Cada fin de año invita a reflexionar sobre lo ocurrido, analizarlo y tomar decisiones de cara al futuro cercano. La ciberseguridad no escapa a esta realidad.
A continuación, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, repasa algunos de los ciberataques y filtraciones más relevantes de 2025 para entender el panorama de este año y anticipar qué medidas se pueden tomar de cara al que está por comenzar.
El top 10 de ciberataques y filtraciones de datos que marcaron 2025, según ESET, es el siguiente:
1. China y la exposición de 4 mil millones de datos
China fue el país más afectado en una de las filtraciones de datos más grandes de la historia. Una base de datos de más de 630 gigabytes, sin contraseña, dejó expuestos más de 4 mil millones de registros. Se trató de miles de millones de documentos con datos personales y financieros, incluidos detalles de WeChat y Alipay, que quedaron accesibles al público.
La filtración, ocurrida en junio, contenía información residencial, números de tarjetas bancarias, fechas de nacimiento, nombres y teléfonos. Con estos datos, los actores maliciosos podrían, por ejemplo, crear perfiles detallados sobre hábitos de consumo y situación económica de las personas. Si bien esta base fue retirada tras detectarse la filtración, no se logró identificar a los responsables.
2. La filtración de datos a través del chatbot de McDonald’s
La inteligencia artificial está presente en múltiples procesos empresariales. Un ejemplo fue el caso de McDonald’s, que a través de su chatbot Olivia —implementado por Paradox.ai— solicita currículums e información personal a los postulantes a vacantes laborales.
En junio, Olivia se convirtió en la puerta de entrada para que actores maliciosos accedieran a la información de 64 millones de solicitantes. Investigadores de seguridad detectaron una falla crítica en el chatbot mediante una página web utilizada por franquiciados para visualizar los datos de los candidatos. Esta página aceptaba “123456” como credenciales de administrador.
3. Scattered Lapsus$ Hunters expone información de 5 millones de personas
Este ciberataque ocurrió el 30 de junio y expuso la información de 5 millones de personas. La víctima fue la aerolínea australiana Qantas, vulnerada a través de su centro de atención al cliente en Filipinas. El ataque fue atribuido al grupo cibercriminal Scattered Lapsus$ Hunters.
Los atacantes obtuvieron direcciones de correo electrónico, fechas de nacimiento y números de teléfono, aunque no accedieron a datos financieros ni de pasaporte. Tras el incidente, Qantas emitió un comunicado en el que reconoció el ataque e instó a sus clientes a mantenerse alertas ante posibles usos indebidos de su información.
4. El ciberataque que dejó góndolas vacías en Estados Unidos
United Natural Foods, uno de los mayores distribuidores de alimentos del país, sufrió en junio un ciberataque que paralizó gran parte de su operación y le impidió cumplir con la entrega de productos. Las pérdidas superaron los 400.000 dólares en ventas.
La empresa detectó actividad no autorizada en algunos de sus sistemas y, para contener el incidente, decidió desconectar varios sistemas críticos. Esta medida afectó su capacidad para procesar pedidos y distribuir mercadería. Según medios especializados, el grupo detrás del ataque sería Scattered Spider, conocido por su actividad contra empresas de aviación, transporte y seguros.
5. Un ciberataque histórico contra el sistema financiero de Brasil
Julio marcó un punto crítico para la ciberseguridad en Brasil, con un ataque al sistema financiero que provocó pérdidas cercanas a los 150 millones de dólares.
Los atacantes apuntaron a C&M Software, proveedor de infraestructura para la conexión de bancos al sistema PIX y al Banco Central. Mediante credenciales comprometidas, lograron realizar transferencias fraudulentas que vaciaron cuentas y afectaron al menos a seis instituciones financieras. Según ESET, este caso ejemplifica los riesgos de los ataques a la cadena de suministro.
6. El ransomware que puso en jaque a PCM en México
PCM, empresa mexicana proveedora de insumos para grandes compañías, sufrió en enero un ataque de ransomware atribuido a RansomHub.
Los atacantes accedieron a 3 gigabytes de información sensible, incluidos contratos, datos operativos y comunicaciones internas. Tras varias advertencias, publicaron la información en la Dark Web, evidenciando nuevamente cómo los ataques a proveedores intermedios pueden impactar a grandes multinacionales.
7. Ataque a la Fiscalía de Guanajuato
En noviembre, la Fiscalía de Guanajuato sufrió un ciberataque que expuso más de 250 gigabytes de información confidencial, correos internos y expedientes sensibles. El grupo Tekir APT se adjudicó el ataque de ransomware.
Además del acceso a información crítica, varias plataformas internas resultaron afectadas. El 22 de noviembre, la Fiscalía reconoció el incidente en un comunicado, señalando una “intrusión no autorizada del 1,7% del total de su infraestructura digital”.
8. Brasil y el ransomware que apuntó al sector petrolero
En noviembre, el grupo Everest lanzó un ataque de ransomware contra Petrobras. Para ESET, este caso confirma que Latinoamérica fue uno de los escenarios preferidos por los cibercriminales durante 2025.
Los atacantes obtuvieron más de 90 gigabytes de información sensible, incluidos datos sobre coordenadas de barcos, profundidades y estudios sísmicos. Petrobras negó que se tratara de un incidente de seguridad en sus sistemas y aseguró que la información estratégica de la compañía permanece protegida.
9. Una base desprotegida expone más de 184 millones de credenciales
En mayo, el investigador Jeremiah Fowler descubrió una base de datos pública sin protección que contenía más de 184 millones de credenciales de servicios como Google, Apple, Facebook, Instagram, Snapchat, Roblox y proveedores de correo electrónico. La base superaba los 47 GB y carecía de cualquier mecanismo de seguridad.
También incluía accesos a bancos, plataformas financieras, servicios de salud y portales gubernamentales. La hipótesis principal apunta al uso de infostealers, un tipo de malware que roba credenciales directamente desde los navegadores de las víctimas.
10. El ransomware que paralizó aeropuertos en Europa
En septiembre, varios aeropuertos europeos —entre ellos Bruselas, Heathrow y Berlín— sufrieron interrupciones masivas en sistemas de check-in, embarque y manejo de equipaje. Lo que inicialmente se atribuyó a un fallo de un proveedor externo terminó confirmándose como un ataque de ransomware contra el software ARINC cMUSE, desarrollado por Collins Aerospace.
La Agencia de Ciberseguridad de la Unión Europea (ENISA) confirmó el ataque, y medios especializados lo vinculan con los grupos ShinyHunters y Scattered Spider. El impacto fue inmediato: Bruselas canceló más de la mitad de sus vuelos programados y otros aeropuertos recurrieron a procesos manuales durante varios días.
“El 2025 vuelve a poner en evidencia que la ciberseguridad es un factor clave para la estabilidad económica, la continuidad operativa y la confianza de millones de personas en todo el mundo. Desde filtraciones masivas hasta ataques contra infraestructuras críticas, el denominador común fue la magnitud del impacto y la capacidad de los atacantes para explotar cualquier eslabón débil de la cadena. El mensaje es claro: el riesgo crece, los adversarios se profesionalizan y 2026 exigirá mayor preparación, visibilidad e inversión”, señaló Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
