ESET, compañía líder en ciberseguridad, alerta de que muchas empresas siguen abordando su protección digital desde una peligrosa falsa sensación de normalidad. La ausencia de alertas evidentes, de incidentes públicos o de interrupciones visibles no significa necesariamente que el riesgo esté bajo control. En muchos casos, simplemente significa que nadie ha mirado con suficiente profundidad.

“Este fenómeno está relacionado con el llamado sesgo de normalidad, una tendencia humana a subestimar la posibilidad de una crisis y asumir que todo continuará funcionando como siempre, incluso ante señales de riesgo”, explica Josep Albors, director de investigación y concienciación de ESET España. “En ciberseguridad, este sesgo puede llevar a las organizaciones a interpretar el silencio como seguridad, a retrasar decisiones críticas o a confiar en que sus herramientas actuales son suficientes porque, aparentemente, no ha ocurrido nada”.

Para ESET, este enfoque resulta cada vez más peligroso en un contexto en el que los ciberdelincuentes utilizan inteligencia artificial, automatización, ingeniería social y nuevas herramientas para escalar ataques, buscar vulnerabilidades y explotar fallos de configuración a gran velocidad.

España, según el último ESET Threat Report H2 2025, se situó como el segundo país con más detecciones de ransomware, con un 5% del total global, solo por detrás de Estados Unidos. Además, el phishing se mantuvo como la amenaza más detectada, con cerca del 20% del total. Estas son solo algunas de las señales de una exposición creciente.

El problema de no auditarse de forma proactiva es que otros lo harán primero

Los ciberdelincuentes actúan como auditores no contratados. Buscan contraseñas débiles, credenciales expuestas, empleados vulnerables a phishing, configuraciones deficientes, sistemas sin actualizar, proveedores mal supervisados y procesos internos fáciles de manipular.

A diferencia de una auditoría legítima, la revisión criminal no entrega un informe para mejorar. Su resultado puede ser el robo de datos, la extorsión, la interrupción operativa, el daño reputacional, la pérdida de confianza y costes económicos difíciles de asumir. En algunos casos, puede incluso poner en riesgo la continuidad de la organización.

ESET recuerda que los atacantes se apoyan en factores que muchas empresas ya conocen, pero no siempre corrigen con suficiente rapidez:

• Phishing y ataques de ingeniería social dirigidos a empleados.
• Uso de IA para realizar fraudes, generar mensajes más convincentes o acelerar el reconocimiento de objetivos.
• Deepfakes y suplantaciones cada vez más difíciles de detectar.
• Exposición de datos corporativos y personales en redes sociales, filtraciones o en la dark web.
• Persistencia de contraseñas débiles, reutilizadas o mal gestionadas.
• Brechas en proveedores y terceros con acceso a sistemas críticos.
• Complejidad creciente de las soluciones de ciberseguridad.
• Falta de perfiles especializados y brecha de talento en los equipos de seguridad.

“Para dimensionar la actividad diaria de los atacantes, los procesos de inteligencia de amenazas de ESET analizan cada día 750.000 muestras sospechosas, examinan 2.500 millones de URLs y bloquean 500.000 de ellas”, continúa Albors.

Cómo evitar que los ciberdelincuentes hagan la auditoría por ti

ESET recomienda a las organizaciones abandonar la lógica reactiva y revisar de forma continua su perfil de riesgo:

1. Audita periódicamente la postura de seguridad, incluyendo políticas, accesos, configuraciones, registros y planes de respuesta.
2. Realiza pruebas de penetración y ejercicios red team, blue team o purple team para identificar debilidades reales.
3. Reevalúa de forma continua el panorama de amenazas y adapta la estrategia a cambios como IA, deepfakes, conflictos geopolíticos o nuevas técnicas de ingeniería social.
4. Refuerza la formación en ciberconcienciación, especialmente frente al phishing, vishing y la suplantación de identidad.
5. Supervisa las redes sociales y la dark web para detectar información expuesta que pueda ser utilizada contra la organización.
6. Mejora la gestión de identidades con autenticación multifactor resistente al phishing, contraseñas robustas y controles de mínimo privilegio.
7. Invierte en monitorización continua y servicios MDR, XDR o MXDR 24/7 para detectar, investigar y responder antes de que el incidente escale.
8. Revisa la seguridad de proveedores y terceros con acceso a sistemas, datos o procesos críticos.
9. Prueba los planes de recuperación y continuidad de negocio antes de necesitarlos.

La conclusión para ESET es clara. No revisar la ciberseguridad no reduce el riesgo, solo retrasa el momento en que alguien lo descubre. Y si quien lo descubre es un ciberdelincuente, el resultado no será una lista de recomendaciones, sino una crisis.