A medida que los ciberataques se vuelven más sofisticados y la explotación de dispositivos periféricos se multiplica por ocho con respecto al año anterior, la seguridad de las redes ha pasado de ser una disciplina centrada en el perímetro a convertirse en una estrategia de defensa compleja y multicapa. Las organizaciones se enfrentan a retos sin precedentes en 2025, desde vulnerabilidades de VPN que permiten ataques de ransomware en más de 70 instituciones financieras hasta actores maliciosos vinculados a China que explotan vulnerabilidades de día cero en los cortafuegos para violar la seguridad de agencias federales. Comprender los fundamentos de la seguridad de red, las tecnologías y los enfoques de detección modernos se ha convertido en algo esencial para los profesionales de la seguridad que protegen infraestructuras críticas contra amenazas que se mueven lateralmente a través de las redes en menos de 48 minutos.
La seguridad de la red es la protección de la infraestructura de red contra el acceso no autorizado, el uso indebido y el robo mediante una combinación de hardware, software y políticas que protegen los datos en tránsito y en reposo. Abarca tecnologías, procesos y controles diseñados para defender la infraestructura de red subyacente, al tiempo que garantiza la confidencialidad, integridad y disponibilidad de los datos que atraviesan las redes de la organización.
La disciplina opera en tres niveles fundamentales. La seguridad física de la red impide el acceso no autorizado a los equipos de red mediante sistemas biométricos, tarjetas de acceso y controles de las instalaciones. La seguridad técnica de la red protege los datos almacenados o que transitan por la red mediante cortafuegos, cifrado y sistemas de detección de intrusiones. La seguridad administrativa de la red regula el comportamiento de los usuarios mediante la concesión de permisos, procesos de autorización y políticas de seguridad.
El mercado de la seguridad de redes alcanzó los 24 550 millones de dólares en 2024 y se prevé que crezca hasta los 72 970 millones de dólares en 2032, con una tasa de crecimiento anual compuesta del 14,3 %. Norteamérica posee el 53,48 % de la cuota de mercado mundial, mientras que Asia-Pacífico se perfila como la región de más rápido crecimiento, impulsada por las iniciativas de transformación digital.
Comprender la relación entre estas disciplinas superpuestas ayuda a las organizaciones a crear programas de seguridad integrales.
Tabla 1: Comparación de disciplinas de seguridad
Comparación del alcance, el enfoque y la relación entre la seguridad de la red, la ciberseguridad y la seguridad de la información.
La seguridad de la red se centra específicamente en proteger la infraestructura de red y los datos en tránsito. La ciberseguridad abarca todos los activos digitales, incluidos los puntos finales, las aplicaciones y cloud . La seguridad de la información es la categoría más amplia, ya que abarca tanto la protección de la información digital como la física.
Un plan de ciberseguridad sin seguridad de red está incompleto. Sin embargo, la seguridad de red puede funcionar como una disciplina independiente que protege el dominio específico de la infraestructura de red y los flujos de tráfico.
La seguridad de la red funciona mediante el modelo de defensa en profundidad: múltiples capas superpuestas de controles de seguridad que protegen a las organizaciones incluso cuando fallan las defensas individuales. Este enfoque reconoce que ninguna tecnología por sí sola puede detener todas las amenazas, por lo que se requiere una protección coordinada en todo el perímetro de la red, los segmentos internos, los puntos finales y las aplicaciones.
La seguridad de red moderna distingue entre dos patrones de tráfico críticos. El tráfico norte-sur fluye entre la red interna y la Internet externa, tradicionalmente protegida por cortafuegos perimetrales. El tráfico este-oeste se mueve lateralmente entre los sistemas internos, cada vez más atacados por piratas informáticos que han eludido las defensas perimetrales.
Según un estudio de IBM, las organizaciones con amplia experiencia en seguridad, inteligencia artificial y automatización tardan una media de 258 días en detectar las infracciones. Este prolongado tiempo de permanencia permite a los atacantes moverse lateralmente, escalar privilegios y extraer datos antes de que los equipos de seguridad puedan responder.
La seguridad eficaz de la red sigue un ciclo continuo de protección, detección y respuesta.
