Norteamérica
Ecosistema de Salesforce
En una de las ciberamenazas más graves de 2025, el ecosistema de Salesforce fue objeto de una filtración de datos a gran escala por parte de terceros, lo que causó conmoción en sectores de todo el mundo. La filtración dejó al descubierto más de mil millones de registros de decenas de empresas internacionales. La campaña se desarrolló en varias fases, dirigiéndose deliberadamente a los eslabones más débiles del ecosistema: los usuarios humanos y las integraciones de terceros.
Es importante destacar que no se trató de una violación directa de la infraestructura central de Salesforce. En cambio, los ciberdelincuentes se aprovecharon de un error humano y del acceso de terceros de confianza para comprometer las instancias individuales de Salesforce de los clientes. El ataque siguió un patrón claro y repetitivo:
- En primer lugar, los atacantes utilizaron técnicas de ingeniería social y suplantación de identidad por teléfono (vishing) para hacerse pasar por personal de TI y engañar a los empleados para que les concedieran acceso.
- A continuación, se engañó a las víctimas para que autorizaran aplicaciones conectadas maliciosas —como versiones falsas de Salesforce Data Loader— o revelaran tokens OAuth vinculados a herramientas legítimas como Salesloft, Drift y Gainsight. Estos tokens proporcionaban a los atacantes acceso persistente a la interfaz de programación de aplicaciones (API) y, a menudo, eludían la autenticación multifactorial (MFA).
- Por último, los atacantes utilizaron las API de Salesforce para exportar grandes volúmenes de datos, en busca de credenciales, registros de cuentas e información personal confidencial.
El impacto del ataque fue considerable. Entre las organizaciones afectadas se encontraban compañías aéreas como Air France–KLM, Qantas y Vietnam Airlines; marcas minoristas como IKEA, Adidas y Chanel; y otras grandes empresas, entre ellas Google, TransUnion, Toyota y Disney.
La filtración fue reivindicada por un grupo de hackers conocido como Scattered LAPSUS$ Hunters, que creó un sitio web oscuro para publicar muestras de los datos robados. El grupo amenazó a Salesforce y a sus clientes con publicar más datos a menos que se pagara el rescate. Salesforce se negó públicamente a ceder a cualquier demanda de rescate, marcando una línea clara contra la extorsión.
FuenteLo que hemos aprendido
Este incidente dejó claro que incluso las plataformas de seguridad más sólidas pueden verse comprometidas cuando los atacantes se aprovechan de puntos débiles, como los errores de los usuarios y las integraciones de terceros de confianza. En lugar de atacar directamente a Salesforce, los ciberdelincuentes se centraron en personas y permisos que ya formaban parte del ecosistema.
También se puso de relieve cómo la ingeniería social basada en la IA está elevando el listón de la ciberdelincuencia. Al utilizar la inteligencia artificial para crear mensajes y suplantaciones de identidad más convincentes, los ciberdelincuentes pueden engañar fácilmente a los usuarios para que les concedan acceso o aprueben acciones maliciosas. Por ello, es fundamental que las organizaciones refuercen la concienciación de los usuarios y supervisen de cerca el acceso de terceros, las aplicaciones conectadas y los permisos de datos.
Reino Unido
Jaguar Land Rover (JLR)
A finales de agosto de 2025, el fabricante de automóviles británico Jaguar Land Rover (JLR) sufrió un ciberataque que se convirtió en el incidente cibernético más perjudicial económicamente de la historia del Reino Unido. El ataque obligó a la empresa a paralizar los sistemas de todas sus operaciones de fabricación a nivel mundial y provocó unas pérdidas estimadas de 1.900 millones de libras esterlinas.
El incidente comenzó el 31 de agosto como una brecha de seguridad digital y se convirtió rápidamente en una grave crisis operativa. Aunque JLR actuó con rapidez para contener la amenaza mediante la suspensión de los sistemas, la producción en todas sus plantas se paralizó durante casi cinco semanas. Las repercusiones se extendieron mucho más allá de la propia JLR. Más de 5.000 socios de la cadena de suministro se vieron afectados, muchos de los cuales se enfrentaron a retrasos en los pagos y graves contratiempos operativos. Algunos proveedores se enfrentan ahora a hasta seis meses de dificultades crediticias, lo que ilustra cómo un solo ciberataque puede propagarse por todo un ecosistema industrial.
