Cuando los atacantes son más rápidos que los parches

4 min de lectura

Antes, entre la publicación de una vulnerabilidad y su explotación pasaban semanas. Ahora, a menudo son solo días. Los atacantes emplean IA para acortar aún más esta ventana, mientras aumenta el número de vulnerabilidades publicadas. El State of Vulnerabilities Report 2026 analiza más de 11.000 hallazgos en entornos de clientes en producción. Su conclusión principal: el riesgo no lo determina la cantidad de brechas, sino la velocidad con la que se cierran las críticas.

Lo más importante en resumen

  • Más vulnerabilidades: El número de CVE publicados en todo el sector aumentó en 2025 un 20 por ciento, superando los 48.000.
  • Hallazgos más graves: Los hallazgos de alta gravedad aumentaron un 10 por ciento, la ejecución remota de código un 39 por ciento y la fuerza bruta un 17,4 por ciento.
  • La velocidad es clave: Quien realiza pruebas de forma continua reduce el tiempo medio de resolución en un 47 por ciento.
  • Nueva superficie de ataque: Las auditorías de seguridad en entornos de IA y LLM aumentaron un 120 por ciento.

Relacionado:MFA adaptativa como palanca de Zero Trust  /  Cuándo empieza a correr el plazo de notificación

La ventana de tiempo entre la brecha y el ataque se reduce

El panorama de amenazas se ha agravado en 2025. Los atacantes acortan con IA el intervalo entre la divulgación de una vulnerabilidad y su explotación activa. Solo el año pasado, el número de CVE publicados en todo el sector aumentó un 20 por ciento, superando los 48.000. Para el State of Vulnerabilities Report 2026 se analizaron más de 11.000 vulnerabilidades procedentes de entornos de clientes en 2025.

El informe procede de Synack, un proveedor de pruebas de penetración asistidas por IA. Su análisis se centra menos en el número absoluto de hallazgos que en su dinámica.

Declaración del CTO

«Las reglas han cambiado en 2025. El tiempo es ahora la mayor vulnerabilidad. Los atacantes siempre encontrarán nuevas brechas. Lo que ha cambiado es la velocidad con la que las descubren y explotan».

Dr. Mark Kuhr, cofundador y CTO de Synack– Dr. Mark Kuhr, cofundador y CTO de Synack

La estructura de riesgos se desplaza

El número total de vulnerabilidades detectadas se mantuvo en gran medida estable en comparación anual. Lo que cambió fue su composición. Los hallazgos con gravedad alta aumentaron un 10 por ciento. El incremento más acusado se registró en la ejecución remota de código, que subió un 39 por ciento. Los ataques de fuerza bruta crecieron un 17,4 por ciento, y la inyección de contenido, un 8 por ciento.

El informe interpreta este patrón como un desplazamiento hacia ataques basados en identidad. Encaja con la observación de que los atacantes utilizan IA para probar controles de acceso a gran escala. Para los equipos de seguridad, por tanto, la cantidad pura de hallazgos pasa a ser menos relevante. Lo decisivo es qué brechas abren vías reales de ataque y cuáles deben cerrarse en primer lugar.

Vulnerabilidades por tipo – comparación 2024 y 2025

20242025
Cross-Site Scripting
3.247
3.020
Autorización/Derechos
2.858
2.652
SQL-Injection
1.202
902
Fugas de información
957
896
Autenticación
744
688
Configuración incorrecta del servidor
662
576
Lógica de negocio
595
562
Content Injection
476
514
Brute Force
190
223
Remote Code Execution
115
160
CSRF
258
139
Datos: Synack State of Vulnerabilities Report 2026 · Presentación: SecurityToday

47 por ciento

Reducción del tiempo de resolución con pruebas continuas

Las empresas con pruebas en curso cerraron brechas de gravedad alta 42 días más rápido que en 2024, y las críticas, 38 días más rápido. Al mismo tiempo, el 37 por ciento de todos los hallazgos fueron críticos o de gravedad alta.

¿Qué es el MTTR? El Mean Time To Remediate (tiempo medio de resolución) es el período promedio desde el descubrimiento de una vulnerabilidad hasta su corrección. Cuanto más corto sea este valor, menor será la ventana en la que una brecha conocida puede ser explotada activamente. El informe señala este indicador como palanca clave frente al creciente ritmo de los ataques.

