El año 2025 estuvo marcado por algunos de los ciberataques más disruptivos y reveladores de los últimos años. Aunque las estadísticas generales indicaban que el coste medio de un ataque había disminuido con respecto a años anteriores, un número reducido de incidentes de alto impacto que afectaron a marcas reconocidas como Marks & Spencer y Jaguar Land Rover cambió por completo el panorama. Estos eventos elevaron las medias globales y expusieron debilidades sistémicas en los sectores del comercio minorista, la industria manufacturera, la aviación, los servicios públicos y las cadenas de suministro globales.

Desde campañas de ransomware a gran escala hasta ataques dirigidos que explotaron software de terceros de confianza, los incidentes de 2025 reforzaron una realidad preocupante. Las organizaciones modernas siguen estando profundamente expuestas a través de plataformas en la nube, ecosistemas de proveedores, tecnologías operativas e infraestructuras digitales compartidas. De cara a 2026, estos ataques ya están influyendo en las estrategias de ciberseguridad, las prioridades regulatorias y las decisiones de inversión.

A continuación se presentan algunos de los ciberataques más relevantes y ampliamente informados de 2025, junto con las lecciones que arrastran hacia el futuro.

 

Copy of Trends image

 

Marks & Spencer y el ataque de ransomware al sector minorista del Reino Unido

Fecha: Abril de 2025
Tipo de ataque: Ransomware y campaña sectorial coordinada
Actor de la amenaza: Scattered Spider

Uno de los incidentes de ciberseguridad más seguidos del año fue la campaña de ransomware coordinada contra importantes minoristas del Reino Unido, entre ellos Marks & Spencer, Co-op y Harrods. El ataque dominó los titulares durante semanas y marcó el tono de un año caracterizado por la explotación de la cadena de suministro y la exposición intersectorial.

Los atacantes, vinculados al grupo Scattered Spider, utilizaron técnicas avanzadas de ingeniería social para comprometer a un proveedor de servicios de terceros. A partir de ahí, lograron infiltrarse en múltiples redes minoristas, desplegar ransomware personalizado, exfiltrar datos de clientes y emitir demandas de extorsión para evitar la divulgación pública de la información.

El impacto financiero fue grave. Marks & Spencer informó de una caída de los beneficios antes de impuestos, que pasaron de 391,9 millones de libras a solo 3,4 millones de libras en los seis meses hasta el 27 de septiembre. Las plataformas de ventas en línea, los sistemas de pago y los servicios de tarjetas regalo estuvieron fuera de servicio durante semanas, mientras que Co-op sufrió importantes interrupciones en la cadena de suministro y Harrods afrontó problemas en las cajas y retrasos logísticos.

Una investigación intersectorial liderada por la National Crime Agency dio lugar a varias detenciones y puso de manifiesto graves deficiencias en la gestión de accesos de terceros en el sector minorista.

Conclusión clave:
Esta campaña demostró cómo los proveedores compartidos y las integraciones en la nube pueden hacer vulnerables a sectores enteros. Aceleró la adopción de arquitecturas Zero Trust, procesos de incorporación de proveedores más estrictos y estrategias de resiliencia frente al ransomware más sólidas. 

 

 

Ataque a la cadena de suministro de Jaguar Land Rover

Fecha: Agosto de 2025
Tipo de ataque: Ransomware e interrupción de la cadena de suministro
Actor de la amenaza: Scattered Lapsus$ Hunters

En agosto de 2025, Jaguar Land Rover sufrió lo que se considera ampliamente el ciberataque más costoso de la historia del Reino Unido. Según el Cyber Monitoring Centre, el coste estimado asciende a 1.900 millones de libras. La producción se detuvo durante cinco semanas y más de 5.000 empresas de la cadena de suministro global se vieron afectadas, con una recuperación operativa completa prevista no antes de enero de 2026.

El ataque se atribuyó a Scattered Lapsus$ Hunters, un colectivo criminal vinculado a grupos como Lapsus$, Scattered Spider y ShinyHunters. Al explotar vulnerabilidades en el software de proveedores externos, los atacantes lograron desplazarse lateralmente hasta los sistemas centrales de JLR. El ransomware paralizó las redes de producción y logística, obligando al cierre temporal de plantas en el Reino Unido, Eslovaquia y Brasil.

Además del impacto operativo, el grupo amenazó con filtrar datos sensibles sobre diseños y proveedores si no se pagaban rescates multimillonarios.

Conclusión clave:
El incidente de JLR demostró que los ciberataques a la cadena de suministro pueden tener consecuencias físicas y económicas inmediatas. Reforzó la importancia de la segmentación de las tecnologías operativas, la seguridad de las dependencias de software y los controles rigurosos sobre los proveedores.

 

image (1)

 

Ataque a los sistemas aeroportuarios vMUSE de Collins Aerospace

Fecha: Marzo de 2025
Tipo de ataque: Ransomware y compromiso de software de aviación
Actor de la amenaza: Grupo con motivación financiera no identificado

Un ataque de ransomware contra la plataforma vMUSE de Collins Aerospace provocó interrupciones generalizadas en la aviación europea. vMUSE es utilizada por numerosos aeropuertos para el check-in y el embarque de pasajeros. El ataque obligó a las aerolíneas a volver a procesos manuales para la gestión de pasajeros y equipajes.

