En 2026, el panorama de la ciberseguridad está cambiando. Según el informe anual de amenazas de Google, casi la mitad de las fallas zero-day explotadas en 2025 apuntaban a software empresarial, y no cualquier software: los mismos firewalls, VPN y plataformas de seguridad que las empresas despliegan para protegerse. Para las empresas en sectores regulados, esto plantea una pregunta fundamental: si sus defensas pueden convertirse en el punto de entrada, ¿qué protege realmente sus datos?
Una falla zero-day es una vulnerabilidad que ningún fabricante ha descubierto todavía y para la cual no existe ningún parche. Por definición, ni su antivirus, ni su firewall, ni ninguna regla de detección puede interceptarla. El atacante la conoce. Usted, no.
En 2025, Google identificó 90 de estas fallas explotadas activamente, un aumento del 15% respecto a 2024 (fuente: Google GTIG). Pero la cifra más llamativa está en otro lugar: casi la mitad de estas fallas apuntaban a software empresarial (fuente: TechCrunch). Firewalls, VPN, plataformas de virtualización: las herramientas que las empresas compran precisamente para protegerse.
Para las empresas en sectores regulados (finanzas, salud, energía, sector público), esto cambia las reglas del juego. Si las herramientas de defensa se convierten en vectores de ataque, la pregunta ya no es solo « ¿cómo protegernos mejor? » sino « ¿qué encontraría un atacante si lograra entrar? »
El software que lo protege es el primero en ser atacado
Es la conclusión principal del informe anual de Google sobre amenazas, publicado en marzo de 2026. Cisco, Fortinet, Ivanti y VMware figuran entre los proveedores más atacados. Todos confirmaron que atacantes habían explotado sus productos en las redes de sus clientes (fuente: TechCrunch).
¿Por qué estas herramientas en particular? Porque cumplen todos los requisitos desde la perspectiva de un atacante. Están desplegadas en todas partes. Tienen derechos de acceso elevados en la red. Y sobre todo, la mayoría de los equipos de borde (routers, switches, appliances de seguridad) no están cubiertos por las soluciones de detección clásicas (fuente: Google GTIG). En la práctica, esto significa que un atacante puede introducirse sin activar ninguna alerta.
Y las fallas explotadas ni siquiera son particularmente sofisticadas. Google señala problemas conocidos desde hace años: formularios que no verifican correctamente lo que reciben, procesos de autorización incompletos (fuente: Google GTIG). Errores básicos, pero presentes en software crítico utilizado por miles de organizaciones.
No es la entrada la que causa el daño. Es lo que se encuentra adentro.
Frente a una falla zero-day, ninguna protección puede garantizar que el atacante nunca entrará. La verdadera pregunta entonces es: una vez adentro, ¿a qué tiene acceso?
En la mayoría de las empresas, la respuesta es: a mucho. Los datos están agrupados en almacenes centralizados, copiados en bases de prueba, replicados para BI, duplicados en cachés de aplicaciones. Cada copia es un objetivo adicional. Cada capa de almacenamiento es un botín más al alcance de la mano.
¿Un ejemplo concreto? En 2025, el grupo Clop explotó fallas en Oracle E-Business Suite para extraer datos de recursos humanos de decenas de organizaciones, incluyendo Harvard y el Washington Post (fuente: TechCrunch). El ataque no tenía nada de extraordinario en el plano técnico. Fue el volumen de datos accesibles lo que determinó la gravedad del incidente.
Para una empresa sujeta al RGPD, NIS2, DORA o a las exigencias HDS, la consecuencia es directa: la magnitud de una violación se mide por lo que estaba almacenado, copiado, duplicado. Cuanto menos almacena, menos expone.
Lo que dicen las cifras
90 fallas zero-day explotadas en 2025, frente a 78 en 2024. Un atacante solo necesita una. (Google GTIG)
48% apuntaban a software empresarial, un récord histórico. Y la mitad de esas fallas apuntaban específicamente a herramientas de seguridad y de red. (Google GTIG / TechCrunch)
10% de las intervenciones de la ANSSI en 2025 involucraban al sector salud, el 3er sector más afectado en Francia. (ANSSI, Panorama 2025)
128 compromisos por ransomware reportados a la ANSSI durante el año, principalmente en pymes, administraciones locales y hospitales. (ANSSI)
¿Agregar más protecciones o repensar la arquitectura?
El reflejo habitual frente a este tipo de informe es invertir en nuevas herramientas. Un nuevo firewall. Un EDR más potente. Una capa de detección adicional. No es inútil, pero equivale a agregar cerraduras en una puerta sin preguntarse qué hay en la habitación.
El propio Google recomienda diseñar las arquitecturas con una segmentación nativa y accesos mínimos integrados desde la concepción (fuente: Google GTIG). Es decir: en lugar de intentar bloquear todas las intrusiones (lo cual es imposible frente a un zero-day), diseñar sistemas donde una intrusión no lleve a ninguna parte.
Es exactamente el enfoque de iD4Connect. Los datos nunca se almacenan ni se duplican. Se procesan durante su tránsito a través de DataCells autónomas, y luego se liberan. El DataGraph orquesta los flujos en tiempo real. Nada persiste, nada se acumula.
Imagine un ladrón que fuerza una cerradura y entra en una casa vacía. Ese es el principio. No es que los datos no existan: circulan, se analizan, producen resultados. Pero nunca están depositados en algún lugar esperando a que alguien venga a llevárselos.
Este enfoque no reemplaza ni su SIEM, ni su EDR, ni su firewall. Sus herramientas de ciberseguridad siguen haciendo su trabajo. Pero en lugar de proteger una caja fuerte llena de datos, protegen un perímetro donde estructuralmente no hay nada que robar.
Tres preguntas para hacerle a su CTO
1. ¿Cuántas copias de nuestros datos existen en este momento? Bases de producción, réplicas, exportaciones BI, entornos de prueba, cachés de aplicaciones. Cada copia es un objetivo. Cada copia amplía el alcance de una violación. Y en muchas organizaciones, nadie tiene la cifra exacta.
2. ¿Qué pasaría si un atacante traspasara nuestras defensas hoy? No « ¿podría entrar? » (la respuesta siempre es sí, tarde o temprano), sino « ¿qué encontraría? ». Si la respuesta es « meses o años de datos centralizados en un solo lugar », el riesgo es máximo.
3. ¿Nuestra conformidad normativa sobreviviría a un cambio de proveedor? Una conformidad que depende de la buena configuración de un tercero es frágil. Una conformidad integrada en la arquitectura no depende de nadie. RGPD, NIS2, DORA, HDS: todo cubierto por diseño, desde el primer día (más información).