Marc Sureda
Durante el año 2025, la división de inteligencia cibernética de Cisco (conocida como Talos), ha registrado un incremento notable en las ofensivas llevadas a cabo por delincuentes informáticos. El informe anual de la compañía señala que los atacantes se han centrado fundamentalmente en tres vías de acceso: la vulneración de los sistemas de identidad y autenticación, el aprovechamiento de fallos de seguridad en todas sus etapas de vida, y el uso ilícito de entornos de trabajo y programación ampliamente utilizados.
El compromiso de las credenciales de usuario se ha consolidado como el objetivo prioritario de las intrusiones. Las tácticas orientadas a vulnerar la autenticación multifactor, un método que requiere varios pasos para verificar la legitimidad de un usuario, y la infraestructura de identidad experimentaron un crecimiento del 178% a lo largo de 2025. Al obtener las credenciales, los asaltantes logran expandirse de manera oculta mediante el envío de correos fraudulentos internos y la manipulación de los controles de acceso. Esto les permite hacerse con el dominio de toda la red corporativa y facilita su persistencia de forma lateral dentro de los sistemas informáticos.
Por otro lado, los delincuentes explotan un amplio abanico de fallos de seguridad. Si bien adoptan con rapidez las brechas recién descubiertas para maximizar el daño, continúan sacando partido sistemáticamente de los errores informáticos más antiguos. Un ejemplo de la rapidez de acción es el caso de React2Shell, que se transformó en la vulnerabilidad más atacada del año pasadas únicamente tres semanas desde su divulgación pública. Sin embargo, el riesgo de los sistemas heredados persiste de forma alarmante. Casi un tercio de las cien vulnerabilidades más utilizadas tienen una antigüedad superior a los diez años. A esto se suma que cerca del 40% de los fallos más explotados afectan a sistemas informáticos obsoletos que ya no disponen de actualizaciones de seguridad por parte de sus fabricantes.
El peligro también se extiende a los componentes de software compartidos. Aproximadamente una cuarta parte de las brechas más atacadas perjudicaban a bibliotecas y entornos de desarrollo de uso masivo. Esta centralización permite a los asaltantes rentabilizar un solo fallo informático para infiltrarse en múltiples sectores de actividad simultáneamente. En este contexto de amenazas, el secuestro de datos con fines extorsivos, conocido como ransomware, ha mantenido una alta actividad industrializada. La variante denominada Qilin fue la más habitual en 2025, contabilizando en torno a cuarenta corporaciones afectadas cada mes, siendo la industria manufacturera el sector que recibió el mayor volumen de ofensivas.
Ángel Ortiz, Director de Ciberseguridad en Cisco España afirma: «Los adversarios se mueven a una velocidad vertiginosa para explotar vulnerabilidades -a menudo en cuestión de horas-, sin dejar prácticamente tiempo a los equipos de seguridad para reaccionar entre la detección y la infiltración. En esta peligrosa carrera contrarreloj, observamos una gran dependencia de infraestructuras heredadas y obsoletas, que suponen una ‘puerta abierta’ para los atacantes. Si a esto le sumamos el vertiginoso incremento de ataques basados en la identidad, las organizaciones deben reemplazar el antiguo modelo de parcheo reactivo por una estrategia de seguridad proactiva y centrada en la identidad”.
Por este motivo, la compañía recomienda a las empresas abandonar los modelos de defensa puramente reactivos y adoptar estrategias proactivas basadas en la protección de la identidad. Entre las medidas urgentes sugeridas se encuentran la rápida aplicación de parches ante nuevas vulnerabilidades para acortar la ventana de oportunidad del atacante, el refuerzo de los sistemas de autenticación multifactor para hacerlos resistentes a las suplantaciones de identidad, y la retirada definitiva de aquellos equipos obsoletos que funcionan como accesos permanentes para agentes externos.
