Análisis de los principales incidentes de seguridad y noticias de ciberseguridad de 2025
Los incidentes de ciberseguridad no son solo titulares llamativos; son descripciones reales de lo que ocurre cuando una intrusión se produce en entornos de producción activos. Cada interrupción, brecha o ataque a la cadena de suministro revela fallos en la gestión de identidades, errores de configuración o accesos de terceros que dábamos por seguros.
La reciente oleada de incidentes en 2024 y 2025 ha dejado algo claro: ningún sector, proveedor o región está fuera del alcance.
En este artículo, te guiamos por los casos relevantes y, lo que es más importante, analizaremos lo que nos enseñan sobre las debilidades actuales en las defensas y en la preparación ante incidentes.
Considera estos casos como un ejercicio práctico para tu propia empresa: ante cada brecha, pregúntate si habrías sido capaz de detectarla a tiempo, contenerla con rapidez y comunicarla con eficacia. Comparar estos incidentes con tu propia infraestructura, tu cadena de suministro o la configuración de tu entorno Microsoft 365 te permitirá aprender de los errores ajenos y reforzar tu capacidad de respuesta y resiliencia.
Octubre de 2024: brecha y DDoS en Internet Archive
A principios de octubre de 2024, la organización sin ánimo de lucro Internet Archive (conocida por su servicio Wayback Machine) sufrió una importante brecha de datos que afectó a más de 31 millones de cuentas de usuario. Los atacantes accedieron a una base de datos de 6,4 GB que contenía direcciones de correo electrónico, nombres de usuario y contraseñas con hash bcrypt.
Al mismo tiempo, el grupo hacktivista conocido como BlackMeta lanzó una serie de ataques de denegación de servicio distribuido (DDoS) contra los sitios del archivo, dejándolos temporalmente fuera de línea. Este incidente expuso fallos en la gestión de la configuración (el vector de ataque fue, al parecer, un archivo de configuración de GitLab expuesto por error).
Hay dos lecciones que podemos sacar de esto, incluso si eres una empresa sin ánimo de lucro o piensas que eres «muy pequeño para ser un objetivo», siempre puedes ser vulnerable. También es crucial revisar cómo tus desarrolladores configuran sus repositorios de código, una mala configuración puede ser muy perjudicial a largo plazo.
Diciembre de 2024: ciberataque al Departamento del Tesoro de EE. UU. por un APT chino
A finales de diciembre de 2024, el Departamento del Tesoro de EE. UU. confirmó que había sido víctima de un ciberataque patrocinado por un Estado, atribuido al gobierno chino.
El ataque, relacionado con un grupo APT (Amenaza Persistente Avanzada) chino, aprovechó una debilidad en la cadena de suministro al comprometer una plataforma de soporte remoto de BeyondTrust, proveedor del Tesoro.
Al obtener una clave de administrador, los atacantes pudieron acceder remotamente a equipos de varios empleados y robar documentos no clasificados. El incidente fue clasificado como «grave» y se notificó a las autoridades en ciberseguridad de EE. UU. (CISA) poco después de que BeyondTrust detectara la intrusión.
La mayor lección aquí es que entiendas bien tu modelo de amenazas, así como los riesgos de dependencia. Si usas una solución de seguridad, ¿dónde está su «llave maestra»? ¿Qué pasaría si se viera comprometida? ¿Cómo lo detectarías a tiempo?
Enero de 2025: explotaciones críticas de Zero Day en VPNs (Ivanti y SonicWall)
El mes de enero fue testigo de ataques activos que aprovechaban vulnerabilidades críticas de tipo zero-day en dos productos populares de acceso remoto para empresas, lo que provocó alertas de seguridad urgentes en todo el mundo. Ivanti (antes Pulse Secure) reveló que su dispositivo Connect Secure VPN tenía una vulnerabilidad crítica que permitía omitir la autenticación y ejecutar código de forma remota sin necesidad de iniciar sesión.
Este fallo ya se estaba explotando desde diciembre de 2024 para infiltrarse en al menos 17 emrpesas, incluida Nominet (el registro de dominios del Reino Unido). Los investigadores de Mandiant atribuyeron el ataque a un grupo de amenazas con sede en China, por las herramientas y malware utilizados.