El ataque se relacionó con Scattered LAPSUS$ Hunters, el mismo grupo vinculado a la filtración del ecosistema de Salesforce y a otros incidentes cibernéticos de gran repercusión ocurridos en 2025.
FuenteLo que hemos aprendido
Las consecuencias de este ataque ponen de manifiesto que los ciberdelincuentes están yendo más allá del robo de datos y apuntando a lo que realmente mantiene a las empresas en funcionamiento: la continuidad. El cierre global de JLR es un claro recordatorio de que la ciberresiliencia no consiste solo en proteger los datos, sino en mantener en marcha la producción, los pagos y las cadenas de suministro cuando todo está en juego.
Aunque paralizar y reiniciar operaciones de fabricación a gran escala es una tarea compleja y que requiere mucho tiempo, este incidente pone de manifiesto por qué la mayoría de las organizaciones no pueden permitirse el lujo de considerar la continuidad del negocio y la recuperación ante desastres (BCDR) como algo secundario. Una estrategia sólida de BCDR ayuda a mantener en funcionamiento las funciones críticas, limitar el tiempo de inactividad y reducir el efecto dominó entre socios y clientes. La lección es clara: la planificación de la resiliencia debe tener en cuenta cómo opera la empresa en el mundo real, y no solo cómo se protegen los datos.
Estados Unidos
Universidades estadounidenses
Los ciberataques contra instituciones educativas estadounidenses se intensificaron en 2025, afectando a varias universidades importantes, entre ellas instituciones de la Ivy League como la Universidad de Pensilvania y la Universidad de Princeton. Estos incidentes dejaron al descubierto millones de registros que contenían información personal relacionada con estudiantes, antiguos alumnos, personal y miembros de la comunidad.
En la Universidad de Pensilvania, el ataque salió a la luz el 31 de octubre, cuando miembros de la comunidad universitaria recibieron correos electrónicos que parecían proceder de la Escuela de Posgrado en Educación. Posteriormente, la universidad confirmó que se habían visto comprometidos los sistemas relacionados con las actividades de desarrollo y de antiguos alumnos. Semanas más tarde, la Universidad de Princeton reveló una filtración independiente que afectaba a la base de datos de su oficina de promoción. Mientras que el incidente de la Universidad de Pensilvania afectó a información de identificación personal (PII) y a algunos datos bancarios, Princeton declaró que su filtración se limitaba a nombres, información de contacto, direcciones e historiales de donaciones.
Los ciberataques contra instituciones educativas están aumentando rápidamente, en gran parte porque las universidades almacenan grandes cantidades de datos personales y financieros confidenciales. Más allá de las intrusiones generales en la red, los atacantes también están llevando a cabo campañas específicas dirigidas al personal universitario. En uno de estos casos, Microsoft descubrió una campaña denominada «piratería de nóminas», en la que los autores de las amenazas se infiltraron en plataformas de recursos humanos, como Workday, para apropiarse indebidamente de los salarios de los empleados.
FuenteLo que hemos aprendido
Los ataques basados en la ingeniería social se utilizan cada vez más para infiltrarse en instituciones educativas, a menudo como primer paso para el robo de datos o la instalación de ransomware. En varios incidentes ocurridos en 2025, los equipos de TI actuaron con rapidez para bloquear los sistemas afectados tan pronto como se detectó actividad sospechosa. Sin embargo, los atacantes lograron enviar correos electrónicos fraudulentos y acceder a datos confidenciales, lo que demuestra la rapidez con la que se pueden producir daños una vez que se abusa de la confianza.
Al mismo tiempo, campañas como «Payroll Pirate» ponen de manifiesto un claro cambio de tendencia: se está pasando de las violaciones de seguridad generalizadas y sin un objetivo concreto a ataques dirigidos contra sistemas críticos y personas específicas. Para reducir el riesgo, las instituciones educativas necesitan medidas de seguridad más sólidas, entre las que se incluyen sistemas avanzados de detección de amenazas para identificar las intrusiones de forma temprana, así como procesos fiables de copia de seguridad y recuperación que ayuden a mantener las operaciones en marcha durante las interrupciones.
