El 90% de los ataques de ransomware en 2025 explotaron firewalls sin parchear o cuentas vulnerables
## Introducción
El panorama actual de la ciberseguridad evidencia una preocupante evolución en los métodos y velocidad de los ataques de ransomware dirigidos a organizaciones de todo el mundo. Un reciente informe de Barracuda Networks, Inc. revela que, en 2025, el 90% de los incidentes de ransomware analizados se produjeron tras la explotación de cortafuegos mal gestionados, ya sea por software desactualizado o cuentas privilegiadas vulnerables. Además, el estudio destaca que el ciclo de vida de los ataques se ha reducido drásticamente: el caso más rápido registrado pasó de la intrusión al cifrado completo en tan solo tres horas. Este artículo analiza en profundidad los hallazgos, los vectores implicados, técnicas de ataque y las implicaciones para los equipos de ciberseguridad.
## Contexto del Incidente o Vulnerabilidad
La superficie de ataque de las organizaciones sigue ampliándose, especialmente a raíz de la digitalización acelerada y la adopción masiva del teletrabajo. Los cortafuegos (firewalls), tradicionalmente considerados baluartes defensivos, se han convertido en uno de los principales objetivos de los grupos de ransomware. El informe de Barracuda Networks subraya cómo la ausencia de parches críticos y la gestión deficiente de cuentas administrativas abren la puerta a los atacantes, permitiendo comprometer la red y desplegar cargas útiles de ransomware con una rapidez sin precedentes.
Entre los incidentes analizados, las familias de ransomware más activas han sido LockBit, BlackCat/ALPHV, y Royal, todas ellas conocidas por emplear tácticas de doble extorsión e innovaciones en la automatización de movimientos laterales y escalada de privilegios.
## Detalles Técnicos
El 90% de los ataques analizados por Barracuda en 2025 tuvieron como vector inicial la explotación de vulnerabilidades en dispositivos de seguridad perimetral, especialmente cortafuegos sin actualizar. Entre los CVEs más frecuentemente explotados destacan:
– **CVE-2023-27997 (Fortinet FortiOS/FortiProxy FortiGate SSL-VPN):** Vulnerabilidad de ejecución remota de código que permite el acceso no autorizado y despliegue de malware.
– **CVE-2024-1709 (Sophos Firewall):** Permite la ejecución de comandos arbitrarios y la obtención de credenciales privilegiadas.
– **CVE-2023-46747 (Palo Alto PAN-OS):** Falla que posibilita la evasión de autenticación y el acceso al panel de administración.
Los atacantes suelen aprovechar credenciales expuestas o políticas de contraseñas débiles para acceder a cuentas administrativas. Posteriormente, emplean herramientas como Cobalt Strike, Metasploit y frameworks propios para realizar movimiento lateral y reconocimiento. Según MITRE ATT&CK, las técnicas más utilizadas incluyen:
– **T1190 (Exploitation of Public-Facing Application)**
– **T1078 (Valid Accounts)**
– **T1569.002 (Service Execution: Windows Service)**
– **T1486 (Data Encrypted for Impact)**
En cuanto a indicadores de compromiso (IoC), se han identificado patrones en logs de acceso fallido al firewall, conexiones inusuales desde direcciones IP foráneas y la presencia de binarios ofuscados en directorios temporales.
## Impacto y Riesgos
La aceleración de los procesos de ataque impone un desafío crítico a los equipos de respuesta a incidentes. El tiempo de permanencia del atacante (dwell time) se ha reducido notablemente, pasando de una media de 5-6 días en 2022 a menos de 24 horas en 2025, y en casos extremos, a apenas 3 horas desde la intrusión hasta el cifrado masivo de datos. Esto limita la capacidad de detección y reacción, incrementando el riesgo de interrupciones operativas, pérdidas económicas (los pagos medios de rescate superan los 1,5 millones de euros según ENISA), y graves sanciones regulatorias bajo normativas como GDPR o NIS2.
## Medidas de Mitigación y Recomendaciones
Para mitigar estos escenarios, los expertos recomiendan:
– **Aplicación inmediata de parches críticos** en firewalls y dispositivos de seguridad perimetral.
– **Revisión y endurecimiento** de las políticas de contraseñas y autenticación multifactor (MFA) en todas las cuentas privilegiadas.
– **Monitorización continua** de logs de acceso y alertas de comportamiento anómalo en los dispositivos de red.
– **Segmentación de red** y limitación de la exposición de servicios administrativos a Internet.
– **Despliegue de honeypots y sistemas de detección de intrusiones (IDS/IPS)** para identificar actividad sospechosa en fases tempranas.
– **Pruebas periódicas de pentesting** centradas en dispositivos de seguridad y simulacros de respuesta a incidentes tipo ransomware.
## Opinión de Expertos
Según David Martínez, CISO de una multinacional europea, “la cadena de ataque se ha sofisticado, pero el eslabón más débil sigue siendo la falta de disciplina en los procesos de parcheo y la gestión de identidades. Las empresas no pueden permitirse asumir que sus firewalls están exentos de vulnerabilidades explotables”. Por su parte, la analista de amenazas de S21sec, Ana Gómez, añade: “Las campañas de ransomware están automatizando cada vez más la fase de explotación inicial, reduciendo el tiempo de reacción a niveles mínimos”.
## Implicaciones para Empresas y Usuarios
Las organizaciones deben revisar urgentemente sus políticas de gestión de vulnerabilidades y acceso privilegiado, así como fortalecer los procedimientos de backup y recuperación ante desastres. El cumplimiento de la legislación vigente (GDPR, NIS2) exige pruebas de resiliencia y notificación rápida en caso de incidentes. Para los usuarios, la concienciación y la adopción de buenas prácticas en el uso de credenciales cobran mayor relevancia ante el aumento de ataques dirigidos.
## Conclusiones
El informe de Barracuda Networks constata una tendencia alarmante: la explotación de firewalls desactualizados y cuentas vulnerables está detrás de la mayoría de los ataques de ransomware en 2025, con tiempos de ejecución que apenas dejan margen para la defensa. La ciberresiliencia de las organizaciones dependerá en gran medida de su capacidad para identificar y mitigar rápidamente estas brechas, consolidando una estrategia de seguridad “Zero Trust” y adoptando tecnologías de detección y respuesta avanzadas.
(Fuente: www.cybersecuritynews.es)