Las brechas de ciberseguridad siguieron siendo una molestia persistente para las empresas africanas en 2025, pero lo más destacado del año no fueron los ataques que salieron a la luz pública. Las instituciones perdieron el lujo de mantener las brechas en secreto a medida que los ciberataques se volvieron más difíciles de ocultar.
Varios países africanos endurecieron las directrices de notificación de infracciones para los operadores. El principal de ellos es Argelia, que... se estableció un plazo de 5 días Para que las empresas denuncien las infracciones o paguen fuertes multas. Kenia y Sudáfrica también lograron avances significativos al obligar a las organizaciones a tratar las infracciones como eventos públicos, en lugar de problemas informáticos privados.
En Kenia, ahora se espera que los operadores que descubran una posible violación... Alertar a los responsables del tratamiento de datos en un plazo de 48 horasLos responsables del tratamiento se ven obligados a presentar un informe preliminar a la Oficina del Comisionado de Protección de Datos (ODPC) en un plazo de 72 horas, incluso si aún no se dispone de todos los datos. Las notificaciones tardías deben justificarse, y las nuevas directrices del organismo regulador vinculan la seguridad deficiente y la presentación de informes deficientes directamente con multas, sanciones e incluso el riesgo de perder el derecho a procesar datos. Para las empresas kenianas, esto significa que el viejo instinto de "esperar a saber más" ahora conlleva un riesgo regulatorio.
Sudáfrica también reformó su proceso de denuncia de infracciones. Si bien la Ley de Protección de la Información Personal (POPIA) exigía desde hacía tiempo que las organizaciones notificaran tanto al regulador como a las personas afectadas tras una "vulneración de seguridad", en 2025, el Regulador de la Información reforzó la forma en que funciona esa obligación en la práctica. En abril, obligó a las empresas a... Registrar infracciones a través de un portal de informes en línea utilizando un formulario, obligando a los operadores a explicar lo que sucedió, qué datos estaban involucrados, qué están haciendo para contenerlos y qué deben hacer las personas para protegerse.
Según el Regulador de Información de Sudáfrica, Se reportaron 2,374 infracciones en el año fiscal 2024/25, y el 82% de ellos ocurrieron después de abril de 2025. La cifra apuntaba a una aceleración, pero también insinuaba que la divulgación se estaba volviendo inevitable.
En otros lugares, Zambia optó por tratar la ciberseguridad como un problema de infraestructura crítica en lugar de una preocupación administrativa. En abril de 2025, el país dividió su legislación cibernética en dos: Ley de seguridad cibernética proveedores de servicios de seguridad gubernamentales y de infraestructura de información crítica, y una Ley de Delitos Cibernéticos Gestión de infracciones y sanciones. Los operadores de sectores como energía, banca y finanzas, salud, transporte, pensiones y seguros, TIC, educación, minería y otros servicios públicos designados pueden ahora clasificarse como controladores de «información crítica» o «infraestructura de información crítica», lo que los somete a una supervisión más estricta.
Esta designación conlleva estrictas obligaciones: los controladores deben registrarse en la nueva Agencia de Ciberseguridad de Zambia, mantener la información crítica designada alojada en Zambia, a menos que se les autorice expresamente a almacenarla en otro lugar, y notificar con prontitud a la agencia cualquier incidente de ciberseguridad, real o percibido, que afecte a dichos sistemas o redes conectadas. También deben someterse a auditorías anuales, presentar informes de conocimiento de la situación de ciberseguridad y participar en ciberejercicios nacionales. El incumplimiento se castiga con multas de hasta 1.2 millones de ZMW (48,000 dólares) y, en casos graves, con penas de prisión de hasta 10 años.
Estos cambios regulatorios obligaron a la divulgación de algunas de las infracciones más importantes en 2025. A una nueva escala, hicieron visible cómo las intrusiones alteran los servicios cotidianos al cliente de formas muy públicas.
