Un informe europeo en la mesa de un CISO colombiano
Cada mes de octubre, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) publica su Threat Landscape, el ejercicio de inteligencia de amenazas más citado del ecosistema europeo. La edición 2025, publicada en octubre de ese año y basada en el análisis de 4.875 incidentes registrados entre el 1 de julio de 2024 y el 30 de junio de 2025, describe un panorama construido a partir de fuentes abiertas, capacidades propias de inteligencia de ENISA y aportes de los Estados miembro. Es, por diseño, un informe con foco europeo.
La pregunta obligada para un equipo de seguridad en Bogotá, Ciudad de México o Lima es directa: ¿de qué sirve un documento pensado para la Unión Europea? La respuesta técnica es que los actores de amenaza, los kits de phishing, las familias de ransomware como servicio y las vulnerabilidades explotadas en producción no operan bajo lógica geográfica. Un grupo que despliega Akira o Qilin contra una naviera en Róterdam usa la misma infraestructura de afiliados, el mismo manual de doble extorsión y, con frecuencia, la misma vulnerabilidad sin parchar que podría explotar contra una entidad financiera en Medellín semanas después. Las tácticas, técnicas y procedimientos (TTP) se globalizan más rápido que las regulaciones que intentan contenerlas.
Este artículo revisa qué dice realmente la edición más reciente del ENISA Threat Landscape, cómo construye su metodología, y qué lecciones concretas puede extraer un equipo de seguridad latinoamericano sin caer en la trampa de trasplantar cifras europeas a un contexto regulatorio y operativo distinto.
Qué es ENISA y cómo construye el Threat Landscape
ENISA es el organismo técnico de la Unión Europea encargado de elevar el nivel de ciberseguridad común entre los Estados miembro. A diferencia de un vendor de seguridad que publica un reporte anual con datos de su propia telemetría, ENISA opera como agregador y analista de inteligencia: consolida información de fuentes abiertas de naturaleza estratégica, de su propia capacidad de Cyber Threat Intelligence (CTI), y de reportes de incidentes que le llegan a través de los mecanismos de cooperación establecidos por la Directiva NIS2.
La metodología del Threat Landscape —documentada públicamente y actualizada en agosto de 2025— define un proceso estructurado: recolección de datos desde fuentes calificadas, evaluación de la fiabilidad de cada fuente, procesamiento y transformación en inteligencia accionable, y finalmente publicación con un enfoque que ENISA describe como “centrado en la amenaza” (threat-centric) más que un simple catálogo de incidentes. Esto significa que el informe no solo cuenta cuántos ataques ocurrieron, sino que agrupa comportamientos, correlaciona actores y traza tendencias de mediano plazo.
La edición 2025 identifica los sectores más atacados dentro de la Unión Europea: administración pública encabeza la lista con 38,2% de los incidentes, seguida de transporte (7,5%), infraestructura y servicios digitales (4,8%), finanzas (4,5%) y manufactura (2,9%). El sector transporte, en particular el marítimo y logístico, emergió como objetivo de alto valor durante este periodo. Esta concentración no es casual: son los sectores clasificados como esenciales bajo NIS2, y por tanto los que tienen mayor obligación —y mayor probabilidad estadística— de reportar incidentes a las autoridades nacionales que alimentan el informe.
Ese último punto es clave para interpretar cualquier cifra de ENISA con criterio técnico: el informe refleja lo que se reporta bajo un marco regulatorio maduro de notificación obligatoria, no necesariamente la totalidad de lo que ocurre.
Las categorías de amenaza que ENISA prioriza
El Threat Landscape 2025 organiza los hallazgos alrededor de categorías de amenaza que se repiten, con variaciones de ranking, edición tras edición. Vale la pena descomponerlas una por una porque cada una tiene implicaciones operativas distintas.
Ingeniería social como vector de entrada dominante
El hallazgo más contundente de la edición 2025 es que la ingeniería social —phishing, vishing, malspam y malvertising combinados— representó cerca del 60% de los vectores de intrusión observados. Esto supera por amplio margen a la explotación de vulnerabilidades (21,3%) y al uso de botnets (9,9%) como puntos de entrada iniciales. El informe también documenta que las campañas de phishing asistidas por inteligencia artificial llegaron a representar más del 80% de la actividad de ingeniería social observada globalmente a inicios de 2025. La conclusión técnica es incómoda pero clara: la inversión en controles perimetrales pierde relevancia relativa frente a la necesidad de invertir en detección de compromiso de identidad, capacitación continua y controles de correo con capacidad de detectar contenido generado o refinado por IA.
Ransomware: menos volumen, igual impacto
ENISA reporta una caída del 11% en el volumen de eventos de ransomware respecto a la edición anterior, pero es explícito en señalar que el ransomware sigue siendo la herramienta cibercriminal de mayor impacto. Se identificaron 82 variantes distintas desplegadas contra organizaciones de Estados miembro, con Akira liderando el ranking (11,6% de los casos), seguido de SafePay (10,1%) y Qilin (7,5%). La lectura correcta no es “el ransomware está desapareciendo”, sino que el ecosistema de ransomware como servicio (RaaS) se está consolidando en menos operaciones, más profesionalizadas, con modelos de afiliados más selectivos y capacidad de doble o triple extorsión. Es la misma dinámica de consolidación que reportan actores privados sobre otras regiones: menos grupos, más letales.
