La ciberseguridad vive un cambio de etapa. Ya no se trata solo de ataques puntuales lanzados por actores dispersos, sino de operaciones cada vez más estructuradas, con métodos de trabajo, jerarquías y objetivos propios de una gran organización. Esa es una de las principales conclusiones del primer informe In the Wild de HPE Threat Labs, que alerta de que los ciberdelincuentes están profesionalizando su actividad hasta convertirla en una maquinaria capaz de ampliar y acelerar sus ofensivas a escala global.
El estudio se basa en el análisis de 1.186 campañas activas detectadas durante 2025 y dibuja un escenario marcado por tres rasgos: escala, organización y velocidad. Según HPE, los atacantes combinan automatización con el uso de vulnerabilidades conocidas desde hace años para comprometer activos de alto valor a un ritmo que supera, en muchos casos, la capacidad de reacción de los equipos de seguridad.
Uno de los datos más llamativos es el alcance de la actividad detectada a lo largo del año. Los actores maliciosos desplegaron más de 147.000 dominios maliciosos, distribuyeron cerca de 58.000 archivos de malware y explotaron activamente 549 vulnerabilidades. Esa dimensión revela que muchas campañas ya no dependen de una sola herramienta o de un único vector de entrada, sino de infraestructuras amplias, reutilizables y preparadas para mantener la presión incluso cuando una parte de la operación es desmantelada.
La administración pública, en el centro del objetivo
El informe sitúa al sector público como el más atacado a nivel mundial, con 274 campañas dirigidas a organismos federales, autonómicos y municipales. Tras él aparecen el sector financiero, con 211 campañas, y el tecnológico, con 179. También se registró una fuerte actividad contra defensa, industria manufacturera, telecomunicaciones, sanidad y educación.
La lectura de estos datos apunta a una selección de objetivos cada vez más calculada. Los delincuentes priorizan ámbitos vinculados a infraestructuras críticas, información sensible y capacidad de generar beneficio económico. En otras palabras, siguen el rastro del dinero y del impacto estratégico.
La IA entra de lleno en el arsenal de los atacantes
Otra de las advertencias del informe es el uso creciente de la inteligencia artificial generativa en las campañas de fraude y suplantación. HPE señala que esta tecnología ya se emplea para crear voces sintéticas, imágenes y vídeos falsosdestinados a engañar a víctimas concretas, incluidos casos de vishing o de suplantación de directivos.
A ello se suma la automatización de procesos a modo de cadena de montaje. Algunas operaciones utilizan plataformas como Telegram para exfiltrar datos robados en tiempo real, mientras que determinados grupos incluso realizan análisis de mercado sobre vulnerabilidades en redes privadas virtuales (VPN) para optimizar sus intrusiones. El resultado es una ofensiva más ágil, más precisa y con mayor capacidad de expansión.
Menos herramientas nuevas y más coordinación defensiva
Frente a este panorama, HPE defiende que la respuesta no pasa únicamente por sumar tecnología, sino por reforzar la coordinación, la visibilidad y la capacidad de reacción. Entre las medidas propuestas figuran eliminar silos mediante el intercambio de inteligencia, corregir puntos de entrada habituales como VPN o SharePoint, aplicar principios de zero trust y extender la seguridad más allá del perímetro corporativo hacia redes domésticas, terceros y cadenas de suministro.
El mensaje de fondo es claro: si los atacantes ya operan como empresas, las organizaciones tendrán que responder con el mismo nivel de estrategia y disciplina. Porque el problema no es solo que haya más ciberataques, sino que detrás de ellos hay un modelo cada vez más maduro, rentable y difícil de frenar.
