A pesar del surgimiento récord de ataques automatizados en el último año, el estratega Derek Manky de FortiGuard Labs señala que los dos puntos de entrada más efectivos para los ciberatacantes siguen siendo el phishing y los sistemas con software desactualizado.
Derek Manky: dos fundamentos críticos en ciberseguridad 2025 para individuos y empresas
• El reporte de FortiGuard Labs confirma que la combinación de ingeniería social (phishing) y vulnerabilidades no parcheadas crea una “combinación letal” que facilita las brechas de seguridad.
(03/Oct/2025 – web – Panama24Horas.com.pa) Panamá.- En el marco del Mes de la Concientización en Ciberseguridad, Derek Manky, Jefe estratega de ciberseguridad y VP global de inteligencia contra amenazas en FortiGuard Labs, ha destacado dos prácticas fundamentales para que individuos y organizaciones se defiendan de los ciberriesgos más persistentes. Manky subraya que, a pesar de la sofisticación y automatización de las amenazas, protegerse contra los intentos de phishing y mantener el software actualizado siguen siendo la defensa más sólida en ciberseguridad 2025.
El análisis se basa en el más reciente Reporte de FortiGuard Labs de Fortinet sobre el panorama de amenazas.
Panorama de Amenazas: La Evolución de la Persistencia
El reporte realza un surgimiento récord de ciberataques automatizados. Los atacantes utilizan bots y herramientas a velocidad de máquina para escanear vulnerabilidades y lanzar campañas de phishing a escala. Los correos maliciosos y la ingeniería social se mantienen como los puntos de entrada más efectivos porque se aprovechan de la confianza humana.
Derek Manky explica que, si bien los objetivos de los atacantes son los mismos, las herramientas están evolucionando. Los ciberadversarios están volviendo sus ataques de phishing más convincentes mediante:
• El uso de Inteligencia Artificial Generativa para crear correos electrónicos sin errores gramaticales.
• El robo de marcas para suplantar instituciones confiables.
• La combinación de correo con SMS (smishing) y llamadas de voz con deep-fake (vishing).
Lo que potencia al phishing es la escala: las nuevas técnicas de automatización permiten lanzar millones de intentos simultáneamente, asegurando que una pequeña fracción exitosa cause un daño extenso.
La Combinación Letal: Software Desactualizado y Phishing
El reporte de FortiGuard Labs refuerza la verdad de que los sistemas desactualizados son otra puerta de entrada crítica. Los atacantes confían en herramientas automatizadas para escanear vulnerabilidades conocidas, y la explotación de un sistema sin parches es casi instantánea.
Manky advierte que el phishing y el software obsoleto trabajan juntos: un intento exitoso de phishing puede introducir malware a un dispositivo, y si dicho dispositivo no está parcheado, los atacantes pueden escalar privilegios y moverse lateralmente con mucha más facilidad. Es esta «combinación letal»—ingeniería social abriendo la puerta y software desactualizado asegurando la permanencia del atacante—lo que hace que las actualizaciones sean una de las estrategias de defensa más simples y efectivas.
Aunque muchas organizaciones retrasan las actualizaciones por preocupaciones de tiempo de inactividad o compatibilidad, Derek Manky enfatiza que cada día de retraso es una invitación directa para los atacantes.
Ciberconciencia en Acción: Recomendaciones Prácticas
El valor del mes de concientización reside en convertir la investigación en acción. Fortinet, por medio de Manky, recomienda dos prácticas clave:
1. Reforzar la conciencia sobre phishing: Los empleados deben ser entrenados para hacer una pausa, verificar los detalles del remitente y reportar mensajes sospechosos. Es crucial que la autenticación multifactorial (MFA) provea una red de seguridad en caso de que las credenciales sean comprometidas.
2. Automatizar las actualizaciones de software: Las organizaciones deben implementar un manejo de parches centralizado. Los individuos, por su parte, deben permitir las actualizaciones automáticas en sus dispositivos personales.
Estos criterios requieren refuerzo constante, pues la ciberseguridad debe ser comunicada como una responsabilidad compartida y no solo del departamento de TI. La conclusión es clara: no se deben pasar por alto los aspectos básicos de defensa, ya que siguen siendo la mejor protección.
Deja un comentario
Su dirección de correo electrónico no será publicada. Los campos requeridos estan marcados con *