Las organizaciones están corrigiendo más vulnerabilidades que nunca, pero siguen perdiendo terreno frente al crecimiento acelerado de las amenazas. Así lo pone de manifiesto el último informe de investigación sobre brechas de datos (DBIR) de Verizon, que toma como referencia el estudio de Qualys “The Broken Physics of Remediation”. El análisis, elaborado a partir de más de 1.000 millones de registros anónimos asociados al catálogo de vulnerabilidades explotadas activamente (KEV) de CISA, revela que el 35 % de las vulnerabilidades conocidas permanecen abiertas 28 días después de ser incorporadas al catálogo oficial. Además, un 9 % continúa sin resolverse a largo plazo, lo que representa cerca de 47 millones de instancias para las que los modelos actuales de operación no ofrecen una vía clara de cierre. La principal conclusión es que los equipos de ciberseguridad están aumentando su capacidad de respuesta, pero el crecimiento del volumen de amenazas supera la velocidad a la que pueden remediarse los riesgos.
Según el informe de Qualys, el número de amenazas se ha multiplicado por casi ocho en los últimos cuatro años, una evolución que está poniendo al límite los modelos tradicionales de remediación. Tras analizar cuatro ejercicios consecutivos, el estudio concluye que existe un techo operativo difícil de superar en entornos que dependen de validaciones humanas, ventanas de mantenimiento y procesos de aprobación manual.
El informe DBIR describe la situación como una “cinta de correr que no para de acelerar”. Aunque los equipos de seguridad trabajan con mayor intensidad y rapidez, la superficie de exposición continúa creciendo a un ritmo superior. Y es que el número total de vulnerabilidades vinculadas al catálogo KEV pasó de 68,7 millones de instancias a 527,3 millones en apenas cuatro años, lo que supone un crecimiento de 7,7 veces. Durante el mismo periodo, las vulnerabilidades que permanecían abiertas después de 28 días aumentaron de 31 millones a 184 millones. El deterioro de los indicadores no responde, sin embargo, a una caída de la productividad de los equipos de seguridad. El estudio muestra que el tiempo medio entre la detección y la corrección de una vulnerabilidad se mantuvo estable en nueve días, mientras que el volumen total de vulnerabilidades corregidas alcanzó máximos históricos. Según las conclusiones del análisis, el problema es estructural: la capacidad humana y operativa ya no escala al mismo ritmo que la economía de las amenazas.
El informe identifica a un grupo de organizaciones que está obteniendo mejores resultados mediante estrategias de remediación proactiva apoyadas en modelos de priorización de riesgos, inteligencia contextual y análisis de comportamiento para anticiparse a la explotación de vulnerabilidades. Sin embargo, incluso estos enfoques comienzan a mostrar limitaciones frente al crecimiento de la carga de trabajo. Durante 2025 se corrigieron de forma proactiva 63,7 millones de vulnerabilidades antes de su incorporación al catálogo KEV, un 30 % más que el año anterior. A pesar de ello, la tasa de remediación proactiva descendió del 16,6 % al 12,1 %, debido a que el volumen total de trabajo aumentó un 78%.
Para Sergio Pedroche, Country Manager de Qualys Iberia, los datos apuntan a la necesidad de replantear los modelos actuales de gestión de riesgos. “Estos datos reflejan la urgente necesidad de un cambio arquitectónico profundo basado en la automatización y la remediación autónoma”, señala. En este contexto, Qualys defiende la adopción de modelos basados en Risk Operations Center (ROC), concebidos para dirigir automáticamente las exposiciones validadas hacia procesos de corrección, reduciendo la dependencia de la intervención manual constante.
Las conclusiones del informe apuntan a que la ciberseguridad empresarial se enfrenta a un punto de inflexión: mejorar la productividad ya no es suficiente. El reto pasa ahora por desarrollar capacidades de automatización capaces de responder a una economía de amenazas que crece más rápido que los recursos humanos disponibles para contenerla.