Australia
Universidad de Sídney Occidental
Las universidades estadounidenses no son las únicas que están en el punto de mira, ya que las instituciones educativas de todo el mundo se están convirtiendo en objetivos atractivos para los ciberdelincuentes. En 2025, la Universidad de Western Sydney sufrió una serie de incidentes cibernéticos, lo que la convirtió en una de las filtraciones más graves del sector educativo registradas durante el último año.
La universidad detectó dos casos de actividad inusual los días 6 y 11 de agosto, ambos relacionados con un sistema de gestión de alumnos alojado por un proveedor externo de servicios en la nube. Aunque se bloqueó el acceso a la plataforma tras detectarse la actividad sospechosa, una investigación más exhaustiva reveló que el atacante había aprovechado una cadena de proveedores interconectados. El acceso no autorizado a través de estos sistemas de terceros y cuartos permitió al atacante acceder al sistema de gestión de alumnos de la universidad y sustraer datos.
El pirata informático robó información muy sensible sobre los estudiantes, como números de identificación fiscal, datos de pasaporte e información privada sobre salud y discapacidad. En diciembre, las autoridades confirmaron que se había imputado a un antiguo estudiante de la Universidad de Western Sydney en relación con los ataques.
FuenteLo que hemos aprendido
Este incidente demuestra que las amenazas cibernéticas actuales no siempre provienen de grandes grupos de ransomware o de actores estatales. Incluso un empleado descontento o un antiguo alumno puede llevar a cabo un ataque sofisticado, gracias al fácil acceso que tienen a herramientas ya preparadas.
Hoy en día existe un próspero mercado clandestino que comercializa kits de malware y servicios como el ransomware como servicio (RaaS). Esto reduce las barreras de entrada al cibercrimen, permitiendo que incluso personas con conocimientos técnicos mínimos puedan lanzar ataques devastadores. Para hacer frente a esta situación, las organizaciones necesitan defensas en varias capas que combinen una supervisión continua, controles de acceso rigurosos y copias de seguridad cifradas.
Norteamérica
Red Hat
El 2 de octubre, Red Hat, uno de los principales proveedores de software de código abierto para empresas, confirmó un ciberataque que afectó a su instancia de GitLab dedicada a la consultoría. Dada su cartera de clientes, que incluye organismos gubernamentales, operadores de infraestructuras críticas y grandes empresas, el incidente habría afectado a datos relacionados con más de 800 organizaciones.
Un día antes, un grupo de ciberdelincuentes que se autodenomina Crimson Collective hizo pública la filtración. El grupo afirmó haber sustraído 570 GB de datos comprimidos de más de 28 000 repositorios, incluidos informes confidenciales sobre la interacción con los clientes (CER). Posteriormente, Red Hat confirmó que había detectado un acceso no autorizado a una instancia de GitLab autohospedada que se utilizaba para la colaboración interna de Red Hat Consulting en determinados proyectos con clientes.
Según Red Hat, el entorno afectado contenía especificaciones de proyectos, fragmentos de código de ejemplo, comunicaciones internas de consultoría e información limitada de contactos comerciales. La empresa subrayó que el incidente se limitó a este entorno de consultoría de GitLab y no afectó a los productos principales ni a los sistemas de producción de Red Hat.
Sin embargo, según múltiples informes, los datos sustraídos incluían cerca de 3,5 millones de archivos, además de informes confidenciales relacionados con las redes informáticas de organizaciones de los sectores bancario, de las telecomunicaciones y gubernamental.
FuenteLo que hemos aprendido
Los ataques que aprovechan sistemas de terceros para robar datos confidenciales fueron una constante a lo largo del año pasado. Los atacantes se centran cada vez más en proveedores, consultores y plataformas compartidas que cuentan con acceso de confianza a múltiples organizaciones, ya que un solo eslabón débil puede dejar expuestas a cientos de víctimas a la vez.
Para mitigar este riesgo, las organizaciones deben considerar el acceso de terceros como parte de su propio perímetro de seguridad. Esto implica limitar estrictamente el acceso de los proveedores, revisar continuamente los permisos de las herramientas de terceros y las integraciones SaaS, y supervisar cualquier actividad inusual. Las evaluaciones periódicas de seguridad de los proveedores, junto con capacidades de detección y respuesta rápidas, pueden ayudar a detectar las brechas de seguridad en una fase temprana, antes de que los atacantes puedan desplazarse lateralmente o sustraer grandes volúmenes de datos.
