Los cronogramas de explotación de la IA se están reduciendo rápidamente y seguirán reduciéndose. Las vulnerabilidades se descubren, reproducen y utilizan como armas más rápido que nunca en la historia de la seguridad empresarial. Como resultado, el tiempo entre la divulgación de una vulnerabilidad y la explotación indiscriminada observada en Internet es ahora de horas en lugar de días.
La principal respuesta de la industria ha sido principalmente: «Parchear más rápido».
Los reguladores lo dicen, las juntas lo esperan, la gerencia lo exige. Pero para la mayoría de las empresas, este no es un botón que los defensores puedan presionar. La aplicación de parches es un proceso controlado determinado por requisitos de tiempo de actividad, pruebas de estabilidad, ventanas de cambio, aprobaciones comerciales, obligaciones de cumplimiento y la realidad de que los sistemas de producción no se pueden dañar en nombre de la urgencia.
Si bien la aplicación de parches sigue siendo esencial, la aplicación de parches por sí sola, o incluso la aplicación más rápida, ya no es la respuesta completa a esta “nueva normalidad” y a la afluencia de vulnerabilidades reveladas. Con la actualización del Proyecto Glasswing de Anthropic en mayo de 2026, el desequilibrio ya no se puede ignorar. La compañía, junto con aproximadamente 50 socios, anunció que utilizaron Claude Mythos Preview para identificar más de 10,000 vulnerabilidades de alta o alta gravedad en software crítico para el sistema en un mes. Mientras tanto, muchas otras organizaciones informan resultados similares con sus iniciativas internas de IA.
La IA está industrializando la investigación de vulnerabilidades, pero no sólo para los defensores y proveedores de software. Los atacantes utilizan las mismas herramientas con la misma ventaja de velocidad para identificar y reproducir vulnerabilidades y luego usarlas contra organizaciones específicas.
Entonces, ¿qué significa esto para las defensas y los plazos de explotación?
el cuello de botella se ha movido
No es ningún secreto que los plazos de explotación se han comprimido durante años y, en los últimos años, no es raro que las vulnerabilidades se exploten en un solo dígito de tiempo después de su divulgación. En el caso de la IA, el tiempo entre el momento en que a las grandes organizaciones se les dice que hay un problema y el momento en que ven que alguien intenta usar la IA en su contra seguirá reduciéndose.
Mientras tanto, la remediación y la aplicación de parches no han seguido el ritmo. El DBIR 2026 de Verizon deja este punto claro. El tiempo medio que tardan las organizaciones en corregir las vulnerabilidades críticas ha aumentado a lo largo de los años, de 32 días a 43 días.
La realidad es cruel. Los atacantes operan en plazos medidos en horas, mientras que los defensores operan en plazos medidos en semanas. En esta brecha es donde realmente tiene lugar la explotación.
Sí, hay más vulnerabilidades. Sí, los atacantes se están moviendo más rápido. Pero lo más difícil para los defensores es que las reparaciones no ocurren rápidamente, o tal vez no puedan hacerlo. Decirle a una organización que arregle las cosas más rápido es como decirle a alguien que crezca más. Si bien parece conveniente y bien intencionado, no es una decisión fácil para la mayoría de los equipos.
También hay presión de los reguladores. El CERT-IN de la India publicó recientemente una guía que señala que ciertas vulnerabilidades críticas deben corregirse en el plazo de un día. Si bien la intención es clara, esto ignora la realidad operativa.
La realidad es que algunas vulnerabilidades serán atacadas antes de que puedan remediarse por completo. Los equipos de seguridad deben planificar esta realidad sin crear nuevos riesgos operativos. Eso significa que puede responder algunas preguntas de inmediato.
¿Estás utilizando esta tecnología? ¿Es esta vulnerabilidad teórica? ¿Es esta vulnerabilidad explotable en su entorno? ¿Cómo sería la explotación? ¿Cuáles son los controles temporales que pueden reducir el riesgo durante los ciclos normales de parcheo?
El modelo operativo debe pasar al ataque preventivo, la verificación y la mitigación. Y así es como:
Paso 1: Anticiparse a lo que los atacantes pueden explotar
No todas las vulnerabilidades reveladas tienen la misma urgencia. Algunas vulnerabilidades no se pueden explotar en el mundo real. Otros tienen características deseadas por los atacantes, como una implementación generalizada, accesibilidad a Internet, explotación repetible y un camino claro hacia un acceso significativo al entorno objetivo.
