El panorama de amenazas cibernéticas de 2025 estuvo marcado por algunos eventos cibernéticos importantes que dominaron los titulares. Estos eventos fueron moldeados por una tormenta perfecta de sofisticación de ransomware, vulnerabilidades en la cadena de suministro y riesgos de concentración de infraestructura. Tokio Marine HCC International (TMHCCI) ha compilado una lista de los 10 eventos cibernéticos más devastadores de 2025. Algunos de estos ataques aún están afectando a empresas en todo el mundo y sus consecuencias completas aún están por verse.   

Los 10 incidentes cibernéticos principales de 2025

Incidente de ransomware de Marks and Spencer (Reino Unido)

Impacto: £300 millones en pérdidas de ganancias operativas

Vector: Ransomware

Qué sucedió: Uno de los minoristas más grandes y conocidos del Reino Unido sufrió un devastador ataque de ransomware que paralizó las operaciones y provocó un efecto dominó en el sector minorista. El ataque no ocurrió en aislamiento. También afectó a otros grandes minoristas del Reino Unido, incluido Co-op y Harrods, que experimentaron incidentes cibernéticos concurrentes. Esto apunta a una campaña coordinada o a ataques imitadores que apuntan a vulnerabilidades similares en el ecosistema minorista.

Preocupación clave: El impacto a nivel sectorial demuestra la vulnerabilidad de la infraestructura minorista, particularmente durante los períodos de compras pico cuando los riesgos financieros son mayores. Más importante aún, también demuestra cómo una gran empresa podría ser paralizada en un solo ataque coordinado. Esto tiene repercusiones mucho más allá del ámbito de TI, el Reino Unido o el sector minorista.

Ataque de ransomware a Jaguar Land Rover (Reino Unido)

Impacto: £1.9 mil millones en pérdidas financieras

Vector de ataque: Ransomware que lleva al cierre de producción

Qué sucedió: Este ataque ha sido clasificado como el incidente cibernético económicamente más perjudicial que ha afectado al Reino Unido. El ransomware obligó a un cierre completo de las líneas de producción de vehículos, deteniendo efectivamente a uno de los principales fabricantes de automóviles de Gran Bretaña. El impacto financiero asombroso destaca no solo la disrupción operativa inmediata, sino también los efectos dominó en la cadena de suministro, ventas perdidas, compensación al cliente y daño reputacional.

Preocupación clave: La creciente digitalización de la industria automotriz y los sistemas de fabricación interconectados crean un conjunto masivo de puntos únicos de falla. Cuando la producción se detiene, el desangrado financiero es casi inmediato, severo y la disrupción se mueve hacia adelante y atrás a través de cadenas de suministro estrechamente integradas.

Caídas de Amazon Web Services, Azure y Cloudflare (Global)

Impacto: Interrupciones del servicio globales

Vector de ataque: Fallas/ataques de infraestructura en la nube

Qué sucedió: Una serie de caídas importantes en los proveedores líderes de servicios en la nube del mundo pusieron de manifiesto la fragilidad de la moderna infraestructura digital. Estas fallas en cascada afectaron a innumerables organizaciones SaaS y plataformas orientadas al cliente en todo el mundo, demostrando cómo la concentración de servicios en la nube ha creado un riesgo sistémico a una escala sin precedentes.

Preocupación clave: Esto ya no se trata de la resiliencia de una sola empresa. En cambio, se trata de la vulnerabilidad estructural de Internet como plataforma en sí misma. Cuando AWS, Azure o Cloudflare caen, porciones significativas de la economía digital mundial se detienen, impactando economías, medios de vida y productividad global.

La gran violación de datos a través de OAuth de Salesforce/Drift (Global)

Impacto: Millones de registros de clientes expuestos

Vector de ataque: Tokens OAuth comprometidos

Qué sucedió: Los atacantes explotaron tokens de autenticación OAuth comprometidos para infiltrarse en cientos de entornos de clientes de Salesforce. La violación expuso registros de clientes sensibles, detalles de contacto e información de cuentas que afectaron a millones de personas en múltiples organizaciones simultáneamente.

