El ransomware domina las ciberamenazas globales según el Mandiant M-Trends 2025

El informe Mandiant M-Trends 2025, publicado por Google Cloud Security, alerta sobre un repunte significativo del ransomware como amenaza dominante en el panorama global de ciberseguridad. Basado en más de 450.000 horas de investigaciones forenses realizadas durante 2024, el estudio revela un ecosistema cibercriminal cada vez más sofisticado, donde la monetización rápida y el robo de credenciales ganan protagonismo frente a métodos más tradicionales.

El informe ha sido desarrollado por los expertos de Mandiant, unidad especializada en ciberinteligencia de Google Cloud, a partir de investigaciones reales llevadas a cabo entre el 1 de enero y el 31 de diciembre de 2024. La muestra abarca centenares de incidentes en 73 países y todos los sectores industriales, lo que lo convierte en uno de los análisis más exhaustivos del año.

¿Qué datos revela Mandiant M-Trends 2025?

Uno de los datos más reveladores del informe M-Trends 2025, elaborado por el equipo de Mandiant (Google Cloud Security), es que el ransomware ha consolidado su posición como el principal vector de disrupción digital en el mundo empresarial. Según el estudio, este tipo de intrusión estuvo presente en el 21% de las investigaciones realizadas durante 2024, manteniéndose como la forma de extorsión más efectiva y devastadora. Este tipo de ataques afectaron a sectores sensibles como sanidad, gobiernos locales, energía o tecnología, y en un 49% de los casos, fueron los propios atacantes quienes notificaron directamente a las víctimas, evidenciando la agresividad del modelo de negocio basado en la extorsión directa.

Vía de acceso más común

El informe también subraya que la vía de acceso más común a los sistemas corporativos fue la explotación de vulnerabilidades conocidas o de día cero. Esta técnica fue responsable del 33% de los accesos iniciales, superando al phishing por correo electrónico, que descendió hasta el 14%, y al uso de credenciales robadas, que por primera vez superó al phishing con un 16%.

Este dato refleja una profesionalización creciente de los atacantes, que ya no dependen exclusivamente del engaño al usuario, sino que buscan aprovechar fallos estructurales en los sistemas, a menudo incluso antes de que existan parches disponibles.

Eficacia defensiva de las organizaciones

Uno de los indicadores clave de la eficacia defensiva de las organizaciones es el “dwell time” o tiempo de permanencia del atacante dentro de una red antes de ser detectado. Según el estudio, en 2024 este tiempo se situó en 11 días a nivel global, rompiendo la tendencia descendente registrada durante más de una década.

Aunque sigue siendo inferior a los 16 días registrados en 2022, el ligero repunte respecto a 2023 (10 días) refleja que los atacantes están perfeccionando sus métodos para mantener el acceso el tiempo suficiente como para maximizar el impacto o monetizar los accesos obtenidos.

Afección por sectores

En cuanto a los sectores más afectados, las entidades financieras lideran por volumen de ataques, concentrando el 17,4% de los casos analizados por Mandiant. Le siguen los servicios profesionales (13%), la industria tecnológica (11%) y las administraciones públicas (9,5%).

Esta distribución pone de manifiesto una predilección de los atacantes por sectores con alta exposición digital, elevado valor transaccional o acceso a datos críticos. No obstante, el informe documenta campañas dirigidas a prácticamente todos los verticales industriales, lo que confirma que ningún sector está exento.

Aumento de las amenazas internas

Una de las tendencias más preocupantes que destaca el informe es el aumento de las amenazas internas, en especial aquellas vinculadas con trabajadores IT norcoreanos infiltrados en empresas occidentales. Esta táctica, ya documentada por las agencias de inteligencia, representó el 5% de los accesos iniciales detectados en 2024.

En muchos casos, los trabajadores actuaron dentro del perímetro autorizado, pero con privilegios suficientes para acceder a datos críticos, lo que genera un nuevo tipo de riesgo asociado a procesos de contratación digital poco robustos.

El cloud como objetivos de los APT

El informe también ofrece un análisis detallado sobre los entornos cloud, que se consolidan como uno de los objetivos prioritarios para los grupos de amenazas avanzadas (APT). En más de un tercio de los compromisos cloud analizados, el objetivo final fue el robo de datos.

Además, el 39% de estos accesos comenzaron con ataques de phishing y el 35% con credenciales robadas, lo que sugiere una falta de madurez en los mecanismos de protección de entornos SaaS y de autenticación en la nube. Entre los actores más activos en este ámbito destaca UNC3944, conocido por su capacidad para manipular entornos virtualizados mediante ingeniería social.

Ecosistema de herramientas maliciosas

En lo referente al ecosistema de herramientas maliciosas, el informe identifica más de 630 nuevas familias de malware durante 2024, manteniéndose la tendencia de años anteriores en cuanto a volumen y diversidad. La familia más frecuente sigue siendo BEACON, un backdoor del marco Cobalt Strike, aunque su uso ha descendido notablemente en los últimos años debido a iniciativas como la operación MORPHEUS de Europol.

La mayoría de los nuevos malware detectados fueron diseñados para sistemas Windows (76%), pero el crecimiento del malware orientado a Linux (12%) confirma una diversificación de los vectores de ataque.

Por último, el estudio documenta 83 campañas activas y 5 eventos globales coordinados, donde destacan actores como APT28 (Rusia), APT41 (China) y los grupos UNC asociados a RANSOMHUB y REDBIKE, dos de los ransomware-as-a-service más utilizados en 2024.

Las campañas vinculadas a la explotación de vulnerabilidades específicas, como CVE-2024-3400 en dispositivos de Palo Alto Networks, demuestran cómo los atacantes actúan rápidamente tras la divulgación pública de fallos críticos, aprovechando incluso las horas inmediatamente posteriores a la publicación de exploits.

Ataques cada vez más automatizados y rentables

El informe confirma la evolución de los actores de amenazas hacia modelos de ataque cada vez más automatizados y rentables, y señala un aumento preocupante de amenazas internas, como el uso de trabajadores IT norcoreanos para infiltrarse en organizaciones. Además, destaca el aumento de los compromisos en entornos cloud y la reutilización de herramientas legítimas para evitar la detección.

M-Trends 2025 consolida su papel como referencia en inteligencia de amenazas, aportando datos reales y prácticos para que empresas y administraciones ajusten sus estrategias defensivas. En un contexto donde los ataques son más rápidos y sigilosos, la detección temprana y la seguridad proactiva se consolidan como las claves para sobrevivir al nuevo orden digital.