Competencia por nuevo CVE
Según múltiples informes de la industria en 2025, aproximadamente entre el 50 y el 61 por ciento de las vulnerabilidades recientemente reveladas tenían códigos de explotación convertidos en armas en 48 horas. Utilizando el Catálogo de vulnerabilidades conocidas y explotadas de CISA como referencia, hemos visto cientos de fallas de software siendo atacadas activamente a los pocos días de su publicación. Cada nuevo anuncio desencadena una competencia global entre atacantes y defensores. Ambos lados monitorean la misma alimentación, pero uno opera a la velocidad de la máquina y el otro a la velocidad humana.
Los principales actores de amenazas han industrializado completamente sus respuestas. Tan pronto como aparece una nueva vulnerabilidad en una base de datos pública, los scripts automatizados la eliminan, la analizan y evalúan su potencial de explotación. Y ahora, estos esfuerzos se están simplificando aún más mediante el uso de la IA. Mientras tanto, los equipos de TI y seguridad suelen entrar en modo de clasificación, leyendo avisos, categorizando la gravedad y poniendo en cola las actualizaciones para el siguiente ciclo de parches. Este retraso es exactamente la brecha que aprovechan los atacantes.
El ritmo tradicional de parches trimestrales o incluso mensuales ya no es sostenible. Los atacantes ahora utilizan como arma las vulnerabilidades críticas a las pocas horas de su divulgación, mucho antes de que las organizaciones puedan analizarlas o verificarlas y, por lo general, mucho antes de implementar parches.
economía de explotación de la velocidad
El ecosistema de amenazas actual se basa en la automatización y el volumen. Los intermediarios de exploits y grupos relacionados operan como una cadena de suministro, cada uno de los cuales se especializa en una parte del proceso de ataque. Utilizan fuentes de vulnerabilidad, escáneres de código abierto y herramientas de toma de huellas digitales para hacer coincidir los nuevos CVE con los objetivos de software disponibles públicamente. Muchos de estos objetivos ya han sido identificados y estos sistemas saben de antemano qué objetivos tienen más probabilidades de verse afectados por un ataque inminente. Este es un juego de sorteo rápido y gana el arma más rápida.
La investigación de Mandiant muestra que los exploits a menudo comienzan dentro de las 48 horas posteriores a la disponibilidad pública, y que en muchas organizaciones la TI funciona ocho horas al día, dando a los atacantes las 32 horas restantes. Esta eficiencia operativa indica que el atacante ha eliminado casi todos los pasos manuales del flujo de trabajo. Una vez que se valida el exploit, se empaqueta y comparte en foros de la web oscura, canales internos y kits de malware en cuestión de horas.
Los fracasos masivos son aceptables
El atacante también disfruta de un lujo que el defensor no tiene: el fracaso. Incluso si 1.000 sistemas fallaran en el camino a comprometer a 100, el esfuerzo fue un éxito. Esas métricas se basan en el rendimiento, no en el tiempo de actividad. Los defensores, por otro lado, necesitan lograr una estabilidad casi perfecta. Una sola actualización fallida o interrupción del servicio puede tener efectos de gran alcance y provocar una pérdida de confianza del cliente. Este desequilibrio permite al adversario asumir riesgos imprudentes mientras el defensor permanece limitado, lo que también ayuda a mantener brechas operativas suficientes para una explotación constante.
De la protección de la velocidad humana a la resiliencia de la velocidad de las máquinas
La conciencia no es el problema. El desafío es la velocidad de ejecución. Los equipos de seguridad saben cuándo se revelan las vulnerabilidades, pero sin automatización no pueden reaccionar con la suficiente rapidez. Si desea seguir siendo competitivo en esta batalla, pasar de la aplicación de parches manuales o basados en tickets a la remediación orquestada e impulsada por políticas ya no es una opción.
Los sistemas automatizados de curado y respuesta pueden acortar significativamente la ventana de exposición. Al aplicar continuamente parches críticos, hacer cumplir las líneas base de configuración y utilizar reversiones condicionales cuando sea necesario, las organizaciones pueden eliminar demoras y al mismo tiempo mantener la seguridad operativa. Y la dura lección aquí que muchas personas tienen que superar fácilmente es que el daño que puedes causar será casi con toda seguridad menor que el ataque y más fácil de recuperar. Es un riesgo calculado y que se puede gestionar. La lección es simple. ¿Necesita revertir una actualización del navegador para 1000 sistemas o necesita realizar una restauración completa desde una copia de seguridad? No estoy sugiriendo que seas arrogante al respecto, pero compara el valor de la vacilación con el valor de la acción, y si la acción gana, escucha tu intuición. Los líderes de TI deben comenzar a comprender esto y los líderes empresariales deben darse cuenta de que ésta es la mejor estrategia para TI. Asegúrese de probar y considerar la importancia de su negocio al elegir la velocidad a la que procesar los sistemas críticos, pero priorice la acción rápida hacia la automatización optimizada de todo el proceso.
