Ciberseguridad para empresas: realidad y retos durante 2025

En 2025, la ciberseguridad empresarial ya no puede concebirse como una función aislada de TI: es un vector estratégico que define la continuidad del negocio. La digitalización ha alcanzado niveles extremos: las empresas operan en arquitecturas híbridas que integran nubes varias, sistemas OT/ICS en planta, dispositivos IoT críticos y servicios SaaS. Esta fragmentación de la infraestructura ha pulverizado el perímetro tradicional. En lugar de defender redes, las organizaciones deben ahora controlar accesos y aislar activos para evitar que una brecha inicial se convierta en un desastre sistémico.

Simultáneamente, las amenazas han evolucionado. Los grupos de ransomware ya no actúan como meros criminales oportunistas: funcionan como una industria, con modelos de negocio que incluyen “ransomware-as-a-service” (RaaS) y plataformas de extorsión. Además, la automatización alimentada por inteligencia artificial ha acelerado la fase de reconocimiento y de ataque, permitiendo despliegues cada vez más rápidos y precisos.

Panorama 2025: cifras clave de ciberataques

Situación en España

Los datos más recientes muestran un panorama inquietante para las empresas españolas. Según Check Point, en el primer trimestre de 2025 España registró una media de 1.911 ciberataques semanales por empresa, lo que representa un incremento del 66 % frente al mismo periodo de 2024.

Además, durante el segundo trimestre de 2025, ese dato subió a 1.950 ataques semanales por organización (+36 %), según informes de ThreatCloud AI.

En cuanto al ransomware, España ha sufrido un crecimiento del 61 % en ataques durante la primera mitad de 2025 con respecto a 2024, totalizando 79 incidentes según Thales.

Otros estudios sitúan a España entre los 5 países europeos más afectados por ataques de ransomware, lo que pone de manifiesto un elevado nivel de riesgo nacional.

La gravedad se evidencia también en la magnitud de los incidentes. De acuerdo con Inetum, en la primera mitad del año se gestionaron más de 77.000 alertas de seguridad, de las cuales más de 10.500 se calificaron como críticas o de alta severidad.

Por su parte, otros informes apuntan a un crecimiento del 35 % en los ciberataques diarios, con una estimación de más de 45.000 incidentes al día en 2025 para España.

Contexto europeo y global

Desde una perspectiva europea, la situación tampoco es más cómoda: según Microsoft y otros analistas de amenazas, más del 52 % de los ciberincidentes detectados en España tienen motivación económica, sobre todo extorsión o ransomware.

A nivel global, los ataques de ransomware están aumentando con un vigor creciente. Según el informe de amenazas de Honeywell, los incidentes de extorsión de ransomware crecieron un 46 % en su periodo de análisis, con actores como el grupo CL0P especialmente activos.

Otros vectores críticos están siendo potenciados por la automatización y la IA: investigaciones recientes han documentado cómo los escaneos automatizados de vulnerabilidades alcanzan hasta 36.000 peticiones por segundo, focalizando en protocolos inseguros como RDP, IoT o SIP.

Principales desafíos técnicos para las empresas

Perímetro desdibujado y nuevos modelos de acceso

Con la desaparición de un perímetro bien definido, el enfoque de seguridad debe desplazarse hacia el control del acceso y la microsegmentación. El modelo tradicional basado en firewalls y VPN deja huecos críticos: los atacantes ya no necesitan comprometer toda la red para alcanzar un activo, solo un vector mal protegido. Por eso, las arquitecturas modernas tienden a construir capas intermedias seguras (gateways o brokers de conexión) desde las cuales todo acceso se controla, monitoriza y audita.

Este modelo también promueve el principio de privilegios mínimos: los usuarios solo obtienen los permisos que necesitan durante un tiempo limitado, y cada sesión debe quedar registrada. Al limitar la exposición, se reduce radicalmente la superficie de ataque, incluso si un endpoint es comprometido.

Aislamiento digital como escudo activo

Una de las estrategias más efectivas frente al ransomware o movimiento lateral es el aislamiento de sesiones críticas. En lugar de permitir conexiones directas a sistemas sensibles (como servidores de producción OT, bases de datos o controladoras industriales), las empresas utilizan escritorios remotos blindados (RSW). Dentro de ese entorno aislado, los usuarios interactúan de forma segura, pero no pueden extraer datos directamente ni establecer conexiones persistentes hacia esos recursos críticos.

Este enfoque no solo protege los activos, sino que mitiga la explotación de protocolos inseguros (RDP, SSH, Telnet, etc.) y limita la superficie vulnerable ante un atacante.

Visibilidad, trazabilidad y gobernanza

Tener control de acceso no es suficiente si no se puede auditar lo que sucede dentro de cada sesión. Las organizaciones deben implementar mecanismos que registren cada acción: quién accedió, cuándo, a qué recurso, con qué privilegios y qué hizo exactamente. Estos registros deben ser resistentes a la manipulación, para servir tanto en auditorías internas como en requerimientos regulatorios (como NIS2, GDPR o estándares sectoriales).

