[14/04/2025] Forescout publicó su quinto informe anual titulado "Dispositivos conectados más riesgosos del 2025", que analiza millones de dispositivos en la nube de dispositivos de Forescout utilizando la metodología de calificación de riesgo multifactor de Forescout para evaluar los dispositivos más vulnerables en las redes empresariales en función de la configuración de cada dispositivo (vulnerabilidades y puertos abiertos), la criticidad para el negocio y la exposición a Internet. Según lo comentado en el comunicado de prensa, el informe de este año analiza los cinco tipos de dispositivos más riesgosos a nivel mundial en TI, Internet de las cosas (IoT), tecnología operativa (OT) e Internet de las cosas médicas (IoMT) y las verticales de la industria. Los hallazgos clave del informe revelan un aumento interanual del 15% en el riesgo promedio de los dispositivos, y que los enrutadores representan más del 50% de los dispositivos con las vulnerabilidades más peligrosas. Los hallazgos también revelaron que el comercio minorista fue el sector con los dispositivos más riesgosos en promedio, seguido de los servicios financieros, el gobierno, la atención médica y la fabricación.
"Desde el 2020, Forescout Research - Vedere Labs ha estado monitoreando los dispositivos más riesgosos en las redes organizacionales, aprovechando los datos obtenidos directamente de los propios dispositivos. Sus últimos hallazgos revelan un cambio creciente en el panorama de las amenazas, ya que la infraestructura de red, especialmente los enrutadores, continúa superando a los endpoints como los dispositivos de TI más riesgosos desde el 2023. Los adversarios están explotando rápidamente las vulnerabilidades recién descubiertas en estos dispositivos a través de campañas de ataque a gran escala, con 12 nuevos tipos de dispositivos, incluidos cuatro nuevos dispositivos IoMT, en la lista de este año. Esto marca el mayor aumento año tras año que Forescout ha observado. A medida que la superficie de ataque se amplía en los entornos de TI, IoT, OT e IoMT, los esfuerzos de seguridad en silos ya no son suficientes”, sostuvo Barry Mainz, CEO de Forescout.
Entre las principales conclusiones del informe se encuentran:
Dispositivos informáticos - los routers son los dispositivos más vulnerables: Se agregaron cuatro nuevos tipos de dispositivos de TI a la lista del 2025: controladores de entrega de aplicaciones (ADC), interfaces de administración de plataforma inteligente (IPMI), firewalls y controladores de dominio. "Los dispositivos IPMI están plagados de vulnerabilidades críticas y los controladores de dominio se encuentran entre los puntos más críticos de las redes internas”, anotó el ejecutivo.
Mainz agregó que, en el 2023, los endpoints eran más arriesgados que la infraestructura de red, pero eso cambió en el 2024. En el 2025, la tendencia continúa, ya que la infraestructura de red sigue siendo más riesgosa que los puntos finales, ya que a menudo están expuestos en el perímetro de las redes y tienen puertos abiertos peligrosos que sirven a las interfaces administrativas.
"Incluso con los dispositivos de TI de riesgo añadidos, más del 50% de los dispositivos con las vulnerabilidades más críticas siguen siendo routers, lo que los convierte en objetivos principales para los atacantes. Las computadoras y los puntos de acceso inalámbrico también se encuentran entre los tipos de dispositivos vulnerables con mayor frecuencia”, comentó el ejecutivo.
Dispositivos más vulnerables con vulnerabilidades críticas.
Dispositivos IoT - los sistemas PoS emergen como uno de los principales objetivos: Los dispositivos IoT más riesgosos incluyen principalmente aquellos que se sabe que son problemáticos durante mucho tiempo, como las grabadoras de video en red (NVR), VoIP, cámaras IP y dispositivos de almacenamiento conectado a la red (NAS).
Según el informe, este año, los sistemas de punto de venta (PoS), como los que se utilizan en las tiendas minoristas, entraron en la lista. "Los PoS han sido atacados por los ciberdelincuentes con malware genérico como keyloggers y ladrones de información para capturar información confidencial, así como raspadores de RAM dedicados que buscan en la memoria del dispositivo números de tarjetas de crédito y otros datos antes del cifrado”, anotó Mainz.
Dispositivos OT - las pasarelas universales y los historiadores hacen su debut: Este año han aparecido por primera vez en la lista las pasarelas universales y los historiadores, servidores dedicados a almacenar datos de procesos operativos, junto con los sistemas de gestión de edificios (BMS), los sistemas de control de acceso físico y los dispositivos de alimentación ininterrumpida (SAI).
"Las pasarelas universales son arriesgadas porque interconectan diferentes sistemas, que a veces incluyen comunicaciones Ethernet y en serie, lo que puede permitir el movimiento lateral dentro de las redes OT o que las amenazas en la red Ethernet afecten a los dispositivos conectados en serie. Los historiadores se despliegan junto con sistemas de control de procesos basados en controladores lógicos programables (PLC) o sistemas de control distribuido (DCS), a menudo en el nivel 3 de Purdue. Estos sistemas suelen compartir datos con dispositivos empresariales de niveles superiores, lo que significa que se encuentran en la peligrosa interconexión entre las redes de TI y OT”, señaló el ejecutivo.
Categorías de dispositivos más vulnerables en total.
Dispositivos IoMT - el mayor cambio con cuatro nuevos tipos de dispositivos: Este año se agregaron cuatro nuevos tipos de dispositivos IoMT: dispositivos de imagen, equipos de laboratorio, estaciones de trabajo de atención médica y controladores de bombas de infusión. "Los dispositivos de creación de imágenes a menudo ejecutan sistemas operativos de TI vulnerables heredados, tienen una amplia conectividad de red para permitir el uso compartido de archivos de imágenes y utilizan el estándar DICOM para compartir estos archivos. Los equipos de laboratorio suelen estar conectados a los sistemas de información de laboratorio y, a menudo, los datos transmitidos entre ellos no están cifrados, lo que permite ataques como la exfiltración de datos y la manipulación de datos. Las estaciones de trabajo sanitarias pueden acceder a información muy sensible, que es valiosa en la web oscura y, hoy en día, a menudo filtrada por bandas de ransomware. Los controladores de la bomba de infusión son muy críticos, ya que comprometer un controlador podría llevar a un atacante a alterar la configuración crítica de la administración de medicamentos”, explicó Mainz.
El ejecutivo finalizó comentando que el estudio refuerza que cualquier organización que no monitoree continuamente los dispositivos de red tradicionales y especializados corre el riesgo de convertirse en el próximo titular de la brecha.
Franca Cavassa, CTOPerú