La exposición como estrategia
Si 2024 nos diera el desafortunado Violación de la seguridad en el Servicio Nacional de Laboratorio de Salud de Sudáfrica (NHLS)El mayor incidente sanitario en 2025 fue La violación del M-TIBA en Kenia En octubre. Como si fuera una vitrina de trofeos, los hackers publicaron los datos sustraídos en canales públicos de Telegram, un patrón utilizado para obligar a las organizaciones a cumplir con las exigencias de rescate. Las organizaciones que poseen datos confidenciales de sus clientes siguieron siendo un objetivo frecuente en 2025.
Las empresas de telecomunicaciones, que antes se consideraban resilientes gracias a su escala, se convirtieron en algunos de los objetivos más lucrativos. Telecom Namibia, un proveedor estatal, se vio paralizado silenciosamente por un ataque de ransomware en diciembre de 2024, con un... caída públicaque continuó en enero de 2025. Cuando la empresa se negó a pagar, los atacantes filtraron datos de facturación confidenciales pertenecientes a altos funcionarios del gobierno en un intento de forzar el cumplimiento.
En enero 8, Los piratas informáticos atacaron al operador móvil Cell C con una violación de ciberseguridad, con informes que indicaban que los perpetradores, RansomHouse, habían "revelado ilegalmente el incidente" y datos de clientes robados publicados en la red oscura, exponiéndolos al fraude y la extorsión.
En abril, MTN Group reveló una violación de datos que afecta a sus suscriptores sudafricanos. En Ghana, al menos 5,700 clientes de MTN se vieron directamente afectados En una filtración reportada el 28 de abril. En Sudáfrica, la filtración derivó en una investigación criminal. El mensaje para la industria fue inequívoco: las telecomunicaciones se habían convertido en bóvedas de identidad, y esas bóvedas estaban siendo puestas a prueba.
Los hackers mantuvieron su postura exhibicionista y varias otras organizaciones de datos sensibles fueron atacadas. En enero de 2025, un ciberataque contra el Servicio Meteorológico Sudafricano (SAWS) sistemas clave desconectados, lo que interrumpió la entrega de pronósticos aéreos y marítimos y limitó el acceso a información meteorológica crítica tanto en el país como en toda la región. En julio, los sistemas municipales de Otjiwarongo, una tranquila ciudad en el centro de Namibia, fueron desconectados de internetA los residentes se les impidió acceder a servicios básicos mientras los funcionarios luchaban por explicar lo que había sucedido.
La violación de infraestructura más importante del año afectó a Eskom, la empresa eléctrica estatal de Sudáfrica, y se convirtió en el momento cumbre de la era de la exposición, una que asignó un claro costo financiero a un incidente cibernético.
En diciembre de 2024, la empresa eléctrica detalló cómo su Sistema de venta en línea (OVS), la plataforma utilizada para generar tokens de electricidad prepagos, había sido vulnerado el año anterior, después de una investigación forense. Vinculó grandes pérdidas “no técnicas” al fraude en el sistema.
La violación en sí ocurrió en 2024, pero recién salió a la luz pública en diciembre, cuando Eskom reconoció que los delincuentes habían explotado las debilidades en su plataforma de venta para generar grandes volúmenes de tokens fraudulentos pero técnicamente válidos. mi banda ancha, una publicación de medios locales, informó en noviembre de 2025 que los empleados de Eskom, actuando ya sea como coludentes o como orquestadores del plan, aprovecharon el sistema comprometido para crear y vender tokens de energía falsos. Presuntamente robó entre R657 millones y R1.1 millones (entre 39.5 y 66 millones de dólares) De la compañia.
En septiembre de 2025, Eskom informó que se había producido un fraude relacionado con la violación de OVS. se había reducido a “niveles muy bajos de actividad”. El incidente tuvo un efecto perjudicial: visibilizó de inmediato los fallos internos, las pérdidas financieras y el retraso en la divulgación, lo que subrayó lo difícil que se había vuelto para las instituciones mantener en secreto las infracciones.
¿Espionaje?
