Dentro del informe de ESET que redibuja el mapa del riesgo cibernético para 2026
Cuando en 1987 dos programadores eslovacos, Rudolf Hrubý y Peter Paško, crearon el primer antivirus capaz de neutralizar el virus Vienna, no imaginaban que su creación se convertiría en uno de los observadores privilegiados de las guerras digitales del siglo XXI. ESET, desde la pequeña Bratislava, ha crecido hasta contar hoy con trece centros de investigación y desarrollo repartidos por el mundo y una telemetría que monitoriza amenazas a escala planetaria. Es como tener un sistema de radares distribuido en cada continente, siempre encendido, siempre a la escucha.
Dos veces al año, ESET publica sus Informes de Actividad de APT, documentos que destilan meses de investigaciones sobre los grupos de Amenazas Persistentes Avanzadas, esas formaciones cibernéticas patrocinadas por estados nacionales que operan en la sombra con objetivos de espionaje, sabotaje o lucro. El informe que cubre el período de abril a septiembre de 2025 no es una simple recopilación de incidentes: es una cartografía de las tensiones geopolíticas de nuestro tiempo, trazada a través de líneas de código en lugar de fronteras físicas. Cada ataque documentado, cada nuevo malware analizado, cada víctima identificada cuenta una historia más amplia de rivalidad entre potencias, guerras por delegación digitales, economías paralelas basadas en criptomonedas robadas.
Pero hay una anomalía en este informe que merece especial atención, algo que hasta hace pocos meses habría parecido imposible: la primera colaboración documentada entre dos grupos rusos tradicionalmente rivales. Para comprender su significado, debemos mirar más allá de los tecnicismos y preguntarnos qué nos dice sobre los cambios en curso en el ecosistema de la ciberguerra.
La anomalía rusa: cuando Gamaredon se encuentra con Turla
Los investigadores de ESET observaron algo inédito en septiembre de 2025: implantes del grupo Gamaredon, conocidos por su frenética actividad contra objetivos ucranianos, fueron utilizados para reiniciar y redistribuir puertas traseras del grupo Turla, otro actor ruso pero con características y afiliaciones diferentes. En términos técnicos, herramientas como PteroGraphin, PteroOdd y PteroPaste reiniciaron la versión 3 de Kazuar, la puerta trasera distintiva de Turla, en máquinas ya comprometidas en territorio ucraniano.
¿Por qué es importante? Los analistas de seguridad saben bien que los servicios rusos están notoriamente fragmentados y compiten entre sí. Gamaredon se asocia generalmente con el FSB (Federal'naja služba bezopasnosti), en particular con el Centro 18, mientras que Turla responde tradicionalmente al Centro 16 del mismo servicio. Estos grupos tienen objetivos, técnicas y conjuntos de herramientas diferentes. Gamaredon opera con un enfoque de "rociar y rezar", lanzando campañas masivas de spearphishing y actualizando continuamente su arsenal con variantes siempre nuevas. Turla es más selectivo, quirúrgico, orientado hacia objetivos de inteligencia de alto valor.
La telemetría de ESET muestra que la colaboración no fue indiscriminada: la puerta trasera Kazuar se distribuyó solo en un número reducido de máquinas en comparación con la vasta compromisión operada por Gamaredon. Esto sugiere un despliegue selectivo en objetivos considerados particularmente valiosos, donde el acceso inicial proporcionado por Gamaredon abrió el camino a operaciones de segundo nivel conducidas por Turla.
Pero, ¿qué llevó a estos dos grupos a colaborar? El informe no especula, limitándose a documentar los hechos. Sin embargo, podemos hacer algunas consideraciones. La intensidad del conflicto en Ucrania podría haber creado una presión tal que la cooperación no solo fuera deseable sino necesaria. Cuando los recursos son limitados y los objetivos múltiples, incluso las rivalidades internas ceden ante prioridades compartidas. O quizás estamos asistiendo a un cambio de paradigma en la organización de la ciberguerra rusa, donde la compartimentación deja paso a estructuras más fluidas y colaborativas cuando lo que está en juego es suficientemente alto.