Preocupación clave: La composición de tokens OAuth representa un vector de ataque sofisticado que elude las medidas de seguridad tradicionales. Cuando los mecanismos de autenticación en sí mismos son utilizados como armas, la base de confianza de las aplicaciones modernas en la nube se desmorona.

Ataque a la cadena de suministro del ecosistema npm (Global)

Impacto: Riesgo generalizado de robo de credenciales en entornos de desarrollo

Vector de ataque: Compromiso de la cadena de suministro de paquetes de JavaScript

Qué sucedió: Los atacantes comprometieron paquetes de JavaScript ampliamente utilizados en el repositorio npm, uno de los registros de software más grandes del mundo. Esto expuso a innumerables entornos de desarrolladores y organizaciones a robos de credenciales, inyección de código malicioso y posible acceso a puertas traseras.

Preocupación clave: Los ataques a la cadena de suministro que apuntan a herramientas y paquetes de desarrollador son particularmente insidiosos porque propagan código malicioso a miles de aplicaciones posteriores automáticamente. El tamaño y la ubicuidad del ecosistema npm lo convierten en un objetivo atractivo con potencial de impacto exponencial.

Presunta violación de la cadena de suministro de la plataforma en la nube de Oracle Corporation (Global)

Impacto: Más de 140,000 inquilinos afectados, aproximadamente 6 millones de registros exfiltrados

Vector de ataque: Violación de datos a través de explotación del punto de acceso de inicio de sesión

Qué sucedió: Actores amenazantes supuestamente violaron la plataforma en la nube de Oracle a través de una vulnerabilidad en el punto de acceso de inicio de sesión, obteniendo acceso a entornos de inquilinos y exfiltrando grandes volúmenes de datos sensibles. La escala—que afecta a más de 140,000 inquilinos—demuestra cómo las violaciones de los proveedores de servicios en la nube pueden tener efectos multiplicativos en toda su base de clientes.

Preocupación clave: Los proveedores de servicios en la nube son objetivos de alto valor precisamente porque son multiplicadores de fuerza. Comprometer una plataforma en la nube proporciona acceso a miles de organizaciones simultáneamente.

Grupo APT utilizó Claude AI para ciberataques orquestados por AI (Global)

Impacto: aproximadamente 30 organizaciones globales atacadas

Vector de ataque: Primer ciberataque orquestado a gran escala por AI conocido

Qué sucedió: Un grupo estatal de amenazas persistentes avanzadas (APT) aprovechó Claude AI para llevar a cabo una campaña de ciberataques en gran medida automatizada, con un 80-90% de las actividades de ataque impulsadas por AI. Esto representa un cambio de paradigma en la guerra cibernética y la utilización de la inteligencia artificial para operaciones de ataque autónomas a gran escala.

Preocupación clave: Este incidente marca un aterrador punto de inflexión: la AI ya no es solo una herramienta defensiva o una amenaza teórica. Está siendo utilizada activamente como arma por adversarios sofisticados. La automatización y el potencial de escala de los ataques impulsados por AI podrían abrumar los mecanismos de defensa tradicionales.

Brecha de datos de SK Telecom (Corea del Sur)

Impacto: Datos de 27 millones de usuarios expuestos

Vector de ataque: Acceso no autorizado a largo plazo (no detectado desde junio de 2022)

Qué sucedió: SK Telecom, uno de los proveedores de telecomunicaciones más grandes de Corea del Sur, descubrió una brecha que expuso los datos personales de casi 27 millones de usuarios; un número asombroso que representa una parte significativa de la población de Corea del Sur. La brecha creó riesgos generalizados de clonación de SIM y robo de identidad. Lo más alarmante es que los atacantes mantuvieron el acceso no detectado durante casi dos años (desde junio de 2022), demostrando técnicas sofisticadas de persistencia y monitoreo de seguridad inadecuado.

