Qualys, Inc., una destacada empresa especializada en soluciones de TI y seguridad en la nube, ha revelado los resultados de un nuevo estudio exhaustivo sobre la explotación de vulnerabilidades en el ámbito cibernético. Este informe, que examina más de 1.000 millones de registros de vulnerabilidades KEV en más de 10.000 organizaciones a nivel mundial durante un periodo de cuatro años (2022-2025), se presenta como la investigación más completa realizada hasta ahora en este campo.
Una de las conclusiones más inquietantes del estudio es que el tiempo medio hasta la explotación de las vulnerabilidades ha disminuido a menos de un día. Esto señala que los atacantes pueden comprometer sistemas antes de que las vulnerabilidades se divulguen públicamente, subrayando la rapidez con la que operan los ciberdelincuentes en un entorno en constante evolución.
Bajo el título «La física rota de la remediación», el informe destaca la importancia de la rapidez en el ámbito de la ciberseguridad actual. De acuerdo con el estudio, la única manera de contrarrestar el avance de los atacantes es mediante el uso de inteligencia artificial y la automatización para priorizar los riesgos más significativos.
Entre otros hallazgos importantes, se ha observado un crecimiento exponencial en el volumen de vulnerabilidades. A lo largo de los cuatro años analizados, el número de vulnerabilidades cerradas se multiplicó por 6,5, aumentando de 73 millones en 2022 a 473 millones en 2025. Además, el estudio revela que menos del 1% de las vulnerabilidades divulgadas son realmente explotables, lo que destaca la necesidad de marcos efectivos de priorización para identificar amenazas reales.
El informe también señala que la remediación manual ha demostrado ser insuficiente. A pesar de un aumento en la respuesta a incidentes, los equipos de seguridad dejaron el 63% de las vulnerabilidades críticas sin resolver una semana después de ser detectadas en 2025, un incremento respecto al 56% en 2022. Este dato subraya las limitaciones de los procesos manuales en la lucha contra las ciberamenazas.
Sergio Pedroche, Country Manager de Qualys Iberia, enfatiza que el panorama de la ciberseguridad está experimentando una transformación radical. «Los atacantes han adquirido capacidades autónomas y pueden descubrir y ejecutar exploits más rápido que nunca. En este nuevo contexto, es crucial que las defensas evolucionen hacia un modelo autónomo que utilice la automatización y la IA para mantener el ritmo», señala Pedroche.