Durante el mismo período, Gamaredon intensificó aún más sus operaciones. El grupo incorporó nuevos ladrones de archivos a su arsenal y comenzó a explotar servicios de túnel como loca.lt, loophole.site y devtunnels.ms, además de plataformas de almacenamiento en la nube legítimas como Tebi y Wasabi para la exfiltración de datos. Incluso experimentó con la explotación de la vulnerabilidad CVE-2025-8088 en WinRAR, el mismo día cero que el grupo RomCom estaba utilizando en el mismo período.
RomCom representa otro caso interesante en el panorama ruso. A mediados de julio de 2025, el grupo descubrió y explotó una vulnerabilidad de día cero en WinRAR que permitía usar flujos de datos alternativos para el path traversal. El ataque era elegante en su simplicidad: un archivo que aparentemente contenía un solo archivo benigno que, una vez abierto, desplegaba DLL maliciosas en el directorio temporal y enlaces dañinos en la carpeta de inicio de Windows. ESET informó responsablemente de la vulnerabilidad a WinRAR el 24 de julio, y el parche llegó seis días después con la versión 7.13. ¿Los objetivos? Empresas de los sectores financiero, manufacturero, de defensa y logística en Europa y Canadá.
Mientras tanto, Sandworm, el grupo ruso vinculado al GRU y especializado en operaciones destructivas, mantuvo el foco en Ucrania con una diferencia de enfoque: su objetivo no es el espionaje sino el sabotaje. Los wipers ZEROLOT y Sting se distribuyeron contra universidades, entidades gubernamentales, empresas energéticas y del sector logístico. Particularmente significativo es el ataque al sector del grano ucraniano, una de las principales fuentes de ingresos del país. ¿Qué mensaje más claro de la intención de debilitar la economía de guerra del adversario?
China juega en múltiples tableros
Si Rusia concentra sus energías digitales en Ucrania y sus aliados europeos, China demuestra una capacidad para operar simultáneamente en frentes múltiples, reflejando la complejidad de sus prioridades geopolíticas. El informe de ESET identifica el 39.8% de los ataques en el período como provenientes de grupos alineados con Pekín, un porcentaje significativo que subraya el nivel de movilización de los activos cibernéticos chinos.
La historia más interesante concierne a FamousSparrow, un grupo ya conocido por sus campañas pero que entre junio y septiembre de 2025 cambió repentinamente su foco hacia América Latina. Los investigadores de ESET encontraron rastros de la puerta trasera SparrowDoor en máquinas pertenecientes a entidades gubernamentales en Argentina, Guatemala, Honduras, Panamá y Ecuador. No se trata de incursiones casuales: en Guatemala, los investigadores encontraron evidencias de la explotación de la vulnerabilidad ProxyLogon para el acceso inicial, mientras que en Panamá el uso de atexec-pro, una herramienta de código abierto para el movimiento lateral, sugiere una operación bien planificada.
¿Por qué ahora? ¿Por qué precisamente estos países? El contexto geopolítico ofrece pistas importantes. La administración Trump renovó el interés estadounidense en América Latina, presionando para reducir la huella financiera china en torno al Canal de Panamá e iniciando un reacercamiento con Ecuador, donde la influencia de Pekín había crecido en los años anteriores. En febrero de 2025, el Secretario de Estado Marco Rubio visitó Panamá, lo que llevó al presidente Mulino a anunciar la salida del país de la Iniciativa de la Franja y la Ruta china. En el caso de Honduras y Guatemala, las actividades podrían estar relacionadas con las relaciones de estos países con Taiwán.
Es razonable suponer que las operaciones de FamousSparrow son un intento de Pekín de comprender las reales intenciones de estos gobiernos en un panorama diplomático en rápida evolución. No sabemos qué buscaban exactamente, qué documentos exfiltraron, qué conversaciones interceptaron. Pero la concentración de los esfuerzos sugiere que América Latina era la principal prioridad del grupo en estos meses.