Además, las políticas de seguridad deben estar governadas por métricas: tiempos de detección (MTTD), tiempos de recuperación (MTTR), porcentaje de accesos revisados, tasas de sesión anómala, etc. Sin estas métricas, la gestión de la ciberseguridad no es estratégica, sino reactiva.

Automatización y respuesta a gran velocidad

Frente al volumen de amenazas actuales, no basta con depender de analistas humanos. La inteligencia artificial, el machine learning y la orquestación automatizada (SOAR) son herramientas clave para detectar anomalías, responder a incidentes y ejecutar playbooks en milisegundos. Los sistemas deben ser capaces de:

• Identificar comportamientos sospechosos en tiempo real (por ejemplo, un usuario ejecutando comandos extraños)
• Aislar sesiones automáticamente si se detecta riesgo
• Rotar credenciales y privilegios cuando sea necesario
• Generar alertas y evidencias sin intervención manual constante.

Backup, resiliencia y recuperación

El ransomware sigue siendo una de las amenazas más destructivas para los negocios. Por eso, la resiliencia no puede dejarse al azar: las empresas deben contar con copias de seguridad inmutables, aisladas de la red productiva, y someterlas a pruebas de restauración periódica. Solo así se garantiza que, en caso de un ataque grave, no se dependerá exclusivamente del pago del rescate.

La estrategia 3-2-1 (o variantes modernas) sigue siendo válida: múltiples copias, en diferentes ubicaciones y bajo políticas estrictas de acceso y segregación.

El papel de la IA y la futura amenaza poscuántica

IA maliciosa y automatización de ataques

La inteligencia artificial no es solo una herramienta para los defensores: los atacantes ya la usan para escanear sistemas automáticamente, generar phishing hiperrealista, adaptar sus métodos de reconocimiento y orquestar ataques de forma mucho más eficiente. Informe tras informe apunta a un uso más agresivo de la IA en campañas ofensivas, también para el ransomware.

Este escenario demanda defensas igualmente inteligentes: análisis de comportamiento, detección basada en aprendizaje, respuestas automatizadas y arquitecturas de seguridad centradas en el acceso.

Hacia la criptografía post-cuántica

Aunque la amenaza de la computación cuántica aún es emergente, las organizaciones con datos sensibles deben comenzar ya a planificar su estrategia criptográfica a largo plazo. La criptografía clásica podría quedar obsoleta frente a futuros ataques cuánticos, por lo que implementar ya mecanismos post-cuánticos (o al menos preparar la transición) es una apuesta de futuro para proteger los activos más críticos.

Cómo Cosmikal refuerza la defensa empresarial

Filosofía de aislamiento y control

En Cosmikal, nuestra arquitectura está diseñada para minimizar la exposición al máximo: ningún activo crítico es accesible directamente. Utilizamos escritorios remotos blindados, VDI y brokers de conexión que actúan como una capa intermedia entre el usuario y los recursos sensibles. De esta forma, no importa si el usuario se conecta desde una red insegura o un dispositivo no corporativo: el contacto siempre pasa por un entorno controlado y aislado.

Gestión privilegiada y seguridad de credenciales

La gestión de privilegios es uno de los ejes más vulnerables en cualquier empresa. Con Endurance, los accesos se gestionan centralizadamente, los privilegios se minimizan y las credenciales se almacenan e inyectan desde un vault cifrado con políticas estrictas. Cada sesión privilegiada se registra por completo, generando evidencia inmutable y auditables para facilitar el cumplimiento de regulaciones como NIS2, ISO 27001 o ENS.

Visibilidad total y auditoría en tiempo real

Cada acción que ocurre en una sesión (“qué hace el usuario mientras trabaja en un activo crítico”) se monitoriza, registra y audita. Esta trazabilidad no solo es clave para la seguridad interna, sino que convierte la plataforma en una herramienta poderosa para informes y cumplimiento regulatorio.

Conclusión

El 2025 ha dejado claro que la ciberseguridad empresarial no es solo una cuestión técnica, sino un imperativo estratégico. Las amenazas evolucionan con IA, la superficie de ataque es cada vez más amplia, y los modelos tradicionales basados en perímetros ya no sirven. Para protegerse de forma efectiva, las organizaciones necesitan replantear su arquitectura desde el acceso: aislar, controlar, automatizar.

Cosmikal ofrece soluciones que implementan esta visión de forma coherente y avanzada: aislamiento total de activos, gestión de privilegios, auditoría precisa, y automatización. No es solo defensiva: es una arquitectura de resiliencia diseñada para el presente y preparada para el futuro.

Con esta aproximación, las empresas no solo reaccionan ante amenazas, sino que anticipan y neutralizan los riesgos antes de que se materialicen, construyendo una ciberresiliencia real y sostenible.