Amenazas contra la disponibilidad: el peso del hacktivismo
Los ataques de denegación de servicio distribuido (DDoS) fueron, en términos de volumen, el tipo de incidente dominante, con un 77% de los reportes, impulsados en gran medida por operaciones hacktivistas de bajo nivel técnico. ENISA es preciso en matizar este dato: solo el 2% de estas campañas resultó en disrupción real de servicio. La mayoría fueron acciones simbólicas, coordinadas alrededor de eventos políticos o electorales, diseñadas para generar titulares más que daño operativo sostenido. Esto no las hace irrelevantes —consumen recursos de respuesta y generan ruido que puede enmascarar actividad más seria— pero sí exige calibrar la respuesta según el impacto real, no según el volumen de alertas.
Amenazas contra los datos
ENISA distingue entre brecha de datos (ataque intencional para exfiltrar información sensible) y fuga de datos (exposición no intencional por configuración errónea, vulnerabilidad no corregida o error humano). Esta distinción tiene valor práctico: buena parte de los incidentes catalogados bajo esta categoría no se originan en un atacante sofisticado, sino en buckets de almacenamiento mal configurados, backups sin cifrar o permisos excesivos heredados de migraciones a la nube que nadie revisó después.
Ataques a la cadena de suministro: de riesgo periférico a vector central
Este es, probablemente, el cambio más significativo entre la edición 2024 y la 2025. Los riesgos de cadena de suministro pasaron a representar aproximadamente el 10,6% de los incidentes analizados, y el informe describe explícitamente que el compromiso de servicios digitales de terceros dejó de ser un riesgo de cola larga para convertirse en uno de los tres vectores principales. La edición 2024 ya había documentado el caso del backdoor introducido en XZ Utils —una librería de compresión de datos usada en infraestructura Linux ampliamente distribuida— como ejemplo de compromiso de cadena de suministro a través de ingeniería social contra mantenedores de proyectos de código abierto. La edición 2025 añade un fenómeno nuevo y con nombre propio: el “slopsquatting”, ataques que explotan la tendencia de los asistentes de codificación con IA a “alucinar” nombres de paquetes inexistentes, que luego un atacante registra y publica con código malicioso a la espera de que un desarrollador —o un modelo de lenguaje sugiriéndole una dependencia— lo instale.
Manipulación de información y la difuminación de fronteras entre categorías
ENISA documenta con detalle las operaciones de Manipulación e Interferencia de Información Extranjera (FIMI), un fenómeno donde grupos alineados con Estados usan campañas de desinformación combinadas con operaciones técnicas. El informe introduce el concepto de “faketivismo”: oleadas de DDoS ejecutadas por presuntos grupos hacktivistas pro-Rusia alrededor de eventos electorales, que en realidad funcionan como vehículo de una narrativa de interferencia más amplia. El caso más citado es el de Sandworm, actor vinculado al estado ruso, utilizando la fachada “Cyber Army of Russia Reborn” para operar bajo cobertura hacktivista. Entre los actores estatales más activos identificados contra la Unión Europea, ENISA nombra a APT28, APT29 y Sandworm, con foco en administración pública, defensa y telecomunicaciones. La lección estructural aquí es que clasificar un incidente como “cibercrimen”, “hacktivismo” o “amenaza estatal” es cada vez más una simplificación: las fronteras operativas entre estas categorías se están disolviendo deliberadamente.
Los límites de aplicar un informe europeo al contexto latinoamericano
Sería un error metodológico tomar los porcentajes del ENISA Threat Landscape y asumir que describen la realidad de Colombia o de la región. Hay al menos cuatro diferencias estructurales que un equipo de seguridad debe tener presentes antes de citar estas cifras en un comité de riesgo:
- Madurez del reporte obligatorio de incidentes. La Directiva NIS2 obliga a un universo amplio de entidades esenciales e importantes a notificar incidentes bajo plazos estrictos, con sanciones por incumplimiento. Ese flujo regulatorio es lo que alimenta buena parte de los datos de ENISA. En la mayoría de los países latinoamericanos no existe un mandato equivalente con esa cobertura sectorial y ese nivel de cumplimiento, lo que significa que las cifras regionales —cuando existen— suelen subestimar la incidencia real por subreporte, no por menor actividad de los atacantes.
- Composición del tejido económico y sectores críticos. El foco de ENISA en administración pública, transporte marítimo y manufactura responde a la estructura económica y a las prioridades estratégicas de la Unión Europea. En Colombia y buena parte de la región, el sector financiero y de seguros ha sido señalado como el principal objetivo de los cibercriminales en 2025, lo que exige una priorización distinta de superficie de ataque.