Mientras FamousSparrow exploraba las cancillerías latinoamericanas, otros grupos chinos demostraban un creciente uso de la técnica adversario-en-el-medio. ESET está actualmente rastreando diez grupos activos que utilizan esta técnica, tanto para el acceso inicial como para el movimiento lateral. Es un enfoque sofisticado que requiere capacidades de posicionamiento estratégico en la red, pero los resultados pueden ser devastadores.
SinisterEye, también conocido como LuoYu o CASCADE PANDA, es un ejemplo emblemático. El grupo opera principalmente contra objetivos dentro de China, pero ataca tanto a entidades domésticas como a oficinas de empresas extranjeras. Con probable acceso a la infraestructura troncal de internet, SinisterEye intercepta y manipula las actualizaciones de software para distribuir WinDealer en Windows o SpyDealer en Android. Entre mayo y septiembre de 2025, atacó las oficinas chinas de una empresa taiwanesa del sector de la defensa aeronáutica, también involucrada en la industria de los semiconductores. En agosto se centró en los representantes de una organización comercial estadounidense en Pekín, probablemente interesado en las actividades de lobby para suavizar los aranceles estadounidenses contra países asiáticos. En septiembre, incluso una entidad gubernamental ecuatoriana fue atacada.
PlushDaemon utiliza un enfoque diferente pero igualmente eficaz: compromete dispositivos de red como routers y distribuye EdgeStepper, una herramienta que redirige el tráfico DNS a servidores controlados por los atacantes. Estos servidores responden a las consultas de dominios asociados a infraestructuras de actualización de software con direcciones IP de servidores web maliciosos, que finalmente sirven SlowStepper, la puerta trasera distintiva del grupo. En junio, PlushDaemon atacó oficinas camboyanas de una empresa japonesa y de una multinacional muy involucrada en proyectos relacionados con la Iniciativa de la Franja y la Ruta en el sector del petróleo y el gas. El momento es significativo: en abril de 2025 se anunció una importante asociación entre empresas chinas y Camboya para construir la refinería de petróleo más grande del país, un proyecto de 3.500 millones de dólares.
Otros grupos chinos han mantenido operaciones consistentes en sus áreas de competencia tradicionales. Mustang Panda se mantuvo activo en el sudeste asiático, Estados Unidos y Europa, centrándose en los sectores gubernamentales, de ingeniería y de transporte marítimo. Flax Typhoon continuó explotando servidores web públicos en Taiwán distribuyendo webshells, manteniendo su infraestructura VPN SoftEther e introduciendo el uso de BUUT, un proxy de código abierto. Speccom atacó el sector energético en Asia Central, una región crucial para la ambición china de reducir la dependencia de las importaciones marítimas, utilizando spearphishing con documentos maliciosos nombrados estratégicamente como "UzGasTrade 26.06.2025.doc".
Irán, Corea del Norte y los demás
Si Rusia y China dominan cuantitativamente el panorama de las amenazas, otros actores estatales demuestran creatividad y persistencia en sus operaciones. El informe de ESET dedica especial atención a dos ecosistemas: el iraní y el norcoreano.
MuddyWater, un grupo alineado con Irán, se distinguió por una innovación táctica contraintuitiva: el spearphishing interno. La técnica es simple pero eficaz: después de comprometer una cuenta de correo electrónico dentro de una organización objetivo, los operadores usan esa cuenta para enviar mensajes de phishing a muchos empleados de la misma empresa. ¿Los resultados? Una tasa de éxito notablemente alta. La razón es tanto psicológica como tecnológica: las herramientas de seguridad y los analistas de SOC están calibrados para detectar correos electrónicos externos maliciosos, no comunicaciones internas. Un mensaje que llega del colega del piso de arriba elude los filtros y baja las defensas cognitivas del destinatario.
MuddyWater operó en África, Asia, Europa, Medio Oriente y América del Norte durante este período, utilizando tanto enlaces para descargar herramientas de monitoreo y gestión remota como droppers VBScript que cargan puertas traseras personalizadas en la memoria. Es una actividad frenética que requiere una coordinación y recursos considerables.
