Cada inicio de un nuevo año invita a reflexionar sobre lo que pasó en el anterior, para analizarlo y tomar
decisiones en el futuro cercano. La ciberseguridad no escapa a esta realidad. A continuación, el equipo
de investigación de ESET, compañía líder en detección proactiva de amenazas, realiza un repaso por
algunos de los ciberataques y filtraciones más destacadas de 2025, para entender cuál fue el panorama
de este año, y también qué medidas se pueden tomar para un año que ya está por comenzar.
El top 10 de ciberataques y filtraciones de datos que marcaron el 2025 para ESET, son:
1. China y la exposición de 4 mil millones de datos: China fue el país más afectado en lo que fue una de
las filtraciones de datos más grandes de la historia. Una base de datos de más de 630 gigabytes sin
contraseña expuso más de 4 mil millones de registros. Se trató de miles de millones de documentos con
datos personales y financieros, y detalles de WeChat y Alipay, que quedaron expuestos al público.
La filtración ocurrida en junio contenía información residencial, números de tarjetas bancarias, fecha de
nacimiento, nombres y teléfonos. Con esta data, los actores maliciosos podrían por ejemplo crear
perfiles detallados sobre hábitos de consumo y situación económica de las personas. Si bien este banco
de información fue retirado luego de la filtración, no se identificaron a los actores maliciosos detrás del
hecho.
2. La filtración de datos a través del chatbot de McDonald’s: La Inteligencia Artificial está presente en
muchos procesos y dinámicas de diversas empresas. Por ejemplo, el caso de McDonald’s que a través de
su chatbot Olivia (implementado por Paradox.ai), solicita el currículum e información a los postulantes
que quieren a aplicar a las vacantes laborales.
En junio, Olivia se convirtió en la puerta de entrada por la cual actores maliciosos podrían acceder a la
información de 64 millones de solicitantes. Investigadores de seguridad descubrieron una falla de
seguridad crítica en este chatbot a través de una página web que los dueños de estos restaurantes
podían utilizar para ver toda la información de las personas que se postulaban a las vacantes. Esta
página aceptaba “123456” como credenciales para iniciar sesión como administrador.
3. Scattered Lapsus$ Hunters expone información de 5 millones de personas: Este ciberataque tuvo
lugar el 30 de junio y expuso la información de 5 millones de personas. La víctima fue la aerolínea
australiana Qantas, y los cibercriminales lograron vulnerarla a través del centro de atención al cliente de
la empresa en Filipinas. Los responsables fueron el grupo cibercriminal llamado Scattered Lapsus$
Hunters.
A través de este ciberataque, los atacantes obtuvieron información sensible como direcciones de correo
electrónico, fecha de nacimiento y números de teléfono, pero no accedieron a los datos financieros ni

ESET -Nota de Prensa

de pasaporte de las víctimas. En referencia a ello, Qantas emitió un comunicado en el cual reconoció el
ataque e invitaba a sus clientes a prestar atención sobre cualquier uso indebido de su información.

Pie de imagen: Qantas emitió un comunicado reconociendo el ataque.

