Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Informe Synack 2026: La ventana de explotación se ha reducido a horas

Informe Synack 2026: La ventana de explotación se ha reducido a horas

by Patrick Spencer updated mayo 29, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

El 14 de mayo de 2026, Synack publicó su Informe sobre el Estado de las Vulnerabilidades 2026, un análisis de más de 11,000 vulnerabilidades explotables identificadas en los entornos de clientes durante 2025. El hallazgo central de Help Net Security: «La IA reduce la ventana de explotación de vulnerabilidades a horas».

Tres hallazgos, uno junto al otro, cuentan la historia. Los CVE publicados alcanzaron los 48,244 en 2025, un aumento del 20% interanual. Cada cola de triaje procesa más entradas brutas que el año anterior. El volumen total de vulnerabilidades en los entornos evaluados se mantuvo prácticamente estable, pero la mezcla cambió: los hallazgos de alta gravedad aumentaron un 10%, con RCE subiendo un 39%, fuerza bruta un 17.4% y la inyección de contenido un 8%. Los hallazgos de baja y media gravedad disminuyeron. Las misiones de seguridad de IA y LLM en la plataforma Synack aumentaron un 120% interanual; la categoría que no existía como ámbito de pruebas relevante hace tres años es ahora donde las organizaciones esperan ser atacadas.

5 conclusiones clave

1. La ventana de explotación se ha reducido a horas.

El Informe sobre el Estado de las Vulnerabilidades 2026 de Synack revela que los adversarios habilitados por IA están explotando vulnerabilidades recién divulgadas en cuestión de horas tras su publicación, no semanas, como ocurría hasta 2022. Esto es un cambio estructural, no solo una optimización de velocidad. La suposición tradicional de que los defensores tienen días entre la divulgación y la explotación ya no es válida, y cualquier plan de respuesta a incidentes basado en esa premisa está operando en el cronograma equivocado.

2. El MTTR promedio bajó de 63 a 38 días, pero sigue sin ganar la carrera.

El tiempo medio de remediación cayó un 47% en 2025. La remediación de alta gravedad mejoró en 42 días; la de gravedad crítica, en 25 días. Los defensores son notablemente más rápidos. Aun así, siguen perdiendo la carrera contra el tiempo. La explotación comienza en horas; los parches llegan en días o semanas. La brecha entre ambos es donde ocurren las brechas de seguridad, y esa brecha se amplía a medida que las herramientas de los atacantes se aceleran.

3. Los hallazgos de alta gravedad aumentaron un 10% mientras el volumen total se mantuvo estable.

La mezcla empeora dentro de totales estables. Los hallazgos de ejecución remota de código aumentaron un 39%, fuerza bruta un 17.4% y la inyección de contenido un 8%. Los hallazgos de baja y media gravedad realmente disminuyeron; lo que queda en la cola de triaje es lo que los atacantes van a explotar. El denominador también creció: los CVE publicados llegaron a 48,244 en 2025, un aumento del 20% interanual. Más entradas, peor mezcla, explotación más rápida.

4. Las misiones de pruebas de seguridad de IA y LLM en Synack aumentaron un 120% interanual.

Una categoría de pruebas que apenas existía hace tres años es ahora una de las áreas de inversión en pentesting de mayor crecimiento. Las organizaciones pagan por pruebas donde esperan ser atacadas próximamente. La gobernanza de IA y los controles a nivel de datos ya no son mejoras opcionales; son los controles que se están validando con este auge de pruebas.