GalaxyGato, otro grupo iraní también conocido como C5, Smoke Sandstorm, TA455 o UNC1549, atacó al sector naviero griego desde julio de 2025 con una versión mejorada de la puerta trasera C5, fuertemente ofuscada con ConfuserEx. Pero el giro más interesante es un secuestro de orden de búsqueda de DLL en el directorio de Windows Defender que permite el robo de credenciales cada vez que un usuario las introduce. El malware escribe las credenciales en un archivo que el grupo puede exfiltrar para movimiento lateral y escalada de privilegios. Elegante en su simplicidad, devastador en su eficacia.
Corea del Norte mantiene su enfoque en dos objetivos principales: el espionaje estratégico y la generación de ingresos para el régimen. Los grupos norcoreanos han expandido sus operaciones en Uzbekistán, un país no observado previamente en su ámbito. El sector de las criptomonedas sigue siendo el cajero automático preferido de Pyongyang.
DeceptiveDevelopment, un grupo especializado en perfiles de reclutadores falsos que proporcionan a los desarrolladores bases de código troyanizadas como parte de procesos de selección falsos, ha mostrado una intensa actividad. Los investigadores de ESET documentaron similitudes sorprendentes entre Akdoor, una puerta trasera utilizada por Lazarus en 2018, y AkdoorTea, una nueva puerta trasera de DeceptiveDevelopment en agosto de 2025. También identificaron superposiciones con operaciones de fraude de trabajadores de TI llevadas a cabo por los grupos UNC5267 y Jasper Sleet. No es un caso aislado: el Departamento de Justicia de EE. UU. anunció en junio de 2025 acciones coordinadas contra el ecosistema de trabajadores de TI de Corea del Norte, con operaciones de registro contra 29 granjas de portátiles e inculpaciones para 10 individuos identificados como co-conspiradores.
Lazarus demostró su versatilidad con ataques que abarcan desde el sector sanitario hasta el aeroespacial. En abril, después de distribuir la puerta trasera ThreatNeedleTea en un hospital y obtener el control total del sistema, ejecutó una variante del ransomware Qilin mostrando un mensaje de extorsión. En septiembre, comprometió la red de una empresa aeroespacial italiana utilizando varios droppers y cargadores que extraían las etapas finales de sus flujos de datos alternativos, culminando en el descargador ImprudentCook y la puerta trasera ScoringMathTea. El ataque al sector aeroespacial europeo, documentado también en la reciente campaña Operación DreamJob que afecta a empresas de vehículos aéreos no tripulados, sugiere un interés creciente de Pyongyang por estas tecnologías.
ScarCruft realizó ataques a la cadena de suministro contra proveedores surcoreanos, troyanizando instaladores de software ERP y CCTV disponibles en los sitios web oficiales de los proveedores. En ambos casos, el código malicioso descargaba RokRAT, la puerta trasera característica del grupo.
Kimsuky experimentó con la técnica ClickFix contra entidades diplomáticas, think tanks y académicos surcoreanos. Konni, por su parte, hizo algo inusual: en septiembre de 2025 lanzó una campaña dirigida a macOS, un sistema operativo raramente en el punto de mira norcoreano. El script malicioso de AppleScript utilizaba ingeniería social para obtener credenciales de usuario, validarlas y descargar una carga final que resultó ser una versión modificada de la puerta trasera EggShell, previamente vinculada a un grupo norcoreano no identificado.
Además de estos actores principales, el informe documenta actividades de grupos menores o no atribuidos. FrostyNeighbor explotó CVE-2024-42009, una vulnerabilidad XSS en Roundcube que permite cargar JavaScript arbitrario en el contexto del cliente de correo web. Es interesante notar que ESET identificó al menos dos clústeres separados que explotaban la misma vulnerabilidad, uno atribuido a Winter Vivern y uno no atribuido que atacó a empresas polacas y lituanas con correos electrónicos de spearphishing que se hacían pasar por empresas polacas. Estos correos electrónicos contenían un uso distintivo de emojis y viñetas, una estructura que recuerda al contenido generado por IA, lo que sugiere un posible uso de herramientas de inteligencia artificial en la campaña.
