La carrera por cada nuevo CVE
Según varios informes de la industria de 2025: aproximadamente entre el 50 y el 61 por ciento de las vulnerabilidades recientemente reveladas vieron cómo el código de explotación se convertía en arma en 48 horas. Utilizando el catálogo de vulnerabilidades explotadas conocidas de CISA como referencia, ahora se confirma que cientos de fallas de software son atacadas activamente a los pocos días de su divulgación pública. Cada nuevo anuncio desencadena ahora una carrera global entre atacantes y defensores. Ambos lados monitorean las mismas transmisiones, pero uno se mueve a la velocidad de una máquina mientras que el otro se mueve a la velocidad humana.
Los principales actores de amenazas han industrializado completamente su respuesta. En el momento en que aparece una nueva vulnerabilidad en las bases de datos públicas, los scripts automatizados la rastrean, analizan y evalúan su potencial de explotación, y ahora estos esfuerzos se están simplificando cada vez más mediante el uso de la IA. Mientras tanto, los equipos de TI y seguridad suelen entrar en modo de clasificación, leyendo avisos, clasificando la gravedad y poniendo en cola las actualizaciones para el siguiente ciclo de parches. Ese retraso es precisamente la brecha que aprovechan los adversarios.
La cadencia tradicional de parches trimestrales o incluso mensuales ya no es sostenible. Los atacantes ahora utilizan como arma las vulnerabilidades críticas a las pocas horas de su divulgación, mucho antes de que las organizaciones las hayan analizado o validado y, por lo general, mucho antes de que hayan implementado la solución.
La economía de explotación de la velocidad
El ecosistema de amenazas actual se basa en la automatización y el volumen. Los corredores de exploits y los grupos afiliados operan como cadenas de suministro, cada uno de los cuales se especializa en una parte del proceso de ataque. Utilizan fuentes de vulnerabilidades, escáneres de código abierto y herramientas de toma de huellas digitales para comparar nuevos CVE con objetivos de software expuestos. Muchos de estos objetivos ya han sido identificados y estos sistemas saben de antemano qué objetivos tienen más probabilidades de ser susceptibles al ataque inminente. Este es un juego de desenfundar rápido, gana el arma más rápida.
La investigación de Mandiant muestra que la explotación a menudo comienza dentro de las 48 horas posteriores a la divulgación pública; en muchas organizaciones, TI opera 8 horas al día, dejando las 32 horas a favor de los atacantes. Esta eficiencia en las operaciones ilustra cómo los atacantes han eliminado casi todos los pasos manuales de su flujo de trabajo. Una vez que se confirma que un exploit funciona, se empaqueta y comparte en cuestión de horas en foros de la web oscura, canales internos y kits de malware.
El fracaso a escala es aceptable
Los atacantes también disfrutan de un lujo que los defensores no pueden permitirse: falla. Si bloquean mil sistemas en el camino a comprometer cien, el esfuerzo sigue siendo un éxito. Sus métricas se basan en el rendimiento, no en el tiempo de actividad. Los defensores, por otra parte, deben lograr una estabilidad casi perfecta. Una sola actualización fallida o interrupción del servicio puede tener un impacto generalizado y provocar la pérdida de la confianza del cliente. Este desequilibrio permite a los adversarios asumir riesgos imprudentes mientras los defensores permanecen limitados, y eso también ayuda a mantener la brecha operativa lo suficientemente amplia como para una explotación constante.
De la defensa a la velocidad humana a la resiliencia a la velocidad de las máquinas
La conciencia no es el problema. El desafío es la velocidad de ejecución. Los equipos de seguridad saben cuándo se publican las vulnerabilidades, pero no pueden actuar lo suficientemente rápido sin la automatización. La transición de parches manuales o basados en tickets a una remediación orquestada e impulsada por políticas ya no es opcional si desea seguir siendo competitivo en esta lucha.
Los sistemas automatizados de endurecimiento y respuesta pueden acortar drásticamente los períodos de exposición. Al aplicar continuamente parches críticos, hacer cumplir las líneas base de configuración y utilizar la reversión condicional cuando sea necesario, las organizaciones pueden mantener la seguridad operativa mientras eliminan los retrasos. Y una dura lección que muchos tendrán que superar es el daño que tú Es casi seguro que el daño que pueda causar será menor y más fácil de recuperar que un ataque. Es un riesgo calculado y que se puede gestionar. La lección es simple: ¿preferiría revertir una actualización del navegador para 1000 sistemas o recuperarlos por completo desde la copia de seguridad? No estoy sugiriendo que seas arrogante al respecto, sino que compares el valor de tu vacilación con el valor de tu acción, y cuando la acción gane, escucha tu instinto. Los líderes de TI deben comenzar a comprender esto y los líderes empresariales deben darse cuenta de que ésta es la mejor estrategia de TI. Absolutamente realizar pruebas y tener en cuenta la criticidad del negocio al elegir la velocidad a la que proceder en los sistemas críticos, pero inclinar todo el proceso hacia una automatización simplificada y a favor de una acción rápida.