La protección establece controles preventivos que bloquean el acceso no autorizado y las amenazas conocidas. Los cortafuegos filtran el tráfico basándose en reglas definidas. El cifrado protege la confidencialidad de los datos. Los controles de acceso aplican los requisitos de autenticación y autorización. La segmentación de la red limita el alcance potencial de las brechas cuando se producen infracciones.
La detección identifica actividades sospechosas y amenazas que eluden los controles preventivos. Los sistemas de detección de intrusiones supervisan las firmas de ataques conocidos. La detección y respuesta de red (NDR) aplica análisis de comportamiento para identificar anomalías. La gestión de información y eventos de seguridad (SIEM) correlaciona los registros de todos los sistemas para detectar indicadores de compromiso.
La respuesta contiene amenazas activas y repara los sistemas comprometidos. Los equipos de respuesta a incidentes investigan las alertas, aíslan los sistemas afectados y coordinan la reparación. Los manuales automatizados aceleran la respuesta a los patrones de ataque más comunes. El análisis posterior al incidente mejora las defensas contra futuros ataques.
El ciclo se refuerza a sí mismo: las actividades de respuesta informan sobre la mejora de las medidas de protección, mientras que las capacidades de detección validan la eficacia de la protección.
La seguridad de red moderna requiere una pila tecnológica por capas con múltiples capacidades que funcionen conjuntamente. Cada tecnología aborda vectores de amenaza y requisitos de protección específicos.
Tabla 2: Comparación de tecnologías de seguridad de red
Descripción general de las principales tecnologías de seguridad de red, sus funciones y casos de uso óptimos.
Los cortafuegos siguen siendo la base de la defensa del perímetro de la red, supervisando el tráfico entrante y saliente para permitirlo o bloquearlo en función de las reglas de seguridad definidas. Los cortafuegos tradicionales de filtrado de paquetes examinan las cabeceras de los paquetes comparándolas con las listas de control de acceso. Los cortafuegos de inspección de estado rastrean los estados de conexión para tomar decisiones de filtrado más informadas.
Los cortafuegos de próxima generación (NGFW) añaden inspección profunda de paquetes, reconocimiento de aplicaciones y prevención integrada de intrusiones. Estas capacidades permiten a las organizaciones crear políticas basadas en aplicaciones, en lugar de solo en puertos y protocolos. El mercado de los cortafuegos sigue creciendo a una tasa compuesta anual prevista del 5,0 % hasta 2029.
Sin embargo, 2025 ha revelado importantes vulnerabilidades en los cortafuegos. Los críticos zero-days en los dispositivos Cisco ASA/FTD (CVE-2025-20333 con CVSS 9.9) afectaron a aproximadamente 50 000 dispositivos y permitieron a los actores maliciosos vinculados a China violar la seguridad de las agencias federales. Las organizaciones deben parchear rápidamente los dispositivos periféricos: la media de 32 días para remediarlo es demasiado lenta, dadas las activas campañas de explotación.
Los sistemas de detección de intrusiones (IDS) supervisan de forma pasiva el tráfico de red en busca de actividades sospechosas o maliciosas. Cuando se identifican amenazas, los IDS generan alertas para que los equipos de seguridad las investiguen. Los métodos de detección incluyen la comparación basada en firmas con patrones de ataque conocidos y la comparación basada en anomalías con bases de referencia de tráfico establecidas.
Los sistemas de prevención de intrusiones (IPS) operan en línea dentro de los flujos de tráfico, bloqueando activamente las amenazas además de detectarlas. Los IPS pueden enviar alertas, descartar paquetes dañinos, bloquear direcciones de origen y restablecer conexiones maliciosas. Las organizaciones implementan sistemas basados en la red (NIDS/NIPS) en los límites de la red y sistemas basados en el host (HIDS/HIPS) en servidores críticos.
La diferencia clave: el IDS detecta y alerta, mientras que el IPS detecta y bloquea. Muchas organizaciones implementan ambos para una defensa en profundidad, utilizando el IDS para la visibilidad y el IPS para la prevención.
La detección y respuesta de red representa la evolución de la supervisión de la seguridad de la red, aplicando inteligencia artificial y análisis de comportamiento para identificar amenazas que eluden la detección basada en firmas. NDR analiza los patrones de tráfico de red, incluido el tráfico cifrado, para detectar comportamientos sospechosos que indiquen ataques en curso.