Preocupación clave: El tiempo de permanencia de dos años es catastrófico. Este acceso no autorizado extendido permitió a los atacantes potencialmente exfiltrar datos repetidamente, comprender la arquitectura de la red en detalle y establecer múltiples puertas traseras. En telecomunicaciones, donde los datos de suscriptores incluyen información de ubicación, metadatos de comunicaciones y credenciales de autenticación, las implicaciones para la seguridad nacional son severas.

Ciberataque al Grupo Kering (Global)

Impacto: Millones de registros de clientes expuestos a través de marcas de lujo

Vector de ataque: Acceso no autorizado a sistemas internos

Objetivo del ataque: Conglomerado de moda de lujo (Gucci, Balenciaga, Alexander McQueen)

Qué sucedió: Un tercero no autorizado obtuvo acceso temporal a los sistemas internos del Grupo Kering, comprometiendo información personal de millones de clientes a través de su cartera de prestigiosas marcas de lujo. La violación afectó a algunas de las casas de moda más reconocidas del mundo.

Preocupación clave: Las marcas de lujo poseen datos de clientes particularmente sensibles, incluidos los patrones de compra de individuos de alto valor neto, preferencias personales e información de pago. Esto las convierte en objetivos atractivos tanto para el fraude financiero como para las operaciones de espionaje dirigidas a una clientela adinerada.

Ciberataque a Asahi Group Holdings (Japón)

Impacto: Disrupción operativa generalizada, sistemas suspendidos, pedidos y envíos detenidos

Vector de ataque: Ciberataque que fuerza la suspensión del sistema

Qué sucedió: El gigante japonés de bebidas Asahi Group Holdings sufrió un ciberataque que obligó a la compañía a suspender los sistemas operativos clave en todo Japón. El ataque causó una disrupción generalizada al procesamiento de pedidos y operaciones de envío, paralizando efectivamente su cadena de suministro y redes de distribución.

Preocupación clave: Los ataques a la tecnología operativa (OT) y los sistemas críticos para el negocio en la manufactura y distribución son cada vez más comunes. La naturaleza justo a tiempo de las cadenas de suministro modernas significa que incluso interrupciones breves se propagan rápidamente a través de toda la cadena de valor, desde la producción hasta el retail.

Patrones y Tendencias: Lo que revelan los datos

El ransomware sigue siendo el principal impulsor de la disrupción

Tres de los 10 principales incidentes (Marks & Spencer, Jaguar Land Rover, y probablemente Asahi Group Holdings) involucraron ataques de ransomware. Los impactos financieros varían desde cientos de millones hasta casi £2 mil millones por un solo incidente. El ransomware ha evolucionado de ataques oportunistas a pequeñas empresas a operaciones estratégicas dirigidas a infraestructuras críticas y grandes corporaciones.

Tendencia: Los grupos de ransomware se están volviendo más selectivos, apuntando a organizaciones donde la interrupción operativa tiene consecuencias financieras catastróficas: manufactura automotriz, retail durante temporadas pico y operaciones de cadena de suministro.

Los ataques a la cadena de suministro son esencialmente multiplicadores de fuerza

Cuatro incidentes (ecosistema npm, Oracle Cloud, OAuth de Salesforce/Drift y caídas de AWS/Azure/Cloudflare) demuestran cómo comprometer infraestructura compartida o servicios ampliamente utilizados crea un impacto exponencial. Ataca una plataforma; compromete miles de organizaciones.

Tendencia: Los adversarios apuntan cada vez más a la cadena de suministro de software, infraestructura de autenticación y proveedores de servicios en la nube porque estos ataques se escalan fácilmente. El ataque npm solo potencialmente afectó a millones de aplicaciones en todo el mundo.

La concentración en la nube crea riesgo sistémico

Las caídas de AWS/Azure/Cloudflare y la violación de Oracle Cloud exponen una vulnerabilidad fundamental en la moderna infraestructura digital: la concentración excesiva en un puñado de proveedores de nube crea puntos únicos de falla con consecuencias globales.

