Cada principio de año, nos preguntamos qué nuevas ciberamenazas nos encontraremos en los próximos 12 meses. Y en este 2025, podemos decir que en el campo de la ciberseguridad sucede como en tantos otros ámbitos de la tecnología: la inteligencia artificial ha llegado para quedarse. Ya no se trata de apuntar posibles usos de la IA, sino de analizar las aplicaciones concretas que los cibercriminales ya están utilizando y que supondrán las grandes amenazas del año que empieza.
Tras un 2024 caliente (solo la firma Gen Digital, desarrolladora de las soluciones Norton, Avast, LifeLock, Avira, AVG, ReputationDefender o Ccleaner, bloqueó más de 2.100 millones de ataques en todo el mundo el año pasado) y pródigo en violaciones de datos a gran escala, el 2025 se presenta como un año en el que tendrán lugar cambios profundos en el panorama de las ciberamenazas. Unos cambios que podrían resumirse en cuatro o cinco grandes tendencias: hiperpersonalización, deepfakes, robo de datos, estafas y robos de dinero.
La hiperpersonalización impulsada por IA
La inteligencia artificial, potenciada por el boom de la IA generativa desde principios de 2023, está redefiniendo la forma de trabajar y de interactuar con la tecnología. Creadores de contenidos, especialistas de marketing, centros de atención al cliente o abogados ya son usuarios habituales de la IA, que está ampliando los límites de la tecnología hasta extremos insospechados. Incluyendo sus riesgos.
Puede decirse que los modelos de IA son cada vez más potentes y están alimentados por más datos. Pero a medida que se vuelven mejores, más realistas, más accesibles y más cuasihumanas, las IA son capaces de generar productos y entornos más realistas, desde textos hasta voces o vídeos, difuminando la frontera entre la verdad y el engaño y haciendo que sea más difícil que nunca distinguir lo que es real y lo que no. Esto es especialmente peligroso en el caso de campañas de phishing (si hablamos de grupos criminales) o de desinformación (si nos referimos a organizaciones vinculadas con Gobiernos, ejércitos o entidades políticas).
Paralelamente, la potencia de estos modelos les permite ofrecer una interacción hiperpersonalizada con los usuarios, que facilita como nunca el conocimiento de clientes y usuarios y, derivado de esto, multiplica la capacidad de la tecnología de influir en la percepción y la toma de decisiones de las personas. Este riesgo de ser manipulados por una IA a la hora de decidir una compra o elegir el candidato al que votamos se hace más grave si pensamos en la capacidad de los ciberdelincuentes para crear un entorno cómodo de interacción, en el que se dirijan a su objetivo por su nombre, aludiendo a detalles que supuestamente solo conoce su víctima y ganándose así su confianza.
Hay otro factor clave: para que un chatbot o un asistente personal puedan ofrecernos una experiencia lo más personalizada posible, deben contar con mucha información sobre nosotros. Y esto incluye acceso a nuestros dispositivos, a nuestros mensajes, nuestras interacciones con las aplicaciones… Una cantidad de datos muy apetecible para aquellos que se dedican al robo de información y que muchas veces estamos compartiendo con demasiada ligereza a cambio de la satisfacción de sentir que disponemos de un asistente personal para nosotros solos. Este acceso a información precisa sobre la vida cotidiana de las personas abre la puerta a la combinación de ciberataques con amenazas físicas de la vida real, según alerta Fortinet en sus predicciones de amenazas para 2025.
Deepfakes más sofisticados
Según las previsiones de Gen Digital, los deepfakes están viviendo una revolución sin precedentes. Las imágenes, audios y vídeos generados por inteligencia artificial que parecen representar a personas reales se están volviendo tan sofisticados que no resulta sencillo diferenciarlos de las fotos y grabaciones reales. Para 2025, se espera un incremento del uso de los deepfakes con tres grandes objetivos.
El primero, los ataques personales. La creación de imágenes, audios o vídeos falsos pero convincentes puede emplearse para acosar o extorsionar a una persona, enviándoselos a familiares, amigos o compañeros de trabajo de la víctima. Esto abre una nueva dimensión al llamado porno de venganza protagonizado por parejas o exparejas.
Por otro lado, el deepfake se configura como una nueva herramienta de manipulación política, generando falsos vídeos en los que el líder de un partido o Gobierno rival realiza declaraciones incendiarias o anuncia medidas impopulares, con el fin de desacreditarlo. En un clima de polarización y crispación creciente, este tipo de bulos respaldados por contenido generado por IA tienen, debido a su mayor verosimilitud, más potencial que los bulos clásicos para difundir desinformación y manipular a la opinión pública, con la consiguiente división y desestabilización de las sociedades, deterioro de la confianza en las instituciones e incluso provocando el estallido de disturbios y crisis de pánico colectivo.
