Qualys, Inc., reconocida firma en soluciones de TI y seguridad en la nube, ha presentado recientemente su más reciente y exhaustivo estudio sobre la explotación de vulnerabilidades en el ciberespacio. Este análisis abarca un impresionante conjunto de más de 1.000 millones de registros de vulnerabilidades KEV, recopilados de más de 10.000 organizaciones a nivel mundial entre los años 2022 y 2025. Los hallazgos de este informe ofrecen una visión sin precedentes del acelerado y complejo entorno de amenazas cibernéticas actual.
Un dato particularmente alarmante que destaca en el estudio es la drástica reducción del tiempo medio para la explotación de vulnerabilidades, que ahora es inferior a un día. Esto sugiere que los ciberatacantes son capaces de comprometer sistemas antes incluso de que las vulnerabilidades sean divulgadas públicamente. Este fenómeno subraya la rapidez con la que operan los delincuentes cibernéticos, destacando la necesidad urgente de estrategias de defensa más rápidas y efectivas.
Titulado “La física rota de la remediación”, el informe destaca que en el vertiginoso ámbito de la ciberseguridad contemporánea, la agilidad es crucial. Se subraya que la única manera viable de abordar la amenaza constante de los atacantes es mediante la integración de inteligencia artificial y la automatización para identificar y priorizar adecuadamente los riesgos más significativos.
Otros hallazgos del estudio revelan un crecimiento sorprendente en el volumen de vulnerabilidades. En el transcurso de los años estudiados, el número de vulnerabilidades cerradas aumentó de manera exponencial, pasando de 73 millones en 2022 a 473 millones en 2025. Sin embargo, menos del 1% de las vulnerabilidades comunicadas resultaron ser explotables, lo que destaca la crucial necesidad de sistemas de priorización robustos que puedan identificar amenazas reales.
El estudio también señala la ineficacia de la remediación manual. A pesar de mejoras en la respuesta a incidentes, en 2025 los equipos de seguridad dejaron sin resolver el 63% de las vulnerabilidades críticas una semana después de su detección, incrementando desde el 56% en 2022. Este incremento ilustra las limitaciones inherentes de los procesos manuales en la defensa contra las amenazas cibernéticas.
Sergio Pedroche, Country Manager de Qualys Iberia, subrayó la drástica transformación que está experimentando el panorama de la ciberseguridad. “Los atacantes han desarrollado capacidades autónomas y pueden identificar y ejecutar exploits a una velocidad sin precedentes. En este nuevo contexto, es indispensable que las defensas evolucionen hacia modelos autónomos que utilicen la automatización y la inteligencia artificial para mantener el ritmo frente a estas amenazas crecientes”, señaló.