Al mismo tiempo, SonicWall alertó de otra vulnerabilidad zero-day en su línea de VPN Secure Mobile Access (SMA) 1000, también explotada activamente. Microsoft y CISA confirmaron que esta vulnerabilidad, que igualmente permitía ejecución remota de código sin autenticación, se usó en ataques que se extendieron hasta el mes de julio.
Estos fallos sucesivos en dispositivos VPN han dejado claro el riesgo que supone que los atacantes abusen de sistemas de acceso remoto en los que muchas empresas confían. Todo eso ha obligado a lanzar parches y medidas de emergencia con urgencia.
Estos casos reflejan una tendencia preocupante: que las tecnologías que están pensadas para proteger tu red (como los cortafuegos o VPNs) pueden convertirse en puertas de entrada si están mal diseñadas o mantenidas.
No importa el tamaño del proveedor, debes exigir mayor seguridad. No es aceptable que las soluciones de seguridad acaben siendo el punto débil de tu sistema.
Cybersecurity Report 2026
La aceleración de las amenazas globales impulsada por la IA
Marzo de 2025: campaña de espionaje en routers de Juniper Networks
En marzo de 2025, la empresa de ciberseguridad Mandiant reveló una campaña de espionaje en curso dirigida a infraestructuras de red. Un grupo APT vinculado a China, conocido como UNC3886, había estado explotando una vulnerabilidad recientemente descubierta en el sistema operativo Junos OS de Juniper Networks, que ejecutan sus routers.
Desde mediados de 2024, los atacantes utilizaban este zero‑day para infiltrarse en routers empresariales, y posiblemente gubernamentales, e instalar puertas traseras personalizadas en los dispositivos. Estas puertas traseras les permitieron monitorizar el tráfico y, muy probablemente, moverse de forma lateral dentro de las redes sin ser detectados.
Juniper solucionó la vulnerabilidad con un parche tras descubrirla, pero el incidente sirvió para mostrar que los actores de amenazas avanzadas ahora atacan directamente routers y cortafuegos de red para llevar a cabo campañas de espionaje a largo plazo, eludiendo las soluciones tradicionales de seguridad en endpoints.
Este incidente se puede llevar directamente al equipo de redes de tu empresa: los routers y switches son parte de la «fontanería» de tu infraestructura y una vez instalados tienden a olvidarse mientras funcionen.
Eso los convierte en un escondite ideal para los atacantes, sobre todo porque no es habitual desplegar en ellos herramientas de detección y respuesta en endpoints (EDR). Por eso, asegúrate de monitorizarlos si hay cambios de configuración y mantenlos actualizados con parches.
Junio de 2025: un ataque de ransomware a United Natural Foods, Inc. (UNFI) interrumpe la cadena de suministro alimentaria
En junio de 2025, UNFI, una de las principales empresas de distribución alimentaria y proveedor clave de Whole Foods, sufrió un ataque de ransomware que puso en evidencia el impacto real de los ciberataques en las cadenas de suministro. La empresa detectó actividad no autorizada en sus sistemas el 5 de junio 2025.
Para contener la amenaza, desconectó varios sistemas, lo que paralizó temporalmente su capacidad de procesar pedidos y entregar productos. Consecuentemente, algunos supermercados sufrieron escasez y retrasos en las entregas. La interrupción se prolongó varios días y UNFI declaró que el incidente generaría «retrasos operativos continuos y costes adicionales».
El impacto en la cadena de suministro alimentaria atrajo la atención de los reguladores y subrayó la necesidad de defensas cibernéticas más sólidas en los sectores de distribución y fabricación, pues incluso interrupciones breves pueden tener efectos en cascada sobre los consumidores.
Si tu empresa forma parte de una red más amplia en la que una interrupción puede causar efecto dominó (es decir, que llegaría hasta el público o infraestructuras críticas) tu análisis de riesgos debe contemplar no solo el impacto directo para ti, sino también cómo afectaría esa cadena extendida. Porque, a ojos del público (y de los reguladores), se te considerará responsable de esos efectos más allá de tu operación directa.