5. La velocidad de aplicación de parches es estructuralmente insuficiente. La respuesta está en la arquitectura.

Si la explotación comienza en horas y los parches llegan en semanas, la pregunta estratégica no es cómo aplicar parches más rápido. Es cómo hacer que la ventana de parches sea soportable cuando la prevención falla. Log4Shell con CVSS 10 tuvo un impacto efectivo de CVSS 4 en entornos con WAF integrado, detección de intrusiones, aislamiento reforzado y separación de tenencia única. Ese valor arquitectónico ya no es un lujo: es la expectativa básica para cualquier canal de intercambio de datos que maneje contenido regulado.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Leer ahora

¿Qué tan rápido es «horas»? Los números concretos

El tiempo medio de remediación en 2025 fue de 38 días, frente a los 63 días de 2024. Las vulnerabilidades de alta gravedad se remediaron 42 días más rápido que el año anterior. Las de gravedad crítica, 25 días más rápido. Son avances reales, pero aún superados por el ritmo de los adversarios. El Dr. Mark Kuhr, CTO de Synack, lo expresó directamente: «Los adversarios pueden identificar y explotar vulnerabilidades en plazos cada vez más cortos». La versión diplomática de una verdad más dura: incluso cuando los defensores ganan la carrera de parches, la carrera ya no refleja el verdadero reto.

React2Shell: el patrón en la práctica

Synack identifica React2Shell — CVE-2025-55182, CVSS 10.0 como la ilustración canónica. La vulnerabilidad se divulgó el 3 de diciembre de 2025: deserialización insegura en React Server Components que afecta a React 19.0+ e incluye Next.js. Atacantes no autenticados podían ejecutar código arbitrario mediante solicitudes HTTP maliciosas.

A las pocas horas de la divulgación, la inteligencia de amenazas de Amazon observó explotación activa por parte de varios grupos vinculados a China. Minutos después de que Darktrace implementara honeypots, comenzó la explotación oportunista. CISA añadió la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas dos días después. Para febrero de 2026, surgieron variantes de malware generadas por IA que explotaban React2Shell: atacantes sin experiencia en programación crearon exploits funcionales usando modelos de lenguaje, comprometiendo 91 hosts. Los parches existían. Nada de eso importó para las organizaciones afectadas en las primeras 72 horas.

Los datos de Mandiant confirman la misma historia desde el otro lado

M-Trends 2026 de Mandiant, basado en más de 500,000 horas de investigaciones de respuesta a incidentes, documentó un colapso paralelo tras la explotación. En 2022, el tiempo medio entre el acceso inicial de un atacante y la transferencia a un grupo secundario superaba las 8 horas. En 2025, esa ventana se redujo a 22 segundos.

Veintidós segundos no es una ventana de respuesta para un SOC. Es el tiempo entre que se dispara una alerta y cuando un analista de nivel 1 termina de leer el título. Los exploits siguieron siendo el vector inicial de infección más común por sexto año consecutivo, representando el 32% de las intrusiones. El vishing subió al segundo lugar con un 11%, desplazando al phishing por correo electrónico, que quedó en solo un 6%. Lee Synack y Mandiant juntos: el ataque comienza en horas, se propaga en 22 segundos y genera impacto más rápido de lo que la arquitectura defensiva de la mayoría de las organizaciones fue diseñada para soportar.

Por qué «parchear más rápido» no es la estrategia

Durante dos décadas, la doctrina de gestión de vulnerabilidades ha sido: detectar más rápido, parchear más rápido, contener más rápido. Mejor SIEM, SOAR, EDR, gestión de vulnerabilidades. Cada generación de herramientas defensivas comprimía el mismo ciclo de vida en el que operaban los atacantes.

Los datos de Synack y Mandiant sugieren que los atacantes han abandonado ese ciclo de vida por completo. Reconocimiento habilitado por IA, generación automatizada de exploits, infraestructura secundaria preconfigurada, variantes de malware generadas por IA por operadores sin experiencia en programación: esto no son optimizaciones sobre el modelo antiguo de ataque. Es un modelo de ataque diferente. Toda organización, en los próximos doce meses, tendrá en producción alguna vulnerabilidad conocida y explotada en algún momento porque la implementación de parches no puede seguir el ritmo entre la divulgación y la explotación. No porque los equipos de seguridad sean descuidados, sino porque los números ya no cuadran.

¿Qué reemplaza la doctrina de velocidad de parches?

