Qualys, Inc., una empresa líder en soluciones de TI y seguridad en la nube, ha dado a conocer los hallazgos de un nuevo y extenso estudio sobre la explotación de vulnerabilidades en el ámbito cibernético. Este informe, que abarca más de 1.000 millones de registros de vulnerabilidades KEV analizados en más de 10.000 organizaciones a nivel global durante un periodo de cuatro años (2022-2025), representa la investigación más exhaustiva realizada hasta la fecha en este campo.
Una de las conclusiones más alarmantes del estudio es que el tiempo medio hasta la explotación de las vulnerabilidades ha caído a menos de un día. Esto significa que los atacantes son capaces de comprometer sistemas antes incluso de que las vulnerabilidades sean divulgadas públicamente. Este hallazgo pone de relieve la velocidad con la que actúan los ciberdelincuentes en un entorno en constante evolución.
Bajo el título «La física rota de la remediación», el informe subraya la importancia de la rapidez en la ciberseguridad actual. Según el estudio, la única forma de contrarrestar el avance de los atacantes es mediante la adopción de inteligencia artificial y automatización para priorizar los riesgos más significativos.
Entre otros hallazgos significativos, se observa un crecimiento exponencial en el volumen de vulnerabilidades. Durante los cuatro años analizados, el número de vulnerabilidades cerradas se multiplicó por 6,5, pasando de 73 millones en 2022 a 473 millones en 2025. Además, el estudio revela que menos del 1% de las vulnerabilidades divulgadas son realmente explotables, lo que resalta la necesidad de establecer marcos de priorización eficaces para detectar amenazas reales.
El informe también destaca que la remediación manual ha demostrado ser insuficiente. A pesar de un aumento en la respuesta a incidentes, los equipos de seguridad dejaron el 63% de las vulnerabilidades críticas abiertas una semana después de ser detectadas en 2025, un incremento con respecto al 56% en 2022. Este dato subraya las limitaciones de los procesos manuales en la lucha contra las ciberamenazas.
Sergio Pedroche, Country Manager de Qualys Iberia, enfatiza que el panorama de la ciberseguridad está experimentando una transformación radical. «Los atacantes han adquirido capacidades autónomas y pueden descubrir y ejecutar exploits más rápido que nunca. En este nuevo contexto, es crucial que las defensas evolucionen hacia un modelo autónomo que utilice la automatización y la IA para mantener el ritmo».
