Aplicaciones expuestas y accesos comprometidos: las principales puertas de entrada en el 80% de los ciberataques de 2025

Introducción

El panorama de amenazas cibernéticas continúa evolucionando a un ritmo acelerado, y los atacantes perfeccionan constantemente sus métodos para comprometer infraestructuras empresariales. Según el último informe global de Kaspersky Security Services, más del 80% de los ciberataques registrados a lo largo de 2025 comenzaron a través de tres vectores predominantes: aplicaciones expuestas a Internet, uso de credenciales válidas comprometidas y explotación de relaciones de confianza. Este dato, de especial relevancia para responsables de seguridad y equipos de respuesta, pone de manifiesto la necesidad de reforzar la postura defensiva en torno a estos vectores recurrentes.

Contexto del Incidente o Vulnerabilidad

El informe de Kaspersky, elaborado a partir del análisis forense de incidentes gestionados en entornos corporativos a lo largo de los últimos 12 meses, revela que el 43,7% de los ataques tuvieron su origen en aplicaciones y servicios accesibles desde Internet. Le siguen en incidencia las intrusiones mediante cuentas válidas, responsables del 25,4% de los incidentes, y la explotación de relaciones de confianza, con un 11,7%. Este desglose confirma la tendencia ascendente de ataques “living off the land” y el abuso de credenciales legítimas, así como el aprovechamiento de integraciones y proveedores para el movimiento lateral.

Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

1. Aplicaciones expuestas a Internet
Las aplicaciones web vulnerables o mal configuradas continúan siendo la diana preferida de actores maliciosos. Durante 2025, los atacantes han explotado de forma masiva vulnerabilidades como CVE-2024-4577 (PHP CGI Argument Injection), CVE-2024-20353 (Cisco ASA/FTD RCE) y CVE-2024-28871 (Fortinet FortiOS Command Injection), aprovechando la publicación temprana de exploits en repositorios como Metasploit y GitHub. El TTP asociado, según MITRE ATT&CK, corresponde a la técnica T1190 (Exploitation of Public-Facing Application).

2. Uso de cuentas válidas
El abuso de credenciales legítimas, obtenidas mediante phishing, infostealers o brechas previas, ha sido clave en un 25,4% de los ataques. Aquí destacan técnicas como T1078 (Valid Accounts), T1110 (Brute Force) y la automatización de ataques mediante Cobalt Strike o herramientas customizadas para el movimiento lateral (T1021). Los Indicadores de Compromiso (IoC) identificados incluyen patrones anómalos de autenticación, conexiones desde direcciones IP atípicas y la activación de cuentas de servicio fuera de horario.

3. Relaciones de confianza
Los atacantes han incrementado la explotación de relaciones de confianza (T1199), accediendo a entornos corporativos mediante integraciones API, conexiones VPN de terceros o cadenas de suministro. Se han detectado campañas que aprovechan la falta de segmentación de red y la configuración deficiente de los permisos en plataformas colaborativas.

Impacto y Riesgos

El impacto de estos incidentes es significativo para organizaciones de todos los sectores. Según Kaspersky, los ataques derivados de aplicaciones expuestas y accesos comprometidos han provocado desde filtraciones masivas de datos personales hasta la detención de operaciones críticas. El coste medio de un incidente gestionado por los equipos de respuesta a incidentes (CSIRT) supera los 2,5 millones de euros, incluyendo sanciones regulatorias bajo GDPR y costes de recuperación. Además, la explotación de relaciones de confianza incrementa el riesgo de ataques en cadena, afectando a múltiples organizaciones interconectadas.

Medidas de Mitigación y Recomendaciones

Para mitigar estos vectores de ataque, los expertos de Kaspersky y otros analistas del sector recomiendan:

– Realizar inventarios continuos de activos expuestos y someterlos periódicamente a pruebas de penetración y escaneo de vulnerabilidades (con herramientas como Nessus, OpenVAS, Burp Suite).
– Aplicar el principio de mínimo privilegio y reforzar la autenticación multifactor (MFA) para todas las cuentas con acceso remoto.
– Monitorizar en tiempo real los logs de autenticación y establecer alertas ante patrones anómalos de acceso, integrando SIEMs como Splunk o Elastic.
– Segmentar la red y limitar los permisos de integraciones y proveedores externos, auditando periódicamente las relaciones de confianza.
– Actualizar y parchear de inmediato todas las aplicaciones expuestas, siguiendo las guías de seguridad de los fabricantes.
– Simular ataques de phishing internos y concienciar al personal sobre la gestión segura de credenciales.

Opinión de Expertos

Sergio Muñoz, CISO de una multinacional tecnológica, destaca: “El abuso de credenciales válidas y los accesos expuestos siguen siendo el talón de Aquiles de la ciberseguridad corporativa. Sólo una estrategia de defensa en profundidad, sustentada en Zero Trust y monitorización continua, permite reducir la superficie de ataque real”. Por su parte, analistas de Kaspersky subrayan la importancia de la colaboración entre equipos de seguridad y el refuerzo de la cadena de suministro, ante la sofisticación de los ataques.

Implicaciones para Empresas y Usuarios

La alta incidencia de estos vectores obliga a las empresas a replantear su modelo de seguridad perimetral, adoptando arquitecturas Zero Trust y priorizando la gestión de identidades. Los usuarios, por su parte, deben extremar la vigilancia sobre el uso de contraseñas y la recepción de correos sospechosos. Bajo la normativa NIS2 y el RGPD, la falta de diligencia en la gestión de accesos y aplicaciones expuestas puede derivar en sanciones severas y daño reputacional irreversible.

Conclusiones

El informe de Kaspersky evidencia que más del 80% de los ciberataques en 2025 se gestaron a través de aplicaciones expuestas, credenciales comprometidas y relaciones de confianza. Estos vectores, lejos de ser novedosos, siguen siendo aprovechados con técnicas cada vez más automatizadas y dirigidas. Para el profesional de la ciberseguridad, la vigilancia proactiva, la gestión estricta de identidades y la segmentación inteligente de la red son ya requisitos ineludibles para mitigar un riesgo en constante escalada.

(Fuente: www.cybersecuritynews.es)