La explotación de vulnerabilidades se convirtió en la puerta de acceso predilecta de los cibercriminales para llevar a cabo ataques a empresas, desplazando al phishing y al robo de credenciales que lideraban la categoría en 2025. Así lo revela el Data Breach Investigations Report de Verizon, analizado por ESET.
Según el estudio, la explotación de vulnerabilidades representa el 31% de los casos analizados. Solo el 26% de las vulnerabilidades críticas incluidas en el catálogo de Vulnerabilidades Conocidas Explotadas de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) fue corregido por las organizaciones durante 2025.
Mario Micucci, investigador de ciberseguridad de ESET Latinoamérica, señala que “si bien este dato supone una baja respecto del año anterior, cuando se había registrado un 38%, sigue dando cuenta de que las organizaciones tienen dificultades para mantener el ritmo de parcheo frente al volumen creciente de vulnerabilidades críticas”.
A su vez, el informe detalla que una empresa demora actualmente, en promedio, 43 días para lograr una resolución completa tras un ataque, casi dos semanas más que lo registrado el año anterior. Según ESET, esto se debe a que los ciberatacantes están aprovechando cada vez más las fallas técnicas sin corregir, por encima de técnicas históricas como el phishing o el robo de contraseñas.
Una tendencia que se confirma: la escalada de vulnerabilidades
En 2024, el Data Breach Investigations Report de Verizon ya señalaba el ingreso a la “Era de las Vulnerabilidades”, con ataques que involucraban este vector triplicados respecto de 2023.
La escalada tiene antecedentes concretos: en 2022 se registró un récord histórico con 25.226 vulnerabilidades reportadas, representando un crecimiento del 26,5% respecto al año previo. Esa marca se batió en 2023 con 29.065 vulnerabilidades, un 15% más que las reportadas en 2022. Lo que ESET analiza en el reporte actual confirma que ya no se trata de una tendencia, sino de una realidad consolidada.
La IA como acelerador de los ataques
El informe de Verizon identifica a la inteligencia artificial como una pieza clave de este nuevo escenario: el 32% de las técnicas de acceso inicial asistidas por IA se relacionaron con la explotación de vulnerabilidades.
Las herramientas de IA permiten la creación de exploits y malware, el análisis de posibles objetivos, la adaptación de código, el cambio entre lenguajes de programación y la investigación de nuevas fallas.
Micucci señala que “este nivel de automatización y optimización de tiempos que logra el cibercrimen con la inteligencia artificial acrecienta las dificultades que evidencian las organizaciones actualmente para corregir vulnerabilidades. La conclusión es clara: si bien la IA no cambió las reglas del juego, sí está acelerando ciertos procesos y dinámicas en detrimento de las organizaciones”.
Para reducir el riesgo de ser víctima de una explotación de vulnerabilidades, ESET recomienda:
- Priorizar las actualizaciones y parches de seguridad.
- Mantener inventariados sistemas operativos, aplicaciones y software expuesto.
- Monitorear activamente nuevas vulnerabilidades y amenazas.
- Evitar que los usuarios trabajen con permisos de administrador cuando no sea necesario.
- Capacitar al personal para detectar correos maliciosos y archivos sospechosos.
- Implementar una solución de seguridad que identifique activamente las vulnerabilidades en los sistemas operativos y aplicaciones más comunes, y coloque parches en todos los endpoints de la red.
Micucci concluye que “en este nuevo contexto, donde las vulnerabilidades crecen año tras año y los tiempos de remediación siguen siendo elevados, la gestión de parches y la visibilidad sobre los activos expuestos dejaron de ser tareas operativas secundarias para convertirse en componentes críticos de la estrategia de ciberseguridad”.
