La ciberseguridad no va solo de herramientas, va de hábitos. Esta guía reúne los 20 ciberataques más comunes en 2025, explicados con lenguaje claro y acciones concretas para detectarlos a tiempo y bloquearlos antes de que duelan.
Ataques a credenciales
Fuerza bruta
Qué es: intentos automáticos masivos de contraseñas hasta acertar.
Señales de detección: múltiples intentos fallidos desde una misma IP; picos de autenticaciones nocturnas; alertas de “cuenta bloqueada”.
Cómo evitarlo: MFA obligatorio; longitud mínima 12–14; bloqueo progresivo; CAPTCHA o WebAuthn; listas de IP/ASN de riesgo.
Ataque por diccionario
Qué es: prueba de contraseñas comunes (“123456”, “qwerty…”) y patrones obvios.
Señales: accesos exitosos desde ubicaciones atípicas con contraseñas débiles; eventos “password spray”.
Prevención: gestor de contraseñas + políticas de complejidad real (frases largas); rotación basada en riesgo, no en calendario.
Credential stuffing
Qué es: reutilización de credenciales filtradas en otros sitios.
Señales: múltiples intentos con distintos usuarios desde la misma IP; coincidencias con listas de breach.
Prevención: MFA, detección de credenciales expuestas, bloqueo por ASN/TOR, y no reutilizar contraseñas.
MFA fatigue / push bombing
Qué es: bombardeo de solicitudes MFA para que el usuario apruebe por cansancio.
Señales: ráfagas de notificaciones push; aprobaciones desde dispositivos no reconocidos.
Prevención: número único (number matching), límites por intento, alertas de comportamiento y hardware keys.
SIM swapping
Qué es: duplicación de la SIM para capturar SMS/MFA.
Señales: pérdida repentina de señal móvil; avisos de cambio de SIM por el operador.
Prevención: evitar SMS como 2FA; PIN en la línea; eSIM con bloqueo del operador; YubiKey/FIDO2.
Ingeniería social
Phishing (email)
Qué es: correos que suplantan servicios para robar credenciales o instalar malware.
Señales: dominios casi idénticos, urgencias artificiales, adjuntos inusuales.
Prevención: filtros con DMARC/DKIM/SPF, banners de “externo”, formación antifraude continua y reportes con un clic.
Smishing (SMS)
Qué es: phishing por SMS con enlaces cortos.
Señales: mensajes con trackings falsos o “banco bloqueado”.
Prevención: no pulsar enlaces de SMS; entrar por la app oficial; desactivar vista previa de enlaces.
Vishing (llamadas)
Qué es: llamadas que suplantan soporte o bancos.
Señales: solicitud de códigos OTP o instalación de “software de soporte”.
Prevención: callbacks a números verificados; política de “nunca se pide OTP por teléfono”.
Spear phishing
Qué es: phishing dirigido con datos del objetivo.
Señales: referencias a proyectos reales, firmas correctas pero dominios falsos.
Prevención: verificación por canal alterno; revisión de dominios homógrafos; menor exposición pública de organigramas.
BEC (fraude del CEO)
Qué es: cambio de cuenta bancaria o pagos urgentes “desde dirección”.
Señales: órdenes atípicas fuera de horario; cambios de IBAN sin proceso.
Prevención: doble validación para cambios de pago; listas blancas de beneficiarios; segregación de funciones.
QRishing
Qué es: códigos QR maliciosos en carteles, mesas o e-mails.
Señales: QR pegados encima de otros; URLs acortadas tras el escaneo.
Prevención: usar la app oficial para escanear; vista previa de URL; políticas de verificación en eventos.
Red y web
DDoS
Qué es: saturación de servicios con tráfico masivo.
Señales: latencias crecientes, caídas intermitentes, picos de SYN/UDP.
Prevención: protección DDoS en capa 3/4/7, WAF con rate limiting, CDN y playbooks de contingencia.
Man-in-the-Middle (MitM)
Qué es: interceptar tráfico entre usuario y servicio.
Señales: advertencias TLS; certificados sospechosos; redes Wi-Fi abiertas.
Prevención: HTTPS estricto, HSTS, DNS-over-HTTPS, VPN confiable y deshabilitar SSID abiertos.
DNS spoofing
Qué es: manipular la resolución DNS para redirigir a sitios falsos.
Señales: dominios legítimos que resuelven a IPs inusuales; errores de certificado.
Prevención: DNSSEC, validación DoH/DoT, listas de bloqueo y monitorización de resoluciones.
Sniffing
Qué es: captura de tráfico en redes no cifradas.
Señales: credenciales en texto claro; tráfico ARP anómalo.
Prevención: WPA2/3, TLS en todo, segmentación de redes y desactivar protocolos inseguros (FTP/Telnet).
Inyección SQL (SQLi)
Qué es: manipular consultas para leer/modificar bases de datos.
Señales: errores SQL en pantalla; exfiltración inusual; alertas de WAF.
