Correo electrónico y VPN: 5 millones de dólares perdidos. El 90% de los ciberataques se debe a confiar en «todo está protegido»

En el informe anual At-Bay InsurSec Rankings 2025 se registró un fuerte aumento de los ataques relacionados con el correo electrónico y el acceso remoto —fue por estos dos canales que comenzaron alrededor del 90% de los incidentes entre los clientes de la compañía. Los analistas subrayan que la IA generativa se ha convertido en el principal catalizador de la evolución del phishing y del fraude corporativo, y que los dispositivos VPN se han transformado en uno de los elementos más riesgosos de la infraestructura.

En 2024 la frecuencia de reclamaciones de seguros por correos maliciosos creció un 30%, y desde 2021 aumentó 3,5 veces. Al correo electrónico correspondió el 43% de todos los ataques y el 83% de los casos de fraude financiero. La suma media transferida a los atacantes fue de 286.000 dólares, y en casos aislados llegó hasta 5 millones de dólares. Las empresas manufactureras resultaron las más vulnerables: el número de incidentes en ese sector subió un 62% en un año. Según At-Bay, esas compañías tienen tres veces más probabilidades de ser víctimas de phishing que las del sector tecnológico.

La comparación de soluciones de correo mostró que Google Workspace por tercer año consecutivo presenta los mejores resultados en resistencia a los ataques, mientras que Microsoft 365 queda considerablemente rezagado. Al mismo tiempo, casi todos los filtros de correo especializados funcionaron peor que el año anterior: la frecuencia de incidentes entre clientes que usan esas soluciones aumentó de media un 53%. La única excepción fue Sophos, que mejoró sus indicadores gracias a la adopción temprana del análisis de lenguaje natural (NLP). Los experimentos de At-Bay mostraron que la mayoría de las pasarelas tradicionales Secure Email Gateway no son capaces de reconocer los esquemas modernos sin enlaces ni adjuntos maliciosos, basados en la suplantación de credenciales y en la infiltración en conversaciones reales.

Una parte del informe presta atención al tránsito desde las pasarelas SEG hacia soluciones en la nube ICES, conectadas mediante API y que rastrean mejor el contexto de los mensajes. At-Bay señala que los nuevos sistemas ya demuestran capacidad para bloquear la suplantación de dominios, los ataques internos y la exfiltración de datos desde buzones comprometidos. La compañía prevé que la eficacia de estas herramientas irá creciendo a medida que se integren modelos de IA para analizar el estilo y la estructura de la correspondencia empresarial.

La segunda parte del informe se dedica al acceso remoto. Aquí las estadísticas son aún más preocupantes: el 80% de todos los casos de ransomware en 2024 comenzaron con la compromisión de herramientas de conexión remota, de las cuales el 83% correspondieron a dispositivos VPN. Los propietarios de las soluciones Cisco ASA SSL VPN y Citrix SSL VPN fueron atacados 6,8 veces más que las organizaciones sin VPN, y el uso de cualquier VPN local aumentaba la probabilidad de infección casi cuatro veces. Además, en los dispositivos SonicWall se registró un repunte de incidentes con los extorsionadores Akira —un aumento del 300% en el tercer trimestre de 2025. En la mitad de esos casos la solución de detección y respuesta en endpoints (EDR) no ayudó: solo los servicios MDR gestionados pudieron detener la infección antes del cifrado de los datos.

Los investigadores vinculan el aumento de los ataques con la mayor complejidad de la arquitectura de los cortafuegos de próxima generación, que combinan funciones de enrutador, proxy y VPN. La cantidad de vulnerabilidades de alta criticidad en los principales proveedores, incluidos Fortinet, Palo Alto, Cisco, Citrix y SonicWall, sigue creciendo: solo Fortinet registró más de 500 problemas de seguridad durante el periodo de 2020 a 2025. At-Bay no descarta que los atacantes ya estén explotando vulnerabilidades de día cero desconocidas, especialmente en SonicWall.

Como solución, la compañía recomienda abandonar las VPN tradicionales y migrar hacia la arquitectura Secure Access Service Edge (SASE), donde las actualizaciones se aplican de forma centralizada y el acceso a los recursos corporativos pasa por una puerta de enlace en la nube sin un acceso directo tipo front door. Si la migración no es posible, los expertos aconsejan al menos implantar un servicio MDR gestionado para monitorizar las conexiones las 24 horas.

Tras el análisis, At-Bay subraya que la velocidad de cambio de las ciberamenazas supera el ritmo de modernización de la mayoría de los sistemas de defensa. Solo la combinación de soluciones respaldadas por IA, la vigilancia continua y la recapacitación del personal permite mantener el riesgo bajo control. De lo contrario, las empresas afrontan no solo pérdidas financieras, sino también reputacionales, que el seguro ya no compensa en su totalidad.