Las capacidades clave de NDR incluyen el análisis del tráfico cifrado sin descifrado, la detección de movimientos laterales en los segmentos de la red interna y la identificación de amenazas persistentes avanzadas (APT) a través de patrones de comportamiento. NDR destaca en la detección de amenazas que las herramientas tradicionales pasan por alto, en particular los ataques que utilizan credenciales legítimas o técnicas de «living-off-the-land ».
La integración de NDR con SIEM y XDR crea una visibilidad completa en toda la pila de seguridad. Las plataformas SIEM agregan registros de diversas fuentes para su correlación y cumplimiento. La detección y respuesta extendidas (XDR) unifican cloud de los puntos finales, la red y cloud . NDR aporta inteligencia sobre el comportamiento de la red que enriquece ambas plataformas.
Según un estudio de Exabeam, los principales proveedores de NDR en 2025 serán Darktrace (líder según Gartner), Vectra AI, ExtraHop, Corelight y Cisco Secure Network Analytics.
El servicio de acceso seguro al perímetro (SASE) converge SD-WAN con funciones de seguridad cloud en una arquitectura unificada. Los componentes principales de SASE incluyen puerta de enlace web segura (SWG), agente de seguridad cloud (CASB), firewall como servicio (FWaaS) y acceso zero trust (ZTNA).
El mercado SASE alcanzó los 7900 millones de dólares en 2024 y se prevé que crezca hasta los 39 400 millones de dólares en 2034, con una tasa compuesta de crecimiento anual del 17,44 %. Estados Unidos representa el 42,6 % del mercado mundial. Fortinet y Cato Networks se han convertido en los líderes del Cuadrante Mágico de Gartner para SASE en 2025.
La seguridadCloud amplía la protección acloud híbridos ycloud . Las organizaciones deben proteger el tráfico entre cloud , implementar cortafuegos cloud y mantener la visibilidad en toda la infraestructura distribuida. La seguridad de las redes 5G añade nuevas consideraciones a medida que las organizaciones adoptan la conectividad inalámbrica de próxima generación.
El mercado del control de acceso a la red (NAC) alcanzó los 5200 millones de dólares en 2025, con una tasa compuesta de crecimiento anual (CAGR) prevista del 22,0 % hasta 2032. El NAC aplica políticas de acceso a los dispositivos, garantizando que los puntos finales cumplan los requisitos de seguridad antes de conectarse a las redes corporativas.
El panorama de amenazas para 2025 ha cambiado drásticamente hacia la explotación de la infraestructura de red. Según el informe DBIR 2025 de Verizon, la explotación de vulnerabilidades representa ahora el 33 % de los vectores de infección iniciales, lo que supone un aumento del 34 % con respecto al año anterior.
Tabla 3: Principales vectores de ataque en 2025
Vectores de ataque principales clasificados por porcentaje de infracciones y variación interanual.
El 55 % de las empresas informan de un aumento de los ataques en comparación con el 48 % en 2023. Solo el 54 % de las vulnerabilidades se corrigen por completo, y la mediana del tiempo de corrección es de 32 días, lo que resulta demasiado lento teniendo en cuenta las campañas de explotación activas.
La explotación de dispositivos periféricos se ha convertido en el vector de amenazas de red dominante en 2025. Las vulnerabilidades de las VPN y los cortafuegos se multiplicaron por ocho con respecto al año anterior y ahora aparecen en el 22 % de todas las infracciones, frente al 3 % anterior.
Crítico zero-day reveladas a finales de 2025 incluyen:
Caso práctico real: violación de la seguridad de Marquis Software
La violación de Marquis Software demuestra el riesgo que suponen los dispositivos periféricos a gran escala. Los atacantes aprovecharon una vulnerabilidad del firewall SonicWall (CVE-2024-40766) para desplegar el ransomware Akira contra el proveedor de software financiero. La violación afectó a más de 780 000 clientes de al menos 70 bancos y cooperativas de crédito, exponiendo datos personales y financieros a través de un único compromiso de VPN.
