El informe Cisco Talos 2025 Year in Review, publicado esta semana, tiene un dato que merece más atención de la que está recibiendo: el 32% de las cien vulnerabilidades más atacadas en 2025 tiene más de diez años de antigüedad. No son fallos recientes sin parche. Son agujeros conocidos, documentados y con solución disponible, que siguen abiertos en sistemas de empresas reales porque nadie se ha ocupado de cerrarlos.
El mismo informe señala que los ataques dirigidos a robar o suplantar identidades crecieron un 178% durante el año pasado. La combinación de ambos datos describe con bastante precisión el estado real de la ciberseguridad corporativa en 2026: los atacantes no necesitan encontrar vulnerabilidades nuevas porque las antiguas siguen funcionando.
La deuda técnica como puerta trasera permanente
Ángel Ortiz, Director de Ciberseguridad en Cisco España, lo formula de forma directa: el modelo de parcheo reactivo ha dejado de ser viable. Casi el 40% de las vulnerabilidades más explotadas afectan a sistemas al final de su vida útil, lo que significa que no admiten parche ni actualización. No es que el responsable de IT no haya aplicado el parche: es que el parche no existe porque el fabricante ya no da soporte.
Esto no es un problema exclusivo de empresas grandes. Una pyme con un servidor de ficheros corriendo Windows Server 2012 o un router de gama doméstica sin actualizaciones desde 2019 tiene exactamente el mismo problema que una corporación con legacy systems heredados de los 90. La escala es diferente, las consecuencias también, pero el mecanismo de entrada para el atacante es idéntico.
La MFA ya no es suficiente si está mal implementada
El crecimiento del 178% en ataques de identidad no se explica solo por más volumen de intentos. Lo que ha cambiado es la sofisticación. Los atacantes ya utilizan IA para personalizar campañas de phishing a nivel individual: mensajes que conocen tu nombre, tu empresa, el nombre de tu jefe y el contexto de un proyecto real en el que estás trabajando. Eso hace que la probabilidad de que alguien haga clic sea muy superior a la de un correo genérico de "tu cuenta ha sido comprometida".
La autenticación multifactor sigue siendo una barrera útil, pero los ataques de MFA fatigue, donde el atacante bombardea al usuario con solicitudes hasta que acepta una por error o por hartazgo, están documentados desde hace años y siguen siendo efectivos. La implementación importa tanto como la herramienta.
Qué hacer con esto
La recomendación práctica que sale de este informe no es instalar más software de seguridad. Es hacer un inventario honesto de qué sistemas están corriendo en la organización y cuáles de ellos ya no reciben soporte del fabricante. Ese es el primer paso para saber qué riesgo real existe, y es un ejercicio que la mayoría de empresas no ha hecho nunca de forma sistemática.
El atacante de 2026 no necesita ser sofisticado. Necesita tiempo y un escáner que encuentre el servidor con la vulnerabilidad de 2014 que nadie ha tocado porque "siempre ha funcionado así".
0 Comentarios