Redacción Digital Inside España
Para comprender la situación actual, es necesario observar la evolución temporal reciente de este tipo de brechas de seguridad. Mientras que en el año 2023 se registró el máximo histórico con un centenar de incidentes documentados, el ejercicio 2024 cerró con un total de setenta y ocho casos. En este último periodo anual de 2025, el Grupo de Inteligencia de Amenazas ha contabilizado noventa vulnerabilidades de día cero explotadas de forma activa. Lo cual indica una clara tendencia hacia la estabilización, manteniéndose en la franja habitual observada a lo largo de los últimos cuatro años.
Desde el ejercicio precedente comenzó a detectarse un cambio estructural en los objetivos, una tendencia que se ha consolidado por completo durante los meses recientes. Los ataques dirigidos a las tecnologías corporativas han alcanzado su máximo histórico, sumando 43 vulnerabilidades que representan casi la mitad del total de las explotaciones contabilizadas. De forma paralela, la explotación de fallos en navegadores web ha descendido a niveles mínimos. Mientras que los atacantes han incrementado notablemente el uso ilegítimo de vulnerabilidades presentes de forma directa en los sistemas operativos de los equipos.
El análisis de los responsables detrás de estos incidentes muestra unos patrones muy definidos respecto al perfil de los atacantes. Los grupos cibernéticos con motivaciones económicas han incrementado su proporción de ataques, atribuyéndoseles de forma directa o altamente probable la explotación de nueve incidentes, igualando registros históricos previos. Por su parte, las organizaciones de espionaje auspiciadas por entidades gubernamentales continúan priorizando los dispositivos de borde de red y los aparatos perimetrales de seguridad como sus vías de entrada principales a los sistemas corporativos. Aglutinando estas tecnologías de infraestructura más de la mitad de sus operaciones.
En el ámbito de la vigilancia comercial, los proveedores de este tipo de herramientas mantienen un fuerte interés en los dispositivos móviles, descubriéndose cadenas de ataque mucho más complejas y completas que en el pasado. Dejando atrás las secuencias parciales que se observaban con anterioridad. Como ejemplo destacado a finales de 2025, se detectó cómo ciertos actores del mercado de la vigilancia adaptaron sus herramientas para eludir las barreras de protección más recientes. A su vez, el despliegue del código malicioso conocido como BRICKSTORM ha revelado ataques contra compañías tecnológicas con el objetivo de robar propiedad intelectual, información que ha sido empleada posteriormente para el desarrollo de futuras herramientas de penetración.
Ante este escenario, resulta imperativo adoptar medidas defensivas actualizadas a nivel técnico. Para la protección de las redes, resulta fundamental mantener un inventario de componentes de software que permita localizar rápidamente las bibliotecas afectadas en toda la infraestructura cuando se revela un nuevo fallo. Así mismo, los responsables de tecnología deben establecer procedimientos que permitan agilizar y priorizar las correcciones por encima de la gestión de cambios tradicional cuando se requiere una intervención inmediata de seguridad.
En los supuestos en los que el fabricante del software todavía no haya publicado una actualización o parche corrector. Es necesario aislar los sistemas afectados aplicando medidas provisionales como la desactivación de servicios o el bloqueo de puertos perimetrales. Finalmente, y en lo que respecta a los terminales de uso individual tanto corporativos como personales, las recomendaciones operativas se centran en reiniciar los dispositivos telefónicos con regularidad y evitar de manera estricta la interacción con enlaces o archivos descargables que provengan de contactos o fuentes no verificadas.