Dónde se encuentran los hallazgos críticos

La proporción de vulnerabilidades críticas y de gravedad alta en 2025 fue del 37 por ciento. En el sector manufacturero alcanzó el 43,1 por ciento, seguido del sector tecnológico con un 40,0 por ciento.

Parte de vulnerabilidades críticas y altas por industria en 2025

Industria
43,1 %
Tecnología
40,0 %
Administración pública
39,4 %
Comercio
32,4 %
Servicios financieros
31,4 %
Promedio global
37,3 %
Datos: Synack State of Vulnerabilities Report 2026 · Presentación: SecurityToday

Entre los hallazgos asociados a los OWASP Top 10:2025, dominaron dos clases. Las inyecciones representaron el 40,6 por ciento, y los controles de acceso defectuosos, el 32,8 por ciento. Juntas, constituyeron la mayor parte de los hallazgos vinculados a OWASP.

Los entornos de IA se convierten en objetivo

Los sistemas de IA y LLM también pasaron a ser un foco más intenso de los auditores. El número de pruebas de seguridad en este ámbito aumentó un 120 por ciento en la plataforma analizada. El informe lo interpreta como una señal de que las infraestructuras de IA se tratan cada vez más como una superficie de ataque independiente, y no solo como una herramienta de los atacantes.

Qué deben priorizar ahora los equipos de seguridad

De los datos se desprenden claros puntos clave para la gestión de vulnerabilidades.

1

Lo crítico primeroCerrar de forma sistemática los hallazgos críticos y de alta gravedad antes que cualquier otro.
2

Vigilar las vías de ataqueObservar de cerca la ejecución remota de código, los ataques de fuerza bruta, la inyección de contenido, las inyecciones y los controles de acceso defectuosos.
3

Incluir la IA en las revisionesIntegrar de forma permanente los entornos de IA y LLM en las pruebas de seguridad.
4

Probar de forma continuaPasar de auditorías puntuales a pruebas continuas. Esto reduce de forma medible el tiempo de resolución.

La conclusión central sigue siendo la misma: no es el número de vulnerabilidades detectadas lo que determina el riesgo, sino la velocidad con la que se mitigan las críticas.

Preguntas frecuentes

¿Qué es el informe State of Vulnerabilities Report 2026?

El informe analiza más de 11.000 vulnerabilidades encontradas en 2025 en entornos productivos de clientes. El editor es Synack, un proveedor de pruebas de penetración con apoyo de IA. La evaluación clasifica los hallazgos según su gravedad, categoría y sector.

¿Por qué aumenta el número de CVE si se solucionan más rápido?

Ambas tendencias ocurren en paralelo. En 2025 se publicaron en todo el sector más de 48.000 CVE, un 20 % más que el año anterior. Al mismo tiempo, las empresas reducen su tiempo de resolución con pruebas continuas. Por tanto, más vulnerabilidades conocidas no implican automáticamente un mayor riesgo, siempre que las críticas se cierren con rapidez.

¿Qué significa MTTR y por qué es relevante su reducción?

MTTR significa Mean Time To Remediate (tiempo medio de resolución), es decir, el tiempo promedio hasta solucionar una vulnerabilidad. Según el informe, este se redujo un 47 % en todas las categorías. Cuanto más corto sea este plazo, menor será la ventana en la que una vulnerabilidad conocida pueda ser explotada.

¿Qué sectores son los más afectados?

El mayor porcentaje de hallazgos críticos y de alta gravedad se registró en el sector manufacturero, con un 43,1 %, seguido del sector tecnológico, con un 40,0 %. En todos los sectores, el porcentaje fue del 37 %.

¿Por qué aparecen los entornos de IA en el informe?

El número de pruebas de seguridad en sistemas de IA y LLM aumentó un 120 %. Esto indica que estos sistemas no solo se utilizan como herramientas de ataque, sino que también se convierten en superficies de ataque y, por tanto, deben ser probados en consecuencia.

Recomendaciones de lectura de la redacción

Más del MBF Media Netzwerk

cloudmagazin

KRITIS en la nube: qué garantiza la migración

MyBusinessFuture

La supervisión de IA en Alemania ya tiene dirección

Digital Chiefs

La IA escribe el código. ¿Quién asume la responsabilidad?

Fuente de la imagen: generada por IA (julio 2026)

Alec Chizhik

Sobre el autor: Alec Chizhik

Más artículos de

También disponible en

FrançaisEnglishDeutsch
Una revista de Evernine Media GmbH