Los informes y estadísticas más recientes en España y en la Unión Europea describen un patrón estable. La puerta de entrada más habitual sigue siendo la ingeniería social, especialmente el phishing, y, cuando fallan las medidas básicas, la explotación rápida de vulnerabilidades acelera el impacto. “En muchas empresas el riesgo no está en una técnica ‘nueva’, sino en lo de siempre: credenciales expuestas, correos de suplantación bien construidos y sistemas sin actualizar. Con medidas muy concretas, doble factor, parcheo y copias verificadas, se reduce muchísimo la probabilidad de incidente y, sobre todo, su impacto”, explica Alejandro Aliaga, CTO de Ontinet.com y ESET España. En esa línea, Aliaga subraya la necesidad de priorizar: “Si una empresa tiene que elegir por dónde empezar, la secuencia es clara: asegurar el correo y las cuentas con privilegios con doble factor, revisar qué accesos están expuestos a Internet y comprobar que las copias se restauran. En 72 horas se puede reducir mucho el riesgo sin grandes proyectos.”
La Agencia de la Unión Europea para la Ciberseguridad publicaba en octubre su Threat Landscape; en este, el phishing figura como vector dominante (en torno al 60% de los casos observados) y la explotación de vulnerabilidades como vía relevante de acceso inicial (21,3%), con campañas capaces de “armar” fallos en plazos muy cortos. En España, a falta de la publicación de los datos de 2025, el balance de INCIBE sobre 2024 recoge 97.348 incidentes gestionados, de los cuales 31.540 afectaron a empresas, incluidas pymes, micropymes y autónomos, con malware (42.136 casos) y phishing (21.571 casos) entre las tipologías más frecuentes. A ello se suma la importancia del dato personal: la AEPD recibió en 2025 un total de 2.765 notificaciones de brechas, y señaló que las que afectaron a más personas se relacionaron con ransomware e intrusiones con exfiltración, destacando además el papel de las credenciales comprometidas y el valor del segundo factor de autenticación como una de las medidas más eficaces para evitar accesos no autorizados.
En paralelo, el contexto regulatorio incrementa la exigencia para empresas y proveedores. La Directiva NIS2 refuerza obligaciones de gestión del riesgo, gobernanza y notificación para entidades consideradas “esenciales” e “importantes”, y extiende su efecto a la cadena de suministro, elevando el nivel de diligencia que se espera también de partners, subcontratas y prestadores de servicios.
Desde Ontinet.com, alineamos estas tendencias con lo observado en el ESET Threat Report H2 2025 (junio–noviembre de 2025), que describe una segunda mitad de año marcada por un aumento del fraude creíble, campañas por correo con cargas encadenadas y ransomware con técnicas de evasión orientadas a desactivar defensas. El informe apunta, además, al incremento de campañas que emplean downloaders distribuidos por email (herramientas que abren la puerta a infecciones posteriores) y a la consolidación de tácticas que buscan neutralizar soluciones de seguridad en el equipo antes de ejecutar el cifrado. Entre los elementos más relevantes para el negocio, destacan el perfeccionamiento de la suplantación y el phishing (incluido el uso de IA para pulir mensajes y reducir señales evidentes), el correo como vía de entrada eficiente mediante señuelos que imitan procesos comerciales habituales (facturas, pedidos o logística), y el crecimiento de técnicas orientadas a desactivar o eludir EDR mediante herramientas específicas y abuso de componentes vulnerables. El reporte también insiste en un punto que sigue siendo crítico como son los accesos expuestos y contraseñas débiles o comprometidas, donde el password guessing (intentos automatizados de acceso mediante adivinación de contraseñas) continúa apareciendo como un patrón recurrente en incidentes.
Con este escenario, Ontinet.com recomienda a las empresas, especialmente a pymes, priorizar medidas de impacto probado y coste asumible, que pueden activarse en pocos días y reducen significativamente la superficie de ataque. “El fraude por suplantación no se combate solo con formación si no que se combate con proceso. Un simple ‘doble control’, es decir, verificar por un segundo canal cambios de cuenta, pagos urgentes o nuevas órdenes, evita pérdidas que no son técnicas, pero sí muy reales”, señala Aliaga. En primer lugar, cerrar la puerta al robo de credenciales mediante doble factor, empezando por el correo, la VPN, los paneles cloud, las cuentas con privilegios y las herramientas de administración y facturación. Junto a ello, establecer procedimientos anti-fraude y anti-BEC que incluyan verificación por canal alternativo cuando se soliciten cambios de cuenta bancaria o pagos urgentes. En segundo lugar, impulsar “parches sin excusas” y reducir exposición inventariando activos (PCs, servidores, firewall y servicios SaaS), acelerando la actualización de sistemas expuestos a Internet y revisando accesos remotos como RDP, restringiéndolos por VPN o IP, aplicando mínimos privilegios y registrando accesos.
En tercer lugar, es importante garantizar copias de seguridad que de verdad sirvan siguiendo la regla 3-2-1, con una copia inmutable u offline y pruebas periódicas de restauración. “Tener copias no es lo mismo que poder recuperar. El fallo más común es descubrirlo cuando ya hay un incidente. Por eso insistimos en una copia aislada o inmutable y en probar restauración puesto que es lo que convierte una copia en continuidad de negocio”, concluye Aliaga. Y, por último, reforzar la protección y la visibilidad en equipos mediante políticas homogéneas, gestión centralizada y revisión de alertas clave, especialmente aquellas que puedan indicar presencia de infostealers o movimientos laterales.