Tendencia: A medida que las organizaciones migran a estrategias de prioridad en la nube, la resiliencia cibernética de toda la economía global depende de la seguridad de aproximadamente cinco grandes proveedores de servicios en la nube. Este riesgo de concentración no tiene precedentes.

El punto de inflexión de la utilización de AI como arma

El ataque orquestado por Claude AI representa un momento decisivo. Por primera vez, tenemos evidencia documentada de que la AI se está utilizando como arma para ciberataques automatizados a gran escala por actores estatales.

Tendencia: Los ataques impulsados por AI se acelerarán dramáticamente. La tasa de automatización del 80-90% en esta campaña sugiere que los atacantes ahora pueden operar a escalas previamente imposibles. Los mecanismos de defensa diseñados para ataques a velocidad humana pueden ser inadecuados contra operaciones impulsadas por AI.

Los tiempos de permanencia extendidos indican desafíos de detección

La violación en SK Telecom pasó desapercibida durante casi dos años. Esto no es una anomalía. En cambio, se está convirtiendo en la norma. Los atacantes sofisticados priorizan el sigilo sobre la velocidad, manteniendo acceso persistente para maximizar la exfiltración de datos y comprender los entornos del objetivo a fondo.

Tendencia: Muchas organizaciones están luchando las batallas de ayer. Las capacidades de detección siguen siendo lamentablemente inadecuadas frente a adversarios pacientes y sofisticados que emplean técnicas de vivir de la tierra y credenciales legítimas.

La creciente vulnerabilidad de Asia

Dos incidentes asiáticos (SK Telecom y Asahi Group Holdings) se ubicaron en el top 10 global, indicando que Asia ya no es un objetivo secundario para los actores de amenazas. Con rápida digitalización, bases de usuarios masivas y, a menudo, madurez cibernética incipiente, las organizaciones asiáticas representan objetivos de alto valor y baja resistencia.

Tendencia: A medida que las organizaciones occidentales fortalecen sus defensas, los atacantes están pivotando hacia objetivos Asia-Pacífico, donde la transformación digital ha superado las capacidades de seguridad. Los 27 millones de usuarios afectados en el incidente de SK Telecom demuestran la escala del impacto potencial.

La tecnología operativa (OT) y los sistemas de negocio son objetivos primarios

Los ataques a Jaguar Land Rover y Asahi Group específicamente apuntaron a sistemas operativos (líneas de fabricación y redes de distribución) en lugar de solo robar datos. Cuando se detienen las operaciones, el impacto financiero es inmediato y severo.

Tendencia: Los atacantes entienden que en muchas industrias, la disrupción operativa es más devastadora que el robo de datos. Se espera un enfoque continuo en entornos OT, sistemas de control industrial y aplicaciones críticas para el negocio.

OAuth y la infraestructura de autenticación como vectores de ataque

La violación de Salesforce/Drift explotó tokens OAuth, demostrando cómo los mecanismos de autenticación en sí mismos se han convertido en objetivos de alto valor. Comprometida la autenticación; elude todos los demás controles de seguridad.

Tendencia: A medida que las arquitecturas de confianza cero proliferan, los atacantes se adaptan apuntando directamente a la infraestructura de gestión de identidad y acceso. Las credenciales y tokens legítimos son más valiosos que el malware porque permiten acceso invisible y autorizado.

Retos de seguridad expuestos

Fracasos catastróficos en monitoreo y detección

El tiempo de permanencia de dos años en la violación de SK Telecom es inexcusable para una organización de esa escala y criticidad. Esto revela:

• Gestión de Información y Eventos de Seguridad (SIEM) inadecuada: La detección básica de anomalías debería haber señalado patrones de acceso no autorizados en días, no años.

• Falta de análisis de comportamiento: Los sistemas de análisis de comportamiento de usuarios y entidades (UEBA), si se implementan correctamente, habrían identificado patrones de acceso anormales.

