El cibercrimen atraviesa un cambio estructural marcado por la velocidad, la especialización y el uso creciente de tácticas más directas. Durante 2025, el phishing por voz —conocido como vishing— se consolidó como uno de los principales métodos de acceso inicial, mientras que el sector tecnológico se convirtió en el objetivo más atacado a nivel global. Este giro redefine las prioridades de defensa y evidencia una transición desde ataques masivos hacia estrategias más personalizadas.
Google, a través de su unidad de ciberseguridad Mandiant, analizó más de 500,000 horas de incidentes reales para identificar las tendencias dominantes. Los resultados muestran que los atacantes han ajustado sus métodos frente a entornos digitales más complejos, combinando explotación técnica con manipulación humana para maximizar el éxito de sus operaciones.
El dato más relevante es el ascenso del phishing por voz, que ya representa el 11% de los accesos iniciales en incidentes investigados. Este método solo es superado por los exploits técnicos, que concentran el 32%. En contraste, el phishing por correo electrónico, históricamente dominante, cayó del 14% al 6% en un año. La evolución indica un desplazamiento hacia interacciones más directas, donde la confianza y la urgencia juegan un papel central en la ejecución del ataque.
En paralelo, el sector de alta tecnología desplazó a la banca y los servicios financieros como principal blanco de los ciberdelincuentes. La razón es estratégica: las empresas tecnológicas concentran infraestructuras críticas y grandes volúmenes de datos, lo que amplifica el impacto potencial de una intrusión. Además, servicios profesionales y salud figuran entre los sectores más afectados, dentro de un total de más de 16 industrias con incidentes relevantes.
Cómo operan los ataques actuales
El modelo de operación del cibercrimen muestra una mayor coordinación entre grupos especializados. Una vez logrado el acceso inicial, el control del sistema comprometido se transfiere rápidamente a otros actores que ejecutan fases más avanzadas del ataque, como el despliegue de ransomware.
El tiempo de transición entre estas fases se ha reducido de forma drástica:
- En 2022, el traspaso superaba las 8 horas.
- En 2025, descendió a solo 22 segundos.
Esta reducción evidencia un ecosistema criminal más organizado, donde cada grupo cumple un rol específico dentro de una cadena de ataque optimizada.
En cuanto al malware, el enfoque también ha cambiado. Solo el 9% de las familias detectadas se orienta al robo de credenciales, mientras que predominan herramientas como backdoors y downloaders, diseñadas para mantener acceso persistente o facilitar la instalación de otros programas maliciosos.
El ransomware, por su parte, ha evolucionado hacia tácticas más destructivas. En lugar de centrarse únicamente en el robo de datos, los atacantes priorizan la eliminación de copias de seguridad y la destrucción de capacidades de recuperación. Este enfoque incrementa la presión sobre las organizaciones, elevando la probabilidad de pago ante la imposibilidad de restaurar sistemas.
Factores que impulsan el cambio
El uso de inteligencia artificial está ampliando la capacidad de los atacantes para escalar y personalizar sus campañas. Sin embargo, el análisis muestra que la mayoría de las intrusiones sigue explotando debilidades humanas y fallos estructurales en los sistemas.
La combinación de técnicas técnicas y manipulación psicológica se mantiene como el vector más efectivo. El vishing, en este contexto, representa una evolución lógica: sustituye correos electrónicos por llamadas directas que simulan situaciones urgentes o de autoridad, aumentando la probabilidad de éxito.
A nivel de detección, se observa una mejora interna en las organizaciones. El 52% de las amenazas fue identificado por los propios sistemas o equipos, frente al 43% del año anterior. Aun así, en incidentes de ransomware, aumentó la notificación directa por parte de los atacantes, lo que refleja un modelo más agresivo de extorsión.
Qué cambia en la práctica
El nuevo entorno obliga a replantear las estrategias de defensa. Las organizaciones deben asumir que los ataques serán más rápidos, coordinados y dirigidos, lo que exige una respuesta continua y no reactiva.
Entre las medidas clave identificadas para fortalecer la seguridad destacan:
- Implementar visibilidad continua en toda la infraestructura digital.
- Proteger identidades mediante verificación constante.
- Ampliar la retención de logs en redes y sistemas de autenticación.
- Centralizar registros para garantizar su integridad.
- Priorizar el parcheo de superficies externas expuestas.
- Aislar sistemas críticos como hipervisores y plataformas de gestión.
Estas acciones apuntan a reducir la ventana de exposición y limitar el movimiento lateral de los atacantes dentro de los sistemas comprometidos.
A quién afecta y qué sigue
El impacto recae principalmente en empresas tecnológicas, organizaciones con infraestructuras digitales críticas y sectores que manejan grandes volúmenes de datos sensibles. Sin embargo, la expansión de tácticas como el phishing por voz también alcanza a empleados individuales, que se convierten en el punto de entrada más vulnerable.
El escenario plantea una transformación en la gestión del riesgo digital. La seguridad deja de centrarse únicamente en barreras tecnológicas y se desplaza hacia la gestión de identidades, la supervisión continua y la preparación ante ataques inevitables.
El avance del cibercrimen hacia modelos más rápidos y especializados marca una etapa donde la defensa depende tanto de la tecnología como de la capacidad organizativa para responder en tiempo real.
