas robadas o mal utilizadas. La adopción masiva de servicios en la nube y aplicaciones SaaS ha desplazado el foco de la defensa desde la red hacia el usuario y sus credenciales.
Más de 8,2 millones de correos de phishing en 2025 estuvieron dirigidos a perfiles VIP, lo que refleja el interés por comprometer cuentas privilegiadas con capacidad de acceso ampliado en entornos cloud.
Según Nathaniel Jones, VP of Security and AI Strategy en Darktrace, las defensas perimetrales tradicionales fueron diseñadas para un escenario en el que el atacante debía “entrar por la fuerza”. Hoy, en muchos casos, simplemente inicia sesión. Por ello, sostiene que es necesario detectar comportamientos anómalos en cuentas legítimas y adoptar enfoques basados en contexto y comportamiento.
La nube amplía el riesgo
La nube se consolida como principal punto de entrada tanto en Europa como en América. En Europa, el 58 % de los incidentes comenzó con cuentas cloud o de correo comprometidas, superando a las brechas de red tradicionales. En América, muchas intrusiones a través de aplicaciones SaaS y cuentas de Microsoft 365 evolucionaron hacia campañas de doble o triple extorsión.
A nivel global, el 94 % de las organizaciones utiliza servicios cloud. Entre los proveedores, Azure concentró el 43,5 % de las muestras de malware observadas, por delante de Google Cloud y AWS. Además, los entornos Docker destacaron como objetivo frecuente en infraestructuras de tipo honeypot, lo que refleja el interés creciente por entornos contenerizados.
Un phishing más sofisticado
El análisis de 32 millones de correos de phishing detectados revela un aumento de la sofisticación. Se observa un mayor uso de contenidos asistidos por IA, mensajes más extensos y técnicas de ingeniería social más elaboradas.
Los ataques con códigos QR crecieron un 28 % respecto al año anterior, superando los 1,2 millones de casos. También se detectó el uso masivo de dominios recién creados para campañas maliciosas, lo que reduce la eficacia de los sistemas basados en reputación. Además, el 70 % de los correos de phishing superó la autenticación DMARC, aumentando su apariencia de legitimidad.
Infraestructuras críticas en el punto de mira
El informe también subraya el impacto de las tensiones geopolíticas en las infraestructuras críticas. Se registraron ataques vinculados al conflicto entre Rusia y Ucrania contra infraestructuras energéticas, así como actividades de preposicionamiento en sectores estratégicos como telecomunicaciones y energía.
Asimismo, se observó la participación de actores patrocinados por Estados que combinan objetivos financieros y estratégicos, especialmente en servicios financieros.
El documento concluye que el panorama de amenazas ha entrado en una nueva etapa. El abuso de credenciales, la interconexión cloud y la adopción de IA están redefiniendo la superficie de ataque. En este contexto, la capacidad de detectar desviaciones sutiles en el comportamiento de usuarios y sistemas se convierte en un elemento clave para anticipar incidentes antes de que escalen.