• Falta de búsqueda de amenazas: Los programas proactivos de búsqueda de amenazas habrían descubierto indicadores de compromiso (IOC) durante barridos regulares.

• Falta de mecanismos para detectar amenazas internas

Problema fundamental: Las organizaciones están inundadas de alertas de seguridad pero carecen de inteligencia procesable. La fatiga de alertas y los centros de operaciones de seguridad (SOC) con poco personal significan que las señales críticas se pierden entre el ruido.

Suposiciones de confianza en la cadena de suministro

Las violaciones en el ecosistema npm y Oracle Cloud exponen una suposición peligrosa: que las plataformas y paquetes ampliamente utilizados son inherentemente confiables.

• Sin verificación: Las organizaciones obtienen automáticamente paquetes npm y confían en la seguridad del proveedor de la nube sin verificación independiente.

• Explotación de confianza transitiva: Los atacantes entienden que comprometer un componente de confianza proporciona acceso automático a lo subsecuente.

• Visibilidad de seguridad del proveedor limitada: Las organizaciones tienen una visión mínima sobre las posturas y prácticas de seguridad de sus proveedores.

Problema fundamental: La cadena de suministro de software opera a escala sobre confianza implícita. No hay una forma práctica para que las organizaciones auditen cada dependencia, creando puntos ciegos explotables.

Puntos únicos de falla en la arquitectura de la nube

Las caídas de AWS/Azure/Cloudflare demuestran fallas arquitectónicas fundamentales:

• Sobredependencia en proveedores únicos: Las estrategias multi-nube existen más en presentaciones de PowerPoint que en entornos de producción.

• Sin redundancia significativa: La verdadera redundancia geográfica y de proveedor es costosa y compleja, por lo que las organizaciones la omiten.

• Mecanismos de falla en cascada: Las dependencias entre servicios en la nube crean efectos dominó donde una falla desencadena otras.

Problema fundamental: La migración a la nube priorizó la velocidad y el costo sobre la resiliencia. Los beneficios económicos de la concentración en la nube (economías de escala, gestión simplificada) crean un riesgo sistémico que ninguna organización puede mitigar por sí sola.

Resiliencia inadecuada al ransomware

A pesar de años de evolución del ransomware, los incidentes de Marks & Spencer y Jaguar Land Rover demuestran fallas continuas:

• Estrategias de respaldo insuficientes: Los respaldos son inexistentes, accesibles para atacantes o no probados para restauración rápida.

• Falta de segmentación de redes: El ransomware se propaga lateralmente a través de redes planas, encriptándolo todo simultáneamente.

• Sin planificación de resiliencia operativa: Las organizaciones no tienen planes viables para mantener operaciones críticas durante interrupciones prolongadas de TI.

Problema fundamental: La defensa contra el ransomware se ha enfocado en la prevención (que falla) en lugar de la resiliencia (la capacidad de continuar operaciones a pesar del compromiso). Cuando la prevención falla, las organizaciones quedan paralizadas.

Debilidades en la autenticación y el control de acceso

La violación de OAuth de Salesforce/Drift y la explotación del punto de acceso de inicio de sesión de Oracle revelan fallas persistentes en la gestión de identidad y acceso (IAM):

• Implementación débil de autenticación multi-factor (MFA): Los tokens OAuth a menudo pueden eludir el MFA después de la autenticación inicial.

• Persistencia excesiva de privilegios: Las credenciales comprometidas mantienen acceso mucho más tiempo del necesario.

• Fallos en la gestión de tokens: Los tokens OAuth carecen de mecanismos adecuados de monitoreo, rotación y revocación.

Problema fundamental: La autenticación se ha convertido en el nuevo perímetro, pero las organizaciones aplican el pensamiento antiguo del perímetro a la identidad. Las credenciales y tokens estáticos y de larga duración crean superficies de ataque persistentes.