- Capacidad instalada de inteligencia de amenazas. ENISA agrega inteligencia de 27 Estados miembro con equipos nacionales de respuesta a incidentes (CSIRT) interconectados. La región no cuenta todavía con una infraestructura de intercambio de inteligencia comparable en cobertura, aunque el informe conjunto de la OEA y el BID de 2025 —que evalúa la madurez de ciberseguridad en 30 países de América Latina y el Caribe— documenta avances relevantes en la construcción de esa capacidad, junto con brechas persistentes en recursos, talento y coordinación intersectorial.
- Marco normativo y sanciones. El Reglamento General de Protección de Datos (RGPD) y NIS2 generan incentivos legales fuertes para invertir en controles preventivos en Europa. En Colombia, la Ley 1581 de 2012 y la normativa sectorial de la Superintendencia Financiera imponen obligaciones distintas, con un régimen sancionatorio de otra magnitud. Un programa de seguridad diseñado exclusivamente para “cumplir como si fuéramos NIS2” puede sobreinvertir en controles que no responden a la exposición regulatoria real de la organización.
Ninguna de estas diferencias invalida el valor del informe. Simplemente exige leerlo como inteligencia de tendencias y TTP, no como benchmark estadístico directo para el contexto local.
Cinco lecciones accionables para un equipo de seguridad en la región
1. Priorizar la superficie de ataque humana, no solo la técnica
Si el 60% de los vectores de intrusión documentados por ENISA parten de ingeniería social, y la porción asistida por IA supera el 80% de esa actividad, el presupuesto de controles debe reflejar esa proporción. Esto implica invertir en simulacros de phishing con escenarios actualizados a técnicas generativas, en autenticación multifactor resistente a phishing (FIDO2/passkeys, no solo OTP por SMS) y en capacidad de detección de compromiso de cuentas después del clic, no solo antes.
2. Tratar la cadena de suministro de software como superficie de ataque de primer orden
El salto de los ataques de cadena de suministro a vector de primera línea —y la aparición de técnicas como el slopsquatting dirigidas contra flujos de desarrollo asistidos por IA— obliga a revisar procesos de gestión de dependencias, firmas de paquetes, listas de materiales de software (SBOM) y políticas claras sobre qué puede y qué no puede sugerir un asistente de codificación sin revisión humana. Para equipos que integran proveedores de software críticos —bancarios, gubernamentales— también implica exigir evidencia de estas prácticas como parte de la debida diligencia de terceros.
3. Calibrar la respuesta a DDoS según impacto real, no volumen de alertas
El dato de que apenas el 2% de las campañas hacktivistas de DDoS documentadas por ENISA logró disrupción real es una lección operativa directa: un plan de respuesta a incidentes necesita un criterio de triage que distinga ruido simbólico de amenaza con capacidad de daño, para no agotar al equipo de guardia respondiendo a cada oleada como si fuera crítica.
4. No asumir que “cibercrimen”, “hacktivismo” y “amenaza estatal” son cajones separados
La evidencia de actores estatales operando bajo fachada hacktivista —y de campañas de FIMI que combinan disrupción técnica con manipulación narrativa— exige que la atribución en el análisis de incidentes se trate con cautela y que los equipos de inteligencia de amenazas revisen el contexto geopolítico, no solo el indicador técnico, antes de clasificar un actor.
5. Construir capacidad de reporte y métricas internas antes de que la regulación lo exija
La calidad del Threat Landscape europeo depende directamente de un ecosistema de reporte obligatorio maduro. Los equipos de seguridad en la región que empiecen ahora a construir procesos rigurosos de registro, clasificación y reporte interno de incidentes —incluso sin mandato legal equivalente a NIS2— estarán mejor posicionados cuando la regulación local avance, y tendrán datos propios confiables para justificar inversión ante la dirección.
La postura de CIBER-TEC: inteligencia internacional como insumo, no como mapa
Monitorear informes como el ENISA Threat Landscape no es un ejercicio académico. Es la forma más eficiente de anticipar qué técnicas van a llegar a la región antes de que aparezcan en un incidente propio. Los TTP que hoy afectan a una entidad de administración pública en Europa —kits de phishing potenciados por IA, backdoors en dependencias de código abierto, fachadas hacktivistas para operaciones estatales— tienden a replicarse en otros mercados con meses de diferencia, en parte porque el mismo ecosistema de proveedores de malware como servicio opera globalmente sin distinción de cliente final.
La recomendación práctica para cualquier equipo de seguridad que lea este artículo: incorpore la revisión del Threat Landscape de ENISA —y de fuentes equivalentes como los informes sectoriales de ENISA, el reporte anual OEA-BID y la inteligencia de proveedores con cobertura regional— como insumo trimestral fijo del comité de riesgo cibernético, con un ejercicio explícito de traducción: por cada hallazgo europeo, pregunte qué control interno lo mitigaría en su organización, y si ese control ya existe, está probado, o solo está documentado en una política que nadie ha auditado este año.
