Ciberataques a cambio de beneficios económicos.
El 'leitmotiv' de los criminales cibernéticos: cómo el beneficio económico inspira los ataques informáticos más letales
El 55% de los ciberataques que se producen en el mundo tiene un objetivo financiero y se detectan en un promedio de 11 días, mientras que en Europa el tiempo se alarga hasta casi un mes.
Más información: Google confirma que China, Rusia, Corea del Norte e Irán emplean los ciberataques para desestabilizar Occidente
A finales de la década de los 90, se produjo uno de los primeros ciberataques de la historia dirigidos a mermar la productividad de las empresas y corromper sus archivos y documentos. Se trataba del malware Melissa, que en 1999 se propagó a través del correo electrónico en varias empresas estadounidenses y causó pérdidas económicas superiores a los 75 millones de euros.
Unos años después, en 2007, Estonia –país referente en digitalización– sufrió un ataque de denegación de servicio (DoS) de origen ruso que colapsó los sistemas gubernamentales y financieros. Fue la primera vez que un Estado sufría una ofensiva de este tipo.
Diez años después, el ransomware WannaCry infectó a instituciones y empresas de más de 150 países, entre ellas Telefónica, marcando un antes y un después en las medidas de protección de alcance internacional.
Más allá de las tecnologías, métodos y actores de cada caso, el motivo detrás de estos ataques siempre ha sido el mismo: la búsqueda de beneficio económico, que continúa siendo una constante. En 2024, el 55% de los ataques que se produjeron tuvieron un objetivo financiero. Una cifra que confirma la tendencia ascendente respecto a 2023 (52%) y 2022 (48%), según recoge el informe ‘M-Trends 2025’, que acaba de publicar Mandiant.
El espionaje sigue presente, aunque curiosamente se ha reducido en el actual contexto geopolítico, representando un 8% de los ataques en 2024, por debajo del 10% registrado el año anterior.
Técnicas más sofisticadas
Lo que sí ha evolucionado de forma significativa son las técnicas que emplean los ciberdelincuentes para aumentar sus ganancias. Stuart McKenzie, director general de Mandiant para EMEA, advierte que la sofisticación de las amenazas no deja de crecer. “El ecosistema cibercriminal ha madurado hasta un punto en el que se combinan diferentes vectores de forma simultánea en un solo ataque: ransomware, robo de datos y extorsión”, explica.
Ahora, no solo se trata de cifrar información o solicitar rescates, sino de aprovecharse de puntos débiles todavía desconocidos. En este sentido, en el análisis global realizado por Mandiant, los exploits (códigos que precisamente se aprovechan de vulnerabilidades de software) lideran la estadística por quinto año consecutivo: están presentes en el 33% de las incidencias registradas en 2024.
Por primera vez, las credenciales robadas se sitúan en segundo lugar (16%), por delante del phishing por correo electrónico (14%), los ataques web (9%) y los ataques previos (8%). Una diversificación que, además, refleja la profesionalización del sector.
La situación cambia ligeramente en la región EMEA (Europa, Oriente Medio y África). Aquí, los exploits también son el método de ataque dominante (39%), seguidos del phishing por correo electrónico (15%) y los ataques de fuerza bruta (10%). Un panorama que seguramente es fruto de las particularidades regulatorias y las normativas en ciberseguridad en parte de este territorio.
Se alarga el tiempo de reacción
En lo que respecta a la notificación de incidentes, un 57% de los casos detectados a nivel global fueron comunicados externamente, ya sea por proveedores de ciberseguridad o fuerzas policiales (43%), o por los propios atacantes, en el caso de notas de rescate (14%). El 43% restante lo descubrieron las propias organizaciones.
Si nos detenemos en EMEA, las propias organizaciones detectaron el 41% de los casos, mientras que el 59% se descubrieron desde el exterior, una proporción muy similar a la media global (43% interno, 57% externo).
Por otra parte, uno de los indicadores clave para evaluar la capacidad de respuesta de las organizaciones ante estas ofensivas es el tiempo de permanencia (dwell time), es decir, los días que transcurren desde la intrusión hasta su detección. A nivel global, el tiempo promedio fue de 11 días en 2024, lo que supone un ligero aumento respecto a los 10 días de 2023, pero inferior a los 16 días de 2022.
Sin embargo, en EMEA la realidad es bastante distinta, con un promedio de 27 días y diferencias importantes según el origen de la detección. Si el descubrimiento fue interno, el tiempo medio fue de 20 días, pero si fue externo, la media se disparó a 32, casi triplicando los 12 días del año anterior.
Este indicador refleja que no hay que bajar la guardia ante las nuevas ciberamenazas. Desde Mandiant ya han detectado auge de los infostealers, un tipo de malware diseñado para robar información sensible y credenciales; y del uso de tecnologías emergentes, como Web3 y el entorno de las criptomonedas, que ofrecen nuevas puertas de entrada para los atacantes.
“La creciente sofisticación y automatización que ofrece la inteligencia artificial está exacerbando aún más estas amenazas al permitir ataques más selectivos”, advierte McKenzie. De ahí que, en el entorno actual, a las empresas no solo les valga con reaccionar para protegerse, también han de tomar medidas de forma proactiva y prepararse para futuros ciberataques para salvaguardar su seguridad y evitar pérdidas económicas.
