La ciberseguridad basada en perímetros tradicionales ya no es suficiente. Así lo demuestra la última edición del informe The Riskiest Connected Devices in 2025, elaborado por Forescout Research – Vedere Labs. Este estudio, basado en millones de dispositivos monitorizados desde su Device Cloud, revela que la infraestructura de red —especialmente routers y firewalls— ha desbancado a los endpoints como el vector más crítico de entrada para los atacantes.
Forescout utiliza una metodología de evaluación multifactor basada en configuración, función y comportamiento para establecer un índice de riesgo (de 1 a 10) por cada tipo de dispositivo. El resultado: una superficie de ataque cada vez más distribuida, donde el riesgo no solo aumenta, sino que se diversifica.
España lidera el ranking global de dispositivos conectados con mayor ciberriesgo
Por segundo año consecutivo, los dispositivos de red —routers, ADCs y firewalls— son los que presentan mayor riesgo. Estos equipos, situados habitualmente en el perímetro de red, cuentan con puertos administrativos abiertos y son objetivo prioritario de campañas automatizadas que explotan vulnerabilidades conocidas y 0-day.
Los controladores de dominio y dispositivos IPMI también figuran entre los más inseguros. Su compromiso permite movimientos laterales dentro de la red y despliegues rápidos de ransomware. En muchos casos, las vulnerabilidades explotadas son antiguas, con exploits públicos disponibles desde hace años.
IoT e IoMT: persistencia del riesgo y nuevas incorporaciones
Dispositivos IoT como cámaras IP, sistemas VoIP, NAS y NVR siguen estando entre los más vulnerables, debido a su exposición a Internet, a actualizaciones poco frecuentes y a la falta de controles de seguridad embebidos. La novedad en esta edición es la entrada de los puntos de venta (PoS) como dispositivos críticos, frecuentemente atacados con RAM scrapers y keyloggers para capturar datos de tarjetas y credenciales.
En el ámbito sanitario, el riesgo se extiende a equipos de imagen médica, estaciones de trabajo clínicas, bombas de infusión y analizadores de laboratorio. Muchos de estos dispositivos utilizan sistemas operativos obsoletos, carecen de cifrado en las comunicaciones y están integrados en redes planas que los exponen a amenazas transversales.
En los entornos industriales, dispositivos como gateways universales y servidores historiadores presentan riesgos críticos al actuar como puente entre sistemas de control (PLC) y entornos IT corporativos. Según SANS, el 10% de los incidentes OT en 2024 comenzaron con el compromiso de historiadores. La presencia de estos activos en la nube aumenta aún más la superficie expuesta.
Otros dispositivos OT que repiten en la lista de Forescout son los BMS (Building Management Systems), los controladores de acceso físico y los SAIs. En este último caso, CISA ya ha alertado sobre campañas dirigidas que explotan credenciales por defecto para manipular el suministro eléctrico en entornos críticos.
España encabeza la lista de países con mayor riesgo
A nivel global, España, China y Reino Unido concentran los dispositivos con mayor puntuación de riesgo. En 2025, el riesgo medio global se ha disparado un 33%, pasando de 6,53 en 2024 a 9,1 este año. La brecha entre países se ha reducido, indicando una generalización del problema.
Por sectores, retail, servicios financieros, administración pública y sanidad presentan los niveles más elevados. El uso de versiones antiguas de Windows persiste especialmente en entornos gubernamentales, que aumentan su cuota de sistemas obsoletos del 1,2% al 2,7%, mientras que el resto de sectores la reduce.
El uso de protocolos inseguros y sistemas desactualizados expone a todos los sectores
Uno de los hallazgos más preocupantes es el incremento del uso de Telnet, un protocolo sin cifrado, en todos los sectores, especialmente en administración pública (del 2% al 10%). En paralelo, SSH, su alternativa segura, ha disminuido en todos los verticales.
Además, el 70 % de los dispositivos Windows no considerados como legacy siguen operando con Windows 10, cuyo soporte oficial termina en octubre de 2025. Forescout anticipa que la falta de migración provocará un pico de dispositivos legacy en 2026, aumentando la exposición general.
Un enfoque holístico para un riesgo transversal
La principal conclusión del informe es clara: los dispositivos vulnerables no entienden de silos. Los atacantes utilizan caminos laterales, combinando compromisos en IoT, IT y OT para alcanzar su objetivo final. Por ello, las estrategias de mitigación deben ser transversales, automatizadas y libres de dependencia de agentes, permitiendo una respuesta coordinada en todos los entornos.
El mensaje para los responsables de ciberseguridad es contundente: la visibilidad continua y la gestión del riesgo unificada son ahora más críticas que nunca.