Grupos vinculados al Estado, como Salt Typhoon, asociado con China, han atacado a proveedores de telecomunicaciones, incluidos al menos uno en SudáfricaSegún los investigadores de Recorded Future, quienes buscan acceso no para interrumpir, sino para observar. Los metadatos, los registros de llamadas y el acceso a la red —la arquitectura de la vida cotidiana— resultaron ser más valiosos que cualquier base de datos individual.
Estos ataques rara vez generaban titulares. No los necesitaban. Su éxito residió en permanecer prácticamente invisibles.
En Sudáfrica, en septiembre surgieron acusaciones de que la Agencia de Seguridad del Estado (SSA) había sido violada por un grupo presuntamente vinculado a China conocido como RedNovember. Funcionarios negado La intrusión, alegando que investigaron las denuncias y no encontraron evidencia de dicha violación. Sin embargo, el asunto sigue siendo un espectáculo público sobre cómo el espionaje podría ser el objetivo de RedNovember, un grupo conocido por atacar a gobiernos y organizaciones intergubernamentales (OIG) de alto perfil. RedNovember no emitió ninguna declaración sobre la presunta violación de la SSA.
Al mismo tiempo, los grupos de ransomware se dirigieron a la infraestructura: puertos, servicios públicos, sistemas logísticos. Solo en Sudáfrica, las pérdidas relacionadas con el ransomware y la ciberdelincuencia fueron... estimado en 120 millones de dólares anualmente.
En otras partes del continente, la autoridad fiscal de Senegal fue Afectado por ransomware que amenazaba con borrar y filtrar registros fiscales confidenciales. El 2 de octubre, la Dirección General de Impuestos y Dominios (DGID) de Senegal, un departamento del Ministerio de Economía, Finanzas y Planificación —responsable de las políticas y la administración tributaria y territorial del país—emitió un comunicado negando el presunto ataque, presentándolo como un fallo técnico temporal; con esa medida, el gobierno optó por una contención y recuperación discretas. Sin embargo, el episodio expuso la fragilidad de los sistemas tributarios digitales que sustentan los ingresos estatales.
Se observaron presiones similares en toda África Oriental. El equipo nacional de respuesta a incidentes de Kenia... registró más de 842 millones de intentos de intrusiones cibernéticas En el tercer trimestre de 2025, la mayoría de los ataques se dirigieron a portales de inicio de sesión gubernamentales y proveedores de servicios de internet. En Etiopía y varios otros países de la región, se produjeron repetidos ataques distribuidos de denegación de servicio (DDoS) dirigidos a la infraestructura de telecomunicaciones. seguía siendo una espina persistenteEstos ataques fueron pruebas de estrés para los estados que se digitalizaban más rápido de lo que podían defenderse.
El nuevo truco de la confianza
En 2025, la gente también dejó de confiar en las voces.
La ingeniería social impulsada por IA maduró rápidamente. Aumentó el temor de que los gerentes financieros recibieran llamadas que sonaban exactamente igual que sus directores ejecutivos o videoconferencias con rostros que parpadeaban y asentían con una precisión inquietante. Las señales de advertencia tradicionales (gramatical incorrecta, dominios extraños) ya no son aplicables.
El papel de larga data de África Occidental como centro de Compromiso de Correo Electrónico Empresarial (BEC) se consolidó hasta convertirse en algo más industrial. Organizaciones criminales como Operaciones dirigidas por Black Axe que eran transnacionales, disciplinadas y lucrativas. También aumentaron los informes de sextorsión digital, que a menudo implicaban imágenes generadas por IA utilizadas para chantajear a las víctimas.
Nigeria ilustró cómo la ciberdelincuencia se combinó con el abuso interno. En Access Bank, el banco más grande del país en términos de activos, los investigadores... alegó que el personal coludió para desviar ₦826 millones (569,345 dólares) a través de una cuenta ficticia de Hacienda. No se trató de una filtración en el sentido convencional, pero puso de relieve otra realidad de 2025: los compromisos más perjudiciales también provinieron de personas bien dispuestas, e incluso inconscientes.
