Más del 80% de los ciberataques analizados por Kaspersky en 2025 comenzaron a través de tres vías principales: aplicaciones expuestas a Internet, cuentas válidas y relaciones de confianza. Según el último informe global de Kaspersky Security Services, las aplicaciones expuestas concentraron el 43,7% de los casos, seguidas de las cuentas válidas, con un 25,4%, y de las relaciones de confianza, que aumentaron del 12,7% al 15,5%.

El informe “Anatomy of a Cyber World” es un estudio en profundidad basado en datos de incidentes recopilados en 2025 a partir de Kaspersky Managed Detection and Response, Kaspersky Incident Response, Kaspersky Compromise Assessment y Kaspersky SOC Consulting. El estudio analiza las tácticas, técnicas y herramientas más utilizadas por los ciberdelincuentes, así como las características de los incidentes detectados y su distribución por regiones e industrias.

Según los datos de Kaspersky Incident Response, los tres principales vectores iniciales de ciberataque se han mantenido relativamente estables durante los últimos siete años. Las cuentas válidas y los exploits en aplicaciones expuestas a internet siguen siendo los puntos de entrada más habituales. El tercer puesto ha ido variando: los correos maliciosos, que antes eran comunes, han sido sustituidos por las relaciones de confianza, que aparecieron por primera vez en 2021 y entraron en el TOP 3 en 2023. En 2025, la distribución de los principales vectores es la siguiente.

Estos vectores suelen estar interconectados dentro de una misma cadena de ciberataque. Por ejemplo, las organizaciones comprometidas a través de relaciones de confianza suelen haber sido previamente vulneradas mediante exploits en aplicaciones expuestas a internet. Casos recientes muestran cómo los ciberdelincuentes se dirigen a proveedores de servicios o integradores IT para acceder posteriormente a sus clientes. Este problema se agrava por el hecho de que muchos pequeños proveedores carecen de recursos y experiencia en ciberseguridad. Al gestionar software contable o páginas web, una brecha en estas compañías puede derivar en el compromiso de los sistemas de sus clientes mediante accesos remotos explotados.

En cuanto a la duración e impacto de los ciberataques investigados, los datos muestran que la mayoría (50,9%) han sido ataques rápidos, generalmente de menos de un día de duración y que suelen acabar en el cifrado de archivos. Un porcentaje relevante (33%) corresponde a ataques prolongados, con una duración media de 108 horas, en los que los ciberdelincuentes no solo cifran archivos, sino que también instalan mecanismos de persistencia, comprometen Active Directory y provocan filtraciones de datos. El 16,1% restante presenta un patrón híbrido: ciberataques que inicialmente parecen rápidos, pero que incluyen retrasos significativos entre la intrusión inicial y las actividades maliciosas posteriores, prolongando su duración hasta cerca de 19 días.

“Dado que los ciberdelincuentes están orquestando cada vez más ataques coordinados y multietapa, las organizaciones no pueden permitirse depender de un enfoque reactivo. Para hacer frente a esta situación, es fundamental adoptar una postura de seguridad proactiva que integre la monitorización en tiempo real y la detección continua en las operaciones diarias. Esto permite responder rápidamente antes de que la amenaza escale. Entre las medidas clave destacan la aplicación oportuna de parches, la autenticación multifactor y el control estricto de los accesos de terceros”, señala Konstantin Sapronov, responsable del Global Emergency Response Team de Kaspersky.