Cisco Talos alerta sobre los ataques de identidad: se disparan y suben un 178%

Cisco Talos ha presentado un informe en el que ha mostrado algo que es importante en lo que tiene que ver con la seguridad: un cambio claro dentro del panorama de amenazas de 2025. Este indica que los ciberdelincuentes están priorizando la identidad, mientras aceleran la explotación de vulnerabilidades conocidas y antiguas. El resultado es un escenario en el que entrar con credenciales válidas pesa cada vez más que desplegar malware.

Un inesperado cambio de estrategia

La documentación publicada describe tres focos principales: la explotación rápida de fallos durante todo su ciclo de vida, el ataque a la identidad y la autenticación, y el abuso de frameworks y bibliotecas muy extendidas para amplificar el impacto. La conclusión de la compañía por todo esto es que los atacantes ya no dependen solo de técnicas sofisticadas, sino de oportunidades muy concretas y de la debilidad de entornos heredados.

Y, debido a estos cambios, la identidad de los usuarios o empresas se ha convertido en el objetivo más rentable. Cisco Talos señala, por ejemplo, que las técnicas de compromiso de dispositivos vinculadas a MFA (autenticación multifactor) y a la infraestructura de identidad aumentaron un 178% interanual -en gran parte mediante la suplantación de usuarios y el abuso de procesos de registro gestionados por administradores-.

Vulnerabilidades antiguas… riesgo vigente

Uno de los mensajes más interesantes del informe es que la antigüedad no reduce el peligro. De esta forma, se destaca que el 32% de las 100 vulnerabilidades más atacadas tenían más de una década de vida, y que casi el 40% afectaban a sistemas al final de su vida útil, ya sin soporte de parches.

Eso significa que muchas organizaciones siguen expuestas no por falta de avisos, sino por la convivencia con infraestructura obsoleta que cuesta retirar. La compañía también subraya que, aunque fallos recientes como React2Shell fueron explotados con enorme rapidez, los atacantes siguen exprimiendo vulnerabilidades viejas de forma sistemática debido a la rentabilidad de hacer esto.

Otro patrón que insiste en aparecer es el de los componentes compartidos. Cisco Talos indica que aproximadamente el 25% de las 100 vulnerabilidades más atacadas afectaban a frameworks y bibliotecas de uso generalizado, lo que permite a los atacantes convertir una sola brecha en un problema para múltiples sectores.

Ese efecto multiplicador explica por qué una vulnerabilidad en una pieza central del software puede tener tanta repercusión en tan poco tiempo. En la práctica, un fallo bien situado puede abrir la puerta a cadenas de ataque mucho más amplias que un incidente aislado.

Ransomware y presión operativa

El informe también sitúa a Qilin como la variante de ransomware más frecuente de 2025, con alrededor de 40 víctimas al mes, y coloca al sector fabricación como el más atacado. Esa combinación confirma que este tipo de ataques siguen siendo un negocio industrializado, con objetivos recurrentes y una cadencia de ataques constante. Y, en consecuencia, esto refuerza una idea ya conocida pero difícil de aplicar: no basta con responder cuando el incidente ya ha empezado. La prevención real pasa por reducir la amplitud de ataque, cerrar accesos innecesarios y limitar las credenciales comprometidas.

Las recomendaciones de Cisco Talos

Cisco Talos insiste en tres prioridades muy concretas: parchear con rapidez las vulnerabilidades nuevas, reforzar la infraestructura de identidad con MFA resistente al phishing y eliminar los sistemas obsoletos que siguen actuando como puertas traseras permanentes.

Hay que destacar algo que queda cada vez más claro con este informe y otros que se ven conociendo: el modelo reactivo se queda corto frente a delincuentes que explotan fallos en horas y que, además, saben moverse dentro de entornos donde la identidad ya no está suficientemente protegida. La seguridad, actualmente, debe dar el salto a la anticipación para ser suficientemente efectiva.