La alternativa arquitectónica es una defensa en profundidad que resista una explotación exitosa. Cuando Log4Shell impactó con CVSS 10 en diciembre de 2021, el impacto efectivo dentro de los entornos de Kiteworks fue CVSS 4, no porque los clientes parchearan más rápido, sino porque el WAF integrado, la detección de intrusiones, el aislamiento reforzado del dispositivo virtual y la separación de tenencia única cambian lo que una vulnerabilidad CVSS 10 produce en la práctica. El pronóstico Kiteworks 2026 lo enmarca como un requisito de seguridad de la cadena de suministro: modernizar la tecnología de intercambio de datos ya no es una mejora opcional.

Considera qué cambia con una arquitectura de defensa en profundidad cuando se divulga una vulnerabilidad tipo React2Shell. En un entorno compartido con configuración predeterminada: compromiso casi inmediato, con tiempo de permanencia igual al promedio de 38 días para la remediación. En un entorno de defensa en profundidad con aislamiento reforzado y separación de tenencia única: el WAF integrado, los controles de red y la detección de intrusiones añaden contención más allá de la capa de aplicación. El movimiento lateral queda estructuralmente limitado. Las condiciones para una explotación exitosa contra los flujos de datos más sensibles no existen, incluso mientras la vulnerabilidad está presente. Ese es el valor arquitectónico que el nuevo ritmo de amenazas hace imprescindible.

¿Qué sectores están más expuestos?

Manufactura, tecnología y gobierno registraron la mayor proporción de hallazgos críticos y de alta gravedad en 2025. Manufactura mostró el mayor crecimiento en número de activos. Tecnología representó la mayor proporción de hallazgos críticos de inyección SQL, seguida de servicios financieros. Los hallazgos críticos de RCE se distribuyeron de manera más uniforme entre los sectores.

El patrón no depende del sector, pero sí del canal. Todo sector que maneje intercambio de datos sensibles —PHI bajo HIPAA, CUI bajo CMMC, datos de tarjetas de pago bajo PCI DSS o información personal identificable bajo regulaciones estatales de privacidad— enfrenta la misma exposición estructural. Los canales de intercambio de datos son donde las consecuencias son más graves cuando la ventana de parches también es la ventana de brecha.

¿Qué deberían hacer las organizaciones ahora?

Primero, trata el colapso de la ventana de explotación como una condición estructural. La pregunta sobre arquitectura es la pregunta estratégica. La velocidad de SLA de parches solo captura una dimensión del problema.

Segundo, inventaría qué canales de intercambio de datos transportan tu contenido más sensible: documentos regulados, comunicaciones con socios, adjuntos con PHI o CUI. Identifica qué se mueve por cada canal y qué no debería hacerlo.

Tercero, añade métricas de resiliencia arquitectónica a tu programa de seguridad. Tiempo medio para contener una explotación exitosa, puntuación de radio de impacto, número de capas de defensa en profundidad para canales críticos de intercambio de datos: esto refleja lo que importa cuando la prevención falla.

Cuarto, evalúa la consolidación en plataformas reforzadas para los flujos sensibles. Las organizaciones que consolidan el intercambio de datos sensibles en una sola plataforma reforzada reducen tanto la exposición al ciclo de parches como el tiempo de preparación para auditorías. El pronóstico Kiteworks 2026 lo documenta como una acción inmediata de reducción de riesgos.

Quinto, construye una gobernanza consciente de IA antes de la próxima divulgación de IA tipo React2Shell. El auge de pruebas en Synack confirma dónde aterrizará la próxima explotación. Los marcos de gobernanza para agentes de IA que acceden a datos sensibles deben existir antes de las divulgaciones, no después. La puerta de enlace de datos IA de Kiteworks y el servidor seguro MCP aplican políticas a nivel de datos independientemente del modelo o marco que se explote.

El informe Synack 2026 no dice que los defensores estén fallando. Dice que están teniendo éxito en un juego cuyas reglas acaban de cambiar. La velocidad de parches compra tiempo. La arquitectura compra resultados.

