Durante el 2025, el panorama de la ciberseguridad se ha visto marcado por un aumento del 44% en los ataques globales, impulsado principalmente por la sofisticación de la Inteligencia Artificial (IA) y el ransomware de nueva generación, informó Check Point. La creciente sofisticación de las amenazas cibernéticas y el impacto de la inteligencia artificial han golpeado sobre todo a la banca y el sector salud, precisaron.
A nivel de tipo de delitos o ataques, ha destacado el ransomware, que sigue siendo la amenaza más dañina. Se ha visto además un incremento del 34% en ataques contra infraestructuras esenciales como energía, transporte y manufactura. Caso destacado es la parálisis de los sistemas de la autoridad nacional de gestión de agua en Rumania en diciembre de 2025.
También se ha visto un alza en los ataques impulsados por IA generativa para escalar operaciones y el uso de los deepfakes (audio y video) para realizar estafas altamente persuasivas. Los ciberdelincuentes han industrializado el uso de IA y desarrollado malware capaz de evadir defensas en tiempo real cambiando su código automáticamente. Y la nube no se ha salvado: se han duplicado las vulnerabilidades en proveedores externos, el robo de identidades o credenciales y las infecciones en celulares.
A continuación enumeramos algunos de los principales incidentes observados en el mundo y el Perú:
China expuesta
Según ESET, China fue el país más afectado este año con una filtración de 4 mil millones de datos. Una base de datos de más de 630 gigabytes sin contraseña expuso al público los registros de WeChat y Alipay. La filtración, ocurrida en junio del 2025, contenía información residencial, números de tarjetas bancarias, fecha de nacimiento, nombres y teléfonos. Con esta data, los actores maliciosos podrían, por ejemplo, crear perfiles detallados sobre hábitos de consumo y situación económica de las personas.
El chatbot de McDonald’s
McDonald’s tiene un chatbot Olivia (implementado por Paradox.ai), a través del cual se solicita el currículum e información a los postulantes que quieren aplicar a las vacantes laborales. En junio, informó ESET, Olivia se convirtió en la puerta de entrada para los cibercriminales, quienes accedieron a la información de 64 millones de solicitantes. La filtración de datos se dio por una falla de seguridad crítica en este chatbot a través de una página web que los dueños de estos restaurantes podían utilizar para ver toda la información de las personas que se postulaban a las vacantes.
Mega leak
A mediados de 2025, investigadores de Cybernews descubrieron 30 conjuntos de datos expuestos que contenían más de 16 mil millones de credenciales de inicio de sesión y más de 47 GB de información, incluyendo accesos a bancos, plataformas financieras, servicios de salud y portales gubernamentales de distintos países. Incluían contraseñas de acceso a Google, Apple, Facebook, Telegram, GitHub, entre otros, informó el blog de CyberManager Alliance. «Si bien no se produjo una única filtración de estas grandes empresas tecnológicas, el conjunto de datos era una acumulación masiva de credenciales robadas por malware y filtraciones anteriores…un bufé de credenciales para los atacantes», comentaron. Los analistas lo calificaron como una filtración histórica de gran escala y estimaron que los datos provenían de infostealers, un tipo de malware que infecta las PC y roba datos directamente del navegador.
Los ciberdelincuentes han industrializado el uso de IA y desarrollado malware capaz de evadir defensas en tiempo real cambiando su código automáticamente.
El ataque a Salesforce
Los expertos la consideran la mayor brecha SaaS del año: un compromiso de OAuth que afectó a miles de empresas que usan Salesforce, generando un robo masivo de datos corporativos de grandes corporaciones internacionales. CyberManager Alliance consideró que la vulnerabilidad de Salesforce/Salesloft-Drift SaaS está vinculada a grupos como ShinyHunters/UNC6395, quienes aparentemente comprometieron la integración entre Drift (adquirida por Salesloft) y Salesforce. Los delincuentes obtuvieron acceso a tokens OAuth y tokens de actualización.
Bancos en la mira
Según el Informe de Amenazas 2025 de ENISA (Agencia de la Unión Europea para la Ciberseguridad), las redes sociales se han consolidado como el principal vector de distribución de ataques, mientras que el malware bancario experimentó un resurgimiento y el ransomware estuvo muy presente (4 de cada 10). De hecho, un ransomware potenciado por IA atacó simultáneamente a más de 60 bancos en el mundo y cifró sistemas críticos.
Además, en julio, Brasil sufrió un gran ciberataque a su sistema financiero que generó una pérdida cercana a los US$150 millones. Los ciberatacantes se centraron en C&M Software, empresa que provee la infraestructura técnica para que bancos y otras instituciones se conecten a PIX y/o el Banco Central, la cual lograron vulnerar usando credenciales robadas.
A mediados de 2025, investigadores de Cybernews descubrieron 30 conjuntos de datos expuestos que contenían más de 16 mil millones de credenciales de inicio de sesión y más de 47 GB de información, incluyendo accesos a bancos, plataformas financieras, servicios de salud y portales gubernamentales de distintos países.
