2025 estuvo marcado por megabrechas que eclipsaron miles de incidentes menores

El panorama de la ciberseguridad en 2025 estuvo dominado por un puñado de filtraciones masivas que, por su magnitud e impacto, superaron con creces a los miles de incidentes de menor escala registrados durante el año. Según una investigación conjunta de NordPass y NordStellar, estas brechas no solo expusieron millones de credenciales, sino que también revelaron la creciente sofisticación de los atacantes y la fragilidad de los sistemas de protección de datos en organizaciones de todos los sectores.

Los investigadores han identificado las cinco filtraciones más perjudiciales del año en función del número de credenciales expuestas procedentes de una única fuente. El resultado es un retrato preocupante de cómo el ransomware, las vulnerabilidades en plataformas críticas y los accesos no autorizados siguen siendo vectores dominantes.

Under Armour: 191 millones de registros expuestos tras un ataque de ransomware

La filtración más grave del año tuvo como protagonista a Under Armour. En noviembre de 2025, el grupo de ransomware Everest atacó a la compañía y afirmó haber robado cientos de gigabytes de datos. Tras fracasar en su intento de extorsión, los atacantes publicaron un conjunto de datos que incluía más de 191 millones de registros y 72,7 millones de direcciones de correo electrónico únicas.

Entre la información expuesta se encontraban fechas de nacimiento, género, nombres, datos de geolocalización e historiales de compra de clientes. El incidente se convirtió en uno de los mayores ataques de ransomware contra una marca de consumo en la última década.

Prosper Marketplace: datos financieros y personales altamente sensibles

La segunda filtración más grave afectó a Prosper Marketplace, una plataforma estadounidense de préstamos entre particulares. Tras detectar actividad no autorizada el 1 de septiembre de 2025, la empresa confirmó que un tercero había accedido a sus bases de datos entre junio y agosto.

El ataque dejó expuestas 17,6 millones de cuentas, incluyendo información extremadamente sensible: direcciones físicas e IP, fechas de nacimiento, números de documentos oficiales, datos laborales, ingresos e información crediticia. La identidad del atacante no se ha hecho pública.

Vietnam Airlines: una vulnerabilidad expone a millones de pasajeros

En junio de 2025, un conjunto de datos de 64 GB con más de 7,3 millones de direcciones de correo electrónico únicas de clientes de Vietnam Airlines fue publicado por ciberdelincuentes. La brecha se originó en una vulnerabilidad en la plataforma de gestión de relaciones con clientes.

El ataque fue obra del colectivo Scattered LAPSUS$ Hunters, que afirmó haber comprometido a 39 empresas en una campaña más amplia. Además de correos electrónicos, se filtraron direcciones físicas, números de teléfono, nacionalidades, nombres de usuario y fechas de nacimiento.

Pass’Sport: un programa gubernamental francés, víctima de represalias

En diciembre de 2025, una base de datos del programa francés Pass’Sport, una iniciativa estatal para subvencionar la inscripción de jóvenes en clubes deportivos, fue publicada en un foro de hackers. Los atacantes describieron la filtración como un “regalo de Navidad” y un acto de represalia por detenciones recientes de miembros de grupos como ShinyHunters e IntelBroker.

El incidente afectó a 3,5 millones de hogares y expuso 6,5 millones de direcciones de correo electrónico únicas, además de nombres, géneros, números de teléfono y direcciones físicas.

Bouygues Telecom: 6,4 millones de clientes afectados en Francia

A principios de agosto de 2025, Bouygues Telecom confirmó un ciberataque que comprometió los datos personales de 6,4 millones de clientes. Aunque inicialmente no se atribuyó el ataque, un hacker se responsabilizó posteriormente en un foro y publicó gratuitamente la base de datos robada.

La información filtrada incluía nombres, direcciones físicas, números de teléfono y fechas de nacimiento, lo que convierte este incidente en uno de los mayores ataques contra un operador europeo en los últimos años.

 

Más datos expuestos, más tipos de información comprometida

El análisis de NordPass y NordStellar revela que las filtraciones actuales van mucho más allá de simples direcciones de correo electrónico. Según los investigadores el 90% de las filtraciones contenía correos electrónicos, el 32% incluía credenciales de inicio de sesión, y el 12,3% revelaba identificadores gubernamentales confidenciales.

Estados Unidos e India fueron los países más afectados, mientras que los sectores de tecnología, educación y comercio electrónico concentraron el mayor número de incidentes.

Aunque el número de bases de datos filtradas disminuyó un 36,9% interanual en 2025, los investigadores advierten que esta caída no implica una reducción real de la actividad criminal, sino un cambio en las tácticas. El malware infostealer, el phishing avanzado y la extorsión mediante ransomware serán los métodos predominantes en 2026.

Karolis Arbaciauskas, director de producto de NordPass, alerta de “los atacantes utilizarán herramientas de IA para elaborar mejores correos de phishing, clonar voces, crear deepfakes y desarrollar malware. También usarán agentes para automatizar ataques y encontrar vulnerabilidades más rápido”.

El mayor desafío del año será la gestión de identidades a gran escala. Las organizaciones que reduzcan la concentración de datos, refuercen los controles de acceso y acorten los tiempos de detección y respuesta estarán mejor preparadas para contener el impacto de futuros incidentes. En un entorno donde prevenir ya no es suficiente, la capacidad de limitar la exposición será clave para la resiliencia.