Julio de 2025: ataques tipo Scattered Spider contra aerolíneas y minoristas (caso Qantas Airways)
En algunos informes se describe a «Scattered Spider» como un grupo de hackers, aunque más bien se trata de una afiliación laxa de múltiples actores que emplean tácticas similares. Por eso, es más preciso hablar de técnicas «estilo Scattered Spider».
Su enfoque se basa en gran medida en la ingeniería social, engañando al personal de soporte (a menudo subcontratado) para que restablezca credenciales. No se trata tanto de hackear ordenadores, sino de hackear personas. Otra diferencia notable frente a otros actores de amenazas es que suelen ser jóvenes, viven en países occidentales y son hablantes nativos de inglés. Eso ha llevado a que, en los últimos años, muchos ya hayan sido arrestados.
A principios de 2025, Scattered Spider atacó a grandes minoristas británicos (como Marks & Spencer, Co‑op, Harrods) y aseguradoras como Aflac.
En julio de 2025, el colectivo cambió su objetivo al sector de la aviación. Qantas Airways anunció que había sido afectada por una brecha en una plataforma de atención al cliente de un tercero, exponiendo los datos de aproximadamente 6 millones de clientes. Los datos robados incluían nombres, información de contacto, fechas de nacimiento y números de viajero frecuente, aunque no información financiera.
Qantas confirmó que afrontaba un intento de extorsión relacionado con la brecha, y los investigadores señalaron que el ataque presentaba las características típicas de las tácticas del colectivo. Al mismo tiempo, se informaron incidentes similares en WestJet (Canadá) y Hawaiian Airlines (EE. UU.).
La lección principal que se puede extraer de estos ataques es la necesidad de revisar los procedimientos de soporte técnico, especialmente los relativos al restablecimiento de credenciales («he perdido mi teléfono»), y más aún en cuentas con privilegios elevados. Todos los métodos clásicos de verificación basados en conocimiento (número de empleado, nombre del gerente, apellido de soltera de la madre, etc.) son datos que pueden obtenerse fácilmente en redes sociales como LinkedIn y no son suficientemente seguros.
Como primer paso, exige que cualquier recuperación de cuenta con privilegios elevados se realice en persona en una oficina de la empresa.
Julio de 2025: Ataque de ransomware a Ingram Micro
Durante la primera semana de julio de 2025, Ingram Micro, una de las mayores empresas de distribución de IT del mundo, quedó fuera de servicio debido a un ataque de ransomware crítico.
El 4 de julio comenzaron a circular informes de que la empresa sufría una interrupción grave de sus sistemas; poco después confirmó que había sido víctima de un incidente de ransomware y que había desconectado proactivamente muchos de sus sistemas para contenerlo. El ataque paralizó sus sistemas de pedidos online y logística a nivel mundial durante casi una semana.
Para cuando llegó el 10 de julio, el distribuidor ya había restablecido todas sus operaciones comerciales, aunque el impacto para los resellers y partners que dependen de sus servicios fue muy significativo. Los periodistas especializados en ciberseguridad identificaron a un grupo de ransomware relativamente nuevo, llamado SafePay, como responsable del ataque.
A diferencia del caso de UNFI (que hemos mencionado antes), Ingram Micro no tiene una presencia pública tan visible, pero la lección sigue siendo la misma, si tu negocio es clave para que muchos otros funcionen sin problemas, una interrupción como esta, de más de una semana, afectará gravemente a terceros y generará una gran presión para pagar el rescate, algo que debe formar parte de tu evaluación de amenazas.
Julio de 2025: ataques de día cero «ToolShell» contra Microsoft SharePoint
En julio de 2025, investigadores de seguridad alertaron sobre una oleada de ciberataques en curso que explotaban nuevas vulnerabilidades de día cero en servidores locales de Microsoft SharePoint, conocidas colectivamente como «ToolShell». Para el 23 de julio, ya se habían comprometido más de 400 servidores SharePoint en todo el mundo mediante esta cadena de exploits. Publicamos un post con todos los detalles del ataque aquí.
