Análisis del Panorama de Amenazas en España (Verano 2025): Principales Tácticas Observadas y Cómo Prepararse para la Campaña de Fin de Año

• Alex De los Llanos Dueñas
• Septiembre 2025

Si hay algo que he aprendido en mis más de veinte años en este sector, es que los ciberdelincuentes se parecen más a un director de marketing que a un anarquista con capucha. Planean sus campañas, estudian a su público objetivo y, sobre todo, entienden la estacionalidad del negocio. Y mientras media España estaba de vacaciones este verano, pensando en la playa y desconectando (con razón), ellos no han descansado. Al contrario. Para los atacantes, el verano es la temporada de siembra.

Es una calma aparente, pero por debajo, la actividad es frenética. El verano es la fase de reconocimiento. Es cuando los grupos criminales, con una paciencia y una metodología que asustarían a cualquier jefe de proyecto, se dedican a buscar las grietas en nuestras empresas. Prueban accesos, roban credenciales de bajo nivel, identifican a los empleados más propensos a hacer clic donde no deben y plantan pequeñas semillas, "backdoors" latentes, en las redes de sus objetivos. No hacen ruido. No lanzan el ataque final. Solo preparan el terreno, esperando pacientemente el momento de mayor impacto y rentabilidad: la campaña de fin de año.

Lo que hemos visto este verano de 2025 en España no son ataques masivos y ruidosos, sino una preparación metódica. Hemos observado un repunte notable en campañas de phishing muy localizadas, usando señuelos como la liquidación del IVA del segundo trimestre, falsas notificaciones de la Agencia Tributaria post-vacacionales o supuestas ofertas de "vuelta al cole" para material de oficina. El objetivo siempre es el mismo: robar credenciales. Conseguir ese primer acceso, esa primera llave, que guardarán en un cajón hasta que llegue noviembre.

Las Tres Tácticas que Han Definido el Campo de Juego

Analizando la telemetría y los incidentes que hemos gestionado estos meses, hay tres patrones, tres tácticas que destacan por encima del resto y que, sin duda, definirán los ataques que veremos después del verano.

1. La Inteligencia Artificial se ha puesto el traje de comercial. Los correos de phishing que recibimos ya no son como los de antes. Olvídate de las traducciones raras y las faltas de ortografía. Los atacantes están usando modelos de lenguaje de IA para generar señuelos en un español perfecto, adaptados a la jerga de cada sector y personalizados para cada víctima. Pero el verdadero salto cualitativo lo estamos viendo en la voz. El vishing (phishing por voz) mediante clonación por IA está empezando a ser una amenaza real. Un empleado del departamento financiero ya no recibe solo un correo, sino una llamada de voz de su "director" (cuya voz ha sido clonada de un vídeo de una conferencia pública) pidiéndole una transferencia urgente. La tecnología para hacerlo es cada vez más accesible, y la capacidad de engaño es brutal.
2. La "Fatiga de MFA" es el nuevo objetivo. Durante años, hemos repetido como un mantra que había que activar el Doble Factor de Autenticación (MFA). La mayoría de las empresas lo ha hecho, y eso es una gran noticia. El problema es que los atacantes también lo saben, y han adaptado sus tácticas. Ahora vemos con mucha frecuencia los ataques de "fatiga de MFA" o "MFA bombing". El método es simple pero efectivo: una vez que han robado una contraseña, el atacante intenta iniciar sesión una y otra vez, a menudo de madrugada. Cada intento envía una notificación al móvil del empleado: "¿Aprueba este inicio de sesión?". El atacante lanza diez, veinte, cincuenta peticiones seguidas, hasta que la víctima, medio dormida y harta del ruido, pulsa "Aceptar" por puro agotamiento. Ya no intentan saltarse el MFA; intentan agotarte la paciencia.
3. El Ransomware se ha convertido en un negocio de franquicias. Lanzar un ataque de ransomware devastador ya no requiere ser un genio del malware. El modelo de Ransomware-as-a-Service (RaaS) se ha consolidado. Grupos criminales muy sofisticados desarrollan el software y la infraestructura, y luego lo "alquilan" a afiliados menos técnicos a cambio de un porcentaje de las ganancias. ¿El resultado? Una explosión en el número de ataques. Y un cambio en el perfil de la víctima. Ya no van solo a por los gigantes del IBEX. Ahora, su objetivo preferido en España son las empresas de tamaño medio (del sector industrial, logístico, de servicios...), a las que perciben como "fruta madura": lo suficientemente grandes para poder pagar un rescate considerable, pero no lo bastante como para tener equipos de seguridad de élite.

Preparando la Trinchera: El Sprint Hacia la Campaña de Fin de Año

Si el verano fue la siembra, el otoño debe ser la cosecha... para nosotros. Septiembre y octubre son los meses críticos para revisar y fortalecer nuestras defensas antes de que empiece la locura comercial de Black Friday y Navidad, que es cuando los atacantes recogerán sus frutos.

Acción 1: Haz una limpieza profunda de accesos. Ahora mismo, antes de que la carga de trabajo se dispare. Revisa quién tiene acceso a qué en tu empresa. ¿Ese becario que estuvo en verano sigue teniendo una cuenta activa? ¿Ese antiguo empleado que se fue en junio? Desactiva todas las cuentas inactivas. Y para las activas, aplica el principio de mínimo privilegio. Un empleado de marketing no necesita acceso a los servidores de finanzas. Cierra todas las puertas que no sean estrictamente necesarias.

Acción 2: Lanza un simulacro de phishing "de temporada". La mejor defensa contra la ingeniería social avanzada es un equipo entrenado y escéptico. Lanza ahora una campaña de simulación de phishing interna. Usa señuelos realistas y adaptados a lo que se van a encontrar: falsas ofertas anticipadas de Black Friday para empleados, notificaciones sobre la cesta de Navidad, supuestos problemas con la logística de los pedidos... Es infinitamente mejor que caigan en tu trampa controlada y aprendan la lección, a que caigan en una real en pleno noviembre.

Acción 3: Desempolva tu Plan de Respuesta a Incidentes. Lo más probable es que tengas un plan de respuesta guardado en un cajón. Ahora es el momento de sacarlo. ¿Los teléfonos de contacto de los responsables siguen siendo los mismos? ¿Todo el mundo sabe a quién llamar si la página web se cae un viernes a las cinco de la tarde? Haz un "simulacro de mesa": reúne a los actores clave y plantea un escenario hipotético. "Son las 10 de la mañana del Black Friday. Acabamos de sufrir un ataque de ransomware. ¿Qué hacemos, paso a paso?". Estas conversaciones son incómodas, pero salvan empresas.

Acción 4: Llama a tus proveedores críticos. Tu e-commerce depende de una pasarela de pago. Tus envíos, de una empresa de logística. Tu web, de una empresa de hosting. Tu ciberseguridad depende de la de ellos. Levanta el teléfono y pregúntales directamente: "¿Cómo os estáis preparando vosotros para la campaña? ¿Qué medidas extra vais a tomar?". Su respuesta te dará una idea muy clara de su nivel de madurez.

Conclusión

La campaña de fin de año empieza ahora, tanto para tu equipo de ventas como para los delincuentes. La proactividad en otoño es lo que determinará la rentabilidad y la supervivencia en invierno.

Si quieres una evaluación experta para saber si tu empresa está realmente preparada para la batalla que se avecina, es el momento perfecto para hablar, así que no lo dudes y contacta con nosotros de inmediato.