La carrera por cada nuevo CVE

Según varios informes de la industria de 2025: entre el 50 y el 61 por ciento de las vulnerabilidades recientemente reveladas se convirtieron en armas el código de explotación en 48 horas. Utilizando el Catálogo de vulnerabilidades explotadas conocidas de CISA como referencia, se ha confirmado que cientos de fallos de software son un objetivo activo pocos días después de su divulgación pública. Ahora, cada nuevo anuncio desencadena una carrera mundial entre atacantes y defensores. Ambos bandos controlan los mismos movimientos, pero uno se mueve a la velocidad de una máquina mientras que el otro se mueve a la velocidad de una persona.

Los principales actores de amenazas han industrializado completamente su respuesta. En el momento en que aparece una nueva vulnerabilidad en las bases de datos públicas, los scripts automatizados recopilan, analizan y evalúan su potencial de explotación, y ahora estos esfuerzos se racionalizan cada vez más mediante el uso de la IA. Mientras tanto, los equipos de TI y seguridad suelen entrar en el modo de clasificación, leyendo los avisos, clasificando el nivel de gravedad y poniendo las actualizaciones en cola para el siguiente ciclo de parches. Esa demora es precisamente la brecha que aprovechan los adversarios.

La cadencia tradicional de parches trimestrales o incluso mensuales ya no es sostenible. Los atacantes ahora utilizan como armas las vulnerabilidades críticas pocas horas después de descubrirlas, mucho antes de que las organizaciones las hayan analizado o validado y, por lo general, mucho antes de que hayan implementado la solución.

La economía de explotación de la velocidad

El ecosistema de amenazas actual se basa en la automatización y el volumen. Los corredores de exploits y los grupos de afiliados funcionan como cadenas de suministro, cada una de las cuales se especializa en una parte del proceso de ataque. Utilizan fuentes de vulnerabilidades, escáneres de código abierto y herramientas de toma de huellas dactilares para comparar las nuevas CVE con los objetivos de software expuestos. Muchos de estos objetivos ya se han identificado y estos sistemas saben de antemano qué objetivos tienen más probabilidades de ser susceptibles a un ataque inminente. Este es un juego de tiro rápido, gana el arma más rápida.

La investigación de Mandiant muestra que la explotación a menudo comienza dentro de las 48 horas posteriores a la divulgación pública. En muchas organizaciones, la TI funciona 8 horas al día, lo que deja las 32 horas a favor de los atacantes. Esta eficiencia de las operaciones ilustra cómo los atacantes han eliminado casi todos los pasos manuales de su flujo de trabajo. Una vez que se confirma que un exploit funciona, se empaqueta y se comparte en cuestión de horas en foros de la dark web, canales internos y kits de malware.

El fracaso a escala es aceptable

Los atacantes también disfrutan de un lujo que los defensores no pueden permitirse: fracaso . Si bloquean mil sistemas para comprometer cien, el esfuerzo sigue siendo un éxito. Sus métricas se basan en el rendimiento, no en el tiempo de actividad. Los defensores, por otro lado, deben lograr una estabilidad casi perfecta. Una sola actualización fallida o una interrupción del servicio pueden tener un impacto generalizado y provocar la pérdida de la confianza de los clientes. Este desequilibrio permite a los adversarios correr riesgos temerarios, mientras que los defensores mantienen sus límites, y también contribuye a mantener la brecha operativa lo suficientemente amplia como para aprovecharla de manera constante.

De la defensa a la velocidad de los humanos a la resiliencia a la velocidad de las máquinas

La toma de conciencia no es la cuestión. El desafío es la velocidad de ejecución. Los equipos de seguridad saben cuándo se publican las vulnerabilidades, pero no pueden actuar con la suficiente rapidez sin la automatización. La transición de la aplicación de parches manual o basada en tickets a la solución orquestada y basada en políticas ya no es opcional si se quiere mantener la competitividad en esta lucha.

Los sistemas automatizados de endurecimiento y respuesta pueden acortar drásticamente las ventanas de exposición. Mediante la aplicación continua de parches críticos, el cumplimiento de las líneas de base de configuración y el uso de la reversión condicional cuando es necesario, las organizaciones pueden mantener la seguridad operativa y, al mismo tiempo, eliminar las demoras. Y una lección difícil que muchos simplemente tendrán que superar es el daño es casi seguro que la causa será menor y será más fácil recuperarse de ella que de un ataque. Es un riesgo calculado y que se puede gestionar. La lección es sencilla: ¿preferiría tener que deshacer una actualización del navegador para 1000 sistemas o recuperarlos por completo de una copia de seguridad? No estoy sugiriendo que seas arrogante al respecto, sino que sopeses el valor de tu vacilación con el valor de tu acción, y cuando la acción triunfe, escucha tu instinto. Los líderes de TI deben empezar a entender esto, y los líderes empresariales deben darse cuenta de que esta es la mejor estrategia de TI. A la hora de elegir la velocidad a la que hay que avanzar en los sistemas críticos, hay que poner a prueba y tener en cuenta la importancia empresarial, pero inclinar todo el proceso hacia una automatización simplificada y a favor de una acción rápida.