En el aterrador futuro cercano, donde cada día se publican cientos, si no miles, de vulnerabilidades, la preferencia significa identificar qué vulnerabilidades tienen más probabilidades de ser explotadas en la naturaleza, permitiendo que se realice un nivel de filtrado y que los equipos no dediquen un tiempo crítico a investigarlo todo. La seriedad todavía importa, pero nunca ha sido el panorama completo.
En un ciclo impulsado por IA, ese filtrado debería realizarse dentro de las primeras horas de la divulgación, antes de que el equipo trabaje en la lista completa. Al reducir el campo desde el principio, las organizaciones pueden adelantarse a posibles vulnerabilidades en lugar de reaccionar a posteriori.
Paso 2: Responda rápidamente a nuevas amenazas y valide los riesgos
Cuando es probable que una nueva amenaza sea explotada o confirmada, los defensores necesitan la capacidad de reaccionar rápidamente y verificar el riesgo específico de la organización antes de que los atacantes sigan adelante.
Esto significa convertir las nuevas revelaciones de vulnerabilidades y campañas de explotación en respuestas específicas para el entorno: ¿Estamos en riesgo? ¿Dónde estamos siendo expuestos? ¿A quién pertenecen los sistemas afectados? ¿Se ha demostrado la explotabilidad? Responder rápidamente a las amenazas emergentes en el mundo real requiere identificar los sistemas conectados a Internet en todas las líneas de negocio, divisiones y subsidiarias y contextualizar las vulnerabilidades con inteligencia de amenazas relevante.
Luego, la verificación verifica si un atacante puede acceder al componente vulnerable y si es explotable en el mundo real. Se investigará una posible vulnerabilidad. Sin embargo, las vulnerabilidades explotables verificadas requieren una acción rápida y autónoma dada la velocidad de la explotación real.
Cuanto antes el equipo haga esa distinción, antes podrá decidir qué mitigar, qué monitorear y qué se puede migrar mediante una remediación regular.
La velocidad sin precisión es pánico, y la precisión sin velocidad no tiene sentido. Al responder a nuevas amenazas, ambos deben unirse antes de que comience la explotación.
Paso 3: Relájese para ganar tiempo y realizar una reparación eficaz
Incluso después de verificar una exposición, la remediación puede requerir pruebas, gestión de cambios e implementación coordinada.
Las mitigaciones reducen el potencial de explotación durante ese período. Para los sistemas con acceso a Internet, esto puede incluir restricciones de acceso, desactivación de funciones vulnerables, reglas WAF o API, actualizaciones de IDS o IPS, aislamiento, cambios de configuración, monitoreo o controles temporales para bloquear patrones de explotación. La mitigación eficaz también debe basarse en cómo se produce la explotación. Las reglas generales basadas en resúmenes CVE son más débiles que los controles creados a partir de rutas de explotación, cargas útiles, condiciones requeridas y mal comportamiento conocido. Estos controles no tienen por qué ser persistentes. Las organizaciones necesitan aplicar parches de forma segura y, al mismo tiempo, ralentizar los exploits, haciéndolos menos confiables y más difíciles de escalar.
La mitigación autónoma cierra la brecha entre la velocidad de los atacantes y la velocidad de aplicación de parches. Este es el único control que opera en el mismo período de tiempo que el exploit.
Este es el propósito de watchTowr
La plataforma watchTowr comprime los cronogramas de los defensores para que coincidan con los cronogramas de ataques impulsados por IA. Al adoptar un enfoque impulsado por los atacantes, la plataforma continúa identificando debilidades y vulnerabilidades explotables, lo que permite a las organizaciones responder rápidamente y mitigar las amenazas frente a un flujo constante de nuevas amenazas.
Al aprovechar la IA para integrar inteligencia proactiva sobre amenazas, gestión de superficies de ataque externas y mitigación autónoma, la plataforma watchTowr brinda claridad y muestra a los equipos qué pueden ver los atacantes, qué pueden explotar y qué pueden hacer para mitigar antes de que ocurra una infracción.
Los parches siguen siendo necesarios y absolutamente esenciales. Pero en el mundo de la explotación de la IA, aplicar parches por sí solos no es suficiente para garantizar la disponibilidad, evitar interrupciones y funcionar a las velocidades que necesita. La plataforma watchTowr, una solución de gestión de ataques preventivos basada en IA, ayuda a las organizaciones a adelantarse a los atacantes, validar la exposición a amenazas emergentes y mitigar de forma autónoma para obtener lo único que los atacantes no pueden superar: el tiempo de respuesta.
Para programar una demostración y obtener más información sobre la gestión de exposición preventiva, visite watchtowr.com.
Source link