Brechas de seguridad en la convergencia OT/IT

El cierre de fabricación de Jaguar Land Rover y las disrupciones operativas de Asahi exponen vulnerabilidades en la tecnología operativa:

• Sistemas OT heredados: Los sistemas de control industrial fueron diseñados para la fiabilidad y seguridad, no para la seguridad, y a menudo no se pueden parchear fácilmente.

• Puenteo de redes IT/OT: Las conexiones entre las redes IT corporativas y de tecnología operativa crean caminos de ataque pero reciben insuficiente atención de seguridad.

• Falta de experiencia en seguridad OT: Las organizaciones tienen equipos de seguridad IT pero pocos con conocimiento especializado en seguridad OT.

Problema fundamental: La transformación digital conecta todo con todo, pero los equipos de seguridad carecen de las herramientas, visibilidad y experiencia para proteger entornos convergentes IT/OT.

Gestión inadecuada del riesgo de terceros

La violación en el Grupo Kering y el incidente de Oracle Cloud destacan fallas en la gestión del riesgo de terceros:

• Evaluación de seguridad del proveedor limitada: Las organizaciones realizan evaluaciones puntuales pero carecen de monitoreo continuo de la seguridad del proveedor.

• Teatro de seguridad contractual: Los contratos de los proveedores incluyen requisitos de seguridad, pero la aplicación y verificación son mínimas.

• Desafío de responsabilidad compartida: En entornos de nube, la división de responsabilidades de seguridad entre proveedor y cliente sigue siendo confusa y mal gestionada.

Problema fundamental: Las organizaciones externalizan operaciones pero no pueden externalizar la responsabilidad. Sin embargo, carecen de mecanismos para verificar y hacer cumplir verdaderamente los estándares de seguridad de terceros.

Brecha de seguridad en AI

El ataque orquestado por Claude AI expone que estamos entrando en una carrera armamentista de AI totalmente desprevenidos:

• Inmadurez en la defensa impulsada por AI: Las herramientas de seguridad basadas en AI/ML existen pero no son lo suficientemente maduras para contrarrestar los ataques impulsados por AI.

• Desajuste de velocidad: Las operaciones de seguridad humanas no pueden igualar la velocidad y escala de los ataques automatizados por AI.

• Falta de capacidades de detección de ataques AI: Las herramientas de seguridad actuales no están diseñadas para identificar y atribuir patrones de ataque orquestados por AI.

Problema fundamental: La ciberseguridad defensiva sigue siendo fundamentalmente impulsada por humanos, mientras que las operaciones ofensivas se están convirtiendo en aumentadas por AI. Esto crea una asimetría que favorece a los atacantes.

Lecciones y recomendaciones

Para organizaciones

Asumir la infracción, construir resiliencia, invertir en respuesta a incidentes calibrada

• Cambiar la mentalidad: La seguridad centrada en la prevención es necesaria pero insuficiente. Asuma que los atacantes penetrarán las defensas y construyan resiliencia en consecuencia.

• Pasos accionables:

  • Implemente copias de seguridad y recuperación ante desastres completas con copias de seguridad fuera de línea e inmutables

  • Realice ejercicios de simulación regularmente simulando escenarios de ransomware y compromiso en la cadena de suministro

  • Desarrollar y probar planes de continuidad de negocio que supongan indisponibilidad extendida de sistemas de TI

  • Establezca protocolos de comunicación de crisis para incidentes cibernéticos

Inversión agresiva en búsqueda de amenazas y detección

• Abordar el tiempo de permanencia: El tiempo de permanencia de dos años de SK Telecom es inaceptable. Las organizaciones deben invertir fuertemente en detección.

• Pasos accionables:

  • Desplegar análisis de comportamiento de usuarios y entidades (UEBA) para identificar patrones de acceso anómalos

  • Establecer centros de operaciones de seguridad (SOC) 24/7 con capacidades de búsqueda de amenazas

  • Implementar tecnologías de engaño (honeytokens, redes señuelo) para detectar movimiento lateral

  • Automatizar la integración de inteligencia de amenazas en plataformas SIEM

  • Realizar ejercicios trimestrales de equipos morados (equipo rojo atacando, equipo azul defendiendo, con colaboración)

3. Implementación de arquitectura de confianza cero

• Avanzar más allá de la defensa perimetral: Las violaciones de autenticación demuestran que los perímetros de red son insignificantes.

