25 errores de ciberseguridad que siguen poniendo en jaque a las empresas en 2025
Por Rafael M. Pérez | Consultor en Ciberseguridad Defensiva
Hardening de sistemas, detección de amenazas y respuesta ante incidentes.
En 2025, muchas empresas siguen cayendo en los mismos fallos de ciberseguridad: contraseñas débiles, MFA mal configurado, backups inseguros o ausencia de monitorización. Descubre los 25 errores más comunes que abren la puerta a los ciberataques y cómo evitarlos.
La ciberseguridad no falla por falta de tecnología, sino por exceso de confianza
La transformación digital ha convertido a la ciberseguridad en un pilar estratégico para las empresas. Sin embargo, cada año los informes y auditorías revelan el mismo patrón: los errores más peligrosos son también los más previsibles.
Y no hablamos de fallos técnicos complejos, sino de descuidos básicos: contraseñas inseguras, permisos excesivos, servicios sin parchear o backups mal hechos. Pequeños agujeros que, combinados, pueden hundir incluso a las organizaciones mejor equipadas.
La buena noticia es que la mayoría de estos errores se pueden corregir sin grandes inversiones. Solo hace falta disciplina, cultura y un cambio de mentalidad.
1. Falta de autenticación multifactor (MFA) en accesos críticos
Todavía en 2025, hay empresas que permiten iniciar sesión en cuentas de administrador, paneles de control o VPNs solo con usuario y contraseña.
El phishing, la filtración de credenciales o un simple descuido pueden bastar para abrir la red corporativa de par en par.
Solución: activar MFA de forma obligatoria en todos los accesos sensibles y no solo en el correo electrónico.
2. MFA parcial o inconsistente
Tener MFA en algunos servicios y no en otros es como cerrar una puerta y dejar la ventana abierta.
Los atacantes solo necesitan encontrar el punto débil, y casi siempre lo hay.
Solución: implantar MFA unificado en toda la organización, con una política coherente y homogénea.
3. Falta de políticas de acceso condicional
No basta con pedir un segundo factor. Si una empresa permite inicios de sesión desde cualquier país, red o dispositivo no gestionado, el MFA pierde sentido.
Solución: usar políticas de acceso condicional (por ubicación, dispositivo o riesgo) para limitar el acceso solo a entornos confiables.
4. Contraseñas débiles o repetidas
El clásico eterno. Aún se encuentran ficheros con nombres como passwords.xlsx o credenciales repetidas en varios sistemas.
Las contraseñas débiles siguen siendo el billete de entrada más barato para los atacantes.
Solución: usar gestores de contraseñas, reglas modernas de fortaleza y monitorización de credenciales comprometidas.
5. Cuentas privilegiadas sin caducidad ni rotación
Cuentas de administrador que nunca cambian su contraseña. Usuarios técnicos con acceso global. Servicios con permisos excesivos.
Todo esto forma el cóctel perfecto para un ataque devastador.
Solución: rotar las credenciales privilegiadas periódicamente y aplicar gestión PAM (Privileged Access Management).
6. Delegaciones inseguras en Active Directory
El corazón de muchas empresas, el Active Directory, suele estar plagado de delegaciones incorrectas y permisos heredados.
Pequeños errores en la configuración que permiten a un usuario común escalar hasta ser administrador.
Solución: auditar AD periódicamente y revisar delegaciones antiguas o temporales.
7. Permisos excesivos y sin control
Cada vez que un técnico recibe permisos “por si acaso” y no se los quitan después, el riesgo crece.
El principio de mínimo privilegio no es opcional, es esencial.
Solución: revisar grupos y roles regularmente. Si un usuario no necesita un permiso, debe perderlo.
8. Falta de un sistema central de identidad (SSO)
Tener múltiples credenciales dispersas multiplica los puntos de ataque.
El SSO (Single Sign-On) permite unificar accesos bajo una sola identidad segura y auditada.
Solución: centralizar la autenticación en un proveedor de identidad (Azure AD, Okta, etc.) y federar servicios externos.
9. Protocolos obsoletos
Protocolos como NTLMv1, SMBv1 o TLS 1.0 siguen activos en demasiadas redes.
Son reliquias del pasado que hoy se usan para comprometer sistemas en minutos.
Solución: desactivar protocolos antiguos y migrar a estándares modernos como TLS 1.3.
10. Servidores y software fuera de soporte (EOL)
Aplicaciones críticas corriendo en servidores sin actualizaciones desde hace años.
Cada día que pasa, son más vulnerables y más fáciles de explotar.
Solución: planificar migraciones y actualizaciones continuas, incluso si requieren inversión. Es más barato que una brecha.
11. Cuentas y equipos huérfanos
Usuarios dados de baja que siguen activos, ordenadores que ya no existen pero aún figuran en el dominio.
Todo esto es material de oro para un atacante.
