En el corazón del problema está la persistencia de vulnerabilidades que se conocen desde hace años y que siguen sin resolverse en miles de instalaciones. Los datos de SonicWall sobre amenazas en el reino unido muestran que una sola falla en cámaras IP de Hikvision provocó 67 millones de intentos de ataque en todo el país, lo que representa aproximadamente el 20% de las intrusiones importantes detectadas durante 2026. Esta realidad confirma que los ciberdelincuentes no siempre necesitan exploits novedosos: muchas organizaciones mantienen abiertas las puertas que ya conocen.
La situación se agrava porque herramientas automatizadas amplifican la búsqueda de objetivos vulnerables. Según los informes, bots generan hasta 36.000 escaneos por segundo en redes del Reino Unido, impulsando un incremento del 89% en ataques habilitados por IA en 2026. Mientras tanto, responsables de seguridad aseguran que pueden detectar brechas en pocas horas, pero la evidencia indica que una intrusión suele permanecer sin ser descubierta durante una media de 181 días, lo que deja espacio suficiente para que el daño crezca y se propague.
Cómo la automatización y la inteligencia artificial multiplican el riesgo
La combinación de automatización y algoritmos de IA permite a los atacantes barrer redes enteras en busca de equipos desactualizados con una velocidad y escala inéditas. Estos escaneos masivos rastrean huellas digitales de dispositivos, buscando firmas de firmware antiguo o configuraciones por defecto que no han sido modificadas. El resultado son olas de intentos de intrusión que explotan fallos públicos conocidos y que, por su volumen, consumen recursos de defensa y ocultan ataques más sofisticados.
Este enfoque reduce la barrera técnica para los atacantes y acelera la capacidad de comprometer sistemas que llevan años sin mantenimiento.
Víctimas y geografía del impacto
El impacto no es homogéneo: las pequeñas y medianas empresas sufren de forma desproporcionada. En las brechas analizadas, el ransomware apareció en el 88% de los incidentes que afectaron a pymes, frente al 39% en grandes empresas. Además, aunque el volumen general de ransomware cayó un 87% durante 2026, el número de organizaciones comprometidas aumentó un 20%, lo que indica ataques más precisos y dañinos.
Geográficamente, Inglaterra concentra casi la totalidad de los incidentes de ransomware en el país, con Londres y el Sureste como los objetivos predominantes debido a la densidad de activos de alto valor.
Medidas urgentes para neutralizar la «tecnología zombi»
Las organizaciones pueden reducir su exposición siguiendo un plan pragmático y centrado en activos. Lo primero es realizar un inventario completo de todos los dispositivos conectados: cámaras, routers, sensores y cualquier equipo que pueda haber sido instalado y luego olvidado. Cada elemento del inventario debe contrastarse con bases de datos de vulnerabilidades conocidas y priorizarse en función de si existe código de explotación público. Los dispositivos que no puedan parchearse deben ser sustituidos por alternativas modernas que reciban actualizaciones regulares y soporte del fabricante.
Prioridades operativas y tácticas
Además del reemplazo y el parcheo, es imprescindible aplicar segmentación de red para aislar equipos legacy y evitar que sirvan como trampolín hacia sistemas críticos. Las reglas de firewall no solo deben registrar tráfico: deben probarse periódicamente para comprobar que bloquean patrones asociados a fallos conocidos y no actúan solo como registros pasivos. Por último, priorizar correcciones con exploit público, revisar cadencias de actualización y asignar recursos a detección activa reducen la ventana de exposición frente a escaneos automatizados.
Frente a este panorama, la llamada a la acción es clara: sin una limpieza proactiva de equipos obsoletos y sin fortalecer políticas de parcheo y segmentación, las redes seguirán siendo presas fáciles para ataques amplificados por IA. Como advierte Spencer Starkey, vicepresidente ejecutivo para EMEA en SonicWall, la persistencia de estas fallas históricas demuestra que el riesgo no está en la novedad del exploit sino en la falta de mantenimiento. Actuar ahora minimiza tanto el volumen como la gravedad de futuros incidentes.
