El informe M-Trends 2025 de Mandiant (Google Cloud) alerta sobre el aumento de infostealers, fallos de seguridad en la nube y riesgos geopolíticos
En un contexto global cada vez más digitalizado, las amenazas cibernéticas han evolucionado significativamente. Así lo evidencia el informe M-Trends 2025, publicado por Mandiant, la unidad de inteligencia de amenazas de Google Cloud, que analiza los incidentes de ciberseguridad más relevantes registrados durante 2024. Basado en más de 450.000 horas de investigaciones de respuesta a incidentes, el informe aporta una visión detallada de las tácticas utilizadas por actores maliciosos, los sectores más afectados y las principales debilidades explotadas por los atacantes.
Infostealers al alza y vulnerabilidades en la nube
Uno de los hallazgos más destacados del informe es el crecimiento en el uso de malware tipo infostealer, programas diseñados para robar credenciales y facilitar accesos no autorizados a redes corporativas. Estos ataques se han convertido en una puerta de entrada cada vez más común y sofisticada, integrándose en campañas complejas de ciberespionaje y robo de datos.
Otro punto crítico señalado en el informe es la exposición de repositorios de datos mal configurados. La falta de prácticas básicas de higiene en seguridad, como el uso de contraseñas robustas o la restricción de accesos públicos, ha facilitado que ciberdelincuentes obtengan información sensible sin necesidad de explotar vulnerabilidades complejas.
En paralelo, se ha observado un incremento notable en los compromisos de entornos cloud. Las migraciones mal planificadas o mal gestionadas a servicios de nube pública han introducido nuevas superficies de ataque. Las configuraciones erróneas, los permisos excesivos y la falta de monitorización continua permiten a los atacantes moverse lateralmente por los sistemas una vez han conseguido acceso.
Tácticas de intrusión y sectores bajo amenaza
El phishing continúa siendo una táctica común, aunque ha sido superado por la explotación de vulnerabilidades como vector de entrada más frecuente. En 2024, el 33 % de las intrusiones comenzaron a través de vulnerabilidades sin parchear, mientras que los ataques de phishing sirvieron, en muchos casos, como parte de campañas más amplias para la obtención de credenciales y acceso inicial.
En cuanto al tiempo medio de permanencia de los atacantes en las redes antes de ser detectados, el informe revela un ligero aumento: de 10 días en 2023 a 11 días en 2024. Este dato refleja la creciente capacidad de los atacantes para mantenerse ocultos dentro de las organizaciones.
El sector financiero ha sido el más golpeado, representando más del 17 % de las investigaciones realizadas por Mandiant. Le siguen otras industrias críticas como las telecomunicaciones, el sector sanitario y la tecnología.
Amenazas regionales y geopolíticas
El informe también alerta sobre riesgos geopolíticos específicos. Se documentan operaciones de ciberespionaje vinculadas a trabajadores de TI de la República Popular Democrática de Corea (Corea del Norte), que operan como amenazas internas. Estas personas han logrado empleo remoto en empresas internacionales para obtener acceso privilegiado a sistemas corporativos.
Asimismo, se ha observado actividad continuada de actores asociados a Irán, especialmente en el contexto de tensiones geopolíticas en Oriente Medio. Estas amenazas combinan campañas de desinformación, sabotaje y espionaje contra infraestructuras críticas y sectores estratégicos.
En el ámbito emergente de Web3 y las criptomonedas, el informe identifica un crecimiento en las amenazas dirigidas a plataformas de blockchain. Estas incluyen desde estafas de phishing en billeteras digitales hasta compromisos directos de contratos inteligentes mal escritos o mal auditados.
Recomendaciones para reforzar la ciberseguridad
Mandiant concluye su informe con una serie de recomendaciones clave:
- Refuerzo de la seguridad en la nube: implantar controles de acceso granular, revisiones de configuración y herramientas de detección de comportamiento anómalo en entornos cloud.
- Gestión del riesgo interno: establecer controles para mitigar amenazas internas, especialmente las derivadas de actores estatales o empleados externos sin supervisión adecuada.
- Protección de datos sensibles: garantizar el cifrado, control de accesos y monitorización de repositorios de datos críticos.
- Preparación frente a nuevas amenazas: adoptar un enfoque proactivo que combine inteligencia de amenazas, simulacros de ataque (red teaming) y formación continua del personal.
Con esta 16.ª edición del M-Trends, Google Cloud busca ofrecer a los responsables de seguridad una guía práctica basada en datos reales para anticiparse a los desafíos de un panorama de amenazas cada vez más complejo y dinámico.
El informe completo está disponible en: https://cloud.google.com/security/resources/m-trends
