En el cierre de 2025 se repite un patrón que preocupa especialmente a las pequeñas y medianas empresas: los atacantes están priorizando vulnerabilidades explotables en equipos expuestos a Internet (firewalls, VPN, gateways de correo y dispositivos IoT). Para una pyme, estos componentes suelen concentrar gran parte del riesgo porque sostienen el acceso remoto, el intercambio de archivos y la continuidad operativa. La buena noticia es que, con una priorización correcta, es posible reducir drásticamente la superficie de ataque sin proyectos complejos.
1) Firewalls, VPN y correo: cuando el acceso remoto se convierte en puerta de entrada
El primer foco de esta semana está en los equipos que protegen el borde de la red. WatchGuard publicó una vulnerabilidad crítica (CVE-2025-14733) que permite ejecución remota de código sin autenticación en Fireware OS bajo configuraciones específicas de VPN IKEv2 (Mobile User VPN o Branch Office VPN con “dynamic gateway peer”). Este tipo de falla es especialmente riesgosa porque ocurre precisamente en el componente que controla el acceso a la red interna: si se explota, el atacante puede saltarse barreras y moverse hacia servidores, escritorios y aplicaciones de negocio. WatchGuard la calificó como crítica (CVSS 9.3) y confirmó intentos de explotación, por lo que la acción recomendada es actualizar a las versiones corregidas cuanto antes.
En paralelo, Cisco informó una campaña que aprovecha un zero-day (CVE-2025-20393) en AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. El riesgo aquí es doble: primero, se trata de un componente de seguridad (correo) que suele estar muy conectado con el flujo diario de la empresa; segundo, la condición de exposición depende de una configuración (Spam Quarantine) que puede estar activada en algunos entornos y, si además hay puertos abiertos hacia Internet, la superficie de ataque crece. En este tipo de incidentes, lo decisivo es verificar si la función está habilitada, restringir el acceso administrativo y aplicar mitigaciones del fabricante mientras llegan versiones corregidas.
Qué debería hacer una pyme hoy mismo:
- Inventariar qué equipos están publicados a Internet (firewall/VPN, correo, acceso remoto, cámaras/NVR).
- Revisar configuraciones “de alto riesgo”: VPN con pares dinámicos, consolas de administración expuestas, funciones opcionales en gateways de correo.
- Aplicar parches/actualizaciones del fabricante y, si no es posible de inmediato, aislar el servicio (filtrado por IP, VPN de administración, cierre de puertos innecesarios) y reforzar monitoreo.
2) IoT y videovigilancia: el punto ciego que se explota por ser “secundario”
El segundo foco es la videovigilancia y el IoT corporativo. CISA añadió al catálogo de vulnerabilidades explotadas (KEV) una falla asociada a Digiever DS-2105 Pro (CVE-2023-52163), vinculada a ejecución remota de código mediante inyección de comandos. Un detalle relevante para pymes: en muchos casos estos dispositivos quedan fuera del ciclo de parchado porque se consideran “infraestructura auxiliar”, y a veces incluso son productos sin soporte vigente. Esto los convierte en objetivos ideales para botnets o accesos iniciales que luego se reutilizan para pivotar hacia sistemas de facturación, ERP o archivos compartidos.
En la práctica, si un dispositivo es crítico para la operación pero no recibe actualizaciones, el riesgo no se resuelve con “más cuidado”, sino con un plan de reemplazo o con aislamiento fuerte (segmentación de red, sin exposición directa a Internet, acceso solo desde VLAN/administración controlada). Para cámaras y NVR, la recomendación institucional es operar siempre detrás de una VPN corporativa y bloquear administración desde Internet, incluso si el proveedor ofrece acceso “en la nube” por conveniencia.
3) Endpoint y navegador: el incidente también empieza en el escritorio
Aunque el perímetro esté en el centro de la conversación, el puesto de trabajo sigue siendo parte del problema. Microsoft cerró el año con un Patch Tuesday de diciembre que corrigió decenas de vulnerabilidades e incluyó al menos una falla explotada activamente (CVE-2025-62221), relacionada con escalamiento de privilegios en Windows y relevante en escenarios donde el atacante ya logró una primera entrada (por phishing, credenciales expuestas o un equipo perimetral comprometido). En términos de riesgo real, estas vulnerabilidades suelen ser el puente que permite convertir una intrusión “limitada” en control del equipo y, en cadena, del dominio o de servidores.
También se observaron actualizaciones importantes del ecosistema Apple por vulnerabilidades en WebKit (incluyendo CVE-2025-43529 y CVE-2025-14174) que Apple indicó que pudieron haber sido explotadas en ataques sofisticados contra objetivos específicos. Si bien este tipo de campañas suele apuntar a perfiles de alto valor, en una empresa es suficiente con que un dispositivo corporativo quede rezagado en actualizaciones para convertirse en un punto débil. Por eso, “actualización automática + política de versiones” sigue siendo una medida costo-efectiva incluso para organizaciones pequeñas.
Recomendación práctica para esta semana
Si su empresa tiene que elegir una sola prioridad, que sea esta: reducir exposición y acelerar parches en todo lo que da acceso a la red. Concretamente, aplique un “sprint” de 72 horas con estas acciones:
- Actualice firewalls/VPN y revise configuraciones de alto riesgo (especialmente funciones opcionales y administración expuesta).
- Verifique gateways de correo y cierre accesos innecesarios; aplique mitigaciones recomendadas por el fabricante cuando existan campañas activas.
- Aísle IoT/videovigilancia en redes separadas y elimine exposición directa a Internet; si el equipo no tiene soporte, planifique reemplazo.
- Acelere parches en endpoints (Windows/navegadores) y asegure MFA en accesos remotos y correo.
Para pymes, el impacto más grande suele venir de lo “básico bien hecho”: inventario, exposición mínima, parchado rápido y monitoreo continuo del tráfico sospechoso. Eso convierte una amenaza frecuente en un incidente poco probable.
Fuentes consultadas: CISA KEV Catalog; WatchGuard PSIRT y NVD (CVE-2025-14733); Cisco Security Advisory y análisis de campaña (CVE-2025-20393); Microsoft Patch Tuesday (diciembre 2025) y análisis de Tenable/Krebs; Apple Security Updates (WebKit).