Aplanar la curva del agotamiento
La automatización también reduce la fatiga y los errores. En lugar de perseguir alertas, los equipos de seguridad pueden definir reglas una vez y hacer que el sistema las aplique continuamente. Este cambio transforma la ciberseguridad en un proceso adaptativo y autosostenible en lugar de un ciclo manual de clasificación y costura. En casi todos los casos, los procesos de auditoría y revisión llevarán menos tiempo que implementarlos.
Este nuevo tipo de sistema de automatización de ataques nunca duerme, nunca se cansa y no le importan las consecuencias de sus acciones. Solo se centran en sus objetivos y se aseguran de tener acceso a tantos sistemas como sea posible. No importa cuántas personas arrojes a este problema, el problema se agrava entre departamentos, políticas, individuos y egos. Si tu objetivo es luchar contra una máquina incansable, necesitas una máquina incansable en tu rincón del ring.
Cambiar lo que no se puede automatizar
Ni siquiera las herramientas más avanzadas pueden automatizarlo todo. Algunas cargas de trabajo son demasiado sensibles o están sujetas a marcos de cumplimiento estrictos. Sin embargo, estas excepciones deben verse desde una única perspectiva. Si no puedes automatizarlo, ¿cómo puedes al menos hacerlo más eficiente?
Eso podría significar estandarizar configuraciones, segmentar sistemas heredados o optimizar las dependencias que ralentizan los flujos de trabajo de parches. Si se siguen todos los pasos manuales, se pierde tiempo. El tiempo es uno de los recursos más eficaces utilizados por los atacantes.
Determinar qué decisiones, políticas y procesos de aprobación lo están frenando requiere una mirada profunda a su estrategia de defensa. Si su cadena de mando o gestión de cambios está ralentizando la remediación, puede que sea el momento de realizar un cambio completo de política para eliminar esos cuellos de botella. La automatización de la defensa debe funcionar a un ritmo acorde con el comportamiento del atacante, no por conveniencia administrativa.
aceleración de defensa real
Muchas empresas con visión de futuro ya han adoptado los principios de defensa acelerada, que combina automatización, orquestación y reversiones controladas para mantenerse ágil sin causar interrupciones.
Plataformas como Action1 facilitan este enfoque al permitir que los equipos de seguridad identifiquen, implementen y validen parches automáticamente en entornos empresariales. Esto elimina la necesidad de pasos manuales que retrasan la implementación de parches, cerrando la brecha entre el conocimiento y la acción. Si las políticas son acertadas, si la automatización es acertada, si las decisiones son realmente acertadas, es porque todas están acordadas de antemano.
Al automatizar la corrección y la validación, Action1 y soluciones similares ejemplifican cómo es la seguridad a la velocidad de la máquina: rápida, administrada y resistente. El objetivo no es sólo la automatización, sino una automatización impulsada por políticas, donde los límites se definan mediante el juicio humano y la tecnología se ejecute instantáneamente.
El futuro es la defensa automatizada
Los atacantes y los defensores utilizan los mismos datos públicos, pero es la automatización construida sobre esos datos la que determina el ganador de la carrera. Cada hora entre la divulgación y la remediación crea una posible infracción. Los defensores no pueden frenar el ritmo del descubrimiento, pero pueden cerrar las brechas mediante el refuerzo, la orquestación y la automatización del sistema. El futuro de la ciberseguridad pertenece a quienes hacen de la acción inmediata e informada su modo estándar de operación. Porque en esta competición, los respondedores más lentos ya están en riesgo.
Puntos importantes:
Los equipos humanos no pueden superar la abrumadora velocidad y eficiencia de los sistemas de ataque automatizados que se están construyendo. Más gente significa más decisiones, retrasos, confusión y más posibilidades de error. Esto es un tiroteo. La clave es utilizar la misma potencia, automatizar o perder. Los actores de amenazas están creando canales de ataque totalmente automatizados utilizando IA para simplemente introducir nuevo código de explotación en el sistema o ser desarrollado por él. Trabajan 24 horas al día, 7 días a la semana, nunca se cansan, nunca se toman un descanso, buscando y destruyendo la razón de su existencia hasta que los apagan o les ordenan que lo hagan. La mayoría de los actores de amenazas a gran escala operan basándose en números en lugar de disparos precisos. No te buscan a «ti», buscan a «cualquiera». El tamaño y el valor no significan nada en la etapa inicial de compromiso, que se evalúa después de obtener el acceso. Los actores de amenazas no tienen reparos en utilizar las grandes cantidades de ganancias obtenidas ilícitamente de las nuevas tecnologías para aumentar sus capacidades de ataque. Para ellos, es una inversión. Al mismo tiempo, la industria lo ve como un desperdicio de beneficios. El sistema que te ataca ha involucrado a muchos desarrolladores talentosos en su construcción y mantenimiento, y les ha costado a los defensores cantidades de dinero inimaginables. No se trata de estafadores aficionados, sino de empresas muy organizadas, tan competentes como el sector empresarial y más dispuestas a invertir sus recursos que el sector empresarial.
Se acerca el 2026. ¿Está su red preparada para ello?
Nota: Este artículo fue escrito y contribuido por Gene Moody, CTO de campo en Action1.
Source link
