Los cibercriminales se mueven más rápido que nunca. Esa es la principal conclusión del Global Threat Landscape Report 2025 publicado por FortiGuard Labs, el equipo de inteligencia de amenazas de Fortinet. Automatización masiva, herramientas basadas en inteligencia artificial, especialización del cibercrimen como servicio (CaaS) y una actividad sin freno en la dark web han cambiado por completo las reglas del juego. Para las organizaciones, el reto es urgente: pasar de una defensa reactiva a una estrategia proactiva de gestión continua de la exposición.
El informe revela un aumento del 16,7% en las actividades de reconocimiento, con más de 1,16 billones de escaneos automatizados detectados en 2024, lo que equivale a 36.000 por segundo. Herramientas como SIPVicious y Nmap están siendo utilizadas por atacantes para mapear superficies de ataque en busca de servicios expuestos como SIP, RDP o protocolos OT/IoT como Modbus TCP, incluso antes de que las organizaciones apliquen parches.
La IA al servicio del crimen organizado digital
La industrialización del cibercrimen está avanzando gracias a la IA. Plataformas como FraudGPT, ElevenLabs o BlackmailerV3 permiten crear campañas de phishing, vídeos deepfake, amenazas personalizadas y páginas falsas con un realismo alarmante. Incluso se identifican bots en Telegram que simulan agentes de soporte para engañar a víctimas y obtener datos confidenciales.
Estas herramientas han reforzado la especialización en el mercado de CaaS, con grupos que se centran en fases concretas del ataque: desde el robo de credenciales hasta el acceso inicial a infraestructuras empresariales.
Darknet: economía subterránea en plena expansión
El número de credenciales robadas puestas a la venta aumentó un 42% en 2024, con más de 100.000 millones de registros filtrados. FortiGuard también detectó un aumento del 500% en los logs de credenciales capturados por infostealers como Redline, Vidar o Racoon. Grupos como BestCombo y ValidMail lideran este mercado, facilitando ataques incluso a actores con pocos conocimientos técnicos.
Además, los brokers de acceso inicial (IAB) ofrecen accesos directos a redes corporativas, vendiendo credenciales de VPN, RDP o paneles de administración por encargo.
Aunque se detectaron 97.000 millones de intentos de explotación en 2024, los atacantes siguen utilizando vulnerabilidades antiguas, como CVE-2017-0147 (SMB) o CVE-2021-44228 (Log4j), que siguen sin parchear en muchas organizaciones. Un 20% de los ataques se centraron en dispositivos IoT, especialmente routers y cámaras con contraseñas por defecto o firmware desactualizado.
Tras el acceso inicial, los atacantes emplean malware como XenoRAT o Trickbot para mantener el control, ejecutar comandos y moverse lateralmente mediante RDP o WMI. La manipulación de Active Directory (DCShadow, DCSync) y el uso de canales de comando y control cifrados (SSL, DNS) dificultan enormemente la detección.
El campo de batalla en la nube
El 70% de las brechas en la nube comenzaron con accesos desde ubicaciones sospechosas. Los atacantes abusan de APIs, credenciales expuestas en repositorios y permisos mal configurados para escalar privilegios y mantenerse dentro. Los entornos cloud son ahora objetivos prioritarios debido a su creciente superficie de ataque y a errores humanos como configuraciones erróneas o buckets abiertos.
Aunque se fragmenta el ecosistema de ransomware, los cuatro grupos principales —RansomHub, LockBit 3.0, Play y Medusa— concentraron el 37% de los ataques. Mientras tanto, grupos hacktivistas como KillSec o Handala han empezado a utilizar ransomware para combinar reivindicación política y daño económico. Telegram se consolida como plataforma de coordinación para estas campañas.