• Pasos accionables:

  • Implementar microsegmentación para limitar el movimiento lateral

  • Requerir autenticación y autorización continuas para todas las solicitudes de acceso

  • Aplicar el acceso de privilegio mínimo rigurosamente en todos los sistemas

  • Desplegar soluciones de gestión de acceso privilegiado (PAM)

  • Implementar provisión de acceso just-in-time con revocación automática

4. Revisión de seguridad en la cadena de suministro

• No confiar en nada: Suponga que todos los componentes de terceros están potencialmente comprometidos.

• Pasos accionables:

  • Implementar software Bill of Materials (SBOM) para todas las aplicaciones

  • Utilizar herramientas de análisis de composición de software (SCA) para identificar dependencias vulnerables

  • Establecer programas de evaluación de seguridad de proveedores con monitoreo continuo

  • Crear entornos aislados para probar componentes de terceros antes de implementación en producción

  • Desarrollar planes de coordinación para respuesta ante incidentes de proveedores

Estrategia de resiliencia en la nube

• Reducir el riesgo de concentración: Lo multi-nube no se trata solo de apalancamiento en negociación; es sobre supervivencia.

• Pasos accionables:

  • Arquitectar aplicaciones críticas para implementación multi-nube

  • Implementar redundancia geográfica entre diferentes proveedores de nube

  • Desarrollar estrategias de implementación agnósticas a la nube utilizando contenedores y orquestación

  • Establecer mecanismos automáticos de transferencia de errores entre proveedores de nube

  • Pruebe regularmente procedimientos de recuperación ante desastres entre nubes

Modernización de la seguridad OT

• Proteger la tecnología operativa: Las disrupciones en manufactura y distribución tienen impactos financieros catastróficos.

• Pasos accionables:

  • Realizar inventarios completos de activos OT

  • Implementar segmentación de redes entre entornos IT y OT con controles de acceso estrictos

  • Aumentar la sensibilidad de seguridad OT en toda la organización

  • Desplegar herramientas de monitoreo específicas para OT

  • Desarrollar libros de respuesta ante incidentes OT

  • Capacitar equipos de seguridad en amenazas y tecnologías específicas para OT

Preparación para defensa impulsada por AI

• Prepararse para amenazas impulsadas por AI: El ataque de Claude AI es una señal de lo que está por venir.

• Pasos accionables:

  • Invertir en plataformas de análisis de seguridad impulsadas por AI

  • Desarrollar capacidades de respuesta automatizada para igualar la automatización de ataques

  • Establecer marcos de gobierno de ética y seguridad AI

  • Capacitar equipos de seguridad en técnicas de ataques AI/ML

  • Participar en iniciativas de intercambio de información centradas en amenazas impulsadas por AI

Para la industria

Imperativo de intercambio de información

Los días de tratar las violaciones como secretos competitivos deben terminar. El intercambio de inteligencia sobre amenazas a nivel de industria es esencial:

• Ampliar la participación en Centros de Análisis e Intercambio de Información (ISACs)

• Desarrollar consorcios de inteligencia sobre amenazas específicos por sector

• Crear marcos legales protegidos para compartir información sobre violaciones

• Establecer mecanismos de alerta rápida para exploits cero día y campañas activas

Responsabilidad de los proveedores de nube

Los incidentes de Oracle y AWS/Azure/Cloudflare demuestran que los proveedores de nube deben ser responsabilizados por estándares más altos:

• Exigir informes transparentes sobre incidentes de seguridad de los proveedores de nube

• Establecer requisitos base de seguridad en la nube a nivel de industria

• Crear programas de auditoría y certificación de terceros para proveedores de nube

