Durante el segundo y tercer trimestre de 2025, el ecosistema global de ciberseguridad enfrentó una evolución marcada por el uso intensivo de inteligencia artificial en ataques, la diversificación de actores maliciosos y una creciente vinculación entre conflictos geopolíticos y operaciones digitales. Así lo documenta el informe de octubre del Trellix Advanced Research Center, que analiza más de medio millón de detecciones de amenazas persistentes avanzadas (APT) en más de un centenar de países. El estudio ofrece una radiografía detallada de cómo las tácticas ofensivas se han sofisticado, afectando sectores críticos como telecomunicaciones, industria y servicios financieros, y plantea nuevos desafíos para la defensa digital en un entorno cada vez más interconectado y volátil.
APT: concentración geográfica y sectorial
El 57% de las detecciones de APT se concentraron en solo dos países: Turquía (33.1%) y Estados Unidos (23.9%). Esta focalización sugiere campañas coordinadas con motivaciones estratégicas. En cuanto a sectores, las telecomunicaciones fueron el blanco principal, representando el 70.8% de los ataques, seguidas por tecnología (9.9%) y servicios empresariales (2.7%)trellix.com.
Los grupos afiliados a Corea del Norte dominaron el escenario APT, con Lazarus (10.5%), Andariel (4.5%) y Kimsuky (5.6%) acumulando el 18.2% de la actividad global. Estos actores no solo emplearon malware tradicional, sino también técnicas de infiltración sin software malicioso, como campañas de empleo encubierto en empresas extranjeras.
Ransomware y fragmentación del ecosistema
El ransomware mantuvo su protagonismo, con el grupo Qilin liderando con 441 publicaciones de víctimas (13.45% del total). El sector industrial fue el más afectado (36.57%), y Estados Unidos concentró el 55% de los casos identificados geográficamente. La fragmentación del ecosistema es notable: los cinco grupos más activos representaron menos del 40% de los ataques, lo que indica una diversificación de actores y tácticas.
Inteligencia artificial como herramienta ofensiva
El informe destaca el surgimiento de malware generado completamente por IA. XenWare, un ransomware detectado en abril, emplea cifrado multihilo para acelerar la infección de sistemas. LameHug, por su parte, es el primer infostealer potenciado por modelos de lenguaje, capaz de generar comandos dinámicos en tiempo real.
Además, se documentó el uso de herramientas de correo electrónico automatizadas con IA que simulan conversaciones en más de 10 idiomas, lo que mejora la efectividad de campañas de phishing y suplantación de identidad.
Impacto de los conflictos geopolíticos
Las tensiones entre Rusia y Ucrania, el conflicto entre Israel e Irán, y los ejercicios militares chinos en el estrecho de Taiwán influyeron directamente en la actividad cibernética. Por ejemplo, los grupos alineados con Rusia aumentaron sus operaciones en mayo y junio, coincidiendo con ataques físicos intensificados, pero redujeron su actividad en un 48% entre agosto y septiembre.
En el caso de Irán, más de 35 grupos hacktivistas proiraníes lanzaron ataques coordinados contra infraestructura israelí en junio. Posteriormente, el gobierno iraní arrestó a más de 21,000 personas por delitos digitales, lo que provocó una caída temporal en la actividad externa. Sin embargo, en julio y agosto, los ataques se reanudaron, dirigidos principalmente a los sectores energético y gubernamental en países aliados de Israel.
China también mostró un patrón de actividad cibernética vinculado a sus maniobras militares. En abril, durante ejercicios navales cerca de Taiwán, los grupos afiliados al gobierno chino intensificaron sus campañas de ciberespionaje y presión digital.
Recomendaciones estratégicas
El informe concluye que las organizaciones deben adoptar una postura de seguridad proactiva, basada en cinco pilares: inteligencia de amenazas, defensa en profundidad, concienciación del personal, gestión de vulnerabilidades y preparación ante incidentes. La integración de IA en la defensa, junto con la colaboración intersectorial y gubernamental, se vuelve esencial para anticipar y mitigar riesgos en un entorno cada vez más complejo.
Fuente: informe de Octubre Trellix | Editado por CDOL
