HPE ha presentado los resultados de su informe inaugural de investigación sobre ciberamenazas, In the Wild, que muestra un cambio notable en la forma en que los adversarios cibernéticos modernos operan a gran escala en industrias globales y sectores públicos críticos. Según el análisis de HPE sobre la actividad de amenazas reales observada a nivel global durante 2025, el informe muestra que el cibercrimen se ha vuelto industrial, con atacantes que utilizan automatización y vulnerabilidades para escalar campañas y comprometer repetidamente objetivos de alto valor más rápido de lo que los defensores pueden responder. Para las empresas, la capacidad de superar eficazmente estas campañas agresivas de amenazas y mantener la confianza digital dentro de sus redes es una prioridad empresarial fundamental.
El informe muestra un entorno global de amenazas cibernéticas definido por la escala, la organización y la velocidad. Basándose en el análisis cibernético de 1,186 campañas activas de amenazas observadas en todo el mundo entre el 1 de enero y el 31 de diciembre de 2025, los hallazgos revelan un ecosistema adversario en rápida evolución definido por profesionalidad, automatización y segmentación estratégica, con atacantes que utilizan infraestructuras repetibles y vulnerabilidades de larga data para atacar sectores de alto valor con precisión.
“In the Wild refleja la realidad a la que se enfrentan las organizaciones cada día”, dijo Mounir Hahad, jefe de HPE Threat Labs, HPE. “Nuestra investigación se basa en actividades de amenazas reales, no en pruebas teóricas en escenarios de laboratorio controlados. Captura cómo se comportan los atacantes en campañas activas, cómo se adaptan y dónde tienen éxito. Estas observaciones y conocimientos de primera mano ayudan a afinar la detección, fortalecer las defensas y ofrecer a los clientes una visión más clara de las amenazas más propensas a afectar sus datos, infraestructura y operaciones. Eso significa una seguridad más fuerte, una respuesta más rápida y mayor resiliencia ante ataques cada vez más organizados y persistentes.”
La infraestructura a escala industrial impulsa campañas modernas de amenazas
Como muestra este informe inaugural, HPE Threat Labs observó un aumento tanto en el volumen de ataques como en la sofisticación de las tácticas y técnicas empleadas. Los actores amenazantes, incluidos grupos de espionaje vinculados a estados-nación y operaciones organizadas de ciberdelito, gestionaban cada vez más sus operaciones como grandes empresas, utilizando estructuras de mando jerárquicas, equipos especializados, coordinación rápida para desplegar infraestructuras de ataque expansivas e industrializadas, y un profundo conocimiento de las aplicaciones y documentos de la fuerza laboral comúnmente utilizados.
Las organizaciones gubernamentales fueron el sector más atacado a nivel mundial, con 274 campañas que abarcan organismos federales, estatales y municipales. Los sectores financiero y tecnológico siguieron de cerca, con 211 y 179 campañas, respectivamente, reflejando el enfoque sostenido de los atacantes en datos de alto valor y ganancias financieras. Las organizaciones de defensa, manufactura, telecomunicaciones, sanidad y educación también fueron muy atacadas. En conjunto, estos hallazgos subrayan que los atacantes están priorizando estratégicamente sectores vinculados a la infraestructura nacional, los datos sensibles y la estabilidad económica, pero reafirman que ningún sector está exento.
A lo largo del año, los actores amenazantes desplegaron más de 147,000 dominios maliciosos, casi 58,000 archivos de malware y explotaron activamente 549 vulnerabilidades. Esta profesionalización del cibercrimen hace que los ataques sean más predecibles en su ejecución, pero más difíciles de interrumpir, ya que desmantelar un componente de una operación rara vez detiene la campaña en general.
Las herramientas de automatización e IA aceleran la velocidad e impacto de los atacantes
Los atacantes también adoptaron nuevas técnicas para aumentar la velocidad y el impacto. Algunas operaciones utilizaban flujos de trabajo automatizados de “línea de montaje” a través de plataformas como Telegram para extraer datos robados en tiempo real. Otros aprovecharon la IA generativa para producir voces sintéticas y videos deepfake para el phishing dirigido (vishing) y el fraude por suplantación de ejecutivos, mientras que una banda de extorsiones realizó una investigación de mercado sobre vulnerabilidades de redes privadas virtuales (VPN) para optimizar su estrategia de intrusión.
Estas tácticas permiten a los atacantes actuar con mayor rapidez, ampliar su alcance y concentrar sus esfuerzos en sectores críticos. Al optimizar sus operaciones y priorizar objetivos de alto valor, logran maximizar el beneficio económico con mayor eficiencia, siguiendo de forma estratégica el rastro del dinero.
Pasos prácticos para fortalecer la ciberresiliencia
El informe subraya que una defensa eficaz depende menos de añadir herramientas y más de mejorar la coordinación, la visibilidad y la respuesta en toda la red. Las organizaciones pueden tomar las siguientes medidas para mejorar su postura de seguridad:
• Eliminar silos mediante el intercambio de inteligencia de amenazas entre equipos internos, clientes e industrias, apoyándose en un enfoque SASE (secure access service edge) que unifique red y seguridad y permita detectar antes los patrones de ataque.
• Corregir puntos de entrada habituales, como VPNs, SharePoint y dispositivos edge para reducir la exposición y cerrar rutas de acceso a la red que se explotan con frecuencia.
• Aplicar principios de confianza cero para reforzar la autenticación y limitar el movimiento lateral, con el acceso a red de confianza cero (ZTNA) verificando continuamente a usuarios y dispositivos antes de conceder acceso.
• Mejorar la visibilidad y la respuesta con inteligencia de amenazas, tecnologías de engaño y detección nativa de IA, ayudando a las organizaciones a detectar, analizar y responder a ataques con mayor rapidez y precisión.
• Extender la seguridad más allá del perímetro corporativo a redes domésticas, herramientas de terceros y entornos de cadena de suministro.
En conjunto, estos pasos pueden ayudar a las organizaciones a actuar más rápido, reducir riesgos y defenderse mejor frente a amenazas cada vez más organizadas y persistentes.
HPE Threat Labs combinado eleva el listón para la defensa de red
Basándose en una sólida trayectoria en investigación, HPE ha lanzado HPE Threat Labs para hacer frente a este entorno de amenazas en constante evolución. Al unir el talento e inteligencia de investigación en seguridad de clase mundial de HPE y Juniper Networks, HPE Threat Labs reúne una profunda experiencia y crea un conjunto de datos aún más extenso para identificar y rastrear amenazas del mundo real e informar directamente a los productos HPE con la inteligencia necesaria para detectar y bloquear ataques maliciosos de forma eficaz.
“HPE Threat Labs se creó para conectar la investigación más avanzada con su aplicación real en seguridad “, dijo David Hughes, vicepresidente y director general de SASE y Seguridad para Redes de HPE. “El informe In the Wild muestra que los atacantes actuales operan con la disciplina, escala y eficiencia de las empresas globales, y defenderse de ellas requiere el mismo nivel de estrategia, integración y rigor operativo. Al traducir inteligencia de amenazas en nuestros productos, HPE Threat Labs está ayudando a las organizaciones a reducir riesgos, limitar la interrupción y proteger los sistemas de los que dependen sus negocios.”