Este incidente pone de relieve por qué no se puede dejar de lado la seguridad de los dispositivos periféricos. Las organizaciones deben implementar programas de parcheo agresivos, controles compensatorios para los sistemas sin parchear y capacidades de detección para la actividad posterior a la explotación.
Los ataques distribuidos de denegación de servicio aumentaron un 358 % interanual a principios de 2025. Cloudflare bloqueó 20,5 millones de ataques solo en el primer trimestre de 2025, con ataques récord que alcanzaron los 6,5 Tbps, un 52 % más que los valores de referencia anteriores. Los ataques de bombardeo masivo representan el 82,78 % de la actividad DDoS, y los ataques basados en DNS constituyen más del 60 % de los incidentes.
El ransomware aparece en el 44 % de las violaciones de seguridad, lo que supone un aumento del 37 % con respecto a años anteriores. Las pequeñas y medianas empresas se enfrentan a un impacto desproporcionado, ya que el ransomware está presente en el 88 % de las violaciones de seguridad de las pymes. La combinación del compromiso de la infraestructura de red y el despliegue de ransomware crea cadenas de ataques devastadoras que conducen a la filtración de datos. La mediana de los pagos de rescates ha descendido a 115 000 dólares, ya que el 64 % de las víctimas se negaron a pagar en 2024.
La combinación del compromiso de la infraestructura de red y el despliegue de ransomware crea cadenas de ataques devastadoras. Los atacantes aprovechan las vulnerabilidades de los dispositivos periféricos para obtener acceso inicial, se mueven lateralmente para identificar objetivos de alto valor y luego despliegan ransomware para lograr el máximo impacto.
Una seguridad de red eficaz requiere capacidades de detección que identifiquen las amenazas que eluden los controles preventivos. Las organizaciones deben equilibrar la cobertura de detección de amenazas con la eficiencia operativa, ya que la fatiga por alertas debida a un exceso de falsos positivos reduce la eficacia del equipo de seguridad.
La visibilidad de la red constituye la base de la capacidad de detección. Las organizaciones necesitan una supervisión exhaustiva del tráfico que abarque tanto los flujos perimetrales (norte-sur) como los internos (este-oeste). Los puntos ciegos permiten a los atacantes actuar sin ser detectados durante las horas críticas que transcurren entre el compromiso inicial y la detección.
El movimiento lateral —la progresión del atacante a través de las redes tras el compromiso inicial— representa una de las amenazas más difíciles de detectar. Los atacantes utilizan credenciales y protocolos legítimos, mezclándose con la actividad administrativa normal mientras se dirigen hacia objetivos de gran valor. Esta técnica suele conducir a una escalada de privilegios, ya que los atacantes buscan un acceso más amplio al sistema.
Las estadísticas clave ponen de relieve el reto que supone la detección:
La detección eficaz de movimientos laterales requiere múltiples enfoques. El análisis del comportamiento identifica patrones de acceso anómalos: usuarios que acceden a sistemas a los que nunca antes habían accedido, tiempos de autenticación inusuales o uso sospechoso de protocolos. El análisis del comportamiento de usuarios y entidades (UEBA) establece una línea de base de la actividad normal y alerta sobre las desviaciones. El análisis del tráfico de red examina los patrones de conexión, los volúmenes de datos y los comportamientos de los protocolos.
NDR desempeña un papel fundamental a la hora de cerrar la brecha de visibilidad entre el este y el oeste. Mediante el análisis de los flujos de tráfico internos con análisis de comportamiento, NDR identifica patrones de movimiento lateral que la detección basada en reglas no detecta.
La inteligencia artificial ha transformado las capacidades de detección de amenazas en la red, al tiempo que ha permitido ataques más sofisticados. Las organizaciones que utilizan ampliamente la IA en sus operaciones de seguridad obtienen importantes beneficios: según un estudio de IBM, el ahorro medio es de 1,9 millones de dólares y la detección de infracciones es 108 días más rápida.
Las capacidades de detección basadas en IA incluyen:
Sin embargo, los adversarios aprovechan cada vez más la IA para lanzar ataques. Se ha observado un aumento del 42 % en los ataques mejorados con IA, que acelera el reconocimiento, la ingeniería social y el malware . Esta carrera armamentística hace que la defensa basada en la IA sea esencial: las organizaciones sin capacidades de detección de IA se enfrentan a sofisticadas amenazas habilitadas por la IA con herramientas heredadas.