Finalmente, está Wibag, una familia de spyware para Android previamente desconocida descubierta en Irak. Disfrazado como una aplicación de YouTube, Wibag es capaz de registrar pulsaciones de teclas en aplicaciones específicas como Telegram, WhatsApp, Instagram, Facebook Messenger y Snapchat, grabar audio a través del micrófono, exfiltrar SMS, registros de llamadas, datos de localización, contactos, grabar la pantalla e incluso grabar llamadas de WhatsApp y telefónicas normales. La página de inicio de sesión del panel de administración muestra el logotipo del Servicio de Seguridad Nacional de Irak, lo que sugiere una posible operación llevada a cabo por el INSS, aunque no se puede descartar que un grupo no relacionado haya utilizado el logotipo para cubrir sus huellas.
Leyendo el futuro en los patrones: escenarios 2026
¿Qué podemos deducir de estos seis meses de actividad cibernética para proyectarnos en 2026? El informe de ESET proporciona datos, no una bola de cristal, pero los patrones son significativos y permiten algunas consideraciones razonadas sobre posibles desarrollos.
El caso de FrostyNeighbor y los correos electrónicos con estructura similar a la IA plantean una pregunta fundamental: ¿cuánto está modificando ya la inteligencia artificial el panorama de las amenazas? Los expertos del sector son unánimes en prever un fuerte aumento del uso de la IA en el phishing para 2026. ChatGPT y otros grandes modelos de lenguaje ya pueden generar correos electrónicos de phishing gramaticalmente perfectos y altamente personalizados, eludiendo fácilmente las barreras de seguridad con el lenguaje apropiado. Esto hace obsoletas las técnicas de detección basadas en errores gramaticales o sintaxis sospechosa. Pero no es solo el phishing lo que está evolucionando: según las predicciones de Google, 2026 verá la IA normalizada en las actividades diarias de ataque y defensa, con adversarios que utilizan la automatización para escalar operaciones y IA autónomas que pueden sondear redes, identificar debilidades y explotar vulnerabilidades con una mínima supervisión humana.
La colaboración Gamaredon-Turla plantea interrogantes sobre el futuro de los modelos cooperativos entre APT. ¿Fue una anomalía situacional, dictada por la presión del conflicto ucraniano, o representa una plantilla replicable en otros contextos? Si la respuesta es la segunda, podríamos ver en 2026 otras alianzas inesperadas entre grupos que comparten patrocinadores estatales pero que históricamente operaban en silos separados. Esto complica aún más la atribución, que ya es un desafío significativo en el panorama cibernético, y podría permitir operaciones más sofisticadas que combinen las especializaciones de diferentes actores.
La focalización sectorial documentada en el informe ofrece indicaciones sobre dónde concentrar las defensas. El sector de la salud en Taiwán, la energía en Asia Central, la logística y el grano en Ucrania, las criptomonedas a nivel mundial, el sector aeroespacial en Europa: no son elecciones casuales, sino que reflejan prioridades geopolíticas precisas. Podemos esperar que estas tendencias se intensifiquen en 2026. El enfoque de China en los semiconductores, por ejemplo, está destinado a crecer a medida que se agudiza la competencia tecnológica entre Estados Unidos y China. Los ataques norcoreanos al sector de las criptomonedas probablemente aumentarán, dado que las sanciones internacionales obligan al régimen a buscar fuentes alternativas de ingresos. Las operaciones destructivas rusas contra la economía ucraniana podrían expandirse a sectores hasta ahora menos afectados.
¿Se están convirtiendo las vulnerabilidades de día cero en mercancía de intercambio entre grupos de APT? El uso compartido de CVE-2025-8088 entre RomCom y Gamaredon es sugerente. Si diferentes grupos rusos tienen acceso a las mismas vulnerabilidades de día cero, implica un nivel de coordinación o intercambio de inteligencia que va más allá de la simple colaboración operativa. Esto podría crear problemas para los defensores: una vulnerabilidad descubierta y parcheada después de la explotación por parte de un grupo podría ser ya conocida y utilizada por otros. El ciclo de vida de las vulnerabilidades de día cero podría acortarse, con una explotación simultánea por parte de múltiples actores antes de que el parche esté disponible.
