Estimados amigos de Inseguros !!!
Hay una realidad incómoda en ciberseguridad: la mayoría de incidentes graves no empiezan con un “0day de película”. Empiezan con fallos básicos, repetidos, heredados… y nunca revisados.
En auditorías 360º (perímetro, web, interno, cloud y red) se ve siempre el mismo patrón: da igual el tamaño de la empresa o el sector, los fallos se repiten con una regularidad casi matemática.
Hoy quiero dejarte una guía práctica, en castellano claro, con los errores más habituales que sigo encontrando en 2025 y cómo conectan entre sí para crear un riesgo acumulado mucho mayor de lo que parece.
La identidad sigue siendo el “punto de rotura” número 1
Seguimos viendo accesos críticos protegidos solo con usuario y contraseña: cuentas de administrador global en Microsoft 365, accesos VPN o incluso controladores de dominio sin segundo factor. Un phishing o una filtración de credenciales, y ya tienes la puerta abierta.
Y cuando hay MFA, muchas veces está a medias: correo con MFA, pero VPN sin MFA; o departamentos protegidos y otros no. Eso no es seguridad, es una falsa sensación de seguridad. El atacante solo necesita encontrar la puerta con cerradura antigua.
Luego está el gran olvidado: el acceso condicional. Activar MFA sin reglas (bloqueos por país, dispositivos gestionados, control de riesgo, y sobre todo cerrar protocolos heredados) deja vías de entrada abiertas aunque “te creas” que tienes MFA.
Y sí, las contraseñas siguen siendo un festival: débiles, repetidas, reutilizadas en varios sistemas… y a veces guardadas en ficheros tipo “usuarios.xls” o “passwords.txt”. Esto amplifica cualquier filtración: una contraseña comprometida se convierte en llave maestra.
Peor todavía: cuentas privilegiadas sin caducidad ni rotación. Admins, cuentas de servicio críticas, automatizaciones… con credenciales que no cambian en años y sin trazabilidad de quién las conoce. Si caen, el acceso es indefinido.
Active Directory y permisos: el terreno perfecto para escalar
Active Directory sigue siendo el corazón de muchas empresas… y un foco de delegaciones inseguras heredadas. Permisos “temporales” que nunca se retiraron y que permiten modificar objetos críticos o escalar hasta admin de dominio abusando de DACLs o técnicas como Kerberoasting.
Relacionado con eso, otro clásico: permisos excesivos en grupos y cuentas. Soporte que es admin local en decenas de equipos, cuentas de servicio con permisos globales sin necesidad, grupos inflados con miembros de más. El mínimo privilegio casi nunca se aplica de forma sistemática, y una intrusión pequeña se convierte en un problema enorme.
Y por si faltaba algo, la higiene digital brilla por su ausencia: usuarios que ya no están, equipos que ya no existen, pero siguen activos en el directorio y en sistemas de gestión. Es un regalo para un atacante, porque esas cuentas suelen estar menos vigiladas.
La paradoja del SSO (y por qué “unificar” suele ser más seguro)
Muchas empresas siguen con credenciales duplicadas en cada aplicación: ERP, intranet, VPN, correo… cada sistema con su login. Eso multiplica superficie de ataque y complica trazabilidad.
Aunque parezca contraintuitivo, unificar identidad con SSO bien montado permite fortificar un punto central en lugar de defender diez bases de datos de usuarios repartidas por ahí.
Legacy, protocolos obsoletos y sistemas EOL
Otro patrón persistente: protocolos que deberían estar muertos hace años (LM/NTLMv1, SMBv1, LDAP sin firma, TLS 1.0/1.1). Muchas veces por compatibilidad, otras por desconocimiento. El problema es que son vectores explotados de forma rutinaria.
Lo mismo con servidores y software fuera de soporte (EOL): Windows sin mantenimiento, librerías antiguas, Apache/PHP obsoletos. “Ese servidor no se puede tocar” suele ser el principio del fin, porque ahí es donde empiezan muchas brechas.
