Cibergeopolítica 2025: entre la guerra híbrida y la inteligencia de amenazas

Publicado el 14 de octubre 2025

Cómo los Estados libran batallas invisibles y qué nos revelan los informes clave del año.

Introducción: el tablero geopolítico se juega en el ciberespacio

La política internacional ha dejado de estar limitada a embajadas, cumbres diplomáticas y conflictos militares convencionales. En 2025, la geopolítica se libra también en un espacio sin fronteras, sin banderas y sin balas: el ciberespacio.

Ataques dirigidos a infraestructuras críticas, espionaje industrial a escala global, operaciones de desinformación en procesos democráticos y manipulación algorítmica son ahora herramientas comunes de poder estatal.

Mientras tanto, las empresas y organizaciones —no solo los gobiernos— se ven atrapadas en el fuego cruzado de actores avanzados con motivaciones ideológicas, políticas y económicas. Este artículo explora en profundidad dos dimensiones complementarias:

1. La naturaleza cambiante de los conflictos cibernéticos globales.
2. Lo que nos enseñan los informes de amenazas 2025 sobre actores, tácticas y tendencias emergentes.

Guerra híbrida digital: un conflicto permanente, invisible y asimétrico

¿Qué es una guerra híbrida?

Una guerra híbrida combina múltiples vectores de confrontación —convencional, irregular, cibernética, informativa— para debilitar o controlar a un adversario sin una declaración de guerra formal.

En el plano digital, esto se traduce en:

• Ataques dirigidos a sistemas críticos (eléctricos, sanitarios, satelitales)
• Campañas de desinformación prolongadas
• Espionaje económico, político o militar
• Operaciones de influencia en redes sociales

El objetivo no es destruir, sino desestabilizar. No se busca un enfrentamiento directo, sino una erosión paulatina y persistente.

Ciberataques estratégicos: precisión quirúrgica con objetivos tácticos

En los últimos años, los actores estatales y patrocinados han pasado de realizar ciberataques masivos a emplear operaciones quirúrgicas, persistentes y altamente especializadas.

Ejemplos recientes:

• El sabotaje cibernético a redes ferroviarias en Polonia y Ucrania, atribuido a Sandworm (grupo vinculado al GRU ruso).
• Ataques encubiertos a redes SCADA y sistemas de agua en países bálticos.
• Intrusiones prolongadas en redes de telecomunicaciones africanas mediante vulnerabilidades 0-day, con objetivos geoeconómicos.

Tácticas observadas:

• Acceso inicial mediante spear phishing o explotación de VPNs y software de acceso remoto.
• Uso de malware sin archivos (fileless) para evadir EDRs.
• Persistencia mediante credenciales válidas y uso de herramientas nativas (living-off-the-land).

Los atacantes no entran para destruir, sino para observar, influir y, llegado el momento, actuar con ventaja.

Espionaje digital: el renacimiento del HUMINT… sin humanos

El espionaje clásico se ha digitalizado. Ahora, en lugar de infiltrarse en edificios, los estados se infiltran en redes, infraestructuras cloud, repositorios de código y entornos de mensajería corporativa.

Modus operandi habitual:

• APT (Advanced Persistent Threat): campamentos invisibles dentro de las redes de las víctimas durante meses.
• Compromiso de cuentas de alto privilegio (IAM hijacking) para moverse lateralmente sin generar alarmas.
• Técnicas de exfiltración encubierta usando DNS tunneling, canales HTTPS legítimos o servicios cloud como Dropbox, OneDrive, Slack.

Casos destacados:

• APT29 (Cozy Bear) infiltró sistemas diplomáticos europeos a través de credenciales comprometidas de proveedores.
• APT41 desplegó backdoors firmadas digitalmente en fabricantes de hardware industrial.

Operaciones de influencia: la narrativa como vector de ataque

La desinformación ya no es amateur. Se trata de operaciones estructuradas, con objetivos políticos, ejecutadas por redes de bots, granjas de contenido, y cuentas de apariencia legítima.

Ejemplos:

• Manipulación del discurso público en redes durante elecciones en Europa Occidental.
• Difusión masiva de deepfakes políticos (audios y vídeos) para generar caos informativo.
• Infiltración en medios de comunicación alternativos para diseminar narrativas afines a potencias extranjeras.

Herramientas:

• Algoritmos de amplificación automática (recomendadores, trending).
• Ingeniería emocional mediante análisis de redes semánticas.
• Clonación de cuentas verificadas robadas.

¿Qué nos revelan los informes de amenazas de 2025?

Los informes anuales de inteligencia de amenazas de líderes como Mandiant, CrowdStrike y ENISA ofrecen una visión global basada en miles de incidentes y campañas analizadas. En 2025, varios patrones se repiten:

Mandiant M-Trends 2025

• Incremento del 34% en operaciones atribuidas a actores estatales, especialmente en sectores de defensa, energía y telecomunicaciones.
• Detección de nuevos grupos ficticios que se presentan como ransomware, pero tienen motivaciones claramente geopolíticas.
• Campañas que apuntan a manipular firmware, BIOS y microcontroladores industriales.

CrowdStrike Global Threat Report 2025

• El tiempo medio de intrusión hasta exfiltración (“breakout time”) se ha reducido a 36 minutos.
• Emergencia de adversarios que usan IA generativa para mejorar scripts, evadir reglas YARA y generar payloads únicos.
• Reforzamiento del rol de identidades robadas en la cadena de ataque, especialmente en entornos cloud e híbridos.

ENISA Threat Landscape Report 2025

• 27 APTs activas y mapeadas en Europa, con especial incidencia en infraestructuras digitales y redes OT.
• Énfasis en la intersección entre ciberseguridad y soberanía digital: almacenamiento, procesamiento, cloud soberano.
• Recomendaciones para fomentar ciberinteligencia colaborativa, compartiendo indicadores de compromiso (IOCs) entre empresas, gobiernos y CERTs.

Cinco tendencias clave en ciberinteligencia 2025

1.- Ciberespionaje persistente

• Descripción: Campañas que duran años sin ser detectadas.
• Riesgo potencial: Robo de secretos, sabotaje encubierto.

2.- Uso ofensivo de IA

• Descripción: Adversarios emplean LLMs para scripts, evasión, desinformación.
• Riesgo potencial: Automatización y escalabilidad de ataques.

3.- Ataques sin malware

• Descripción: Uso de herramientas legítimas para actividades maliciosas.
• Riesgo potencial: Invisibilidad ante antivirus tradicionales.

4.- Desinformación coordinada

• Descripción: Bots y deepfakes para influir elecciones y opinión pública.
• Riesgo potencial: Inestabilidad social, crisis reputacional.

5.- Ataques cloud-first

• Descripción: Intrusión directamente en entornos SaaS/IaaS.
• Riesgo potencial: Riesgos invisibles al perímetro corporativo.

Conclusión: de la defensa técnica a la ciberestrategia nacional

La ciberinteligencia ya no es un lujo, sino una necesidad estratégica para la supervivencia institucional, económica y política. Las organizaciones deben ir más allá de firewalls y SOCs tradicionales:

• Incorporar análisis de amenazas geopolitizadas en su gestión de riesgos.
• Participar activamente en ecosistemas colaborativos de ciberinteligencia.
• Desarrollar capacidades internas de detección temprana, atribución y simulación adversarial.

Porque la próxima crisis no empezará con un misil… sino con un login robado, un servidor comprometido o un vídeo falso viral.