Phishing y software desactualizado: los dos flancos que siguen en la mira

Expertos alertan que 2025 ha traído amenazas más automatizadas y peligrosas

En medio de un escenario digital cada vez más complejo, dos viejos conocidos siguen encabezando la lista de vulnerabilidades más críticas en materia de ciberseguridad: el phishing y el software sin actualizar. A pesar del avance de las amenazas, con ataques cada vez más rápidos y automatizados, estos dos factores continúan siendo la puerta de entrada preferida para los ciberdelincuentes.

El más reciente Reporte de Amenazas 2025 de FortiGuard, escrito por Derek Manky, lo deja claro: aunque cambien los métodos, los objetivos se mantienen. El phishing, en particular, ha evolucionado a niveles alarmantes gracias al uso de inteligencia artificial generativa, suplantación de marcas legítimas y técnicas mixtas que combinan mensajes de texto (smishing) con llamadas falsas alimentadas por tecnología deepfake (vishing). Todo esto hace que los intentos de engaño sean más convincentes y difíciles de detectar.

Y si bien la conciencia sobre el phishing ha crecido en muchos entornos corporativos, lo cierto es que los atacantes juegan con volumen y velocidad. Las herramientas actuales les permiten lanzar millones de correos fraudulentos al instante, apostando a que aunque solo unos pocos caigan, el impacto sea significativo. La escala, en este caso, es el arma secreta.

Pero el problema se agrava cuando estos ataques logran instalar malware en dispositivos que no están actualizados. El informe señala que muchas organizaciones siguen usando sistemas con parches vencidos o aplicaciones vulnerables. En 2025, esta sigue siendo una brecha grave, ya que los hackers usan bots para escanear vulnerabilidades conocidas. Cuando detectan un sistema obsoleto, la explotación es prácticamente inmediata.

El combo es explosivo: ingeniería social para abrir la puerta, y software desactualizado para facilitar la permanencia del atacante dentro del sistema.

Frente a esta realidad, los expertos en seguridad insisten en dos medidas tan básicas como efectivas:

Primero, reforzar la conciencia sobre el phishing entre todos los miembros de una organización. Esto implica entrenamiento constante, verificación de remitentes y uso de autenticación multifactorial como salvavidas en caso de robo de credenciales.

Segundo, automatizar las actualizaciones de software. Muchas organizaciones postergan los parches por temor al tiempo de inactividad o problemas de compatibilidad, pero cada día sin actualizar es un día más en el que los atacantes tienen vía libre.

El Mes de Concientización en Ciberseguridad no se trata de repetir lecciones por costumbre. Es una oportunidad para detenernos, revisar prácticas y tomar acción. No se trata de implementar soluciones complejas, sino de no descuidar los fundamentos que siguen siendo el talón de Aquiles de muchas empresas.

Desde Fortinet, seguiremos monitoreando el comportamiento de las amenazas globales y compartiendo hallazgos clave. Por ahora, el mensaje es claro: no se deje engañar por la aparente simpleza del phishing o los parches pendientes. Ignorarlos puede salir muy caro.