El más reciente reporte de Cisco Talos revela que los ciberdelincuentes están explotando vulnerabilidades casi inmediatamente después de hacerse públicas, reduciendo el margen de reacción de las organizaciones.
El informe trimestral de Cisco Talos Incident Response (Talos IR) confirma un cambio relevante en la dinámica de los ciberataques: la explotación de aplicaciones expuestas a internet continúa siendo el principal método de acceso inicial y ahora ocurre cada vez más rápido tras la divulgación de nuevas vulnerabilidades.
Durante el cuarto trimestre de 2025, la explotación de aplicaciones públicas representó cerca del 40% de los incidentes investigados, consolidándose como el vector de entrada más observado por segundo trimestre consecutivo.
En varios casos, la actividad maliciosa comenzó poco después de que las vulnerabilidades fueran divulgadas públicamente, lo que evidencia la rapidez con la que los actores de amenaza capitalizan estas oportunidades y la importancia de aplicar parches de manera oportuna.
Pablo Herrera, Cyber Security Sales Specialist de Cisco para Costa Rica, explicó:
El reporte demuestra que la velocidad es hoy uno de los factores más críticos en ciberseguridad. La incorporación de capacidades basadas en inteligencia artificial para identificar comportamientos anómalos en las redes puede contribuir a reducir los tiempos de detección y respuesta. Más que reaccionar ante cada amenaza, se trata de fortalecer procesos y capacidades que reduzcan riesgos de forma sostenida”.
Cambios en el panorama de amenazas
El reporte también muestra una disminución significativa en incidentes de ransomware, que representaron aproximadamente el 13% de los casos este trimestre, frente a cerca del 50% registrado a inicios de año. El grupo Qilin se mantuvo como uno de los actores predominantes.
Mientras el ransomware disminuye, otras técnicas ganan terreno. El phishing aumentó al 32% de los incidentes atendidos. En varios casos, los atacantes utilizaron cuentas de correo previamente comprometidas para distribuir nuevas campañas fraudulentas, ampliando el alcance del ataque.
Talos también observó el uso de herramientas legítimas de monitoreo y administración remota como parte de las cadenas de ataque, una práctica que puede dificultar la detección temprana al tratarse de aplicaciones comúnmente utilizadas en entornos empresariales.
Prioridades para fortalecer la seguridad
El 35% de los incidentes involucró infraestructura vulnerable o expuesta, lo que refuerza la necesidad de contar con procesos sólidos de gestión de parches. Algunas vulnerabilidades explotadas eran recientes; otras llevaban tiempo disponibles, lo que demuestra que los sistemas sin actualizar siguen representando un riesgo significativo.
El informe también identifica debilidades relacionadas con la autenticación multifactor (MFA), incluyendo configuraciones incorrectas o ausencia de esta medida de protección.
Finalmente, el reporte destaca que la respuesta oportuna ante señales de compromiso puede marcar la diferencia. La agilidad en la actualización de sistemas y el fortalecimiento de controles básicos siguen siendo determinantes para construir entornos digitales más resilientes.