El uso creciente de servicios legítimos en la nube para el mando y control y la exfiltración, como se documenta en el caso de Gamaredon con Tebi y Wasabi, es una tendencia destinada a consolidarse. Desde el punto de vista de los atacantes, las ventajas son evidentes: el tráfico hacia servicios en la nube legítimos es difícil de distinguir del benigno, los proveedores ofrecen una fiabilidad y un ancho de banda excelentes, y el coste es mínimo. Para los defensores, significa que el antiguo enfoque de bloquear dominios e IP maliciosos es cada vez menos eficaz. La detección debe desplazarse hacia el análisis del comportamiento: no dónde ocurre el acceso, sino cómo y por qué.
La cuestión de la IA también plantea preguntas sobre la defensa. Las predicciones para 2026 convergen en que la identidad, y no ya el perímetro de la red, se convertirá en el principal campo de batalla. Los ataques ya no consistirán en "entrar" a través de cortafuegos, sino en "iniciar sesión" con credenciales legítimas o comprometidas. Las técnicas de MuddyWater para el spearphishing interno son un anticipo de este futuro. A medida que el trabajo remoto y basado en la nube se normalicen aún más, los procesos de autenticación serán cada vez más el objetivo. La clonación de voz, los deepfakes y las personas generadas por IA harán increíblemente difícil distinguir las solicitudes genuinas de las maliciosas.
Una última consideración se refiere a la brecha entre la detección y la atribución. El informe de ESET es valioso precisamente porque proporciona una atribución fiable basada en una telemetría extensa y un análisis profundo. Pero, ¿cuántos ataques se detectan sin poder ser atribuidos con certeza? ¿Cuántas operaciones pasan completamente desapercibidas? La relación señal-ruido en el mundo de la inteligencia de amenazas está destinada a empeorar en 2026. Los grupos de APT aprenden de las divulgaciones públicas y modifican sus TTP para evitar la detección. El uso de herramientas de código abierto y técnicas comunes a múltiples actores hace cada vez más difícil distinguir campañas separadas o vincular la actividad al actor de amenaza correcto. Para las organizaciones que deben defenderse, esto significa que no pueden confiar únicamente en los indicadores de compromiso o en la inteligencia de amenazas específica de un grupo, sino que deben construir defensas robustas contra técnicas y comportamientos genéricos.
Lo que significa para nosotros
Es fácil leer informes como el de ESET y sentirse abrumado por la vastedad y sofisticación de las amenazas. Pero un enfoque más productivo es preguntarse: ¿quién gana y quién pierde con estas dinámicas? ¿Y qué podemos hacer concretamente para navegar en este panorama?
Las empresas europeas se encuentran en una posición delicada. El informe documenta que los objetivos no ucranianos atacados por grupos rusos a menudo muestran vínculos estratégicos u operativos con Ucrania. Esto significa que empresas en Italia, Alemania, Francia u otros países de la UE que tienen asociaciones comerciales, proyectos conjuntos o simplemente relaciones de suministro con entidades ucranianas podrían encontrarse en el punto de mira no por lo que son, sino por a quién conocen. Es un cálculo de riesgo que muchos directores financieros y CISO probablemente aún no están haciendo de manera sistemática. ¿Deberían?
Los sectores estratégicos siguen siendo los más expuestos. Defensa, energía, criptomonedas, tecnología, sanidad, transportes: si su organización opera en uno de estos ámbitos, el nivel de amenaza es estructuralmente más alto. No es paranoia, es una realidad estadística documentada por años de actividad de APT. Esto debería traducirse en presupuestos de seguridad proporcionales, no en la esperanza de ser demasiado pequeños para ser notados. La telemetría de ESET muestra que los actores estatales no distinguen entre multinacionales y pequeñas empresas si estas últimas tienen acceso a información o sistemas de valor estratégico.
