Brian Jackson - stock.adobe.com

Reportaje

Servidores olvidados, la infraestructura “invisible” que pone en riesgo a las empresas

La ciberseguridad moderna protege todo aquello que puede “ver”, y por ello la infraestructura y los sistemas que no pueden verse se transforman en enormes vulnerabilidades.

Alejandro Ramírez Peña
por
Publicado: 19 feb 2026

En muchas organizaciones, el mayor riesgo de ciberseguridad ya no proviene de un sofisticado malware ni de un ataque de día cero, sino de algo mucho más silencioso: activos digitales olvidados que siguen conectados a la red corporativa.

Servidores heredados, cuentas inactivas y repositorios en la nube abandonados se convierten en parte de la superficie de ataque y generan riesgos operativos, regulatorios y financieros que las empresas suelen subestimar. Así lo advierte la firma Kaspersky, que identifica esta “infraestructura invisible” como uno de los desafíos más críticos para los equipos de TI y seguridad de la información en este 2026.

Es que, a medida que las compañías migran sistemas, concluyen proyectos tecnológicos o atraviesan fusiones y adquisiciones, es común que queden sistemas conectados sin supervisión que ya no forman parte de la operación diaria, pero continúan consumiendo recursos, almacenando datos y, sobre todo, representan puntos vulnerables.

Servidores físicos o virtuales “olvidados” permanecen activos sin monitoreo ni controles de acceso adecuados, y también el software heredado y las dependencias desactualizadas dejan brechas críticas sin corregir durante años.

En paralelo, “cuando los activos dejan de ser visibles para los equipos de seguridad y TI, comienzan a operar fuera de los modelos de gobernanza de la organización”, explica Claudio Martinelli, director general para las Américas en Kaspersky. Según el directivo, además de elevar los riesgos cibernéticos, estos sistemas consumen recursos técnicos y financieros que podrían destinarse a iniciativas estratégicas.

Un problema global medido en millones de dispositivos

El fenómeno no es marginal. Datos de Let’s Encrypt revelan que, en 2024, cerca del 50 % de las solicitudes de renovación de certificados provinieron de dispositivos que ya no estaban vinculados a sus dominios originales, lo que contribuye a un universo estimado de alrededor de un millón de dispositivos olvidados que aún permanecen conectados a la red global. Cada uno de ellos representa una posible puerta de entrada para los atacantes.

Además, la falta de procesos sistemáticos de gestión de activos agrava el problema. El estudio ‘CISO Survey’ de Kaspersky, realizado entre 300 líderes de ciberseguridad en América Latina (incluidos Argentina, Brasil, Chile, Colombia, México y Perú), muestra que muchas organizaciones siguen operando bajo modelos reactivos.

Entre los hallazgos más relevantes de este informe se encuentra que el 46 % de los ejecutivos colombianos encuestados no cuenta con un calendario regular de evaluaciones de riesgo, al tiempo que el 54 % de los equipos de seguridad recopila inteligencia de amenazas de forma manual, lo que ralentiza la detección de activos desatendidos. Esta dependencia de procesos manuales dificulta mantener visibilidad sobre entornos híbridos cada vez más complejos.

A su vez, desde la industria, la advertencia es clara: los atacantes no necesitan vulnerar sistemas críticos si existen accesos olvidados. “Un servidor viejo sigue conectado a tu red, pero nadie le instala parches. Una cuenta de alguien que se fue hace dos años todavía tiene credenciales válidas”, alerta Darío Arcos, CEO de GLab. “El problema no es que existan; es que nadie los vigila. Cada cosa conectada que nadie gestiona es una entrada que solo el atacante está mirando”, agrega.

Según Arcos, estos entornos antiguos suelen conservar permisos amplios porque fueron creados cuando la organización era más pequeña y operaba bajo esquemas de confianza implícita, lo que hoy los convierte en un blanco ideal.

Igualmente, María Claudia Ardila, directora de Ventas para Sudamérica Hispana de Sophos, asegura que uno de los primeros caminos de un ciberatacante para lograr sus objetivos es la vulnerabilidad, y contar en la organización con dispositivos obsoletos, cuentas o aplicaciones que se conecten a la red y no sean monitoreadas o estén actualizados; esto es abrirle la puerta al atacante.