• Desarrollar derechos de seguridad y visibilidad del cliente en entornos de nube

Estándares de seguridad en la cadena de suministro

El ataque al ecosistema npm muestra que necesitamos cambios fundamentales en cómo operan las cadenas de suministro de software:

• Implementar requisitos obligatorios de SBOM para todo el software

• Desarrollar firmas criptográficas y verificación para todos los repositorios de código

• Establecer plazos para la divulgación de vulnerabilidades y parches para proyectos de código abierto

• Crear estructuras de incentivos para auditorías de seguridad de paquetes ampliamente utilizados

Marcos de gobernanza de AI

El ataque orquestado por AI demanda atención inmediata a la gobernanza de seguridad de AI:

• Desarrollar marcos internacionales para el desarrollo y despliegue responsable de AI

• Establecer programas de prueba y certificación de seguridad AI

• Crear mecanismos de atribución para ataques impulsados por AI

• Construir iniciativas de investigación cooperativa en defensa de AI

Para legisladores y reguladores

Mandatos de ciberseguridad para infraestructuras críticas

Los incidentes que afectan a telecomunicaciones (SK Telecom), infraestructura en la nube y manufactura demuestran la necesidad de regulación:

• Ordenar normas mínimas de ciberseguridad para operadores de infraestructuras críticas

• Requerir auditorías de seguridad independientes e informes públicos

• Establecer requisitos de tiempo de respuesta ante incidentes

• Crear sanciones financieras por prácticas de seguridad negligentes

Requisitos de notificación de violaciones

El tiempo de permanencia de dos años de SK Telecom sugiere que las fallas de detección deben tener consecuencias:

• Ordenar divulgación rápida de violaciones a individuos afectados y reguladores

• Requerir informes públicos sobre tiempo de permanencia y mecanismos de detección

• Establecer plazos para la notificación (por ejemplo, 72 horas desde la detección)

• Crear marcos de responsabilidad por divulgación retrasada

Regulación de nube y plataformas

El riesgo sistémico de la concentración en la nube requiere atención regulatoria:

• Desarrollar marcos de supervisión para proveedores de nube sistemáticamente importantes

• Ordenar requisitos de resiliencia y redundancia

• Requerir informes transparentes sobre incidentes de seguridad

• Establecer estándares de protección de datos y acceso del cliente

Cooperación internacional

Los ataques patrocinados por el estado como la campaña orquestada por AI requieren respuestas coordinadas:

• Fortalecer normas cibernéticas internacionales y mecanismos de atribución

• Desarrollar marcos cooperativos para contrarrestar a grupos APT

• Crear acuerdos de intercambio de información entre gobiernos

• Establecer consecuencias para operaciones cibernéticas patrocinadas por el estado

El panorama de incidentes cibernéticos de 2025 ha pintado un cuadro sombrío. Los ataques son más sofisticados, más dañinos y más sistémicos que nunca. La inclusión de dos incidentes asiáticos en el top 10 global demuestra que ninguna región está a salvo, y la utilización de AI como arma representa un cambio fundamental en el panorama de amenazas.

Los impactos financieros que varían desde £300 millones en Marks & Spencer hasta £1.9 mil millones en Jaguar Land Rover demuestran claramente que la ciberseguridad ya no es solo una preocupación de TI. Es un riesgo existencial para el negocio que requiere atención a nivel de junta, inversión sustancial y cambios fundamentales en cómo abordan las organizaciones la seguridad.

Las amenazas están evolucionando a velocidad de máquina. Nuestras defensas deben evolucionar más rápido.

¿Necesita ayuda con sus requisitos de cumplimiento normativo? Hable con nuestro experto.

Más sobre nuestros servicios de cumplimiento NIS2.

Aprenda un poco más sobre los servicios de respuesta a incidentes de Shieldworkz

Prueba nuestra plataforma de seguridad OT aquí.

Descargue nuestro checklist de seguridad OT para mantenimiento in situ, aquí.