Los ataques permitieron acceso no autorizado y ejecución de código en los hosts de SharePoint, lo que a su vez dio a los atacantes un punto de apoyo en redes corporativas de las víctimas. Se informaron víctimas de varios sectores, incluidas empresas privadas y al menos algunas agencias gubernamentales de EE. UU.; por ejemplo, el Departamento de Energía de EE.UU. confirmó haber sido «mínimamente afectado».
Los equipos de inteligencia de amenazas de Microsoft atribuyeron la actividad a varios grupos estatales chinos (como Linen Typhoon, Violet Typhoon y Storm‑2603) que adoptaron rápidamente los exploits una vez públicos.
Además, se confirmó que delincuentes vinculados a un nuevo ransomware llamado Warlock también utilizaron ToolShell para infiltrarse y desplegar malware. La empresa Microsoft publicó parches para las vulnerabilidades de SharePoint y, junto con agencias como CISA, instó a todas las organizaciones a actualizar de inmediato.
¿La conclusión? Hay que evaluar si conviene confiar en software local (on‑premises). Muchas de estas soluciones dejan de estar bajo el foco principal frente a ofertas SaaS. Si debes usar sistemas locales, asegúrate de que no estén accesibles públicamente. Protégelos con una VPN o, mejor, con una solución SASE basada en la nube. Disponer de un programa de parcheo eficiente para estos servidores es imprescindible.
Agosto de 2025: Salesloft + Drift
A finales de agosto se confirmó que Salesloft, una solución integrada con Salesforce (y también con Slack / Pardot), había sido comprometida, y Salesforce deshabilitó la integración de Drift con estos sistemas.
El ataque, en realidad, comenzó en junio de 2025, cuando la cuenta de GitHub de Salesloft fue comprometida; luego los atacantes accedieron a su entorno de AWS, donde obtuvieron tokens OAuth de los entornos de clientes de Drift.
Este ataque en la cadena de suministro, donde basta con atacar un solo proveedor para acceder a cientos de empresas víctimas, es especialmente peligroso. Los tokens OAuth son muy potentes, una vez están en manos de los ciberdelincuentes, revocarlos y eliminar la integración es lo que te protege, no la MFA ni restablecer credenciales como en el caso de cuentas de usuario comprometidas.
La lista de víctimas se ha vuelto extensa e incluye a empresas como BeyondTrust, Cloudflare, CyberArk, Nutanix, Palo Alto Networks, Qualys, Rubrik, Tenable y Zscaler.
La respuesta ante este incidente es compleja porque, si tu empresa está afectada, debes averiguar qué datos tenía acceso la integración, qué credenciales de otros sistemas pueden estar disponibles en esos datos y luego restaurar todas esas credenciales. También existe el riesgo de exposición de datos o multas, dependiendo del contenido de lo que se haya extraído.
La lección aquí es precisamente la que señalábamos en el informe del año pasado, las identidades no humanas y las integraciones vía API y OAuth en la nube y con tus distintos proveedores SaaS deben monitorizarse para detectar actividad anómala. Forman parte esencial del tejido de identidad, no supervisado, y son increíblemente atractivas para los atacantes.
Septiembre de 2025: Jaguar Land Rover (JLR)
El lunes 1 de septiembre de 2025, Jaguar Land Rover detuvo la producción en sus fábricas del Reino Unido, Eslovaquia, Brasil e India. Dado que se trata de una situación en curso, y solo se ha reanudado una producción limitada cuatro semanas después, este ataque ha tenido un impacto enorme tanto para JLR como para sus proveedores.
Y aunque aún no se conocen todos los detalles técnicos, la mayoría de los sistemas TI de JLR estaban externalizados a Tata Consultancy Services (TCS), parte del grupo Tata, propietario de JLR desde 2008.
Muchas industrias manufactureras, incluida la automovilística, se dirigen hacia cadenas de suministro totalmente automatizadas, con piezas que llegan justo a tiempo y flujos de trabajo digitales de diseño y fabricación. Si bien esto mejora la eficiencia, comprender la compleja red de interdependencias y asegurar la ciberseguridad en cada punto débil es crucial.
Aunque JLR cuenta con reservas de efectivo considerables, el Gobierno británico avaló un préstamo de 1.500 millones de libras para ayudar a afrontar la crisis. Se espera que el impacto financiero total alcance 1.900 millones de libras.