Las tecnologías de detección deben integrarse con capacidades de respuesta para una contención rápida. Los manuales automatizados pueden aislar los sistemas comprometidos, bloquear direcciones IP maliciosas e iniciar flujos de trabajo de respuesta a incidentes en cuestión de segundos tras la detección.
Zero trust ha evolucionado desde un marco ambicioso hasta convertirse en una estrategia de adopción generalizada. El principio básico —nunca confiar, siempre verificar— requiere una autenticación y autorización continuas, independientemente de la ubicación de la red. Zero trust se producirá una brecha y aplica controles para limitar los movimientos de los atacantes cuando fallan las defensas perimetrales.
La adopción se ha acelerado drásticamente. Según múltiples fuentes del sector, el 61 % de las organizaciones han definido zero trust , frente a solo el 24 % en 2021. Gartner prevé que el 60 % de las empresas adoptarán zero trust base de seguridad a finales de 2025.
Siete componentes clave definen zero trust moderna zero trust :
Los retos de implementación siguen siendo importantes. El Zero Trust Tailscale Zero Trust 2025 reveló que el 41 % de las organizaciones siguen utilizando VPN heredadas, mientras que solo el 34 % ha adoptado plataformas ZTNA. El acceso basado en la identidad es el modelo principal para solo el 29 % de las organizaciones.
zero trust exitosa zero trust suele seguir un enfoque por fases: se comienza con los usuarios de alto riesgo o las aplicaciones críticas y, a continuación, se amplía la cobertura de forma gradual. Las capacidades de protección de la identidad afianzan zero trust garantizar que solo las identidades verificadas accedan a los recursos protegidos.
Los mandatos federales han impulsado la adopción por parte del gobierno. La Zero Trust Federal Zero Trust exigía a todas las agencias adoptar zero trust finales de 2024, con requisitos que incluían la autenticación multifactorial obligatoria, la segmentación de la red, el cifrado del tráfico interno y la supervisión continua.
Las organizaciones deben alinear las prácticas de seguridad de red con los marcos establecidos, al tiempo que se adaptan a las amenazas emergentes. Las siguientes prácticas representan recomendaciones consensuadas de NIST CSF 2.0, CIS Controls v8.1 e investigaciones del sector.
Ocho prácticas recomendadas esenciales para la seguridad de la red:
Tabla 4: Mapa del marco de buenas prácticas
Alineación de las prácticas de seguridad de la red con los principales marcos de cumplimiento normativo.
El NIST CSF 2.0 introdujo una sexta función básica, «Gobernar», que hace hincapié en el contexto organizativo y la estrategia de gestión de riesgos. Según encuestas del sector, más del 30 % de las empresas estadounidenses utilizan el NIST CSF.
CIS Controls v8.1 organiza 18 controles en grupos de implementación (IG1/IG2/IG3) basados en la madurez organizativa. IG1 representa la higiene cibernética básica, el estándar mínimo para todas las empresas.
Los factores que impulsan el cumplimiento normativo, como PCI DSS 4.0, HIPAA y NIS2, crean requisitos adicionales de seguridad de la red. Las organizaciones que operan en distintas jurisdicciones deben adaptar los controles a múltiples marcos normativos.
El panorama de la seguridad de las redes sigue evolucionando gracias a la convergencia tecnológica, las fusiones y adquisiciones estratégicas y los nuevos métodos de detección. Comprender estas tendencias ayuda a las organizaciones a realizar inversiones tecnológicas informadas.
La convergencia entre la seguridad y la observabilidad ha impulsado importantes adquisiciones. Palo Alto Networks adquirió Chronosphere por aproximadamente 3300 millones de dólares en noviembre de 2025, añadiendo capacidades de telemetría y seguridad de cargas de trabajo de IA. ServiceNow adquirió Veza por aproximadamente 1000 millones de dólares en diciembre de 2025, aportando seguridad de identidad nativa de IA e inteligencia de autorización.
