El Informe DBIR 2025 de Verizon alerta sobre IA generativa, robo de credenciales y riesgos de terceros

Introducción

El recién publicado Data Breach Investigations Report (DBIR) 2025 de Verizon ha puesto el foco en tres vectores de riesgo prioritarios para la ciberseguridad empresarial: la proliferación de amenazas asociadas a la inteligencia artificial generativa (GenAI), el repunte de incidentes relacionados con el robo de credenciales y la creciente exposición derivada de la cadena de suministro y los proveedores externos. El informe, ampliamente citado en la industria, constituye una referencia clave para responsables de seguridad (CISOs), analistas SOC y profesionales de gestión del riesgo tecnológico, desgranando tendencias y patrones de ataque observados en miles de incidentes recientes a nivel global.

Contexto del Incidente o Vulnerabilidad

La edición 2025 del DBIR se apoya en la investigación de más de 18.000 incidentes de ciberseguridad a nivel mundial, de los cuales aproximadamente 5.500 han resultado en brechas confirmadas de datos. La novedad de este año radica en el análisis detallado de los riesgos emergentes asociados a la rápida adopción de herramientas GenAI en entornos corporativos, así como en la persistencia de técnicas clásicas de ataque, con especial énfasis en el robo de credenciales y en vulnerabilidades explotadas a través de proveedores y terceros.

En paralelo, el informe señala una correlación directa entre la sofisticación de los atacantes y la automatización de tareas ofensivas mediante frameworks como Cobalt Strike y la integración de capacidades de IA generativa para el desarrollo de phishing, evasión de controles y explotación de vulnerabilidades.

Detalles Técnicos

Entre los principales hallazgos, el DBIR 2025 destaca:

– **Robo de credenciales**: El 68% de las brechas confirmadas implican el uso de credenciales robadas o comprometidas. Los atacantes emplean técnicas como password spraying, phishing avanzado y explotación de bases de datos filtradas en la dark web.
– **GenAI**: Las herramientas basadas en IA generativa están siendo utilizadas para crear campañas de phishing altamente personalizadas, deepfakes para ingeniería social y automatización de generación de malware polimórfico. Se han identificado campañas en las que los atacantes usan LLMs (Large Language Models) para redactar correos electrónicos que sortean los filtros tradicionales.
– **Riesgo de terceros**: Un 19% de los incidentes analizados tienen origen en la cadena de suministro, ya sea por vulnerabilidades en proveedores de software (SaaS, IaaS) o por accesos no autorizados a través de cuentas de terceros. Se reporta un aumento del 34% en incidentes relacionados con la explotación de proveedores respecto al año anterior.
– **Vectores de ataque y TTPs**: Se observa un uso extendido de técnicas mapeadas en MITRE ATT&CK, destacando Initial Access [T1078] (Valid Accounts), Phishing [T1566] y Exploitation for Credential Access [T1212]. Herramientas como Metasploit siguen formando parte del arsenal ofensivo, especialmente en pruebas de concepto y ataques automatizados.
– **Indicadores de Compromiso (IoC)**: El informe aporta muestras de hashes, dominios de phishing y direcciones IP asociadas a campañas activas de credential stuffing y ataques mediante GenAI.

Impacto y Riesgos

El impacto económico medio de una brecha relacionada con robo de credenciales se estima en 4,52 millones de dólares, según cifras propias y de IBM. Las industrias más afectadas incluyen servicios financieros, sanidad y sector público, donde la dependencia de terceros y la exposición a riesgos de cadena de suministro es especialmente relevante. Además, el uso de deepfakes y automatización IA está elevando considerablemente el umbral de dificultad para la detección y respuesta ante incidentes.

La legislación europea (GDPR, NIS2) impone fuertes obligaciones de diligencia y reporte ante incidentes, especialmente cuando se ven afectados datos personales gestionados por terceros o mediante sistemas automatizados.

Medidas de Mitigación y Recomendaciones

El DBIR recomienda una aproximación escalonada:

1. **Gestión de identidades y accesos**: Implementar MFA robusto, passwordless y monitorización continuada de accesos anómalos.
2. **Concienciación y formación**: Actualizar los programas de concienciación en torno a nuevas amenazas basadas en IA generativa y deepfakes.
3. **Seguridad en la cadena de suministro**: Auditar proveedores críticos, exigir cumplimiento de estándares como ISO 27001, y monitorizar configuraciones y actividad de terceros.
4. **Automatización defensiva**: Desplegar soluciones de XDR/SIEM con capacidades de detección de anomalías potenciadas por IA y correlación de IoCs.
5. **Simulaciones y pruebas de penetración**: Realizar ejercicios regulares empleando herramientas como Metasploit y frameworks que simulen ataques reales basados en las TTPs identificadas.

Opinión de Expertos

Alex Pinto, autor principal del DBIR, subraya: “La democratización de la IA generativa está cambiando las reglas del juego. Las organizaciones deben asumir que el phishing tradicional ha evolucionado y que la línea entre ataque humano y automatizado es cada vez más difusa”. Por su parte, Or Eshed (LayerX) añade: “El verdadero desafío es la visibilidad sobre la cadena de suministro digital y la capacidad de respuesta ante incidentes multi-vector”.

Implicaciones para Empresas y Usuarios

Para las organizaciones, la exposición al riesgo por parte de terceros se traduce en una obligación de reforzar los procesos de due diligence y de monitorización, además de adaptar los contratos de prestación de servicios a los nuevos requisitos regulatorios. Para los usuarios finales, el informe alerta sobre la necesidad de extremar las precauciones ante solicitudes de autenticación y comunicaciones inesperadas, especialmente en contextos laborales híbridos y entornos SaaS.

Conclusiones

El DBIR 2025 de Verizon confirma que la ciberseguridad empresarial debe evolucionar al ritmo de la automatización y la IA generativa, sin descuidar los fundamentos de la gestión de identidades y la protección de la cadena de suministro. Una estrategia defensiva proactiva, apoyada en inteligencia de amenazas y control de terceros, será crucial para afrontar el panorama actual y futuro.

(Fuente: www.bleepingcomputer.com)