HPE ha presentado los resultados de su primer informe de investigación sobre ciberamenazas, “In the Wild”, un documento que pone de manifiesto un cambio profundo en la forma de operar de los ciberatacantes a gran escala, especialmente en sectores industriales y servicios públicos críticos a nivel mundial.
El estudio, elaborado a partir del análisis de actividad real detectada por HPE en todo el mundo durante 2025, revela que el cibercrimen ha evolucionado hacia un modelo completamente industrializado. Los atacantes combinan procesos automatizados con la explotación de vulnerabilidades conocidas desde hace años, lo que les permite ampliar sus campañas, comprometer activos de alto valor y mantener una presencia constante, superando con creces la capacidad de respuesta de muchos equipos de seguridad. En este escenario, la habilidad de las organizaciones para afrontar ataques cada vez más agresivos y salvaguardar la confianza digital se convierte en una prioridad estratégica.
El análisis de 1.186 campañas activas muestra un panorama definido por la escala, la organización y la velocidad. Este ecosistema en continua transformación destaca por su creciente profesionalización, la automatización intensiva y una elección de objetivos cada vez más táctica. Los ciberatacantes reutilizan infraestructuras y explotan vulnerabilidades antiguas para atacar con precisión sectores de alto valor.
“In the Wild refleja la realidad a la que se enfrentan las organizaciones cada día”, afirma Mounir Hahad, responsable de HPE Threat Labs. “Nuestro trabajo se basa en actividad real, no en pruebas teóricas en entornos controlados. Estudiamos cómo actúan los atacantes en campañas activas, cómo evolucionan y dónde logran mayor impacto. Estos datos ofrecen una visión clara de las amenazas con mayor probabilidad de comprometer datos, infraestructuras y operaciones. En la práctica, esto se traduce en mejores defensas, detecciones más precisas y una mayor resiliencia frente a ataques cada vez más organizados y persistentes”.
Infraestructuras a escala industrial impulsan las campañas de amenazas actuales
Tal y como recoge este primer informe, HPE Threat Labs ha observado un aumento tanto en el volumen de ataques como en la sofisticación de las tácticas y técnicas empleadas. Entre los actores de amenazas se encuentran grupos de espionaje vinculados a estados y organizaciones de cibercrimen, que operan con un nivel de organización similar al de grandes empresas: adoptan estructuras jerárquicas, equipos especializados y mecanismos de coordinación ágil para desplegar infraestructuras de ataque amplias e industrializadas, además de demostrar un profundo conocimiento de las aplicaciones y documentos de uso habitual en los entornos laborales.
El sector público fue el más atacado a nivel global, con 274 campañas dirigidas a organismos federales, autonómicos y municipales. Les siguieron de cerca los sectores financiero y tecnológico, con 211 y 179 campañas respectivamente, lo que refleja el interés sostenido de los atacantes por los datos de alto valor y el beneficio económico. También se registró una elevada actividad contra organizaciones de defensa, industria manufacturera, telecomunicaciones, sanidad y educación. En conjunto, estos datos ponen de relieve que los atacantes priorizan estratégicamente sectores vinculados a infraestructuras críticas, a información sensible y a la estabilidad económica, aunque ningún sector está exento de riesgo.
A lo largo del año, los actores de amenazas desplegaron más de 147.000 dominios maliciosos, cerca de 58.000 archivos de malware y explotaron activamente 549 vulnerabilidades. Este grado de profesionalización del cibercrimen hace que los ataques sean más predecibles en su ejecución, pero también más difíciles de interrumpir, ya que desmantelar un componente de una operación rara vez detiene la campaña en su conjunto.
La automatización y las herramientas de IA aceleran la velocidad y el impacto de los ataques
Los atacantes también han adoptado nuevas técnicas para ganar en rapidez y eficacia. Algunas operaciones emplean flujos de trabajo automatizados, a modo de “cadena de montaje”, a través de plataformas como Telegram para exfiltrar datos robados en tiempo real. Otras recurren a la IA generativa para crear voces sintéticas y vídeos falsos con fines de fraude dirigido, como el vishing o la suplantación de ejecutivos. Además, un grupo especializado en extorsión llegó a realizar análisis de mercado sobre vulnerabilidades en redes privadas virtuales (VPN) con el objetivo de optimizar su estrategia de intrusión.
Estas tácticas permiten a los atacantes actuar con mayor rapidez, ampliar su alcance y concentrar sus esfuerzos en sectores críticos. Al optimizar sus operaciones y priorizar objetivos de alto valor, logran maximizar el beneficio económico con mayor eficiencia, siguiendo de forma estratégica el rastro del dinero.
Medidas prácticas para reforzar la ciberresiliencia
El informe subraya que una defensa eficaz depende menos de incorporar nuevas herramientas y más de mejorar la coordinación, la visibilidad y la capacidad de respuesta en toda la red. En este sentido, las organizaciones deben adoptar las siguientes medidas para reforzar su seguridad:
- Eliminar silos mediante el intercambio de inteligencia de amenazas entre equipos internos, clientes e industrias, apoyándose en un enfoque SASE (secure access service edge) que unifique red y seguridad y permita detectar antes los patrones de ataque.
- Corregir puntos de entrada habituales, como VPNs, SharePoint o dispositivos en el extremo, para reducir la exposición y cerrar vías de acceso recurrentemente explotadas.
- Aplicar principios de zero trust para reforzar la autenticación y limitar el movimiento lateral, con soluciones de ZTNA (zero trust network access) que verifiquen de forma continua usuarios y dispositivos antes de conceder acceso.
- Mejorar la visibilidad y la capacidad de respuesta mediante inteligencia de amenazas, tecnologías de decepción y detección nativa en IA, lo que permite identificar, analizar y responder a los ataques con mayor rapidez y precisión.
- Extender la seguridad más allá del perímetro corporativo hacia redes domésticas, herramientas de terceros y entornos de la cadena de suministro.
En conjunto, estas medidas permiten a las organizaciones actuar con mayor agilidad, reducir riesgos y reforzar su capacidad de defensa frente a amenazas cada vez más organizadas y persistentes.
HPE Threat Labs eleva el nivel de la defensa de red
Sobre la base de una sólida trayectoria en investigación, HPE ha puesto en marcha HPE Threat Labs para hacer frente a un entorno de amenazas en constante evolución. Al integrar el talento y la inteligencia de seguridad de primer nivel de HPE y Juniper Networks, HPE Threat Labs aúna un conocimiento especializado profundo y amplía significativamente el volumen de datos disponible para identificar y seguir amenazas reales. Esto permite alimentar directamente las soluciones de HPE con la inteligencia necesaria para detectar y bloquear ataques maliciosos con mayor eficacia.
“HPE Threat Labs se creó para conectar la investigación más avanzada con su aplicación real en seguridad”, señala David Hughes, SVP & GM de SASE y Seguridad para Networking en HPE. “El informe In the Wild muestra que los atacantes actuales operan con la disciplina, la escala y la eficiencia propias de grandes organizaciones globales, y que hacerles frente exige el mismo nivel de estrategia, integración y rigor operativo. Al trasladar la inteligencia de amenazas a nuestros productos, HPE Threat Labs ayuda a las organizaciones a reducir riesgos, minimizar el impacto de los ataques y proteger los sistemas de los que dependen sus negocios”.