Aplanar la curva del agotamiento
La automatización también reduce la fatiga y los errores. En lugar de perseguir alertas, los equipos de seguridad definen reglas una vez, lo que permite que los sistemas las apliquen continuamente. Este cambio convierte la ciberseguridad en un proceso adaptativo y autosostenible en lugar de un ciclo de clasificación y suturas manuales. En casi todos los casos se necesita menos tiempo para auditar y revisar los procesos que para implementarlos.
Esta nueva clase de sistemas de automatización de ataques no duermen, no se cansan y no les importan las consecuencias de sus acciones. Están singularmente enfocados en un objetivo: obtener acceso a tantos sistemas como puedan. No importa cuántas personas arrojes a este problema, el problema se agrava entre departamentos, políticas, personalidades y egos. Si tu objetivo es luchar contra una máquina incansable, necesitas una máquina incansable en tu esquina del ring.
Cambiar lo que no se puede automatizar
Ni siquiera las herramientas más avanzadas pueden automatizarlo todo. Algunas cargas de trabajo son demasiado delicadas o están sujetas a marcos de cumplimiento estrictos. Pero esas excepciones aún deben examinarse a través de una única lente: ¿Cómo pueden hacerse más automatizables, si no, al menos más eficientes?
Eso puede significar estandarizar configuraciones, segmentar sistemas heredados o optimizar las dependencias que ralentizan los flujos de trabajo de parches. Cada paso manual que se deja en marcha representa tiempo perdido, y el tiempo es el recurso que los atacantes explotan con mayor eficacia.
Tenemos que analizar en profundidad las estrategias de defensa para determinar qué decisiones, políticas o procesos de aprobación están generando resistencia. Si la cadena de mando o la gestión del cambio están frenando la remediación, puede que sea el momento de cambios radicales de política diseñado para eliminar esos cuellos de botella. La automatización de la defensa debe funcionar a un ritmo acorde con el comportamiento del atacante, no por conveniencia administrativa.
Defensa acelerada en la práctica
Muchas empresas con visión de futuro ya han adoptado el principio de defensa acelerada, combinando automatización, orquestación y reversión controlada para mantener la agilidad sin introducir caos.
Plataformas como Acción1 Facilite este enfoque al permitir que los equipos de seguridad identifiquen, implementen y verifiquen parches automáticamente en entornos empresariales completos. Esto elimina los pasos manuales que ralentizan la implementación de parches y cierra la brecha entre el conocimiento y la acción. SI sus políticas son sólidas, su automatización es sólida y sus decisiones son sólidas en la práctica porque todas están acordadas de antemano.
Al automatizar la corrección y la validación, Action1 y soluciones similares ejemplifican cómo es la seguridad a la velocidad de una máquina: rápida, gobernada y resistente. El objetivo no es simplemente la automatización, sino automatización impulsada por políticasdonde el juicio humano define límites y la tecnología se ejecuta al instante.
El futuro es la defensa automatizada
Tanto los atacantes como los defensores se basan en los mismos datos públicos, pero es la automatización construida sobre esos datos la que decide quién gana la carrera. Cada hora entre la divulgación y la remediación representa un compromiso potencial. Los defensores no pueden frenar el ritmo del descubrimiento, pero pueden cerrar la brecha mediante el fortalecimiento, la orquestación y la automatización sistémica. El futuro de la ciberseguridad pertenece a aquellos que hacen de la acción instantánea e informada su modo operativo estándar, porque en esta carrera, el respondedor más lento ya está comprometido.
Conclusiones clave:
- Ningún equipo humano podrá superar la velocidad y eficiencia de los sistemas de ataque automatizados que se están construyendo. Más personas generan más decisiones, retrasos, confusión y márgenes de error. Esto es un tiroteo: debes usar la misma fuerza, automatizar o perder.
- Los actores de amenazas están creando canales de ataque totalmente automatizados en los que el nuevo código de explotación simplemente se introduce en el sistema (o incluso se desarrolla por él) utilizando IA. Trabajan 24 horas al día, 7 días a la semana, 365 días al año, no se fatigan, no toman descansos, buscan y destruyen como razón de existencia hasta que se les apaga o se les indica lo contrario.
- La mayoría de los actores de amenazas masivas operan con el recuento de cadáveres, no con disparos de precisión. No buscan «a ti» tanto como buscan a «cualquiera». Su escala y valor no significan nada en la fase de compromiso inicial, que se evalúa DESPUÉS de obtener el acceso.
- Los actores de amenazas no piensan en utilizar grandes volúmenes de sus ganancias mal habidas en nueva tecnología para mejorar sus capacidades ofensivas; para ellos, es una inversión. Al mismo tiempo, la industria lo ve como una pérdida de beneficios. El sistema que te atacaba involucró a muchos desarrolladores talentosos en su construcción y mantenimiento, y presupuestos que superaban el sueño más descabellado de cualquier defensor. No se trata de delincuentes aficionados, sino de empresas altamente organizadas, tan capaces y más dispuestas a invertir en los recursos que el sector empresarial.
Llega el año 2026. ¿Está su red preparada para ello?
Nota: Este artículo fue escrito y contribuido por Gene Moody, director de tecnología de campo de Action1.