Y ojo con la criptografía: coexistencias peligrosas (servicios que aún negocian TLS antiguos), HTTP sin certificados en servicios críticos, SSH antiguo… esto no es un detalle técnico, es una grieta en todas tus comunicaciones.
Endpoint y red: lagunas que te rompen la contención
EDR/AV inadecuado o mal desplegado: licencias que existen pero no están homogéneas, servidores “sin AV para que rinda”, configuraciones tolerantes que detectan pero no actúan. Basta un portátil de un usuario privilegiado sin cobertura para comprometer toda la red.
Y luego está la red plana: poca segmentación, movimiento lateral trivial, RDP/SMB abiertos entre equipos “porque siempre se hizo así”. La segmentación no es un lujo, es el freno de mano cuando algo va mal.
Exposición externa y despliegues web con poca higiene
Servicios expuestos es el clásico eterno: RDP a Internet, paneles publicados, apps legacy accesibles, transferencias sin endurecer. A veces es intencional (“necesito entrar desde fuera”), pero casi nunca va acompañado de bastion, MFA o ACLs bien pensadas.
En web, la historia se repite: cabeceras básicas ausentes (HSTS, CSP, X-Frame-Options), versiones visibles, mensajes de error verbosos, directorios listados, rutas de admin por defecto… no es “hacking avanzado”, es disciplina de despliegue diaria.
Funciones de seguridad disponibles… pero desactivadas
Esto me lo encuentro muchísimo: Windows y Microsoft 365 traen protecciones que se dejan apagadas por miedo a “romper algo” o por simple inercia: ASR, bloqueo de macros, restricciones de PowerShell, filtros avanzados de correo, protecciones anti-ransomware… La tecnología está, pero se usa al mínimo.
Acceso administrativo, logs y monitorización
Muchas administraciones siguen entrando a producción por RDP/SSH desde su propio equipo de usuario, sin punto intermedio controlado. Falta trazabilidad y cualquier equipo comprometido puede convertirse en puerta privilegiada. Aquí el bastion (jump server) es un antes y un después: centraliza accesos, fuerza MFA, registra sesiones y reduce superficie.
Luego vienen los logs: dispersos, sin retención clara, sin centralización. Y aunque haya SIEM, a menudo está “a medias” (solo cloud o solo una parte), con reglas genéricas por defecto, exceso de ruido y poca visibilidad real (especialmente de identidad y M365).
Y si encima las políticas de auditoría en controladores de dominio están incompletas, te quedas ciego justo cuando más lo necesitas: sabes que entraron, pero no puedes reconstruir cómo escalaron porque no se registró.
Resiliencia: backups, formación y continuidad probada
La copia de seguridad “existe”, pero sin cifrado, sin aislamiento, conectada al dominio y sin pruebas de restauración. Resultado típico: ransomware cifra también los backups y el día de recuperar descubres que nunca se probó.
Concienciación y formación sigue siendo otra asignatura pendiente. La mayoría de incidentes empiezan por el factor humano, pero pocas empresas entrenan de forma periódica. Y cuando se hacen pruebas internas, la tasa de clics suele asustar.
Y el remate: planes de continuidad “en un cajón” que nunca se ejecutan en simulacro real. Un plan no probado es papel. Y en una crisis, lo que falla no es solo lo técnico: fallan responsabilidades, contactos, decisiones y comunicación.
Si tuviera que resumirlo en una frase
La ciberseguridad no va de comprar más herramientas. Va de usar bien las que ya tienes, revisar configuraciones heredadas y crear una disciplina de mejora continua.
Y si tu día a día gira alrededor de Microsoft (AD, Entra ID, M365, Azure), todo esto se vuelve todavía más importante, porque identidad, permisos, hardening y monitorización son el núcleo de la defensa real. Si quieres aprenderlo con enfoque práctico y de empresa, en la academia tenemos un curso experto de ciberseguridad Microsoft donde lo aterrizamos a casos reales (MFA, acceso condicional, higiene de AD, Defender, Sentinel, etc.) sin humo y con laboratorios.
Gracias por leerme !!!