Los deepfakes también pueden dirigirse contra periodistas o autoridades de otros ámbitos —sanitario, judicial, educativo, empresarial...—, inventando escándalos dañinos o desacreditando fuentes de información y minando así la confianza pública en las instituciones civiles y los medios de comunicación. Para combatirlos y reforzar la confianza de la opinión pública, aparecen soluciones como las plataformas de verificación y las firmas digitales de contenidos.
Finalmente, los vídeos o clips de audio de ejecutivos falsificados son cada vez más populares como instrumento de fraude económico. Los delincuentes los utilizan para hacerse pasar por figuras con autoridad en una compañía como un CFO, un CIO o el propio CEO y convencer así a los empleados de que transfieran fondos, revelen información confidencial de la empresa o aprueben transacciones no autorizadas. La imagen y/o la voz de un alto cargo actúa aquí como un puente sobre las medidas y protocolos de seguridad establecidos, gracias a la confianza que genera su figura e incluso el temor a represalias si se ignoran sus supuestas órdenes, todo ello respaldado por la percepción de autenticidad del deepfake.
A un nivel más bajo, se están popularizando los ataques con deepfakes contra clientes de compañías financieras o ciudadanos comunes, lo cual provoca, además del perjuicio económico para la víctima, un daño a la reputación de las entidades implicadas y un deterioro de la confianza en las comunicaciones corporativas.
Robos de datos para suplantar la identidad
Si los datos son el combustible que alimenta la transformación digital de los negocios legítimos, ¿por qué no iban a impulsar también la actividad de los cibercriminales? En 2025 seguiremos viendo cómo los delincuentes continuarán obteniendo desde fuentes de datos públicos y filtraciones de datos a gran escala la información que necesitan para crear perfiles muy detallados de sus víctimas, sean estas individuos u organizaciones.
Los tradicionales nombre, apellido y dirección de correo electrónico han ido complementándose con otros datos como edad, nacionalidad, DNI, dirección de residencia, empresa para la que trabaja, redes familiares, hobbies y hasta datos bancarios. Con toda esta información, componen un perfil muy completo de las víctimas, con el que elaboran las campañas de phishing hiperpersonalizadas a las que aludíamos anteriormente, plantean chantajes más convincentes o suplantan la identidad de actores oficiales o reputados para aprovechar la confianza de las víctimas. A más datos, campañas más personalizadas y estafas más convincentes.
En el caso de las extorsiones, del antaño famoso correo electrónico que chantajeaba al destinatario con unas supuestas imágenes suyas practicando el autoplacer obtenidas a través de la webcam se ha pasado al empleo de imágenes reales de los hogares de las víctimas. En cuanto a la suplantación, uno de los casos más recientes es el envío de cartas falsas de la Seguridad Social en las que se solicitan fotos del DNI y datos bancarios prometiendo supuestos aumentos de las prestaciones.
Además, en ciertas ocasiones los cibercriminales no tienen que lanzar complicadas campañas de phishing ni pagar por volúmenes de datos en el mercado negro digital. Les basta con recordar que, a pesar de contar con menos de 30 años de existencia como red de redes universal, Internet atesora cientos de servicios y plataformas digitales antiguos que en su día fueron un must y hoy día habitan en el olvido, sin que ello implique que hayan desaparecido. Nuestra primera dirección de Hotmail abierta en el 98, la cuenta de MySpace con la que nos creíamos lo más de lo más a mediados de los 2000, ese correo de Yahoo del que ni siquiera nos acordamos…
Aunque se han perdido en la memoria, desplazadas por el centenar de cuentas en línea que maneja hoy día cualquier usuario digital, sus datos todavía permanecen en la red. Y en muchos casos son plataformas antiguas, con sistemas de seguridad y autenticación primarios que representan una presa fácil para un cracker. Si a eso le sumamos que en aquellos felices (e inconscientes) años, la reutilización de la contraseña era habitual, iniciar sesión en una cuenta olvidada pero todavía activa permite acceder de esa cuenta atacada a otras, recogiendo datos en cada una de ellas con los que configurar un perfil más preciso de su usuario.