La empresa emplea a más de 34.000 personas directamente, con alrededor de 120.000 en su cadena de suministro (algunos proveedores podrían verse obligados a cerrar). Se cree que JLR no tenía un seguro de ciberseguridad adecuado, por lo que ha tenido que asumir en gran parte toda la factura.
La lección es clara, el llamado a la transformación digital ha sido fuerte en la última década y, aunque es vital para cualquier negocio, no proteger las debilidades de ciberseguridad en todos los componentes del sistema global entraña enormes riesgos. Y asegúrate de contar con un seguro de ciberseguridad acorde con tu perfil de riesgo.
El aviso final es inquietante, con el rescate gubernamental en marcha, es probable que los ataques en el futuro se dirijan a compañías británicas, ya que los atacantes pueden considerar que tienen más probabilidades de obtener un pago.
Octubre de 2025: compromiso total de F5
En octubre de 2025, F5 Networks, un proveedor clave de controladores de entrega de aplicaciones y soluciones de seguridad de red, reveló que había sufrido una brecha de seguridad perpetrada por un actor estatal de gran sofisticación.
La investigación posterior indicó que los atacantes probablemente habían obtenido acceso inicial a finales de 2023 al explotar un sistema de F5 que quedaba expuesto en internet por error, eludiendo las políticas internas de seguridad. Este descuido permitió a los atacantes establecer una presencia persistente y sigilosa en la red interna de F5 durante al menos 12 meses sin ser detectados.
La brecha se descubrió en agosto de 2025, y F5 la hizo pública a mediados de octubre. Dado que los productos de F5 están profundamente integrados en la infraestructura de muchas empresas, este incidente plantea graves preocupaciones sobre la seguridad de la cadena de suministro. Una vez dentro, los intrusos usaron un malware personalizado bautizado como «BRICKSTORM» para moverse lateralmente en el entorno virtualizado de F5, eludiendo los controles de seguridad. La brecha se atribuye a un grupo de espionaje vinculado a China, conocido como UNC5221.
Durante el tiempo en que permanecieron ocultos, los atacantes inactivaron su actividad más de un año, posiblemente para superar los periodos de retención de registros de F5 y borrar prácticamente todas las huellas del compromiso inicial. Cuando reactivaron su presencia, exfiltraron archivos extremadamente sensibles, entre ellos parte del código fuente propietario de BIG‑IP y reportes internos sobre vulnerabilidades no divulgadas (zero‑day) en productos de F5. Estos datos robados les dan a los atacantes información privilegiada sobre fallos de seguridad aún sin reparar ni publicar, una especie de «llave maestra» para posibles ataques futuros contra dispositivos de F5 en todo el mundo.
El incidente subraya cómo una sola brecha bien ejecutada en un proveedor tecnológico crítico puede suponer riesgos extendidos, los dispositivos de F5 se utilizan para proteger y equilibrar aplicaciones críticas en redes gubernamentales y empresariales a escala global.
La lección es incómoda pero clara, incluso el mayor proveedor de seguridad es vulnerable ante un atacante decidido y, sin supervisión adecuada ni registros eficaces, puede permanecer sin ser detectado durante mucho tiempo, como ya ha ocurrido con la brecha de SolarWinds en 2020.
Aún no contamos con todos los detalles técnicos para conocer el impacto completo en los próximos meses, pero si tu red depende de equipos de F5, debes actualizar todo cuanto antes, incluyendo todas las credenciales.
Anticípate a la próxima ola de incidentes de ciberseguridad con protección en capas y aplicada al mundo real
Advanced Threat Protection y 365 Total Protection de Hornetsecurity fortalecen tu entorno de Microsoft 365 antes de que los atacantes logren establecerse, ayudándote a prevenir incidentes como los analizados en este informe. Estas soluciones bloquean exploits de día cero, enlaces maliciosos, intentos de suplantación de identidad y cuentas comprometidas en la capa de correo electrónico y colaboración. De esta forma, evitamos que las amenazas lleguen a tus sistemas críticos.
Si combinas todo esto con una configuración más segura y un mayor control sobre proveedores y accesos de terceros, podrás dejar de reaccionar ante cada incidente y empezar a anticiparte a ellos de forma proactiva.
