Las brechas de seguridad que causaron las mayores filtraciones de 2025
A medida que la ciberdelincuencia se vuelve cada vez más compleja, la línea entre la resiliencia y la catástrofe se vuelve cada vez más delgada. En 2025, empresas de los sectores de salud, automotriz, financiero, defensa y tecnología sufrieron filtraciones masivas que costaron miles de millones en pérdidas, expusieron millones de registros comprometidos y provocaron meses de parálisis operativa.
Un análisis más detallado revela un patrón preocupante: no se trató de ataques sofisticados imposibles de defender, sino de la explotación de debilidades prevenibles. Las más comunes fueron vulnerabilidades sin parchear, configuraciones incorrectas, credenciales robadas, controles de identidad débiles y monitoreo insuficiente. Dichas brechas persisten porque la seguridad estaba separada: la gestión de parches estaba en una herramienta, la protección de endpoints en otra y la gestión de identidades en otra distinta. Lo anterior deja puntos ciegos que los atacantes explotan con alarmante consistencia.
A continuación, se presentan 15 filtraciones reales ocurridas entre 2024 y 2025. Están clasificadas en cinco vectores principales de ataque y destacan cómo la seguridad y gestión unificada de endpoints podrían haber interrumpido la cadena de ataque en múltiples puntos. Cada caso cuenta la misma historia de una falla fundamental de seguridad que permitió a los atacantes permanecer sin ser detectados, exfiltrar datos y paralizar a sus víctimas.
Descifrando la filtración: por qué estos ataques siguen ocurriendo
1. Fallas en la gestión de identidades y accesos
El patrón: los atacantes no están irrumpiendo en los sistemas. Están iniciando sesión mediante credenciales robadas o mal gestionadas.
Jaguar Land Rover lo comprobó cuando un ataque de vishing a un contratista de LG convirtió credenciales obsoletas de Jira de 2021 en una catástrofe de 1,9 mil millones de libras esterlinas. A esto le siguió un cierre de producción de un mes. Mientras tanto, los hackers explotaban cuentas que debieron haberse desactivado años atrás.
Marks & Spencer fue víctima cuando atacantes, presuntamente del grupo Scattered Spider, se infiltraron en un centro de soporte de terceros durante el fin de semana de Pascua y explotaron una verificación de identidad débil para obtener control administrativo. Posteriormente, el grupo desplegó el ransomware DragonForce. Este detuvo el comercio electrónico y la logística en toda la organización. Al evadir la verificación de identidad mediante ingeniería social, los atacantes paralizaron completamente las operaciones.
Qantas sufrió un ataque de vishing extremadamente rápido, en el que los suplantadores se hicieron pasar por autoridades para engañar al personal del centro de llamadas y obtener credenciales. En menos de 24 horas, casi seis millones de registros de clientes fueron filtrados.
Coinbase enfrentó quizás la variante más insidiosa: la amenaza interna. Contratistas externos y personal de soporte sobornados exportaron sistemáticamente 69.461 registros de clientes, incluidos números de seguridad social e identificaciones gubernamentales, durante casi cinco meses. No vulneraron sistemas, sino que aprovecharon su acceso legítimo.
Red Hat GitLab sufrió una grave falla en la prevención de pérdida de datos cuando credenciales robadas permitieron el acceso a 28.000 repositorios. Esto facilitó la exfiltración de 570 GB de información.
2. Configuraciones incorrectas de infraestructura y nube
El patrón: estos no son exploits complejos. Son errores evitables donde los sistemas se activan sin controles básicos de seguridad.
MongoDB expuso 16 terabytes de datos en forma de 4,3 mil millones de registros. Esto incluye perfiles en línea, historial laboral e información de contacto. Y todo se debió a una implementación sin autenticación.
Blue Shield of California configuró incorrectamente píxeles de seguimiento publicitario en su sitio web. De esta forma, compartió silenciosamente información personal de salud de 4,7 millones de miembros con terceros durante tres años a través de Google Analytics.