La seguridad basada en la identidad se ha convertido en un tema dominante. La autorización, la inteligencia de permisos y el control de políticas son los pilares de zero trust modernas zero trust . Las organizaciones reconocen cada vez más que la protección de las identidades, tanto humanas como de máquinas, constituye la base de la seguridad de las redes.
La trayectoria del mercado de la seguridad de redes apunta hacia un crecimiento continuo, pasando de 24 000-28 000 millones de dólares en 2024 a 73 000-119 000 millones de dólares en 2030-2032, según la metodología de investigación. La automatización impulsada por la inteligencia artificial y las arquitecturas cloud definirán las soluciones de próxima generación.
Vectra AI la seguridad de la red desde la perspectiva de Attack Signal Intelligence, centrándose en detectar los comportamientos de los atacantes en lugar de limitarse a las firmas conocidas. Esta metodología hace hincapié en la visibilidad de los movimientos laterales y los patrones de tráfico este-oeste, donde las defensas perimetrales tradicionales tienen puntos ciegos.
Al aplicar análisis de comportamiento basados en inteligencia artificial al tráfico de red, la Vectra AI permite a los equipos de seguridad identificar amenazas sofisticadas, como APT y ataques internos, que eluden la detección basada en firmas. Este enfoque da prioridad a la detección de compromisos activos frente a la catalogación de vulnerabilidades, lo que reduce el tiempo medio de detección y respuesta a amenazas que ya han eludido los controles preventivos.
Esta filosofía de «asumir el compromiso» se alinea con zero trust . En lugar de confiar en las defensas perimetrales, las organizaciones deben asumir que los atacantes entrarán y centrarse en detectar sus actividades posteriores al compromiso con la suficiente rapidez como para evitar la filtración de datos y la interrupción del negocio.
La seguridad de la red es la protección de la infraestructura de red contra el acceso no autorizado, el uso indebido y el robo mediante hardware, software y políticas. Abarca la seguridad física, que impide el acceso no autorizado a las instalaciones; la seguridad técnica, que protege los datos en tránsito mediante cortafuegos y cifrado; y la seguridad administrativa, que regula los permisos de los usuarios y los procesos de autorización. La seguridad de la red constituye un subconjunto fundamental de la estrategia más amplia de ciberseguridad, centrándose específicamente en la protección de la capa de red de la infraestructura organizativa. La disciplina ha evolucionado significativamente a medida que las amenazas han pasado de ser ataques perimetrales a sofisticados movimientos laterales dentro de las redes, lo que exige a las organizaciones implementar estrategias de defensa en profundidad con múltiples controles de seguridad superpuestos.
La seguridad de la red es un subconjunto de la ciberseguridad que se centra específicamente en proteger la infraestructura de red y los datos en tránsito. La ciberseguridad es más amplia y abarca todos los activos digitales, incluidos los puntos finales, las aplicaciones, cloud y las cuentas de usuario. Mientras que la ciberseguridad aborda todo el espectro de amenazas digitales, la seguridad de la red se centra en las amenazas dirigidas a los dispositivos de red, los flujos de tráfico y los protocolos de comunicación. Una estrategia completa de ciberseguridad requiere una seguridad de red sólida como base: sin proteger la infraestructura de red, los atacantes pueden interceptar datos, comprometer sistemas y moverse lateralmente a través de los entornos organizativos. Sin embargo, la seguridad de red por sí sola no puede hacer frente a las amenazas a los terminales, las vulnerabilidades de las aplicaciones o los ataques basados en la identidad que se producen fuera de la infraestructura de red.
Las tecnologías clave de seguridad de red incluyen cortafuegos y cortafuegos de última generación para la defensa perimetral y el filtrado del tráfico; sistemas de detección y prevención de intrusiones (IDS/IPS) para identificar y bloquear amenazas conocidas; detección y respuesta de red (NDR) para el análisis de comportamiento impulsado por IA y la detección de movimientos laterales; control de acceso a la red (NAC) para hacer cumplir la autenticación de dispositivos y el cumplimiento de políticas; redes privadas virtuales (VPN) para el acceso remoto cifrado; borde de servicio de acceso seguro (SASE) para la seguridad unificada cloud; y gestión de información y eventos de seguridad (SIEM) para la agregación y correlación de registros. Los enfoques modernos combinan estas tecnologías con la microsegmentación, el acceso zero trust y el análisis impulsado por la inteligencia artificial para ofrecer una protección completa contra amenazas sofisticadas.