Solicita una demo y descubre cómo Hornetsecurity puede ayudarte a cerrar las brechas expuestas por los ataques recientes y a construir una arquitectura de seguridad sólida y preparada para afrontar cualquier incidente en torno a Microsoft 365.
Conclusión
Los incidentes descritos en este artículo revelan una realidad incómoda: la mayoría de los fallos de ciberseguridad no son aleatorios, sino sistémicos. Basta con un archivo de configuración expuesto, una integración con permisos excesivos o una conexión de terceros sin control para desencadenar interrupciones millonarias o incluso crisis de seguridad a nivel gubernamental.
En conjunto, estos casos demuestran con qué facilidad puede explotarse una única vulnerabilidad y hasta qué punto su impacto puede propagarse a través de las cadenas de suministro y los servicios críticos.
Los incidentes recientes también evidencian algo crucial: la tecnología, por sí sola, no basta para garantizar la seguridad. Muchas empresas repiten los mismos errores: inventarios de activos incompletos, sistemas heredados accesibles desde internet, identidades no humanas sin supervisión adecuada o servicios de terceros con accesos excesivos y persistentes.
Un simple router olvidado o un token OAuth sin vigilancia puede comprometer una arquitectura de seguridad que, sobre el papel, parecía sólida.
Las empresas que están en mejor posición para afrontar la próxima ola de amenazas son las que conciben la seguridad como un sistema vivo: constantemente mapeado, actualizado, probado y supervisado. Implica conocer a fondo tus dependencias, ensayar escenarios de respuesta ante incidentes y ver que tus controles funcionan en condiciones reales, no solo en teoría.
La resiliencia nace de anticiparse al fallo, detectarlo a tiempo y contenerlo antes de que escale.
Las brechas de seguridad han dejado de ser excepciones para convertirse en una constante que pone a prueba la capacidad de resiliencia. Usa estos incidentes para reforzar tu situación hoy, de forma que, cuando la próxima ola de ciberataques golpee tu sector, respondas con rapidez, claridad y determinación, sin caer en el pánico.
Preguntas frecuentes
¿Cuál es el patrón evidente que conecta estos grandes incidentes de seguridad?
En todos estos casos, el denominador común no son técnicas sofisticadas ni ataques mágicos, sino vulnerabilidades básicas en la gestión de identidades, la configuración y los modelos de confianza. La mayoría de los atacantes acceden a través de un único punto débil: una credencial expuesta, una integración con permisos excesivos, un dispositivo perimetral sin actualizar o un servicio en la nube mal configurado. No necesitan superar todos los controles, solo encontrar una brecha sin vigilancia desde la que moverse lateralmente con discreción por el sistema.
¿Por qué los ataques a la cadena de suministro y a terceros son tan peligrosos?
Porque se producen justo donde confluyen privilegios elevados y visibilidad limitada. Una sola plataforma de un proveedor, una integración o un sistema de atención al cliente pueden estar conectados de forma silenciosa con cientos o miles de empresas. Si ese punto se ve comprometido, el alcance del ataque puede ser masivo. Así lo han demostrado los incidentes de 2024 y 2025, cuyos elementos como tokens OAuth, herramientas de soporte remoto o integraciones en la nube tienen accesos amplios y persistentes y difíciles de detectar y revocar una vez que el ataque está en marcha.
¿Qué lecciones prácticas deberían sacar las empresas de estos incidentes?
Empieza por analizar tu infraestructura y tu ecosistema SaaS con la mirada de un atacante: identifica tus dependencias, localiza relaciones de confianza débiles y asume que, tarde o temprano, alguna credencial, token o configuración quedará expuesta. Supervisa las identidades no humanas y las integraciones de terceros, valida tus procedimientos de soporte y recuperación, aplica sin demora los parches a sistemas perimetrales críticos y evita exponer servicios on-premises directamente a internet. Después, refuerza tu estrategia con soluciones especializadas, como el portfolio de Hornetsecurity para Microsoft 365, que permite detectar con antelación ataques por correo, suplantaciones de identidad y compromisos en la cadena de suministro, evitando que un incidente aislado escale hasta convertirse en una crisis mayor.