Scam a la medida
El año 2025 marcará un cambio de paradigma en las estafas online, pasando de la cantidad a la calidad. Empieza la era de las estafas hiperpersonalizadas. En lugar de ataques poco elaborados lanzados a un público masivo con la esperanza de que exista un porcentaje lo suficientemente amplio de receptores poco cuidadosos que caigan en la trampa, se está pasando a un scam customizado.
En estos ataques, los estafadores se dirigen a personas concretas de las que poseen perfiles muy precisos, elaborados a partir de datos filtrados, información pública o compartida de forma imprudente. Al incluir datos de la víctima que supuestamente solo esta puede conocer, la estafa adquiere una pátina de verosimilitud y legitimidad que desactiva las defensas psicológicas que hemos desarrollado en los últimos años ante este tipo de ataques.
Un ejemplo de manipulación personalizada es el envío de un mensaje que hace referencia a una conversación que la víctima tuvo la semana pasada o que imita perfectamente el estilo de escritura de un amigo. Con el uso de esta información privada se crean estafas tan convincentes que incluso los más concienciados en la defensa contra el fraude digital no saben detectar.
Otro fenómeno que caracteriza a este scam más sofisticado es la explotación de factores psicológicos. Ante factores desencadenantes emocionales, como la noticia de que un ser querido ha sufrido un atraco o un accidente, entran en juego sesgos cognitivos como la urgencia y el miedo ante los que la desconfianza y la duda se desvanecen.
Y, si hay un entorno donde la urgencia y la reacción inmediata son la norma, ese es el de las redes sociales y las aplicaciones de mensajería. Los ciberdelincuentes son conscientes de ello, por lo que iremos viendo un crecimiento de la integración de scam en estas plataformas, con mensajes fraudulentos prácticamente indistinguibles de las interacciones legítimas.
También habrá un elemento de riesgo en el lanzamiento de los videojuegos más esperados para este año o las películas de estreno. Kaspersky advierte en su pronóstico de ciberamenazas para 2025 de que los estafadores online ya están ideando nuevos timos con claves digitales y pedidos anticipados falsos de juegos tan demandados como Mafia: Old Country, Civilization VII o Death Stranding 2. En el caso de las películas, los delincuentes pueden ofrecer entradas para las primeras proyecciones de Superman, Jurassic World Rebirth o Capitán America: Brave New World, o vender productos falsificados.
Sin dejar de lado el scam que ofrece suscripciones falsas a plataformas de entretenimiento o comunicaciones, con reclamos tan sugerentes como “Compra una suscripción con descuento” o “Descarga esta app Premium gratis”. En estos casos, la vieja máxima “lo barato sale caro” mantiene plena vigencia.
Robos de dinero
Según las previsiones de Gen Digital, en 2025 el robo financiero alcanzará niveles sin precedentes, impulsado tanto por la innovación tecnológica como por las nuevas tácticas. Muchos criminales están ampliando su ámbito de acción del mundo físico al digital, combinando actividades en ambos frentes.
Entre las nuevas herramientas más sofisticadas que están usando los ciberdelincuentes para explotar vulnerabilidades y generar confianza entre sus potenciales víctimas, encontramos los mencionados deepfakes. No solo con supuestos mensajes de nuestro jefe, también con la difusión de falsos vídeos de famosos o influencers aconsejando una inversión “de alto rendimiento”. Potenciados por la confianza que generan estas figuras públicas, estos deepfakes atraerán a miles de víctimas, lo que alimentará una nueva ola de fraudes financieros.
En otra variante que combina técnicas de deepfake y suplantación de identidad, los delincuentes realizan llamadas haciéndose pasar por funcionarios de Hacienda, la Seguridad Social u otra institución pública, incitando a su interlocutor a acceder a una plataforma maliciosa para, supuestamente, gestionar el cobro de una ayuda económica o resolver un problema administrativo que en realidad no existe.
No podemos olvidar la mina de oportunidades que suponen las criptomonedas para el cibercrimen. Todo apunta que este año las criptomonedas seguirán siendo un objetivo principal para personas y grupos con pocos escrúpulos que, amparados en la falta de regulación y los numerosos mitos que afirman que es fácil hacerse rico en unos meses invirtiendo en criptos, apuntan a incautos ávidos de oportunidades fáciles de ganar dinero. Desde la oferta de promociones falsas hasta la creación de plataformas comerciales inventadas, las estafas criptográficas son variopintas.
Ante este panorama en el que la línea que separa lo legítimo y la estafa se difumina, se hará más necesaria la conjunción de la tecnología con la concienciación y la formación, para protegernos a nosotros mismos y a nuestras organizaciones en esta nueva era de fraudes más sofisticados y personalizados.