El 90% de los incidentes de ransomware aprovechan los cortafuegos, y el caso de ransomware más rápido observado tardó tres horas desde la violación hasta el cifrado.
La vulnerabilidad CVE más detectada data de 2013: el 11% de las vulnerabilidades detectadas tienen un exploit conocido.
Los resultados se basan en el conjunto de datos único de Barracuda Managed XDR, que incluye más de dos billones de eventos de TI recopilados durante 2025, casi 600,000 alertas de seguridad y más de 300,000 terminales, cortafuegos, servidores, activos en la nube y otros elementos protegidos.
Barracuda Networks, Inc, empresa líder en ciberseguridad, ha publicado datos que muestran que el 90% de los incidentes de ransomware en 2025 aprovecharon los cortafuegos a través de software sin parches o una cuenta vulnerable. El caso de ransomware más rápido observado tardó sólo tres horas en pasar de la violación al cifrado. Los resultados se detallan en el informe global sobre amenazas de Barracuda Managed XDR, que muestra cómo los atacantes se dirigen a las organizaciones y las brechas de seguridad que ponen en riesgo los sistemas.
A partir de miles de incidentes de seguridad reales, los resultados muestran cómo los atacantes aprovechan herramientas informática legítimas, como el software de acceso remoto, y se valen de dispositivos desprotegidos. También revelan los riesgos que entraña el cifrado obsoleto, la desactivación de la seguridad de los puntos finales y otros factores, y destacan las señales de alarma que suponen los comportamientos inusuales en el inicio de sesión o el acceso privilegiado.
El informe revela que el 90% de los incidentes de ransomware explotaron cortafuegos mediante vulnerabilidades conocidas (CVE) o cuentas comprometidas, lo que permitió a los atacantes acceder a las redes, eludir las protecciones y ocultar actividad maliciosa. Además, la velocidad de los ataques sigue aumentando: el caso más rápido observado, protagonizado por el ransomware Akira, tardó solo tres horas desde la intrusión hasta el cifrado de los sistemas, reduciendo significativamente la capacidad de detección y respuesta. Los datos también muestran que una de cada diez vulnerabilidades detectadas tenía un exploit conocido, lo que evidencia el uso activo de fallos de software —especialmente en la cadena de suministro— y subraya la importancia de parchear sistemas. De hecho, la vulnerabilidad más frecuente identificada data de 2013 y está relacionada con algoritmos de cifrado obsoletos presentes en sistemas heredados. Asimismo, el 96% de los incidentes con movimientos laterales acabaron en ransomware, confirmando este comportamiento como una señal crítica de ataque en curso. Por último, el 66% de los incidentes afectaron a la cadena de suministro o a terceros, reflejando cómo los atacantes aprovechan cada vez más debilidades externas para ampliar su alcance.
El estudio de Barracuda también incluye medidas prácticas que pueden adoptar las organizaciones y los proveedores de servicios gestionados que las respaldan para abordar y reducir el riesgo.
"Las organizaciones y sus equipos de seguridad, especialmente si ese "equipo" es un único profesional de TI, se enfrentan a un reto inmenso. Con recursos limitados y herramientas de seguridad fragmentadas, deben proteger las identidades, los activos y los datos frente a un panorama de amenazas en constante evolución y a ataques que pueden desarrollarse en cuestión de horas", afirma Merium Khalid, director de SOC Offensive Security de Barracuda. "Lo que hace vulnerables a los objetivos suele ser fácil de pasar por alto: un único dispositivo no autorizado, una cuenta que no se desactivo cuando alguien se marchó, una aplicación inactiva que no se ha actualizado o una función de seguridad mal configurada. Los atacantes sólo necesitan encontrar uno para tener éxito. Una solución de seguridad integrada, autónoma y basada en inteligencia artificial, con la gestión y el soporte a cargo de expertos, puede marcar la diferencia".
Los hallazgos detallados en el informe se basan en el vasto conjunto de datos de Barracuda Managed XDR, que incluye más de dos billones de eventos de TI recopilados durante 2025, casi 600,000 alertas de seguridad y más de 300,000 terminales, cortafuegos, servidores, activos en la nube y otros elementos protegidos.