Los últimos informes publicados en España y en la Unión Europea reflejan una tendencia clara: la ingeniería social, especialmente el phishing, sigue siendo la principal puerta de entrada a los ciberataques. Cuando a esto se suma la falta de actualizaciones o vulnerabilidades sin corregir, el impacto puede multiplicarse en cuestión de horas.

En muchos casos, el problema no radica en técnicas sofisticadas o desconocidas, sino en fallos básicos: credenciales expuestas, correos de suplantación bien diseñados y sistemas desactualizados. Aplicar medidas concretas —como autenticación en doble factor, parcheo continuo y copias de seguridad verificadas— reduce drásticamente tanto la probabilidad de sufrir un incidente como su gravedad.

El contexto actual: datos que confirman la tendencia

A nivel europeo, los análisis recientes sitúan el phishing como el vector de ataque predominante, representando alrededor del 60 % de los accesos iniciales detectados. La explotación de vulnerabilidades ocupa también un lugar relevante, con campañas capaces de aprovechar fallos de seguridad pocos días después de hacerse públicos.

En España, los datos más recientes muestran decenas de miles de incidentes gestionados en un solo año, con el malware y el phishing entre las amenazas más frecuentes. Además, las brechas de seguridad notificadas evidencian un patrón repetido: el robo de credenciales y los ataques de ransomware con exfiltración de datos continúan siendo protagonistas.

El uso del doble factor de autenticación se consolida como una de las medidas más eficaces para prevenir accesos no autorizados.

Mayor exigencia normativa: impacto de NIS2

El entorno regulatorio también se ha endurecido. La Directiva NIS2 refuerza las obligaciones en materia de gestión del riesgo, gobernanza y notificación de incidentes para entidades consideradas esenciales e importantes. Además, extiende la responsabilidad a la cadena de suministro, elevando el nivel de exigencia para proveedores, partners y subcontratas.

Esto implica que incluso las pymes deben adoptar un enfoque más estructurado y proactivo en ciberseguridad.

Tendencias técnicas observadas en 2025

Los informes de amenazas más recientes describen un escenario marcado por:

• Aumento del fraude creíble y altamente personalizado.

• Campañas de correo electrónico con cargas encadenadas.

• Uso de herramientas “downloader” que preparan infecciones posteriores.

• Ransomware con técnicas diseñadas para desactivar o eludir soluciones de seguridad.

• Uso de inteligencia artificial para perfeccionar mensajes de phishing.

• Incremento del password guessing (intentos automatizados de adivinación de contraseñas).

Además, se observa una mejora en la suplantación de identidad mediante correos que imitan procesos habituales de negocio como facturación, pedidos o logística.

Medidas prioritarias para reducir el riesgo

Ante este escenario, las empresas —especialmente pymes— pueden aplicar medidas de alto impacto y coste asumible que reducen significativamente la superficie de ataque.

1. Proteger credenciales con doble factor

La autenticación multifactor debe activarse prioritariamente en:

• Correo electrónico

• VPN

• Paneles de administración en la nube

• Cuentas con privilegios

• Herramientas financieras y de facturación

Cerrar esta vía es una de las acciones más efectivas para frenar el acceso inicial del atacante.

Además, es recomendable implantar procesos internos antifraude: verificar por un canal alternativo cualquier cambio de cuenta bancaria o solicitud urgente de pago.

2. Parcheo continuo y reducción de exposición

Actualizar sistemas no es opcional. Es fundamental:

• Inventariar activos (PCs, servidores, firewalls y servicios SaaS).

• Priorizar actualizaciones en sistemas expuestos a Internet.

• Revisar accesos remotos como RDP.

• Restringir conexiones mediante VPN o IP permitidas.

• Aplicar el principio de mínimo privilegio.

• Registrar y supervisar accesos administrativos.

Reducir la exposición pública limita enormemente las oportunidades del atacante.

3. Copias de seguridad reales y verificadas

No basta con “tener copias”. Es imprescindible poder restaurarlas.

Se recomienda aplicar la regla 3-2-1:

• 3 copias de los datos

• 2 soportes distintos

• 1 copia aislada o inmutable (offline)

Además, deben realizarse pruebas periódicas de restauración. Muchas empresas descubren fallos en sus copias cuando ya han sufrido un incidente, lo que compromete la continuidad del negocio.

4. Mayor visibilidad y protección en endpoints

Es clave reforzar la protección en equipos y servidores mediante:

• Políticas de seguridad homogéneas

• Gestión centralizada

• Monitorización de alertas relevantes

• Detección de infostealers

• Identificación de movimientos laterales en red

La capacidad de detectar actividad sospechosa antes del cifrado es determinante para minimizar daños.

Formación sí, pero acompañada de proceso

La concienciación del empleado es necesaria, pero insuficiente si no se apoya en procedimientos claros. El fraude por suplantación no se evita únicamente con formación; requiere protocolos internos que obliguen a validar operaciones sensibles.

Un simple sistema de doble validación puede evitar pérdidas económicas significativas.

Conclusión

El phishing y el ransomware siguen siendo las amenazas dominantes en el panorama actual. Sin embargo, la mayoría de los incidentes podrían evitarse aplicando medidas básicas pero bien ejecutadas:

• Autenticación multifactor

• Parcheo constante

• Reducción de accesos expuestos

• Copias de seguridad verificadas

• Procesos antifraude

• Monitorización activa

En muchos casos, estas acciones pueden implementarse en pocos días y reducen de forma notable tanto la probabilidad de ataque como su impacto.

La clave no está en grandes proyectos tecnológicos, sino en aplicar correctamente las medidas fundamentales de ciberseguridad.