Las organizaciones están ignorando un vector crítico de la ciberseguridad: los dispositivos móviles. Así lo advierte el Mobile Security Index (MSI) 2025 de Verizon Business, un informe que revela cómo los empleados están siendo atacados a través de sus dispositivos personales y, sin saberlo, transmiten esas amenazas a sus empresas. El estudio difundido por Dark Reading, señala que esta “zona ciega” está provocando filtraciones de datos evitables.

El informe muestra que los ciberataques móviles y el smishing (phishing a través de SMS) están en aumento, impulsados por la confianza excesiva que los usuarios depositan en sus teléfonos. “Las personas tienden a ser más confiadas con estos dispositivos y, por lo tanto, son más propensas a hacer clic en enlaces maliciosos”, explicó Chris Novak, vicepresidente de ciberseguridad en Verizon Business. Los hackers están explotando esa confianza para lanzar campañas más efectivas que el phishing por correo electrónico.

Ocho de cada diez organizaciones reportaron intentos de smishing dirigidos a sus empleados. Aunque la mayoría realiza pruebas internas para medir la respuesta ante estos ataques, los resultados son preocupantes: en dos de cada cinco empresas, entre el 25 % y el 50 % de los empleados cayeron en las simulaciones. En el 9 %, más de la mitad de los empleados fueron engañados. Existe una clara diferencia con el correo electrónico, donde los usuarios están más acostumbrados a detectar un email sospechoso, pero los mensajes de texto aún generan una falsa sensación de seguridad.

El estudio también apunta a un desequilibrio en las políticas de seguridad corporativa. Mientras la mayoría de las compañías invierte fuertemente en proteger laptops, servidores y redes internas, la seguridad móvil sigue rezagada. Verizon detectó que el 70 % de los ciberataques móviles afectó a dispositivos personales, no a los provistos por las empresas. Esto se debe, en parte, a que solo el 15 % de las organizaciones entrega teléfonos de trabajo a todo su personal, dejando la mayor parte del acceso corporativo en manos de dispositivos poco protegidos.

Pero también los teléfonos corporativos están expuestos a riesgos. Novak advirtió que estos dispositivos acompañan a los empleados fuera del horario laboral, en vacaciones o contextos menos vigilados, lo que amplía las ventanas de ataque. Este uso híbrido, sumado a la falta de monitoreo constante, aumenta el tiempo de detección y respuesta ante incidentes.

Verizon propone una serie de ocho buenas prácticas para reducir las brechas móviles, entre ellas adoptar una filosofía de confianza cero (zero trust), realizar análisis de riesgos periódicos e implementar gestión centralizada de dispositivos. Las organizaciones que aplican estas medidas disminuyen a la mitad el riesgo de sufrir interrupciones de sistemas y son cinco veces menos vulnerables a consecuencias graves, según el MSI.

La proliferación de “Granjas SIM”

Esta confianza y vulnerabilidad de los dispositivos móviles personales y corporativos, puede ser una de las explicaciones al significativo aumento en el descubrimiento de “granjas SIM”. Que consisten en centros con servidores equipados con cientos o miles de tarjetas SIM, que permiten a los delincuentes automatizar mensajes de texto, llamadas y creación de cuentas falsas a gran escala, eludiendo los controles tradicionales de seguridad.

Por ejemplo, la encontrada a fines de septiembre cerca de Nueva York, con más de 100 000 tarjetas activas y cientos de servidores, a tan solo 35 millas de Manhattan. Y también recientemente, la Europol desmanteló otra en la operación “SIMCARTEL”, un depósito clave de decenas de miles de tarjetas SIM y servidores que aportaron a la creación de más de 49 millones de cuentas falsas en más de 80 países.

Estas detecciones refuerzan la advertencia del informe: mientras las empresas descuidan la seguridad móvil, los atacantes desarrollan infraestructuras clandestinas cada vez más sofisticadas.