Las vulnerabilidades del software se han convertido en uno de los mayores riesgos para las organizaciones españolas, especialmente en un contexto de aumento constante de los ciberataques. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), en 2023 se gestionaron más de 83.000 incidentes de ciberseguridad en España, muchos de ellos vinculados a fallos no corregidos en sistemas críticos.
Ante este escenario, desde ESET advertimos que los ataques que aprovechan vulnerabilidades siguen siendo una de las principales puertas de entrada para el ransomware y el ciberespionaje, impactando de forma directa a sectores estratégicos de la economía española como la industria, la sanidad y la administración pública. Además, a medida que el número de CVE (Vulnerabilidades y Exposiciones Comunes) alcanza máximos históricos, muchas organizaciones encuentran cada vez mayores dificultades para gestionar y priorizar su corrección, lo que incrementa su nivel de exposición frente a amenazas cada vez más sofisticadas y persistentes.
“Cada mes se publican cientos de nuevas vulnerabilidades (CVE) que afectan a tecnologías ampliamente implantadas en las empresas españolas, desde aplicaciones de gestión documental hasta soluciones de teletrabajo. Gestionarlas todas es inviable para los equipos de TI, por lo que priorizar según el riesgo y actuar con rapidez es fundamental para reducir la exposición. Para hacer frente a estas amenazas de forma eficaz, resulta clave adoptar un enfoque continuo, automatizado y basado en el riesgo, que permita identificar, evaluar y corregir las vulnerabilidades más críticas antes de que puedan ser explotadas” explica Josep Albors, director de investigación y concienciación de ESET España.
España en el punto de mira del cibercrimen
Los ciberataques son cada vez más rápidos y sofisticados. De hecho, estudios recientes indican que los ciberdelincuentes tardan solo cinco días de media en explotar una vulnerabilidad desde su detección. Además, la creciente complejidad de los sistemas y la incorporación de componentes de terceros aumentan el riesgo de errores no detectados, que pueden ser aprovechados por los atacantes.
Según ESET, el panorama actual combina vulnerabilidades conocidas, como la inyección de código o el cross-site scripting, con otras técnicas como los zero-click exploits, capaces de comprometer dispositivos sin que el usuario tenga que realizar ninguna acción. También han crecido los ataques dirigidos a herramientas críticas como cortafuegos, VPN y soluciones de gestión de dispositivos móviles, lo que amplía aún más la superficie de ataque.
En España, la situación es especialmente preocupante. Según el informe "Ciberamenazas y Tendencias 2024" del CCN-CERT, destacan cuatro grandes amenazas para las organizaciones:
· Aumento del ciberespionaje y el hacktivismo, impulsado por tensiones geopolíticas.
· Crecimiento continuado de los ataques de ransomware, cada vez más automatizados.
· Profesionalización del cibercrimen, con ataques masivos y dirigidos.
· Escasez de talento en ciberseguridad, con más de 83.000 vacantes sin cubrir en 2024.
Cómo reforzar la ciberseguridad empresarial
Desde ESET recuerdan que, aunque las vulnerabilidades son inevitables, es posible minimizar su impacto adoptando medidas proactivas. Para reforzar la protección de los sistemas, la compañía recomienda:
- Automatizar el escaneo de vulnerabilidades: Implementar herramientas que identifiquen y prioricen las vulnerabilidades según su gravedad.
- Implementar soluciones avanzadas de detección: Utilizar entornos aislados (sandbox) e inteligencia artificial para analizar y mitigar amenazas desconocidas.
- Reforzar las infraestructuras: Adoptar medidas como la microsegmentación de redes y el modelo de acceso zero trust, además de mantener programas continuos de concienciación para empleados.
- Colaborar con proveedores de ciberseguridad de confianza: Mantener una comunicación fluida para estar siempre actualizados frente a las amenazas emergentes.
“Parchear a tiempo ya no es suficiente”, concluye Albors. “Hoy, la única forma de adelantarse a los ciberataques es combinar tecnología, formación y una estrategia sólida de gestión de vulnerabilidades que proteja el negocio de manera integral”.