El tiempo ya no juega a favor de las empresas cuando se produce un ciberataque. Lo que antes podía desarrollarse en días ahora puede ejecutarse en apenas tres horas. Los datos más recientes muestran que el margen de reacción se ha reducido drásticamente y que la ventana para detectar, contener y neutralizar una amenaza es cada vez más estrecha.
Un informe global sobre amenazas elaborado por Barracuda Networks revela que el 90 % de los incidentes de ransomware registrados en 2025 aprovecharon vulnerabilidades en cortafuegos o cuentas comprometidas.
En el caso más extremo documentado, protagonizado por el ransomware Akira, el proceso completo desde la intrusión inicial hasta el cifrado de los sistemas se completó en solo tres horas. Ese intervalo resulta insuficiente para muchas organizaciones que aún dependen de sistemas de monitorización manual o fragmentados.
El punto de entrada: vulnerabilidades sin parchear y cuentas expuestas
La mayoría de los casos de ciberataque no comienzan con técnicas sofisticadas de ingeniería avanzada, sino con fallos conocidos que permanecen sin corregir. El estudio indica que nueve de cada diez incidentes explotaron vulnerabilidades documentadas o credenciales comprometidas.
Esto permitió a los atacantes acceder a la red corporativa, eludir los mecanismos de protección y operar con discreción.
Además, una de cada diez vulnerabilidades detectadas contaba con un exploit público disponible, lo que demuestra que los delincuentes aprovechan activamente errores de software ampliamente conocidos. La vulnerabilidad más frecuente identificada en el análisis data de 2013 y está relacionada con algoritmos de cifrado obsoletos presentes en sistemas heredados.
Este tipo de debilidades, aparentemente menores, pueden convertirse en la puerta de entrada de un ciberataque devastador.
El uso de herramientas legítimas también juega un papel clave. Los atacantes suelen emplear software de acceso remoto autorizado o aplicaciones internas para moverse dentro de la red sin levantar sospechas. Este enfoque reduce la probabilidad de detección temprana y facilita la escalada de privilegios.
Movimiento lateral
Una vez dentro, el siguiente paso de un ciberataque suele ser el desplazamiento lateral entre sistemas. El informe señala que el 96% de los incidentes que presentaron movimiento lateral terminaron en ransomware. Este patrón confirma que cuando un atacante comienza a explorar distintos segmentos de la red, el riesgo de cifrado masivo se dispara.
El movimiento lateral permite identificar servidores críticos, bases de datos sensibles y sistemas de copia de seguridad. Cuando estos recursos quedan bajo control del atacante, el impacto del cifrado es máximo. En ese momento, la organización se enfrenta a la paralización de su actividad y a la amenaza de filtración de información.
La cadena de suministro también se ha convertido en un vector frecuente. El 66% de los incidentes analizados afectaron a terceros o proveedores, lo que demuestra que un ciberataque puede propagarse a través de conexiones externas aparentemente seguras.
La velocidad como ventaja del ciberataque
El análisis se basa en más de dos billones de eventos de TI recopilados durante 2025, casi 600.000 alertas de seguridad y más de 300.000 dispositivos protegidos entre terminales, servidores, cortafuegos y activos en la nube. Este volumen de datos permite comprender cómo un ciberataque puede escalar con rapidez.
La reducción del tiempo de ejecución limita la capacidad de respuesta interna. En entornos donde la supervisión no es continua o depende de un único responsable de TI, el margen para detectar actividad anómala se reduce a minutos. Una alerta ignorada o una cuenta no desactivada pueden marcar la diferencia.
“Las organizaciones y sus equipos de seguridad, especialmente si ese “equipo” es un único profesional de TI, se enfrentan a un reto inmenso. Con recursos limitados y herramientas de seguridad fragmentadas, deben proteger las identidades, los activos y los datos frente a un panorama de amenazas en constante evolución y a ataques que pueden desarrollarse en cuestión de horas”, afirma Merium Khalid, director de SOC Offensive Security de Barracuda.
“Lo que hace vulnerables a los objetivos suele ser fácil de pasar por alto: un único dispositivo no autorizado, una cuenta que no se desactivo cuando alguien se marchó, una aplicación inactiva que no se ha actualizado o una función de seguridad mal configurada. Los atacantes sólo necesitan encontrar uno para tener éxito. Una solución de seguridad integrada, autónoma y basada en inteligencia artificial, con la gestión y el soporte a cargo de expertos, puede marcar la diferencia”.
Señales de alerta que no deben ignorarse
Entre los indicadores tempranos de un ciberataque destacan los comportamientos inusuales en el inicio de sesión, los accesos privilegiados fuera de horario habitual o la desactivación repentina de herramientas de seguridad en los endpoints. También resulta crítico vigilar intentos reiterados de autenticación o la aparición de cuentas nuevas con permisos elevados.
La falta de parches en cortafuegos y aplicaciones expuestas a internet sigue siendo uno de los factores más determinantes. Un sistema desactualizado puede convertirse en el eslabón más débil de toda la infraestructura.
