118.000 fallos en el código: en 2026 Internet se inundará de informes sobre vulnerabilidades
El caos en las bases de datos se convierte poco a poco en la nueva normalidad.
En 2026, las empresas responsables de la gestión de vulnerabilidades pueden enfrentarse a un volumen sin precedentes de nuevas anotaciones, pero eso no significa que Internet se vuelva instantáneamente más peligroso. El problema se desplaza de buscar nuevas fallas a qué tan rápido y con qué precisión separar los hallazgos realmente críticos del flujo de informes de poca relevancia.
Según el pronóstico del Foro de Equipos de Respuesta a Incidentes y de Seguridad (FIRST), en 2026 el número de vulnerabilidades divulgadas públicamente podría superar las 50 000 y, en un escenario mediano, acercarse a las 59 000. En variantes más severas pero realistas la estimación asciende casi hasta 118 000, mientras que para 2025, según las estimaciones citadas en el documento, se registraron alrededor de 48 000 CVE. Los autores del pronóstico subrayan que no se trata de un aumento repentino de las capacidades de los atacantes, sino de que la industria detecta y documenta mejor los problemas.
La representante de FIRST Eiren Leverett relaciona el crecimiento con varios factores. Aumenta el número de equipos y organizaciones que se dedican a la divulgación de vulnerabilidades, se amplía el círculo de participantes del ecosistema CVE, y los programas de recompensas por errores además estimulan las publicaciones.
También se destaca una mayor atención a bases de código usadas desde hace tiempo, especialmente en el código abierto de infraestructura, donde muchos errores existieron durante años pero solo ahora reciben identificadores y entran en las estadísticas. FIRST también cambió su enfoque de modelización, teniendo en cuenta el punto de inflexión aproximadamente en 2017, cuando el ritmo de publicaciones se aceleró notablemente, y ahora propone planificar recursos por rangos en lugar de por una sola cifra.
Al mismo tiempo, el aumento del número de CVE por sí solo describe mal el riesgo real para las empresas. El director técnico de Empirical Security Mikhail Roitman señala que la explotación obedece a otras reglas y no tiene por qué reflejar la dinámica de las divulgaciones, entre otras cosas porque los exploit funcionales pueden aparecer incluso antes de la publicación del identificador.
Según Roitman, en 2025 de decenas de miles de vulnerabilidades registradas solo una pequeña parte tenía pruebas de concepto públicas (PoC), y una fracción aún menor mostraba indicios de explotación en ataques reales. Una parte sustancial de los CVE corresponde a software de nicho, dispositivos de consumo o configuraciones que no están entre las prioridades de una organización grande, y muchos errores teóricamente aprovechables siguen sin interesar a los atacantes frente a variantes ya verificadas y replicadas.
El desafío principal que ve FIRST es más bien operativo. Según la organización, la amenaza principal la forman alrededor del 5% de las vulnerabilidades, pero a medida que crece el flujo total se vuelve más difícil encontrar de forma estable precisamente esa pequeña porción. Roitman subraya que la carga todavía puede soportarse si el procesamiento está automatizado, pero intentar trasladar el análisis de decenas de miles de ítems a personas se convierte rápidamente en un callejón sin salida. Por ello salen a primer plano la priorización, el triaje automático y la planificación de recursos.
Causa especial de preocupación es el papel de la IA. Las herramientas basadas en modelos de lenguaje de gran tamaño realmente aceleran la búsqueda de defectos en el código, pero eso no implica el mismo salto en la explotación masiva. Según Roitman, las limitaciones económicas y prácticas de los atacantes persisten, por lo que continúan concentrándose en un pequeño conjunto de vulnerabilidades que ofrecen un resultado predecible. Paralelamente, los defensores usan aprendizaje automático para evaluar la probabilidad de explotación y filtrar el «ruido» en la entrada.
El aumento de divulgaciones también intensifica la presión sobre la infraestructura de vulnerabilidades. Se discute el riesgo de acumulación de colas entre los participantes del ecosistema CVE, incluidas MITRE, la Base de Datos Nacional de Vulnerabilidades y las entidades que actúan como autoridades de numeración CVE.
El trabajador de RAND Sasha Romanotski considera que el sistema tenderá a degradarse de forma gradual más que a «romperse», y que parte de las anotaciones simplemente empezará a procesarse con retrasos o quedará sin un enriquecimiento completo. Como resultado, las organizaciones pueden apoyarse con más frecuencia en herramientas comerciales y en análisis internos, y la brecha entre procesos maduros y procesos inmaduros de gestión de vulnerabilidades se hará más evidente.