Con 2025 cerca de finalizar, los reportes sobre las amenazas que marcaron el año se multiplican. A comienzos de mes, The Hacker News detalló en un informe las cinco amenazas que transformaron el panorama de la seguridad web este año, obligando a empresas y desarrolladores a repensar estrategias.

La primera gran tendencia fue el avance del “vibe coding”, la programación impulsada por IA que permite generar aplicaciones completas mediante lenguaje natural. Si bien esta capacidad aceleró el desarrollo, con startups de Y Combinator creando productos en horas, también dejó al descubierto un problema estructural: el 45% del código generado por IA contiene fallas explotables, y plataformas como Base44 de Wix sufrieron vulnerabilidades críticas que permitían acceder a aplicaciones privadas sin autenticación. La concluyente lección fue que la velocidad del desarrollo no puede pasar por encima de la seguridad.

El segundo fenómeno que marcó el 2025 fue la inyección masiva de JavaScript en sitios web, con más de 150.000 páginas afectadas por campañas que suplantaban a plataformas de apuestas. Los atacantes utilizaron superposiciones CSS y técnicas avanzadas como la prototype pollution, afectando incluso a sitios que contaban con la protección XSS de React. El incremento de vulnerabilidades (más de 22.000 CVEs reportadas) dejó claro que la adopción casi universal de JavaScript del lado del cliente continúa siendo una de las superficies más amplias para los ciberdelincuentes.

Una tercera amenaza en expansión fueron los ataques Magecart o e-skimming, que crecieron un 103% en solo seis meses. Estos ataques, que insertan scripts de apariencia legítima para robar datos de pago, alcanzaron nuevos niveles de sigilo. Desde manipulación del DOM hasta desactivación automática cuando se abrían herramientas de desarrollo. Campañas como la del dominio cc-analytics, activa durante al menos un año, mostraron que incluso organizaciones de alto perfil siguen siendo vulnerables a la manipulación de scripts de terceros.

El cuarto eje crítico fue el avance de los ataques a la cadena de suministro de software impulsados por IA, con un aumento del 156% en cargas maliciosas dentro de repositorios como npm. El episodio más alarmante fue el gusano Shai-Hulud, que en apenas 72 horas comprometió más de 500 paquetes y 25.000 repositorios, usando scripts generados por IA diseñados para evadir incluso a defensas basadas en IA. Variantes que cambian constantemente y código capaz de identificar sandboxes volvieron insuficiente la detección tradicional y extendieron las ventanas de exposición a más de 270 días.

La quinta y última amenaza destacada fue el deterioro silencioso del cumplimiento de privacidad web, con investigaciones revelando que el 70% de los principales sitios de EE. UU. instalaban cookies publicitarias incluso cuando los usuarios optaban por rechazarlas. Este “desgaste de privacidad” provocó desde multas millonarias hasta violaciones de HIPAA por la recopilación no autorizada de datos de pacientes. El fallo contra Capital One en marzo de 2025 reafirmó que el uso indebido de píxeles de rastreo puede considerarse “exfiltración de datos”, incrementando la responsabilidad legal de las empresas.

El informe concluye que las organizaciones que lograron prosperar en 2025 compartieron tres rasgos esenciales: asumen la brecha como estado natural, priorizando la detección y contención rápida; adoptan modelos de validación continua, abandonando auditorías periódicas en favor de monitoreo permanente; y tratan a la IA como una herramienta de doble filo, capaz de generar vulnerabilidades pero también de fortalecer defensas. En un entorno donde la reacción llega tarde, la seguridad del futuro se construye sobre vigilancia constante, análisis inteligente y una comprensión de los riesgos.