La ciberseguridad corporativa se enfrenta a una paradoja técnica que desafía las estrategias de defensa tradicionales: mientras la sofisticación de los atacantes permite explotar vulnerabilidades críticas en cuestión de horas, una parte significativa del riesgo empresarial reside en código escrito hace más de una década. El informe Cisco Talos 2025 Year in Review dibuja un escenario donde la velocidad de infiltración convive con la negligencia estructural de mantener sistemas que ya no pueden ser protegidos. ¿Es posible asegurar una organización cuando los cimientos digitales pertenecen a otra época tecnológica?
Esta brecha de seguridad se manifiesta con especial crudeza en la gestión de los accesos. Durante el último año, las técnicas diseñadas para comprometer dispositivos mediante la manipulación de la autenticación multi-factor (MFA) y la infraestructura de identidad han experimentado un incremento del 178%. No se trata de un simple aumento en el volumen de intentos, sino de un cambio de paradigma en el objetivo final del intruso. Ya no se busca solo el acceso puntual, sino la suplantación de la identidad legítima para operar desde dentro de la arquitectura de confianza de la compañía.
El colapso del tiempo de respuesta ante vulnerabilidades
La capacidad de reacción de los departamentos de IT se está viendo superada por la automatización de los procesos de explotación. Los datos recopilados por Talos, la división de inteligencia de Cisco, subrayan que los adversarios se mueven a una velocidad que reduce a minutos el margen entre la detección de un fallo y su aprovechamiento malicioso. Un ejemplo sintomático de esta tendencia es React2Shell, que escaló hasta convertirse en la vulnerabilidad más atacada del año apenas tres semanas después de su descubrimiento público.
Sin embargo, esta agilidad en la frontera de la innovación delictiva no sustituye a las viejas costumbres. La persistencia de sistemas heredados (legacy) sigue siendo la principal vía de entrada. Según detalla el análisis de Cisco, el 32% de las cien vulnerabilidades más atacadas tiene más de diez años de antigüedad. Esta cifra revela una realidad incómoda para los directivos de tecnología en España: la deuda técnica no es solo un lastre para la eficiencia operativa, sino una hipoteca de seguridad que muchos no saben cómo cancelar.
Ángel Ortiz, Director de Ciberseguridad en Cisco España, incide en que los equipos de seguridad deben enfrentarse a una carrera contrarreloj donde la dependencia de infraestructuras obsoletas actúa como una puerta abierta permanente. Para Ortiz, el modelo de parcheo reactivo ha dejado de ser viable en un entorno donde casi el 40% de las vulnerabilidades más explotadas afectan a sistemas al final de su vida útil (End-of-Life) que, por definición, ya no admiten parches ni actualizaciones de seguridad.
La identidad como el nuevo perímetro empresarial
El incremento de los ataques basados en la identidad no es casual. Al comprometer las credenciales o el sistema de autenticación, el atacante neutraliza la mayoría de las capas de seguridad perimetral. Una vez dentro, el uso de phishing interno y el abuso de los controles de identidad permiten un movimiento lateral que resulta casi invisible para los sistemas de monitorización convencionales. El intruso no necesita «romper» la puerta si puede convencer al sistema de que posee la llave maestra.
Esta tendencia se ve agravada por la explotación de frameworks y bibliotecas compartidas. Aproximadamente una cuarta parte de las vulnerabilidades más críticas analizadas por Cisco Talos afectaban a componentes de uso generalizado. Esto permite a los grupos criminales rentabilizar un solo esfuerzo de desarrollo para impactar simultáneamente en múltiples sectores económicos, desde la logística hasta el sector financiero.
- Identidad comprometida: Aumento del 178% en técnicas contra MFA.
- Vulnerabilidades heredadas: El 32% de los ataques explota fallos de hace más de una década.
- Sistemas obsoletos: 40% de los incidentes ocurren en infraestructuras sin soporte técnico.
- Frameworks compartidos: El 25% de los fallos afectan a bibliotecas de uso masivo.
En el ámbito del cibercrimen industrializado, el ransomware continúa su evolución hacia modelos de alta frecuencia. Qilin se ha posicionado como la variante más activa durante 2025, manteniendo un ritmo constante de aproximadamente 40 víctimas mensuales a nivel global. El sector de la fabricación, debido a su dependencia crítica de la disponibilidad operativa y la presencia de sistemas de control industrial a menudo desactualizados, sigue encabezando la lista de objetivos preferentes para estos grupos de extorsión.
El dilema de la transición tecnológica
La solución que plantea el informe no pasa únicamente por la inversión en nuevas herramientas, sino por una reevaluación estratégica de la infraestructura actual. El fortalecimiento de la identidad mediante soluciones MFA resistentes al phishing es un paso necesario, pero insuficiente si no se aborda el desmantelamiento de los sistemas que actúan como retroalimentación del riesgo.
La tensión operativa surge cuando las organizaciones deben decidir entre la continuidad de un servicio crítico que corre sobre software antiguo o la interrupción necesaria para su modernización. El análisis de Cisco España sugiere que el coste de mantener el status quo es ya superior al de una transformación profunda. La seguridad proactiva exige, en este contexto, una visibilidad total sobre los activos que muchas empresas aún no han logrado alcanzar.
Al final del día, la ciber-resiliencia de las empresas españolas no se medirá por su capacidad para comprar la última tecnología de defensa, sino por su valentía para retirar lo que ya no puede ser defendido. El riesgo no reside solo en lo que los atacantes pueden inventar, sino en lo que las organizaciones han decidido no actualizar.