4. El ciberataque que dejó góndolas vacías en Estados Unidos: United Natural Foods es una de las
empresas que distribuyen alimentos más grandes de Estados Unidos. En junio sufrió un ciberataque que
paralizó gran parte de su operatoria y no pudo cumplir con la entrega de productos a sus clientes. El
resultado fue de más de 400.000 dólares de pérdida en sus ventas.
En concreto la empresa detectó actividad no autorizada en algunos de sus sistemas informáticos: para
contener el incidente y que no se expandiera, decidió dejar “offline” varios de los sistemas críticos, lo
cual afectó claramente su normalidad, como la capacidad de procesar los pedidos y distribuir la
mercadería. Según informan algunos medios, el grupo detrás de este ataque es Scattered Spider, con
gran actividad, afectando a empresas del rubro de la aviación, el transporte y los seguros, entre otros.
5. Un ciberataque histórico contra el sistema financiero de Brasil: Julio quedará en la historia de los
ciberataques en Brasil, ya que sufrió uno crítico a su sistema financiero con una pérdida cercana a
los 150 millones de dólares.
Los ciberatacantes se centraron en C&M Software, empresa que provee la infraestructura técnica para
que bancos y otras instituciones se conecten a PIX y/o el Banco Central, la cual lograron vulnerar gracias
al uso de credenciales comprometidas. Una vez dentro del sistema, accionaron diversas transferencias
fraudulentas a través de PIX, vaciando las reservas de esas cuentas y afectando al menos a seis
instituciones financieras. Este caso, según ESET, sirve como ejemplo de cómo funciona un ataque a la
cadena de suministro, y las consecuencias que puede tener si una organización no realiza un control
exhaustivo de la seguridad de sus propios proveedores.
6. El ransomware que puso en jaque a PCM en México: PCM es una empresa mexicana proveedora de
diversos insumos a grandes compañías. Durante enero fue noticia por haber sido víctima de un ataque
de ransomware, en manos de RansomHub.
Los cibercriminales lograron acceder a 3 gigabytes de información sensible, como por ejemplo contratos
con varias de las empresas mencionadas, y otros datos de operaciones y comunicaciones sensibles.
Luego de varias advertencias, publicaron todo lo obtenido en la Dark Web. Este es otro ejemplo de

ESET -Nota de Prensa

cómo, a través de un ataque a la cadena de suministro, los actores maliciosos se enfocan a
vulnerabilidades de servicios intermedios para así afectar a las grandes compañías multinacionales.

Pie de imagen: RansomHub confirma la publicación de los datos obtenidos en el ataque. Fuente: X

(@ivillasenor).

7. Ataque a la Fiscalía: Durante noviembre la Fiscalía de Guanajuato sufrió un ciberataque que expuso
más de 250 gigabytes con datos confidenciales, correos internos y expedientes sensibles. Quien se
adjudicó el ataque de ransomware fue el grupo Tekir APT, y no solo accedieron a información
confidencial, sino que también se vieron afectadas ciertas plataformas digitales como algunos de sus
servicios internos.
El día 22 de noviembre, un comunicado de la Fiscalía admitió el ciberataque por “una intrusión no
autorizada del 1,7% del total de la infraestructura digital de la dependencia”.

ESET -Nota de Prensa

Pie de imagen: Comunicado en el que la Fiscalía de Guanajuato admite haber sido atacada. Fuente: X

(@VH_Aguilera).

8. Brasil y el ransomware que puso la mira en el petróleo: El ataque de ransomware por parte del
grupo Everest a la reconocida empresa petrolera de Brasil PetroBras durante el mes de noviembre
confirma para ESET que Latinoamérica fue uno de los escenarios predilectos para que los cibercriminales
realicen sus actividades maliciosas.
El botín constó de data confidencial y sensible de la industria, como coordenadas de barcos, medidas de
profundidad, y hasta reportes de estudios sísmicos. En total, representó más de 90 gigabytes de
información. Por su parte, PetroBras negó que se tratase de un incidente de seguridad en sus sistemas, y
que los datos confidenciales y estratégicos de la compañía permanecen seguros.
9. Una base desprotegida expone más de 184 millones de credenciales: Durante el mes de mayo, el
investigador Jeremiah Fowler descubrió una base de datos desprotegida y accesible públicamente que
contenía más de 184 millones de credenciales de acceso correspondientes a servicios globales como
Google, Apple, Facebook, Instagram, Snapchat, Roblox y proveedores de correo electrónico. En total, la
base tenía más de 47 GB de información, sin ningún tipo de autenticación ni medidas de seguridad que
la protegieran.
Además, en los registros también había credenciales aún más sensibles: accesos a bancos, plataformas
financieras, servicios de salud y portales gubernamentales de distintos países. La teoría más sólida es
que estos datos provienen de infostealers, un tipo de malware que infecta computadoras y roba
credenciales directamente del navegador, sin que los servicios afectados hayan sufrido vulneraciones
propias.