Según el informe DBIR 2025 de Verizon, entre las principales amenazas para la seguridad de la red se encuentra la explotación de dispositivos periféricos, que aparece en el 22 % de las infracciones, lo que supone un aumento de ocho veces con respecto al año anterior. Las vulnerabilidades de las VPN y los cortafuegos se han convertido en vectores de ataque críticos, con importantes vulnerabilidades de día cero que afectan a los dispositivos de Cisco, SonicWall, Fortinet y WatchGuard. La explotación de vulnerabilidades representa en general el 33 % de las infecciones iniciales. El ransomware aparece en el 44 % de las infracciones, lo que supone un aumento del 37 % con respecto al año anterior, con un impacto especialmente devastador en las pymes, donde aparece en el 88 % de las infracciones. Los ataques DDoS aumentaron un 358 % con respecto al año anterior, con ataques récord que alcanzaron los 6,5 Tbps. El movimiento lateral se ha acelerado, con tiempos de escape medios inferiores a 48 minutos y ataques mejorados con IA que logran comprometer completamente la red en menos de 20 minutos.
Zero trust un marco de seguridad basado en el principio «nunca confíes, siempre verifica», que requiere una autenticación y autorización continuas independientemente de la ubicación de la red. A diferencia de la seguridad perimetral tradicional, que confía en el tráfico de red interno, zero trust se producirá una brecha y aplica controles que limitan los movimientos del atacante tras el compromiso. Los siete componentes clave incluyen la verificación de identidad, la evaluación de la confianza de los dispositivos, la microsegmentación de la red, el acceso con privilegios mínimos, la supervisión continua, el cifrado y la automatización de políticas. Zero trust ha alcanzado el 61 % de las organizaciones, frente al 24 % en 2021. La implementación suele comenzar con los usuarios de alto riesgo o las aplicaciones críticas, y luego se amplía la cobertura de forma incremental. Las disposiciones federales exigían a los organismos gubernamentales adoptar zero trust finales de 2024.
La detección y respuesta de red (NDR) utiliza inteligencia artificial y análisis de comportamiento para detectar amenazas tanto en el tráfico cifrado como en el no cifrado, centrándose en el movimiento lateral y las amenazas persistentes avanzadas que eluden la detección basada en firmas. Los IDS/IPS tradicionales se basan principalmente en firmas y reglas que coinciden con patrones de ataque conocidos: son excelentes para bloquear amenazas conocidas, pero tienen dificultades con los ataques novedosos o el abuso legítimo de credenciales. La NDR analiza los patrones de tráfico, los comportamientos de los usuarios y los flujos de red para identificar anomalías indicativas de ataques activos. Mientras que los IDS/IPS operan en el perímetro de la red, la NDR supervisa el tráfico este-oeste dentro de las redes, donde se mueven los atacantes tras el compromiso inicial. La NDR se integra con las plataformas SIEM y XDR para proporcionar una visibilidad completa, aportando inteligencia de comportamiento que enriquece las capacidades de correlación y respuesta.
Las prácticas clave de seguridad de red alineadas con NIST CSF 2.0 y CIS Controls v8.1 incluyen la implementación de una defensa en profundidad con múltiples capas de seguridad, la aplicación de zero trust que requieren una verificación continua, la segmentación de redes para limitar el radio de impacto de las infracciones, la aplicación de un acceso con privilegios mínimos para todos los usuarios, el despliegue de la autenticación multifactorial, especialmente para el acceso remoto y privilegiado, el mantenimiento de una visibilidad continua a través de una supervisión exhaustiva, aplicar parches rápidamente, dando prioridad a los dispositivos periféricos, dado que las explotaciones se han multiplicado por ocho, y formar a los empleados, dado que el 60 % de las violaciones implican elementos humanos. Las organizaciones deben adaptar las prácticas a los requisitos de cumplimiento, incluidos PCI DSS 4.0, HIPAA y NIS2. Las pruebas de penetración y las evaluaciones de vulnerabilidad periódicas validan la eficacia de los controles.