Solución: establecer procesos de “higiene digital” para eliminar cuentas y dispositivos inactivos.
12. Archivos con contraseñas o datos sensibles
Nada nuevo: ficheros con claves de acceso o datos personales almacenados en carpetas compartidas.
Además de inseguro, es una violación directa del RGPD.
Solución: usar vaults de contraseñas y almacenamiento cifrado para datos sensibles.
13. Protección EDR o antivirus mal configurado
De poco sirve tener un EDR si está desactivado o mal configurado.
A menudo detecta amenazas, pero no actúa porque las reglas están en modo pasivo.
Solución: revisar la configuración y cobertura del EDR periódicamente y aplicar políticas estrictas en endpoints críticos.
14. Redes sin segmentación
Una red plana es el sueño de cualquier atacante.
Comprometes un equipo y ya tienes acceso a todos.
Solución: segmentar redes por función y nivel de riesgo, aplicando ACLs internas y firewalls locales.
15. Servicios expuestos sin control
Puertos RDP abiertos a Internet, FTPs antiguos o paneles de administración accesibles públicamente.
En muchos casos, ni siquiera se sabe que están expuestos.
Solución: inventariar servicios externos y protegerlos tras VPN, MFA o bastion hosts.
16. Protocolos criptográficos inseguros
TLS 1.0, HTTP sin cifrar, SSH obsoleto... aún existen en entornos productivos.
Esto abre la puerta a ataques de downgrade y robo de información.
Solución: usar solo TLS 1.2 o 1.3, forzar HTTPS y actualizar implementaciones de SSH.
17. Ausencia de cabeceras y configuraciones de seguridad web
La falta de HSTS, CSP o X-Frame-Options sigue siendo común.
Son configuraciones básicas que evitan ataques como clickjacking o XSS.
Solución: aplicar hardening web y guías OWASP en cada despliegue.
18. Funciones de seguridad desactivadas por defecto
Muchas soluciones incluyen protecciones avanzadas que simplemente nadie activa.
Macros, PowerShell, antivirus de servidor... todo deshabilitado “para no molestar”.
Solución: revisar la configuración de seguridad por defecto y endurecer cada sistema antes de usarlo.
19. Ausencia de bastion host
Los administradores aún acceden directamente a servidores de producción desde sus PCs.
Sin registros, sin aislamiento, sin trazabilidad.
Solución: implementar bastion hosts o saltos seguros que centralicen y auditen los accesos.
20. Logs dispersos y sin centralizar
Sin centralización de logs, investigar un incidente es como buscar una aguja en un pajar.
Solución: centralizar registros en un SIEM y definir políticas de retención adecuadas.
21. Políticas de auditoría incompletas
Si los cambios en grupos críticos o los accesos sospechosos no se registran, no hay trazabilidad posible.
Solución: activar auditorías detalladas y correlacionarlas con alertas de seguridad.
22. Monitorización básica o mal configurada
Muchas empresas instalan un SIEM... y nunca lo configuran bien.
Demasiadas alertas inútiles, pocos eventos relevantes.
Solución: definir qué se monitoriza, ajustar reglas y mantenerlo vivo con revisiones periódicas.
23. Backups inseguros y sin pruebas
Copias conectadas al mismo dominio, sin cifrar ni comprobar.
Cuando llega un ransomware, desaparecen junto con los datos.
Solución: mantener backups cifrados, aislados (offsite o inmutables) y probar restauraciones reales.
24. Falta de concienciación y formación
El 90 % de los ataques empiezan por un clic.
Si los empleados no saben identificar phishing o reportar anomalías, ninguna tecnología basta.
Solución: campañas formativas periódicas y simulaciones de ataques controlados.
25. Planes de continuidad sin probar
Tener un plan de contingencia guardado en un cajón no sirve.
En una crisis real, la improvisación cuesta dinero, reputación y clientes.
Solución: realizar simulacros periódicos y revisar responsabilidades, contactos y tiempos de respuesta.
Conclusión: la seguridad no depende del presupuesto, sino de la cultura
Los fallos más graves en ciberseguridad no están en el código, sino en la rutina.
Empresas con grandes inversiones siguen cayendo por descuidos básicos: configuraciones heredadas, permisos sin revisar o falta de pruebas reales.
La clave está en crear una cultura de mejora continua, revisar lo que ya se tiene, y formar a todos los niveles.
Porque la seguridad no se compra: se construye, día a día.
¿Quieres revisar la seguridad de tu empresa?
Si necesitas una evaluación gratuita del estado de seguridad de tu infraestructura,
puedes escribirme a rmp.blueteam@proton.me o rellenar el formulario de contacto del blog.
Te ayudaré a detectar vulnerabilidades y a diseñar un plan de defensa adaptado a la realidad de tu empresa.
Para más referencias puedes ver mi portafolio
Comentarios
Publicar un comentario