Los ciberataques al sector energético crecen un 113% en plena escalada impulsada por IA

La ciberguerra ha entrado en una nueva fase marcada por el uso intensivo de inteligencia artificial, que está permitiendo a los atacantes actuar con mayor rapidez, coordinación y capacidad de adaptación. Así lo advierte TrendAI™, unidad de negocio enterprise de Trend Micro, en su último informe sobre amenazas avanzadas que analiza campañas observadas en 2025 y primer trimestre de 2026, y concluye que las organizaciones deben abandonar un modelo centrado en la prevención para adoptar otro basado en visibilidad, contención y recuperación rápida.

Y, es que, el informe apunta a un cambio de paradigma en el que la inteligencia artificial ya no se limita a apoyar determinadas fases del ataque, sino que se ha integrado de forma directa en las operaciones ofensivas, acelerando procesos clave como la intrusión, el movimiento lateral o la persistencia en los sistemas comprometidos. Esta evolución está reduciendo los tiempos de respuesta de los equipos de ciberseguridad y elevando el nivel de riesgo para empresas y administraciones públicas.

El estudio muestra los sectores más atacados en 2025 donde las entidades públicas, con 1.480 ataques, encabezan la lista, seguidas por el sector tecnológico, con 674 incidentes. Mientras que el sector energético registró el mayor crecimiento, con un 113% más de actividad.

Los ciberataques al sector energético

“Este aumento en los ataques al sector energético confirma que las infraestructuras críticas se han convertido en un objetivo estratégico prioritario para los actores avanzados. Ya no hablamos solo de interrupciones puntuales, sino de campañas diseñadas para infiltrarse, permanecer ocultas y recopilar información clave durante largos periodos de tiempo”, explica José de la Cruz, director técnico de TrendAI™.

La actividad de los grupos APT contra infraestructuras críticas como energía, ha experimentado un importante incremento, reflejando su papel clave en la seguridad nacional y la estabilidad económica. Estas campañas no buscan únicamente la interrupción inmediata, sino que priorizan la recopilación de inteligencia sobre redes eléctricas. Para ello, los atacantes centran sus esfuerzos en fases previas como el reconocimiento, el robo de credenciales y el posicionamiento dentro de los sistemas, con el objetivo de mantener acceso a largo plazo y preparar posibles acciones futuras.

En este contexto, la compañía ha observado tanto operaciones de sabotaje como de espionaje encubierto. Grupos como Earth Vetala han llevado a cabo estrategias más sigilosas, infiltrándose en organizaciones críticas mediante ingeniería social y herramientas legítimas para asegurar acceso persistente.

“En este nuevo escenario, las organizaciones deben asumir que el riesgo es continuo y que la clave está en mejorar la capacidad de detección, contener el impacto rápidamente y garantizar la continuidad operativa frente a amenazas cada vez más automatizadas y sofisticadas”, concluye de la Cruz.