Arrestos, leyes y el teatro de la respuesta
Hubo momentos de determinación. En una operación coordinada, INTERPOL... detenidos 1,209 ciberdelincuentes en 18 países africanos. Los reguladores también comenzaron a mostrar su poder. La Comisión de Protección de Datos de Nigeria (NDPC), el regulador de privacidad de datos del país, Multado MultiChoiceLa multinacional sudafricana de medios de comunicación pagó 766 millones de ₦ (528,000 dólares) por no proteger adecuadamente los datos de los consumidores. Esto indicó a las organizaciones africanas que una gestión deficiente de los datos tendría graves consecuencias financieras.
En el norte de África, una ola de ciberaccidentes se desató durante varias semanas en abril. La secuencia comenzó cuando hackers vinculados a Marruecos presuntamente comprometieron la cuenta X de la agencia de noticias estatal argelina. Las comprobaciones de TechCabal mostraron que la cuenta fue interceptada en abril y renombrada como "Sahara Marocain", en lo que pareció ser un intento deliberado de provocar.
El 8 de abril, el grupo proargelino Jabaroot contraatacó. Según informes, hackeó la Caja Nacional de Seguridad Social de Marruecos, presentándolo directamente como una represalia. La filtración revelada... expuso decenas de miles de archivos Contiene información personal y financiera de casi 2 millones de ciudadanos.
Aunque los funcionarios disputaron parte del material filtrado, se informó que gran parte de los datos... apareció en canales públicos de TelegramPoco después, el grupo hacktivista Jabaroot desfiguraron el sitio web del Ministerio de Trabajo de Marruecos, citando represalias por ataques en línea contra medios argelinos. La escalada de represalias digitales subrayó cómo las operaciones cibernéticas se han convertido en armas de escaramuzas digitales, dejando los datos de civiles como daño colateral.
Lo que dejó atrás el 2025
Entre 2019 y 2025, África perdió más de 3 mil millones de dólares por delitos cibernéticosSegún INTERPOL, la cifra solo refleja el dinero, no la pérdida de confianza tras estos ataques. La agencia también señaló que las capacidades de detección y respuesta en todo el continente siguen siendo limitadas, rezagadas respecto al ritmo y la escala de las amenazas emergentes, lo que indica un déficit de inversión.
Según el informe de evaluación de ciberamenazas en África de INTERPOLEl 90% de las empresas africanas operan sin protocolos de ciberseguridad adecuados. El mismo informe señala que solo el 30% de los países africanos cuentan con un sistema de notificación de incidentes, lo que pone de relieve la persistente falta de denuncias y las deficiencias estructurales en la forma de registrar los incidentes cibernéticos.
En gran parte de África, el gasto en ciberseguridad ha tendido a concentrarse en herramientas perimetrales básicas y controles orientados al cumplimiento, mientras que capacidades más avanzadas (monitoreo continuo, búsqueda de amenazas, evaluaciones, pruebas y controles) siguen subdesarrolladas en muchos sectores fuera de los grandes bancos y operadores de telecomunicaciones.
A informe de PwC, una consultora global, demostró que solo el 28 % de las organizaciones sudafricanas invierten significativamente más en medidas proactivas que reactivas (como respuesta a incidentes, multas y recuperación). A nivel mundial, esa cifra se acerca al 70 %, pero la mayoría de las organizaciones africanas no se acercan a esa cifra.
Sin defensas más sólidas, las amenazas se extenderán hasta 2026. Los hackers están calculando el tiempo y atacando cuando los sistemas ya están sobrecargados. Las startups globales de blockchain también están descubriendo que los contratos inteligentes, lo que representa 29 millones de dólares en daños, fallan igual que los humanos. Los analistas de seguridad de la información se han convertido Algunos de los profesionales más solicitados en el continente.
Al acercarse el final del año, aprendimos que las infracciones ya no son el mayor temor de las instituciones africanas. Lo que temen es ser vistas como desprevenidas, evasivas y comunes ante un problema que antes creían que podía gestionarse con discreción.
