Arreglemos las vulnerabilidades: Reporte Verizon de Exfiltraciones de datos 2026

Nota sobre IA: herramientas de IA fueron utilizadas durante la realización de este artículo.

La lógica parece impecable: su equipo invierte en herramientas de gestión de vulnerabilidades, los procesos mejoran año con año, y el número de parches aplicados crece. En 2025, las organizaciones remediaron proactivamente 63,7 millones de instancias de vulnerabilidades críticas, un 30% más que el año anterior.

Y aun así, el resultado es peor que el año pasado.

El Verizon 2026 Data Breach Investigations Report, que analiza más de 22.000 brechas confirmadas en 145 países, documenta algo que vale la pena llevar a la mesa directiva con precisión: la explotación de vulnerabilidades desplazó al robo de credenciales como el vector de acceso inicial más común en brechas, alcanzando el 31% de los casos. Hace un año era el 20%. El crecimiento es del 55% en un solo ciclo.

El problema no es la calidad del trabajo. Es el volumen.

En 2025, las organizaciones enfrentaron en promedio un 50% más de vulnerabilidades críticas para parchear que el año anterior. El tiempo mediano para remediar completamente una vulnerabilidad del catálogo CISA KEV subió a 43 días, casi dos semanas más que el ciclo anterior. Y apenas el 26% de esas vulnerabilidades llegó a remediarse por completo, frente al 38% del año previo.

Lo que esto significa en términos de negocio es directo: la superficie de riesgo de su organización crece más rápido que su capacidad para cerrarla. Cada día adicional con una vulnerabilidad crítica abierta es un día en que un atacante puede convertir ese acceso en un incidente de ransomware, que ya representa el 48% de todas las brechas analizadas.

El dato más revelador del informe no es el porcentaje de brechas. Es la estructura de la derrota: incluso las organizaciones con programas de gestión de vulnerabilidades maduros apenas logran remediar entre el 30% y el 40% de las instancias críticas en la primera semana tras su detección. No importa cuánto mejoren los procesos. Al séptimo día, entre el 60% y el 70% de las vulnerabilidades del catálogo CISA KEV permanecen abiertas.

Eso sugiere que la estrategia no puede seguir siendo "parchear más". Tiene que ser "parchear mejor": priorizar las vulnerabilidades con actividad de explotación activa y reciente, porque el mismo informe muestra que la probabilidad de que una vulnerabilidad vuelva a ser explotada cae a la mitad cada treinta días de inactividad. La recencia importa más que la antigüedad de la vulnerabilidad.

Para un Gerente de TI, este argumento tiene una utilidad concreta: traduce la conversación técnica de gestión de parches en una conversación de riesgo cuantificable. No se trata de cuántas vulnerabilidades cierra su equipo, sino de cuáles cierra primero y por qué. Esa distinción es la que le permite defender presupuesto, justificar herramientas de inteligencia de amenazas y, sobre todo, demostrar que el programa de seguridad opera con criterio estratégico y no solo con reactividad.

Tres preguntas para hacerle a su equipo esta semana

1. ¿Cuántas vulnerabilidades del catálogo CISA KEV tenemos actualmente abiertas, y cuál es nuestro tiempo promedio real de remediación en los últimos noventa días?

2. ¿Nuestra priorización de parches considera actividad de explotación activa en el mundo real, o se basa únicamente en el nivel de severidad asignado al momento del descubrimiento?

3. Si mañana duplicara el volumen de vulnerabilidades críticas que debemos atender, tenemos la capacidad de respuesta adecuada?

En Áncora trabajamos con empresas para construir programas de ciberseguridad que puedan sostenerse con sus recursos actuales y resistir el escrutinio de clientes, socios y reguladores. Si quiere saber por dónde empezar, escríbanos a contacto[arroba]ancoracibernetica.com

Fuente: 2026 Data Breach Investigations Report https://www.verizon.com/business/resources/Td4d/reports/2026-dbir-data-breach-investigations-report.pdf

Siguiente
Siguiente

Reporte Wiz: Estado de seguridad del SDLC en 2026