Prevención: consultas preparadas, validación de entrada, mínimos privilegios y escáneres SAST/DAST.
Cross-Site Scripting (XSS)
Qué es: inyección de scripts en páginas visitadas por otros usuarios.
Señales: ejecuciones de JS no esperado; cookies robadas; desfiguración de UI.
Prevención: escape/encode de salida, CSP, SameSite cookies y sanitización rigurosa.
Drive-by download
Qué es: descarga automática al visitar sitios comprometidos.
Señales: procesos desconocidos tras navegar; extensiones que aparecen “solas”.
Prevención: navegadores actualizados, bloqueo de plugins inseguros, listas de reputación y EDR en endpoints.
Watering-hole
Qué es: comprometer un sitio frecuentado por la víctima.
Señales: campaña de varias víctimas con un único sitio en común; IOCs compartidos.
Prevención: aislamiento del navegador, reglas de reputación de dominio y parches rápidos de CMS.
Malware y endpoints
Ransomware
Qué es: cifrado de datos con petición de rescate.
Señales: ficheros renombrados, notas de rescate, bloqueos súbitos de procesos.
Prevención: copias 3-2-1 verificadas, segmentación de red, EDR con bloqueo de cifrado, RDP endurecido y parches al día.
Troyanos
Qué es: programas que aparentan ser legítimos y abren puertas traseras.
Señales: conexiones salientes a dominios recién creados; servicios nuevos en arranque.
Prevención: allow-listing de aplicaciones, principio de mínimo privilegio, bloqueo de macros y sandboxing.
Nube, cadena de suministro y tendencias
Aunque el Top-20 anterior cubre lo más frecuente, estos vectores emergentes merecen vigilancia: cloud misconfiguration, supply chain attacks, zero-day/APT, prompt injection (IA generativa), insider threats y typosquatting. La mitigación pasa por IaC con controles (CIS Benchmarks), SBOM y verificación de dependencias, gestión de parches basada en riesgo, pautas de seguridad en IA (no exponer secretos en prompts) y gobierno de accesos.
Cómo detectar y frenar los ciberataques más comunes
Señales transversales que suelen preceder un incidente:
Cambios en patrones de inicio de sesión (ubicación, horario, dispositivo).
Creación de cuentas o reglas de buzón no autorizadas (redirigir o borrar correo).
Dominios look-alike registrados recientemente contra la marca.
Aumento de errores 500/503, picos inusuales de ancho de banda o de consultas.
Alertas de EDR sobre scripts de ofuscación, PowerShell anómalo o cifrado masivo.
Checklist exprés de detección:
Activar MFA en todo (SSO, correo, VPN, RDP).
Registro centralizado (SIEM) de autenticaciones, correo, proxy y endpoints.
WAF + IDS/IPS en aplicaciones críticas y API.
EDR con políticas anti-ransomware y aislamiento con un clic.
DMARC en “reject”, SPF y DKIM con monitorización.
Bloqueo de macros y ejecución sólo desde ubicaciones confiables.
Backups verificados con restauración periódica (drills).
Medidas clave para evitar ciberataques (prioridades 20/80 para pymes y usuarios)
1) Identidad primero
MFA resistente a phishing (FIDO2).
Políticas de contraseñas realistas (frases largas + gestor).
Revisión mensual de cuentas con privilegios y claves API.
2) Endpoints y correo
EDR en todos los equipos; bloqueo de USB donde no sea necesario.
Correo con sandbox de adjuntos y banner para remitentes externos.
Formación trimestral con simulaciones de phishing y métricas de reporte.
3) Superficie de ataque
Inventario continuo (hardware, software, dominios); parches priorizados por exposición.
WAF/Rate limiting, TLS correcto, HSTS y CSP.
Segmentación (VLAN/Zero Trust), VPN con acceso mínimo.
4) Copias y continuidad
Regla 3-2-1 + inmutabilidad (WORM) para backups críticos.
Plan de respuesta a incidentes con roles, tiempos objetivo (RTO/RPO) y ejercicios.
5) Gobierno y terceros
Due-diligence a proveedores (SOC 2/ISO 27001, cláusulas de seguridad).
Registros y alertas centralizados; playbooks para DDoS, ransomware y BEC.
Conclusión
Los ciberataques más comunes cambian de traje, no de objetivo: robar credenciales y acceso. Con identidad robusta, EDR, correo seguro, WAF y backups verificados, la mayoría de incidentes se previenen o se contienen a tiempo. La clave es combinar tecnología con hábitos: verificar, minimizar privilegios y responder rápido.
Preguntas frecuentes
Guía breve para resolver las dudas más comunes y actuar con rapidez.
¿Qué es lo primero que debe hacerse ante un posible ciberataque?
- Aislar de la red (o modo avión) sin apagar si es posible.
- Notificar al responsable de seguridad y abrir incidente.
- Revocar sesiones y credenciales expuestas.
- Verificar copias de seguridad y preparar restauración.
- Registrar hora, síntomas y usuarios afectados.