“Es por esta razón que temas con la administración y monitoreo de las identidades y de las aplicaciones es un pilar fundamental dentro de las estrategias de ciberseguridad en las organizaciones. Es no solo saber qué se conecta, sino quién se conecta y qué tanto acceso a información tendrá”, afirma Ardila.

Riesgos que también son regulatorios

Más allá del impacto técnico, los llamados “datos olvidados” pueden generar incumplimientos normativos graves. “La información es el activo más importante de una organización, y fallar en su administración y monitoreo es negligencia”, señala la ejecutiva de Sophos.

Cuando una empresa desconoce qué datos personales almacena, dónde están o cuánto tiempo los retiene, pierde la capacidad de responder a auditorías, solicitudes de eliminación de información o investigaciones regulatorias. “Si esta parte, que es fundamental en una organización, no está alineada con las normativas mínimas de los gobiernos, se está dejando de ser competitivos y además poniendo en riesgo el futuro de la organización”, añade Ardila.

En esa línea, Darío Arcos dice que no se puede proteger lo que no se sabe que se tiene: “El Reglamento General de Protección de Datos (GDPR) obliga a saber qué datos personales se guardan, dónde están y por cuánto tiempo. Si alguien ejerce su derecho a ser borrado y tú ni te acordabas de esa base de datos de 2018 en un servidor que nadie toca, ya estás en incumplimiento. ISO 27001 pide inventario de activos de información. Datos olvidados son, por definición, activos fuera de inventario”.

Y añade que la multa no distingue entre “no quisimos cumplir” y “se nos olvidó que eso existía” porque el resultado es el mismo: datos personales expuestos sin control, sin base legal para retenerlos y sin capacidad de responder cuando un regulador pregunta.

En resumen, los expertos coinciden en que la solución no pasa únicamente por añadir más herramientas de seguridad, sino por adoptar un modelo de resiliencia digital basado en visibilidad continua y automatización.

Por eso, Kaspersky recomienda implementar procesos automatizados de descubrimiento y reconciliación de activos (AD&R), que permitan identificar sistemas desconocidos o en conflicto, detectar accesos indebidos antes de que se conviertan en incidentes y eliminar información obsoleta que aún permanece accesible. También propone establecer políticas formales para la descontinuación de servidores y aplicaciones, incluyendo la destrucción verificable de los datos antes del apagado del hardware.

Otro frente crítico es la gestión de identidades digitales. Para Ardila, la seguridad moderna exige responder tres preguntas clave:

  • ¿qué se conecta a la red?,
  • ¿quién se conecta?, y
  • ¿qué nivel de acceso tiene?

La integración de soluciones de gestión de identidad y acceso (IAM) con los procesos de Recursos Humanos permite revocar automáticamente cuentas de empleados o proveedores desvinculados, evitando que credenciales antiguas sigan activas durante años.

En ese sentido, desde la experiencia operativa, los especialistas coinciden en tres medidas inmediatas que pueden reducir significativamente el riesgo:

  1. Inventario automático y continuo, pues no basta con registros manuales. Las organizaciones necesitan herramientas que descubran en tiempo real todos los activos conectados, tanto en entornos locales como en la nube.
  2. Responsables claros y ciclo de vida definido. Cada sistema debe tener un “dueño” identificado. Si ese responsable deja la organización, los accesos deben revocarse automáticamente.
  3. Fecha de expiración por defecto. Cuentas, repositorios y servidores deberían crearse con caducidad definida. Si nadie justifica su continuidad, deben desconectarse.

Así las cosas, la paradoja es evidente: mientras las empresas aceleran su digitalización, también multiplican los activos que luego olvidan administrar. Cada migración, integración o proyecto tecnológico puede dejar residuos digitales que, con el tiempo, se convierten en vulnerabilidades. La ciberseguridad moderna ya no se trata solo de proteger lo visible, sino de descubrir lo que quedó atrás.

Investigue más sobre Gestión de la seguridad