Más de 20 aeropuertos, incluidos Heathrow, Frankfurt y Ámsterdam Schiphol, sufrieron interrupciones operativas, con miles de vuelos retrasados o cancelados. La policía británica detuvo a un hombre en el marco de la investigación en virtud de la Computer Misuse Act, aunque el grupo responsable no ha sido identificado oficialmente.

Tras el incidente, la Agencia Europea de Seguridad Aérea emitió directrices urgentes sobre la gestión del riesgo de terceros en los sistemas informáticos aeroportuarios.

Conclusión clave:
El ataque a vMUSE puso de manifiesto la fragilidad de los sistemas críticos compartidos y el efecto en cascada de las vulnerabilidades de los proveedores. Reforzó la necesidad de redundancia, monitorización de amenazas en tiempo real y una mayor supervisión de las tecnologías de terceros en el sector de la aviación.

Brecha en los sistemas municipales de St. Paul

Fecha: Julio de 2025
Tipo de ataque: Ransomware e interrupción de infraestructuras cívicas
Actor de la amenaza: Presunto grupo de ransomware de Europa del Este

En julio de 2025, la ciudad de St. Paul, en Minnesota, declaró el estado de emergencia tras un ataque de ransomware que deshabilitó sistemas municipales críticos. El ataque, atribuido al grupo Interlock, comprometió una unidad de red compartida y cifró los sistemas responsables de la facturación, la coordinación de emergencias y los servicios a los ciudadanos.

El ayuntamiento y las oficinas públicas permanecieron fuera de línea durante más de dos semanas, lo que requirió asistencia federal y el apoyo de la unidad cibernética de la Guardia Nacional de Estados Unidos. El incidente reavivó el debate sobre la infrafinanciación crónica de las infraestructuras informáticas locales.

Conclusión clave:
La brecha de St. Paul puso de relieve cómo los sistemas heredados y el retraso en la aplicación de parches dejan a las infraestructuras cívicas altamente expuestas. Subrayó la urgencia de modernizar la tecnología, implementar controles Zero Trust y realizar ejercicios regulares de resiliencia cibernética.

 

IR ESP

 

Brecha de datos de SalesLoft y compromiso de terceros

Fecha de detección: Julio de 2025
Tipo de ataque: Compromiso de la cadena de suministro mediante integraciones OAuth vinculadas a Salesforce
Actor de la amenaza: ShinyHunters, con vínculos con Scattered Spider

Uno de los incidentes de cadena de suministro más extensos de 2025 tuvo como epicentro a SalesLoft, una plataforma de sales engagement ampliamente utilizada e integrada con Salesforce. Los atacantes explotaron las integraciones OAuth para obtener acceso a gran escala a los entornos de los clientes.

Entre las organizaciones afectadas se encontraba TransUnion, que informó de la exposición de los datos personales de 4,46 millones de consumidores estadounidenses. Otras empresas impactadas incluyeron Google, Workday, Farmers Insurance, Chanel y Qantas. Analistas de seguridad vincularon la campaña a ShinyHunters, en colaboración con grupos como Scattered Spider, lo que refleja una tendencia creciente hacia modelos de extorsión que priorizan integraciones de alto valor.

Conclusión clave:
La brecha de SalesLoft demostró cómo las integraciones SaaS de confianza pueden convertirse en potentes vectores de ataque. El incidente impulsó un renovado enfoque en los permisos OAuth, la seguridad de identidades y la gobernanza de aplicaciones de terceros.

Otros incidentes cibernéticos importantes de 2025

Además de los casos principales, varios ataques adicionales contribuyeron a definir el panorama global de amenazas:

  • Ataque a Allianz Life: más de un millón de personas afectadas tras el acceso no autorizado a un CRM de terceros que contenía datos sensibles de clientes.
  • Brecha en Bank Sepah: en Irán, se robaron 42 millones de registros de clientes en un ataque a gran escala atribuido al colectivo Codebreakers, con la publicación de datos tras el rechazo del pago del rescate.
  • Ataque a UNFI: la interrupción de los sistemas de United Natural Foods Inc. provocó retrasos en la distribución de alimentos en Norteamérica tras la caída de los sistemas de pedidos electrónicos.

Mirando hacia 2026

Los ciberataques de 2025 dejaron clara una conclusión fundamental. La resiliencia digital ya no puede abordarse de forma aislada. El riesgo de terceros, las integraciones en la nube, la exposición de las tecnologías operativas y la seguridad de las identidades son ahora pilares centrales de la defensa. A medida que las estrategias evolucionen en 2026, las lecciones de este año seguirán influyendo en la forma en que empresas, gobiernos y reguladores afrontan la ciberseguridad en un mundo cada vez más interconectado.

 

Contáctanos