Descubrieron 50.000 formas de tumbar tu PC, pero al final les dio pereza: así fue 2025 para atacantes y analistas
Analistas advierten sobre la masiva propagación de repositorios falsos con supuestos códigos de hackeo creados por redes neuronales para desinformar
Casi 50.000 nuevas vulnerabilidades en un año, decenas de miles de exploits publicados y, aun así, solo el 1% se emplearon realmente en ataques. Ese resultado paradójico del 2025 se desprende del reciente informe de la empresa VulnCheck sobre la explotación de vulnerabilidades.
El año pasado se registraron 48.174 nuevas entradas CVE; de ellas, el 83% recibieron identificador de 2025. Casi una de cada cuatro vulnerabilidades con índice 2025 obtuvo código público para explotación. Sin embargo, en ataques reales se empleó solo el 1% de esos fallos. El ruido en torno a las vulnerabilidades aumenta, mientras que la proporción de las verdaderamente peligrosas sigue siendo mínima.
Además, los atacantes actúan más rápido. Casi el 29% de las vulnerabilidades que se añadieron a la lista de ya explotadas empezaron a usarse el día de la publicación de CVE o antes. Durante el año, los especialistas de VulnCheck registraron 884 vulnerabilidades con explotación confirmada e incluyeron esas entradas en su propia base de vulnerabilidades explotadas conocidas. Casi la mitad de esos casos recibió identificadores de 2025.
Una tendencia destacada del año fue el aumento del número de exploits. En 2025 aparecieron más de 14.400 exploits para vulnerabilidades con identificadores del mismo año. El incremento frente a 2024 fue del 16,5%. Además, el 99% de ese código está disponible públicamente, y las versiones realmente "operativas", aptas para ataques masivos, son mucho menos frecuentes. Más del 98% del material publicado corresponde a código de demostración.
La vulnerabilidad más notable del año fue CVE-2025-55182, conocida no oficialmente como React2Shell. Un fallo en el componente React Server Components permitía la ejecución remota de código. En solo unas semanas tras su publicación surgieron 236 exploits públicos operativos —récord en toda la historia de observación. La vulnerabilidad fue explotada activamente por grupos vinculados a China, Corea del Norte e Irán, así como por operadores de ransomware y botnets. Según el informe, los sensores de VulnCheck registraron más de 26.000 intentos de explotación hasta finales de enero de 2026.
El segundo episodio importante fue el llamado ToolShell: una cadena de cuatro vulnerabilidades en Microsoft SharePoint. Las primeras correcciones resultaron incompletas y los atacantes iniciaron campañas antes de la publicación de los parches definitivos. Hacia el final del año, cada una de esas vulnerabilidades se vinculaba a decenas de grupos atacantes y a varias familias de ransomware.
En el segmento de ransomware, la cantidad de nuevas vulnerabilidades utilizadas en ataques disminuyó un 25% respecto al año anterior. Sin embargo, las cifras esconden un detalle preocupante: el 56,4% de las vulnerabilidades de 2025 relacionadas con ransomware se detectaron solo después de los ataques de día cero. Un tercio de esas vulnerabilidades aún no dispone ni de exploits públicos ni comerciales.
Los autores del informe también llaman la atención sobre el aumento de exploits "vacíos" generados mediante sistemas de inteligencia artificial. En plataformas populares se publican repositorios que imitan código funcional pero que en realidad no explotan la vulnerabilidad. Esas publicaciones inducen a error a los analistas y a los sistemas automáticos que recolectan datos de amenazas, y crean ruido informativo adicional.
La geografía de los ataques también cambió. El número de vulnerabilidades vinculadas a grupos estatales nombrados se redujo un 13%. Al mismo tiempo, las atribuciones a grupos chinos aumentaron un 52% y la proporción de ataques no atribuidos disminuyó de forma notable. En total, en 2025 los especialistas contaron 62 grupos activos que explotaron vulnerabilidades con identificadores del mismo año.
El informe muestra una imagen simple pero desagradable. La mayoría de las vulnerabilidades siguen siendo una amenaza teórica, pero un pequeño porcentaje de fallos se convierte en herramienta de ataques masivos en cuestión de días. Ante la avalancha de CVE y pseudoexploits, el problema principal ya no es la falta de datos, sino la capacidad para separar la amenaza real del ruido informativo.