La brecha entre la detección y la atribución plantea una importante cuestión organizativa: ¿cuánto importa saber quién te ha atacado? Para las agencias de inteligencia, muchísimo. Para un CISO que debe proteger la infraestructura de la empresa, quizás menos de lo que se piensa. Saber si el atacante es Gamaredon o Lazarus es interesante académicamente, pero las mitigaciones prácticas suelen ser las mismas: segmentación de la red, mínimo privilegio, autenticación fuerte, monitorización de anomalías, copias de seguridad sin conexión, simulacros de respuesta a incidentes. Quizás el verdadero valor de los informes de ESET no está en la atribución precisa, sino en documentar técnicas, patrones y en la validación de que ciertos ataques son reales y no hipótesis teóricas.
También hay una dimensión geopolítica más amplia que vale la pena considerar. La concentración de actividades cibernéticas en la competencia entre EE. UU. y China, en la guerra de Ucrania, en la confrontación con Irán, no es casual. Vivimos en una época de rivalidad entre grandes potencias que se manifiesta tanto en el espacio digital como en el físico. Para los países más pequeños o las empresas multinacionales que operan a nivel mundial, esto crea un campo minado donde la neutralidad es difícil de mantener. Cada decisión estratégica, cada asociación, cada entrada en el mercado conlleva implicaciones cibernéticas que deben ser evaluadas.
El papel de las empresas de inteligencia de amenazas como ESET se vuelve cada vez más crucial en este contexto. No solo porque proporcionan herramientas de detección y protección, sino porque crean la base de conocimientos compartida que permite a la comunidad de seguridad comprender y responder a las amenazas. Cada vulnerabilidad de día cero identificada y divulgada responsablemente, cada nuevo malware analizado y documentado, cada TTP mapeado contribuye a la defensa colectiva. Es un ecosistema que funciona sobre la transparencia y el intercambio, valores no dados por sentados en un sector donde muchas empresas prefieren mantener el silencio sobre los incidentes por miedo a daños reputacionales.
Finalmente, una reflexión sobre lo que no sabemos. El informe de ESET cubre seis meses y documenta docenas de campañas. Pero, ¿cuántas se han escapado a la telemetría? ¿Cuántos grupos de APT operan bajo el radar, aún no identificados o rastreados? ¿Cuántas operaciones están tan bien ejecutadas que no dejan rastros suficientes para el análisis? La inteligencia cibernética, como cualquier forma de inteligencia, sufre del problema de lo conocido desconocido frente a lo desconocido desconocido. Podemos prepararnos para las amenazas que conocemos y comprendemos, pero ¿cómo defenderse de aquellas que aún no hemos descubierto?
La respuesta pragmática es construir resiliencia, no solo protección. Asumir que las violaciones son inevitables y diseñar sistemas que puedan seguir operando incluso bajo compromiso. Esto requiere un cambio de mentalidad: de "¿cómo prevengo el ataque?" a "¿cómo limito el daño cuando el ataque tiene éxito?". Es la diferencia entre construir muros cada vez más altos y aceptar que alguien podría escalarlos, y por lo tanto preparar planes para contener, aislar y responder rápidamente.
El informe de ESET del segundo y tercer trimestre de 2025 no es solo un catálogo de amenazas. Es un espejo que refleja las tensiones de nuestro tiempo, traducidas en campañas de spearphishing, exploits de día cero y puertas traseras silenciosas. Nos muestra un mundo donde la guerra no se libra solo con armas cinéticas, sino con líneas de código, donde las agencias de inteligencia movilizan unidades cibernéticas enteras para objetivos que van desde el robo de propiedad intelectual hasta la interrupción de infraestructuras críticas, donde la línea entre el cibercrimen y el ciberespionaje se vuelve cada vez más difusa.
En 2026, estas tendencias probablemente se intensificarán. La IA hará que los ataques sean más escalables y sofisticados. Las colaboraciones entre grupos de APT podrían volverse más comunes. Los sectores estratégicos verán una presión creciente. Las vulnerabilidades de día cero circularán más rápidamente entre los adversarios. La identidad se convertirá en el nuevo perímetro a defender. Pero saber esto de antemano ya es una ventaja. Como dice el viejo adagio: hombre prevenido, vale por dos. El resto depende de cuán seriamente nos tomemos la advertencia.