En su Informe de tendencias y ciberamenazas del primer semestre de 2025, se observa la convergencia de conflictos geopolíticos, fenómenos meteorológicos extremos y ciberataques a infraestructuras críticas para constituir un escenario de riesgos fuertemente interconectados. En este entorno, el panorama de amenazas ha mostrado una clara aceleración. La madurez operativa de los grupos de ransomware, la adopción de IA ofensiva, la industrialización de los accesos iniciales y la explotación sistemática de vulnerabilidades han dado lugar a un ecosistema más ágil, opaco y difícil de anticipar.
NTT DATA presentó su Informe de tendencias y ciberamenazas del primer semestre de 2025, elaborado por el Departamento de Cyber Threat Intelligence (CTI), que analiza en profundidad la evolución del panorama global de amenazas y ofrece proyecciones para el resto del año. El mayor impacto proviene de las disrupciones de negocio, seguidas por las inversiones en detección y respuesta y el pago de rescates por ransomware. Este panorama hace que el coste global del cibercrimen vaya en aumento. De hecho, según Cybersecurity Ventures, 2025, este coste alcanzó un récord de US$10,5 billones anuales, con proyecciones que lo ubican entre US$12 y US$15 billones hacia fin de año si se mantiene la actividad maliciosa actual.
El reporte advierte que 2025 está marcado por un entorno de riesgos crecientemente interconectados, en el que convergen conflictos geopolíticos, fenómenos meteorológicos extremos y ciberataques a infraestructuras críticas. En este escenario, advierte, la colaboración internacional y la resiliencia organizacional son pilares para hacer frente a un panorama de amenazas que evoluciona con rapidez y que exige respuestas coordinadas, adaptativas y basadas en la inteligencia de amenazas.
Entre otras tendencias, se observa un aumento de la actividad atribuida de manera directa a actores patrocinados por estados. China, en particular, multiplica sus operaciones de ciberespionaje en sectores estratégicos como finanzas, manufactura y medios. Corea del Norte e Irán también intensificaron sus movimientos que combinan espionaje, generación de ingresos ilícitos y campañas de desinformación con fines políticos.
La IA generativa se consolida como una herramienta para crear campañas de ingeniería social más sofisticadas, perfiles falsos, deepfakes y desinformación electoral a gran escala. Esta tecnología facilitando la automatización de ataques y el desarrollo de scripts maliciosos con mayor rapidez y eficacia, reduciendo las barreras de entrada para actores maliciosos.
Todos los sectores son víctimas potenciales: la variabilidad de afectación sectorial se redujo en 8% respecto del informe anterior. En cantidad de ataques recibidos, en primera posición se continúa ubicando administración pública, seguida por educación, gobierno y sector público, finanzas y servicios IT.
Entre las tendencias emergentes de ataques, se observa un nivel de profesionalización sin precedentes. Los Initial Access Brokers (intermediarios que venden accesos a redes corporativa) ampliaron su oferta en un 15%, facilitando operaciones de ransomware (que creció un 32%) y exfiltración de datos. Mientras tanto, el modelo de ransomware-as-a-service se consolida: los atacantes pueden subcontratar fases de los ataques, compartir infraestructura e incluso reciclar recursos de grupos disueltos. Herramientas como FraudGPT o WormGPT permiten crear correos de spearphishing de forma automática, mientras que tecnologías de clonación de voz y video facilitan eludir sistemas de verificación de identidad. El modelo malware-as-a-service también mantiene su auge, con millones de credenciales robadas por día.
Otros hallazgos del informe:
- En fechas sensibles, las empresas llegan a destinar hasta un 40% adicional en gastos de contención.
- La dark web vive una reconfiguración profunda tras la caída de BreachForums en abril de 2025, con descentralización de la compraventa de datos robados, accesos ilícitos y herramientas de cibercrimen.
- Crecimiento del modelo crime-as-a-service. En 2025 surgieron plataformas clandestinas que ofrecen hacking a demanda y servicios de DDoS, spam masivo o SMS flooding con interfaz tipo SaaS, soporte técnico y segmentación por país. Así, incluso actores sin experiencia ejecuten ataques complejos de forma automática y sin contacto directo con proveedores, lo que democratiza el cibercrimen y eleva el riesgo para empresas y gobiernos.
“Queda claro que la pregunta ya no es quién atacará, sino cuándo, cómo y con qué objetivo”, dijo María Pilar Torres Bruna, Head of Cybersecurity, NTT DATA Iberia, International Organizations, LATAM and Consulting in Benelux and France .
“La defensa ya no puede ser reactiva: la clave está en inteligencia proactiva, detección temprana, cooperación internacional y una cultura de ciberseguridad que deje de ser un eslogan para convertirse en práctica diaria”, concluyó.
El Informe de tendencias y ciberamenazas del primer semestre de 2025 busca ayudar a empresas y gobiernos a anticiparse a estas amenazas y fortalecer su resiliencia.