Aplana la curva de agotamiento

La automatización también reduce la fatiga y los errores. En lugar de perseguir las alertas, los equipos de seguridad definen las reglas una vez, lo que permite a los sistemas aplicarlas de forma continua. Este cambio convierte la ciberseguridad en un proceso adaptativo y autosuficiente, en lugar de en un ciclo de clasificación manual. Se necesita menos tiempo para auditar y revisar los procesos que para promulgarlos en casi todos los casos.

Esta nueva clase de sistemas de automatización de ataques no duermen, no se cansan, no les importan las consecuencias de sus acciones. Se centran especialmente en un objetivo: tienen acceso a tantos sistemas como puedan. No importa cuántas personas se dediquen a este problema, el problema se agrava entre los departamentos, las políticas, las personalidades y los egos. Si quieres combatir a una máquina incansable, necesitas una máquina incansable en tu esquina del ring.

Cambiar lo que no se puede automatizar

Incluso las herramientas más avanzadas no pueden automatizarlo todo. Algunas cargas de trabajo son demasiado delicadas o están sujetas a marcos de cumplimiento estrictos. Sin embargo, esas excepciones aún deben examinarse desde un único punto de vista: ¿Cómo se pueden hacer más automatizables, si no, al menos más eficientes?

Esto puede implicar estandarizar las configuraciones, segmentar los sistemas heredados o simplificar las dependencias que ralentizan los flujos de trabajo de parches. Cada paso manual que se deja en marcha representa una pérdida de tiempo, y el tiempo es el recurso que los atacantes aprovechan con mayor eficacia.

Tenemos que analizar las estrategias de defensa en profundidad para determinar qué decisiones, políticas o procesos de aprobación están creando obstáculos. Si la cadena de mando o la gestión del cambio están retrasando la solución, puede que sea el momento de cambios radicales en las políticas diseñado para eliminar esos cuellos de botella. La automatización de la defensa debe funcionar a un ritmo acorde con el comportamiento de los atacantes, no por conveniencia administrativa.

Defensa acelerada en la práctica

Muchas empresas con visión de futuro ya han adoptado el principio de defensa acelerada, que combina la automatización, la orquestación y la reversión controlada para mantener la agilidad sin provocar el caos.

Plataformas como Acción 1 facilite este enfoque al permitir a los equipos de seguridad identificar, implementar y verificar los parches automáticamente en todos los entornos empresariales. Esto elimina los pasos manuales que retrasan la implementación de los parches y cierra la brecha entre el conocimiento y la acción. SI sus políticas son sólidas, su automatización lo es y sus decisiones son acertadas en la práctica porque todas se acuerdan de antemano.

Al automatizar la corrección y la validación, Action1 y soluciones similares ejemplifican cómo es la seguridad a la velocidad de las máquinas: rápida, gobernada y resiliente. El objetivo no es simplemente la automatización, sino automatización impulsada por políticas , donde el juicio humano define los límites y la tecnología se ejecuta al instante.

El futuro es la defensa automatizada

Tanto los atacantes como los defensores utilizan los mismos datos públicos, pero es la automatización construida sobre esos datos la que decide quién gana la carrera. Cada hora que transcurre entre la divulgación y la corrección representa un posible compromiso. Los defensores no pueden reducir el ritmo del descubrimiento, pero pueden cerrar la brecha mediante el endurecimiento, la orquestación y la automatización sistémica. El futuro de la ciberseguridad pertenece a quienes hacen de la acción instantánea e informada su modo operativo estándar, porque en esta carrera, el respondedor más lento ya se ve comprometido.

Conclusiones clave:

  • Ningún equipo de humanos podrá superar la velocidad y la eficiencia de los sistemas de ataque automatizados que se están construyendo. Más personas conducen a más decisiones, demoras, confusión y márgenes de error. Se trata de un tiroteo: debes usar la misma fuerza, automatizar o perder.
  • Los actores de amenazas están creando canales de ataque totalmente automatizados en los que el nuevo código de explotación simplemente se introduce en el sistema (o incluso se desarrolla en él) mediante IA. Trabajan las 24 horas del día, los 7 días de la semana, los 365 días del año, no se cansan, no se toman descansos, buscan y destruyen como razón de ser hasta que se les desanime o se les indique lo contrario.
  • La mayoría de los actores de amenazas masivas operan con el recuento de cadáveres, no con disparos de precisión. No buscan «a ti» tanto como buscan a «cualquier persona». Su escala y valor no significan nada en la fase inicial de compromiso, que se evalúa DESPUÉS de obtener el acceso.
  • Los actores de amenazas no piensan en utilizar grandes volúmenes de sus ganancias ilícitas en nuevas tecnologías para aumentar sus capacidades ofensivas; para ellos, es una inversión. Al mismo tiempo, la industria lo ve como una pérdida de beneficios. El sistema que os atacaba implicaba la participación de muchos desarrolladores talentosos en su construcción y mantenimiento, y sus presupuestos superaban el sueño más descabellado de cualquier defensor. No se trata de delincuentes aficionados, sino de empresas altamente organizadas, igual de capaces y más dispuestas a invertir en los recursos que el sector empresarial.

Llega el 2026. ¿Está su red preparada para ello?

Nota: Este artículo fue escrito y contribuido por Gene Moody, CTO de campo de Action1.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.