ESET advierte que, si no auditas tu seguridad, los ciberdelincuentes lo harán por ti

ESET ha alertado de que muchas empresas siguen abordando su protección digital desde una falsa sensación de normalidad, interpretando la ausencia de alertas o incidentes visibles como un indicador de seguridad. La compañía ha recordado que España se situó en 2025 como el segundo país a nivel global con más detecciones de ransomware, con un 5% del total mundial, solo por detrás de Estados Unidos, mientras que el phishing se ha mantenido como la amenaza más detectada, con cerca del 20% del total. Para ESET, estas cifras reflejan que la exposición real es mucho mayor de lo que muchas organizaciones creen y que el riesgo no desaparece simplemente porque no se perciba.

Josep Albors, director de investigación y concienciación de ESET España, ha explicado que “este fenómeno está relacionado con el llamado sesgo de normalidad, una tendencia humana a subestimar la posibilidad de una crisis y asumir que todo continuará funcionando como siempre, incluso ante señales de riesgo. En ciberseguridad, este sesgo puede llevar a las organizaciones a interpretar el silencio como seguridad, a retrasar decisiones críticas o a confiar en que sus herramientas actuales son suficientes porque, aparentemente, no ha ocurrido nada”.

 

Los atacantes ya están auditando a las empresas

ESET ha advertido de que este enfoque resulta especialmente peligroso en un contexto en el que los ciberdelincuentes utilizan inteligencia artificial, automatización, ingeniería social y nuevas herramientas para escalar ataques, buscar vulnerabilidades y explotar fallos de configuración con una velocidad sin precedentes.

La compañía ha subrayado que, en la práctica, los atacantes actúan como auditores no contratados, buscando contraseñas débiles, credenciales expuestas, empleados vulnerables a phishing, configuraciones deficientes, sistemas sin actualizar, proveedores mal supervisados y procesos internos fáciles de manipular.

A diferencia de una auditoría legítima, la revisión criminal no entrega un informe para mejorar, sino que puede derivar en robo de datos, extorsión, interrupción operativa, daño reputacional, pérdida de confianza y costes económicos difíciles de asumir, llegando incluso a comprometer la continuidad del negocio.

La compañía ha recordado que muchos de los vectores que explotan los atacantes son conocidos por las organizaciones, pero no siempre corregidos con la rapidez necesaria, incluido phishing y ataques de ingeniería social, uso de IA para fraudes y reconocimiento de objetivos, deepfakes cada vez más convincentes, exposición de datos en redes sociales o dark web, contraseñas débiles o reutilizadas, brechas en proveedores con acceso a sistemas críticos, complejidad creciente de las soluciones de ciberseguridad y falta de perfiles especializados. Para ilustrar la magnitud del problema, Albors ha señalado que “los procesos de inteligencia de amenazas de ESET analizan cada día 750.000 muestras sospechosas, examinan 2.500 millones de URLs y bloquean 500.000 de ellas”.

Ante este escenario, ESET ha recomendado abandonar la lógica reactiva y revisar de forma continua el perfil de riesgo. La compañía ha instado a realizar auditorías periódicas de la postura de seguridad, pruebas de penetración y ejercicios red team, blue team o purple team; reevaluar el panorama de amenazas ante cambios como la IA, los deepfakes o los conflictos geopolíticos; reforzar la formación en ciberconcienciación; supervisar redes sociales y dark web para detectar información expuesta; mejorar la gestión de identidades con autenticación multifactor resistente al phishing; invertir en monitorización continua y servicios MDR, XDR o MXDR 24/7; revisar la seguridad de proveedores y terceros; y probar los planes de recuperación y continuidad de negocio antes de necesitarlos.