ESET -Nota de Prensa

10. El ransomware que frenó la operatoria de un aeropuerto: En el mes de septiembre, varios
aeropuertos de Europa (Bruselas, Heathrow y Berlín, en Irlanda y Bélgica) sufrieron una interrupción
masiva en sus sistemas de check-in, embarque y despacho de equipaje. Lo que inicialmente se comunicó
como un “fallo en un proveedor externo” terminó confirmándose como un ataque de ransomware
contra el software ARINC cMUSE, un sistema crítico desarrollado por Collins Aerospace (subsidiaria de
RTX) y utilizado por aerolíneas y aeropuertos para gestionar operaciones esenciales.
La Agencia de Ciberseguridad de la Unión Europea (ENISA) confirmó que se trató de un ataque de
ransomware, y medios especializados señalan que podría estar relacionado con el accionar de
ShinyHunters y Scattered Spider, bandas de ciberdelincuentes conocidas por atacar sectores de
infraestructura crítica, incluida la industria aeronáutica. El impacto fue inmediato y severo: Bruselas
canceló más de la mitad de sus vuelos programados (140 de 276), y otros aeropuertos debieron migrar a
procesos manuales para registrar pasajeros, manipular equipaje y gestionar embarques, provocando
demoras que se extendieron por varios días.

Pie de imagen: Aviso especial en la página oficial del aeropuerto de Bruselas.

“El 2025 vuelve a poner en evidencia cómo la ciberseguridad es un factor clave para la estabilidad
económica, la continuidad operativa y la confianza de millones de personas en todo el mundo. Desde
filtraciones masivas que expusieron miles de millones de datos en China hasta ataques contra
infraestructuras esenciales y críticas, el denominador común fue la magnitud del impacto y la capacidad
de los atacantes para explotar cualquier eslabón débil de la cadena: sea un proveedor tecnológico, un
chatbot mal configurado o una base sin proteger. La resiliencia debe ser una prioridad estratégica. Lo
que deja este año es claro: el riesgo crece, los adversarios se profesionalizan y el 2026 exigirá más
preparación, más visibilidad y más inversión para enfrentar un ecosistema digital cada vez más hostil.”,
comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de investigación de ESET Latinoamérica.
Para saber más sobre seguridad informática visite el portal corporativo de ESET:
https://www.welivesecurity.com/es/cibercrimen/10-ciberataques-filtraciones-de-datos-marcaron-2025/
lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de
la seguridad informática. Para escucharlo ingrese a:

Visítanos en:
@ESETLA /company/eset-latinoamerica /esetla /ESETLA /@esetla

ESET -Nota de Prensa

Acerca de ESET
ESET® proporciona seguridad digital de vanguardia para prevenir ataques antes de que ocurran. Al
combinar el poder de la IA y la experiencia humana, ESET® se anticipa a las ciberamenazas conocidas y
emergentes, asegurando empresas, infraestructuras críticas e individuos. Ya sea protección de
endpoints, nube o dispositivos móviles, sus soluciones y servicios nativos de IA y basados en la nube son
altamente efectivos y fáciles de usar. La tecnología de ESET incluye detección y respuesta sólidas, cifrado
ultraseguro y autenticación multifactor. Con defensa en tiempo real las 24 horas, los 7 días de la semana
y un sólido soporte local, mantiene a los usuarios seguros y a las empresas funcionando sin
interrupciones. Un panorama digital en constante evolución exige un enfoque progresivo de la
seguridad: ESET® está comprometido con una investigación de clase mundial y una potente inteligencia
sobre amenazas, respaldada por centros de I+D y una sólida red global de socios. Para obtener más
información, visite https://www.eset.com/latam o síganos en LinkedIn, Facebook y Twitter.
Datos de Contacto de Comunicación y Prensa
Para más información se puede poner en contacto a través de prensa@eset-la.com o al +54 11 2150-
3700.
Copyright © 1992 – 2025. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET.
Otros nombres y marcas son marcas registradas de sus respectivas empresas.