Talos, la división de ciber-inteligencia de Cisco, ha detectado un aumento significativo de los ataques perpetrados por ciber-delincuentes durante 2025. El último informe Cisco Talos Year in Review identifica tres vectores de ataque principales: la explotación generalizada de vulnerabilidades a lo largo de todo el ciclo de vida (desde fallos recién revelados hasta problemas heredados de hace décadas); los ataques dirigidos a la ‘arquitectura de confianza’ (identidad y autenticación); y la explotación de frameworks centralizados y ampliamente utilizados para maximizar el impacto.

“Los adversarios se mueven a una velocidad vertiginosa para explotar vulnerabilidades -a menudo en cuestión de horas-, sin dejar prácticamente tiempo a los equipos de seguridad para reaccionar entre la detección y la infiltración”, afirma Ángel Ortiz, Director de Ciberseguridad en Cisco España. “En esta peligrosa carrera contrarreloj, observamos una gran dependencia de infraestructuras heredadas y obsoletas, que suponen una ‘puerta abierta’ para los atacantes. Si a esto le sumamos el vertiginoso incremento de ataques basados en la identidad, las organizaciones deben reemplazar el antiguo modelo de parcheo reactivo por una estrategia de seguridad proactiva y centrada en la identidad”.

Principales conclusiones de Cisco Talos

• La identidad es el objetivo principal. Las técnicas de compromiso de dispositivos dirigidas a la autenticación multi-factor (MFA) y la infraestructura de identidad aumentaron un 178% durante 2025. Al comprometer las credenciales, los atacantes logran extender sigilosamente su alcance mediante el phishing interno y el abuso de los controles de identidad, obteniendo -en la práctica- el control de todo el entorno y facilitando un movimiento lateral persistente.

• Explotación en todo el espectro de vulnerabilidades. Aunque los atacantes utilizan rápidamente vulnerabilidades nuevas y de alto perfil (como React2Shell, que se convirtió en la vulnerabilidad más atacada del año tan sólo tres semanas después de su divulgación), continúan explotando sistemáticamente vulnerabilidades antiguas.

• El riesgo de sistemas heredados persiste. El 32 % de las 100 vulnerabilidades más atacadas tenían más de una década de antigüedad.

• Exposición a sistemas obsoletos. Casi el 40 % de las vulnerabilidades más atacadas afectan a sistemas que ya no pueden recibir parches de seguridad.

• Riesgo de frameworks compartidos. Aproximadamente el 25% de las 100 vulnerabilidades más atacadas afectaban a frameworks y bibliotecas de uso generalizado, permitiendo a los atacantes aprovechar una única vulnerabilidad en múltiples sectores.

• Ransomware industrializado: Qilin fue la variante de ransomware más frecuente en 2025, con alrededor de 40 víctimas al mes. El sector fabricación ha seguido siendo el más atacado.

Recomendaciones

Cisco recomienda a los equipos de seguridad ir más allá de las medidas reactivas y centrarse en los pilares que realmente detienen a los atacantes. Como concluye Ortiz, “para construir una defensa sólida, las organizaciones deben priorizar tres acciones clave: parchear rápidamente las nuevas vulnerabilidades para adelantarse al cada vez menor margen de explotación, fortalecer la infraestructura de identidad con autenticación MFA resistente al phishing y desmantelar los sistemas obsoletos que actúan como puertas traseras permanentes para los atacantes”.