En Perú, según Kaspersky, se bloqueó más de 18 mil ataques bancarios en el último año. En el caso de Interbank, el banco que fue protagonista de escándalos sobre una posible filtración de datos a fines del 2024, también estuvo en problemas en 2025, cuando explotó la bomba. Se estimó que la filtración bancaria de 3,7 TB de datos, incluyendo datos biométricos, CVV, credenciales y cuentas de millones de usuarios tuvieron efectos en el 2025. Además, el banco fue multado por Indecopi.
Hackeo a las telco
En setiembre del 2025, el New York Times informó que Hackers chinos podrían haber robado datos de casi todos los ciudadanos de EE. UU. La información recopilada durante el ataque, que duró años, podría permitir a los servicios de inteligencia de Pekín rastrear objetivos de Estados Unidos, afirmaron. Según la prensa internacional, las telco estadounidenses como Verizon, AT&T, Charter y Windstream fueron las víctimas de un ataque de espionaje prolongado operado por grupos chinos, entre ellos Salt Typhoon. Se estima que pueden haber atacado a más de 80 países.
Dentro de ese grupo podría estar Telefónica Perú, quien poco después de ser vendida en nuestro país, sufrió un supuesto ‘hackeo’ que afectaría a 22 millones de registros de clientes peruanos. Un ciberdelincuente se atribuyó la filtración en la red oscura o Dark Web. Según el portal HackManac citado por RTVE.es, Telefónica detalló que el criminal mostró un millón de registros de clientes de Movistar en Perú a modo de prueba.
Un ransomware potenciado por IA atacó simultáneamente a más de 60 bancos en el mundo y cifró sistemas crítico. En Perú, según Kaspersky, se bloqueó más de 18 mil ataques bancarios en el último año.
Sistemas básicos
El ataque a sistemas básicos ha estado muy presente en 2025. Por citar algunos casos podemos comentar que, según radiflow.com, en abril de 2025, unos hackers vulneraron el sistema de control de una presa hidroeléctrica en Noruega (Lago Risevatnet), abriendo una válvula de descarga y liberando agua extra durante cuatro horas. Aunque no hubo daños estructurales, evidenció riesgos operativos críticos, destacando la vulnerabilidad de infraestructuras críticas.
Otro caso sonado se observó en setiembre, cuando varios aeropuertos de Europa (Bruselas, Heathrow y Berlín, en Irlanda y Bélgica) sufrieron una interrupción masiva en sus sistemas de check-in, embarque y despacho de equipaje. Según informó ESET, se trató de un ataque de ransomware contra el software ARINC cMUSE, un sistema crítico desarrollado por Collins Aerospace (subsidiaria de RTX) y utilizado por aerolíneas y aeropuertos para gestionar operaciones esenciales. La Agencia de Ciberseguridad de la Unión Europea (ENISA) confirmó que se trató de un ataque de ransomware. El impacto fue inmediato y severo: Bruselas canceló 140 de 276 vuelos programados y otros aeropuertos debieron migrar a procesos manuales.
El Perú expuesto
Los portales estatales peruanos también estuvieron en la mira de los delincuentes este año. Hubo un ataque a SUNAT Piura en marzo del 2025. El ciberataque al Servicio de Administración Tributaria de Piura (SATP) paralizó sus sistemas y expuso datos de contribuyentes por 48 horas. Los delincuentes habrían pedido una fuerte cantidad de dinero para liberar el sistema. Sin embargo, aseguraron que no accedieron a este chantaje.
Otro caso sonado fue el denunciado por el grupo hacker Rhysida, quien en mayo comprometió las plataformas digitales del Estado (gob.pe). Según América Sistemas, Rhysidia exigió un rescate de unos US$450 mil (5 bitcoins). Sin embargo, el gobierno negó afectaciones y el pago del dinero. Se estima que hubo accesos no autorizados y afectación a nivel regional.
En setiembre, algunos grupos activistas habían vulnerado una base de datos de la Policía Nacional del Perú (PNP) exponiendo más de tres mil fotos de policías, en el marco de una marcha de protesta. Quienes lo hicieron advirtieron que el objetivo era mostrar lo fácil que era acceder a los datos y advirtieron que harían más de estas jugadas, sin ánimo de lucro, con el fin de develar la podredumbre moral de los gobernantes y la falta de cuidado de la seguridad.
La cuota escandalosa llegó al mes siguiente, en octubre, cuando diversos hackers informaron que habían descargado y vendían la base de datos nacional en la Dark Web, exponiendo información personal de al menos 27 millones de ciudadanos que conforman el padrón electoral. No era la primera vez que Reniec tenía este problema de fuga de información, pero lo preocupante es que los expertos informaron que se trató de una negligencia del organismo y no de una vulneración externa: una puerta había quedado abierta.
