Analizan mil millones de registros del KEV de la CISA: los atacantes explotan vulnerabilidades antes de que se publique el parche

Las vulnerabilidades empezaron a superar a la defensa no por horas, sino por días, incluso antes de que se publiquen las correcciones. Según un nuevo análisis, el Time-to-Exploit medio para los fallos más peligrosos ya ha pasado a -7 días. En otras palabras, los atacantes con mayor frecuencia logran preparar la explotación antes de que el proveedor publique parche. Por eso el esquema de defensa habitual, en el que el equipo detecta el problema, abre un ticket y lo hace avanzar manualmente por una larga cadena de aprobaciones, deja de funcionar no solo en partes, sino por completo.

La investigación de Qualys Threat Research Unit se apoya en más de mil millones de registros de remediación de vulnerabilidades del catálogo CISA KEV, recopilados en 10 000 organizaciones durante 4 años. El panorama es bastante duro. Desde 2022 el volumen de vulnerabilidades creció 6,5 veces. Al mismo tiempo, la proporción de fallos críticos que seguían sin cerrarse al día 7 no disminuyó, aumentó del 56% al 63%. Es decir, los equipos empezaron a cerrar muchos más tickets, pero la situación respecto a los problemas verdaderamente peligrosos no mejoró.

Los autores subrayan por separado: no se trata de falta de empeño. Las organizaciones hoy cierran anualmente 400 millones de eventos de vulnerabilidad más que en el punto de partida de la comparación. La gente trabaja más, hay más procesos y se cierran más tareas. Pero en la zona donde el riesgo realmente se convierte en intrusión, casi no se aprecia crecimiento. Los investigadores llaman a este límite el techo humano de procesamiento. La idea es simple: a cierta escala ni las contrataciones ni la mayor disciplina logran sostener un modelo que originalmente estaba pensado para un ritmo de ataques mucho más lento.

Esto es especialmente evidente en las vulnerabilidades para las que se conoce la cronología completa de explotación. La muestra incluyó 52 fallos destacados, para los que se pudo rastrear el momento en que los atacantes dispusieron del arma y el momento de la remediación en la infraestructura de las empresas. En el 88% de los casos las organizaciones remediaron el problema más despacio de lo que se tardó en explotar vulnerabilidades. La mitad de esas vulnerabilidades empezaron a usarse incluso antes de la aparición del parche.

Los ejemplos del informe resultan inquietantes incluso para los estándares del sector. Spring4Shell empezó a explotarse 2 días antes de la divulgación pública, mientras que la empresa promedio cerraba el problema en 266 días. Con la vulnerabilidad en Cisco IOS XE la situación fue similar: la explotación comenzó aproximadamente un mes antes de lo que muchos defensores esperaban, y el plazo medio de remediación fue de 263 días. La diferencia entre las partes aquí se medía en unidades distintas: para los atacantes la cuenta iba por días; para los defensores, por meses y temporadas.

Los autores consideran que ese panorama no se debe a mala analítica ni a inteligencia de amenazas débil. El problema es más profundo: las empresas saben identificar riesgos, pero no saben convertir rápidamente el conocimiento sobre una amenaza en una acción real dentro de su infraestructura. En otras palabras, la falla ocurre a nivel del modelo operativo.

En el informe aparece otro término importante — Manual Tax. Así los investigadores llaman a la penalización por trabajo manual, que golpea especialmente al extremo largo de activos. Mientras el equipo logra procesar rápidamente parte de los sistemas, los demás elevan el plazo medio y estiran la ventana de riesgo de semanas a meses. En el caso de Spring4Shell esto se ve con claridad: el tiempo medio de remediación resultó ser 5,4 veces mayor que la mediana. La mediana da la sensación de que la situación está más o menos bajo control; la media muestra cuánto tiempo vive la cola de activos mal gestionados.

Para los sistemas de infraestructura la imagen es aún peor. Si en los dispositivos finales las medianas a menudo se mantienen por debajo de 14 días, en Cisco IOS XE incluso la mediana fue de 232 días. Cuando el mejor resultado típico para una parte significativa del entorno ronda los ocho meses, el trabajo manual deja de ser solo un punto débil y se convierte en la causa principal del riesgo.