3. Gestión de vulnerabilidades y parches
El patrón: fallas conocidas que simplemente no se corrigieron a tiempo o no se corrigieron en absoluto.
SAP NetWeaver se convirtió en un objetivo para actores de amenazas que explotaron una vulnerabilidad crítica de día cero en más de 450 instancias. Así instalaron web shells para espionaje corporativo y ransomware. Las organizaciones tuvieron apenas horas entre la divulgación de la vulnerabilidad y su explotación activa. La mayoría no reaccionó a tiempo.
Microsoft SharePoint fue comprometido por actores estatales que explotaron vulnerabilidades de día cero en más de 85 instancias durante más de dos meses. De esta forma, desplegaron web shells para exfiltrar código fuente propietario. Aunque se aplicó un parche, no se implementó con la suficiente rapidez.
Barts Health NHS Trust experimentó una vulnerabilidad de día cero en Oracle E-Business Suite cuando el ransomware Cl0p explotó la falla no parcheada. Esto exfiltró datos financieros y personales de empleados, pacientes y proveedores antes de filtrarlos públicamente.
DaVita incurrió en cargos por 13,5 millones de dólares debido a sistemas de transferencia de archivos y herramientas de acceso remoto sin parchear que fueron comprometidos por el ransomware Interlock.
4. Fallas en API y lógica de aplicaciones
El patrón: a medida que las empresas migran a la nube, la forma en que las aplicaciones se comunican entre sí se convierte en un vector principal de ataque.
El ataque a la cadena de suministro OAuth de Salesforce lo demostró claramente. Tokens OAuth robados de Salesloft y Drift, utilizados como llaves digitales entre aplicaciones, otorgaron a los atacantes acceso aparentemente legítimo a más de 700 organizaciones que utilizaban instancias de Salesforce. Durante 10 días, exfiltraron datos de CRM e insertaron credenciales en la nube sin ser detectados.
Allianz Life Insurance sufrió una vulnerabilidad de referencia directa a objetos inseguros (IDOR) y los atacantes manipularon parámetros de ID de cuentas en solicitudes API. Durante 16 días, extrajeron sistemáticamente casi 1,5 millones de registros de asegurados. Lo anterior incluyó números de seguridad social y designaciones de beneficiarios.
5. Ataques de ransomware y malware
El patrón: una vez dentro, el ransomware convierte el acceso en destrucción mediante cualquiera de los vectores anteriores.
National Defense Corporation fue víctima del ransomware InterLock, que explotó PowerShell y cuentas válidas. De esta forma, permaneció sin ser detectado durante 4 a 6 semanas antes de exfiltrar 4.2 terabytes de datos de contratistas de defensa. Lo anterior incluyó registros de adquisiciones relacionados con importantes actores del sector espacial.
Ingram Micro fue comprometida cuando hackers explotaron vulnerabilidades en VPN, junto con una segmentación de red insuficiente, para desplegar el ransomware SafePay tras semanas de persistencia. La distribución global se detuvo, lo que generó pérdidas de hasta $136 millones por día.
La ventaja de la defensa unificada
Estos 15 ataques generaron pérdidas directas de miles de millones, comprometieron millones de registros y destruyeron la confianza organizacional.
¿Qué tienen en común todas estas filtraciones? Explotaron brechas entre herramientas de seguridad. Cuando la gestión de parches se realiza en un sistema, la gestión de identidades en otro y la detección de amenazas en un tercero, los atacantes aprovechan las fisuras.
La seguridad y gestión unificada de endpoints cambian esta ecuación. Al consolidar la implementación de parches, la aplicación de configuraciones, la detección de amenazas, el análisis de comportamiento y los controles de acceso en una plataforma unificada, las soluciones como Endpoint Central cierran estas brechas antes de que puedan ser explotadas.
La pregunta no es si los actores de amenazas atacarán sus sistemas, sino si encontrarán defensas fragmentadas o una estrategia coordinada.
Con Endpoint Central, la defensa siempre está preparada.