No es una novedad que los ciberataques siguen creciendo. Cada día conocemos alguno nuevo, pero hay otros tantos que no se hacen públicos. El pasado año no fue una excepción. De hecho, el informe Cisco Talos 2025 Year in Review desvela un aumento significativo de ofensivas y principalmente fueron por tres vías: la explotación generalizada de vulnerabilidades a lo largo de todo el ciclo de vida (desde fallos recién revelados hasta problemas heredados de hace décadas); los ataques dirigidos a la ‘arquitectura de confianza’ (identidad y autenticación); y la explotación de frameworks centralizados y ampliamente utilizados para maximizar el impacto.
Así las cosas, el documento recoge las siguientes conclusiones
Índice de temas
La identidad es el objetivo principal
Las técnicas de compromiso de dispositivos dirigidas a la autenticación multi-factor (MFA) y la infraestructura de identidad aumentaron un 178% durante 2025. Al comprometer las credenciales, los atacantes logran extender sigilosamente su alcance mediante el phishing interno y el abuso de los controles de identidad, obteniendo -en la práctica- el control de todo el entorno y facilitando un movimiento lateral persistente.
Explotación en todo el espectro de vulnerabilidades
Aunque los atacantes utilizan rápidamente vulnerabilidades nuevas y de alto perfil (como React2Shell, que se convirtió en la vulnerabilidad más atacada del año tan sólo tres semanas después de su divulgación), continúan explotando sistemáticamente vulnerabilidades antiguas.
El riesgo de sistemas heredados persiste
El 32 % de las 100 vulnerabilidades más atacadas tenían más de una década de antigüedad.
Exposición a sistemas obsoletos
Casi el 40% de las vulnerabilidades más atacadas afectan a sistemas que ya no pueden recibir parches de seguridad.
Riesgo de frameworks compartidos
Aproximadamente el 25% de las 100 vulnerabilidades más atacadas afectaban a frameworks y bibliotecas de uso generalizado, permitiendo a los atacantes aprovechar una única vulnerabilidad en múltiples sectores.
Ransomware industrializado
Qilin fue la variante de ransomware más frecuente en 2025, con alrededor de 40 víctimas al mes. El sector fabricación ha seguido siendo el más atacado.
Ante estos resultados, Ángel Ortiz, director de Ciberseguridad en Cisco España, indica: “Los adversarios se mueven a una velocidad vertiginosa para explotar vulnerabilidades -a menudo en cuestión de horas-, sin dejar prácticamente tiempo a los equipos de seguridad para reaccionar entre la detección y la infiltración”. A lo que añade: “En esta peligrosa carrera contrarreloj, observamos una gran dependencia de infraestructuras heredadas y obsoletas, que suponen una ‘puerta abierta’ para los atacantes. Si a esto le sumamos el vertiginoso incremento de ataques basados en la identidad, las organizaciones deben reemplazar el antiguo modelo de parcheo reactivo por una estrategia de seguridad proactiva y centrada en la identidad”.
Tres acciones clave para detener a los atacantes
Cisco recomienda a los equipos de seguridad ir más allá de las medidas reactivas y centrarse en los pilares que realmente detienen a los atacantes. “Para construir una defensa sólida, las organizaciones deben priorizar tres acciones clave: parchear rápidamente las nuevas vulnerabilidades para adelantarse al cada vez menor margen de explotación, fortalecer la infraestructura de identidad con autenticación MFA resistente al phishing y desmantelar los sistemas obsoletos que actúan como puertas traseras permanentes para los atacantes”.