Por eso los autores proponen fijarse no tanto en el número de CVE como en la exposición acumulada. Para ello usan la métrica Risk Mass: el número de activos vulnerables multiplicado por los días durante los cuales permanecieron en riesgo. Ese enfoque refleja mejor el peligro real, porque el simple recuento de vulnerabilidades no muestra cuánto tiempo estuvo abierta una falla en la infraestructura ni cuántos sistemas afectó.

Junto a Risk Mass se usa otra métrica: Average Window of Exposure, o ventana media de exposición. Mide el intervalo completo desde el inicio de la explotación hasta el cierre efectivo de la vulnerabilidad en todo el entorno. El ejemplo de Follina es especialmente ilustrativo. La vulnerabilidad empezó a explotarse 30 días antes de la divulgación, el cierre medio ocurrió en el día 55, pero la ventana completa de exposición se extendió hasta 85 días. De ese total, el 36% correspondió al periodo anterior a la divulgación pública, cuando los defensores aún no conocían el problema, y otro 44% correspondió a la larga cola de remediaciones tardías. En conjunto, la zona ciega hasta la divulgación y la remediación extendida sumaron el 80% de toda la ventana de riesgo. La parte del proceso que normalmente se mide y se elogia en los informes representó menos del 20%.

Otro hallazgo del estudio cuestiona el estilo de trabajo de muchos equipos de seguridad. En 2025 se divulgaron 48 172 vulnerabilidades, pero solo 357 resultaron ser realmente explotables de forma remota y utilizadas activamente. Esto significa que una parte considerable de los recursos se dedica a la superficie de ataque teórica, mientras que las fallas verdaderamente peligrosas y ya explotadas siguen existiendo en la infraestructura durante demasiado tiempo.

Según los autores, la brecha seguirá aumentando. La ciberseguridad evolucionó durante mucho tiempo como reacción a grandes cambios tecnológicos: primero el mercado se adaptó a la era Windows y luego a la nube. Con la IA la situación es distinta. No solo cambia la superficie de ataque, sino la propia naturaleza del atacante. Agentes autónomos ya son capaces de buscar, verificar y preparar explotaciones más rápido de lo que puede procesar un equipo de defensa clásico, atado a personas, colas de tareas y enrutamiento manual.

El periodo más peligroso comienza ahora, mientras los atacantes se aceleran con ayuda de la IA y los defensores, en su mayoría, siguen al ritmo humano. Los autores consideran esta fase la ventana de mayor riesgo para la industria. A ella se suman otros problemas sistémicos: la superficie de ataque se ha expandido más rápido de lo que los equipos pueden gestionarla, hay demasiadas identidades y derechos de acceso, y los procesos de remediación de vulnerabilidades siguen basados en la ejecución manual.

Frente a esto, los investigadores proponen abandonar el modelo clásico de escaneo y reporte, basado en la secuencia encontrar, evaluar, abrir un ticket, dirigirlo manualmente y esperar la ejecución. Ese esquema nació en una época en que había menos CVE y la ventana entre publicación y explotación dejaba algo de margen. Hoy ya no existe.

En su lugar, los autores impulsan el modelo Risk Operations Center — en esencia, un ciclo continuo de gestión del riesgo, donde analítica como lógica. A partir de ahí, el sistema debería confirmar por sí mismo si una vulnerabilidad es explotable en un entorno concreto y lanzar las acciones necesarias al ritmo que exige la amenaza.

No se trata de excluir por completo al factor humano. Al contrario, los autores proponen elevar el papel de las personas. El especialista no debe dedicarse a ejecutar manualmente tareas repetitivas, sino definir reglas de los sistemas y supervisar su lógica. Según Qualys, tienen más éxito no las empresas que simplemente contrataron más personal, sino las que eliminaron el retraso humano del camino crítico.

La conclusión final del informe es clara. El Time-to-Exploit ya no volverá a valores positivos, el flujo de vulnerabilidades no se detendrá y el modelo reactivo de defensa ha chocado con un límite matemático estricto. Ahora la pregunta no es si se puede acelerar un poco el esquema antiguo, sino si las empresas están dispuestas a pasar a otra arquitectura de defensa antes de que la ventana entre la defensa humana y el avance autónomo se cierre de forma definitiva.