Para saber más sobre cómo proteger tu información confidencial de vulnerabilidades explotables, solicita una demo personalizada hoy mismo.

Preguntas frecuentes

Los adversarios habilitados por IA están explotando vulnerabilidades recién divulgadas en cuestión de horas tras su publicación. Synack analizó más de 11,000 vulnerabilidades explotables en 2025: los CVE publicados llegaron a 48,244 (un 20% más), los hallazgos de alta gravedad subieron un 10% y las misiones de pruebas de seguridad de IA/LLM aumentaron un 120%. El MTTR promedio bajó de 63 a 38 días, pero sigue siendo insuficiente cuando la explotación comienza en horas.

React2Shell (CVE-2025-55182, CVSS 10.0) es una vulnerabilidad de deserialización insegura en React Server Components que permite RCE no autenticado. La explotación activa por grupos vinculados a China comenzó a las pocas horas de la divulgación el 3 de diciembre de 2025. Para febrero de 2026, variantes de malware generadas por IA ya comprometían hosts. Es la ilustración canónica de Synack sobre el nuevo ritmo de explotación: los parches existían y fueron insuficientes para las organizaciones afectadas en las primeras 72 horas.

Sigue cumpliendo con los SLAs mientras implementas controles compensatorios: arquitectura de defensa en profundidad, contención del radio de impacto y registros auditables de calidad probatoria para el acceso a datos sensibles. Los reguladores cada vez esperan esta postura arquitectónica junto con el cumplimiento de parches. Las organizaciones que consolidan el intercambio sensible en una sola plataforma reforzada reducen simultáneamente la exposición al ciclo de parches y el tiempo de preparación para auditorías.

Ambos documentan el mismo cambio estructural desde lados opuestos de la brecha. Synack detecta explotación en horas. Mandiant encuentra transferencia a atacantes secundarios en 22 segundos. Juntos describen un ciclo de ataque que cabe dentro de la ventana que la mayoría de las organizaciones necesita para escalar una alerta. La implicación estratégica es la misma: las doctrinas defensivas basadas solo en la velocidad de parches son estructuralmente insuficientes.

Las obligaciones de notificación de brechas de HIPAA aplican siempre que se accede a PHI sin autorización, sin importar si la brecha ocurrió en horas o semanas. Con ventanas de explotación que se miden en horas, los programas HIPAA basados solo en prevención ahora están expuestos a incidentes que se completan antes de que comience la remediación. Consolidar los flujos de PHI en plataformas reforzadas y de defensa en profundidad reduce tanto la probabilidad de incidentes como las obligaciones de notificación posteriores a una brecha.

Sí. CMMC Nivel 2 exige protección demostrable de CUI en todos los canales de transmisión. Con ventanas de explotación que ahora son de horas, los controles de acceso y protección del sistema deben combinarse con controles arquitectónicos que demuestren contención del radio de impacto cuando la prevención falla. La evidencia de Auditoría y Responsabilidad (AU) e Integridad del Sistema e Información (SI) es lo que las evaluadoras C3PAO examinan cada vez más en el nuevo entorno de amenazas.

Las misiones de pruebas de IA/LLM en Synack aumentaron un 120%, señalando dónde llegará la próxima ola de explotación. Las organizaciones que implementan agentes de IA sobre datos regulados necesitan marcos de gobernanza antes de la próxima divulgación de IA tipo React2Shell. La puerta de enlace de datos IA y el servidor seguro MCP aplican políticas a nivel de datos independientemente del modelo o marco de IA que se explote: la única arquitectura que resiste CVE a nivel de framework.

Tres cifras: 48,244 CVE publicados en 2025, ventana de explotación ahora en horas, transferencia a atacantes secundarios en 22 segundos (Mandiant). Luego la pregunta arquitectónica: ¿cuáles de nuestros canales de intercambio de datos pueden resistir una explotación exitosa y cuáles no? La conversación con la junta no trata de aplicar más parches, sino de dónde la ventana de parches es estructuralmente soportable. Gartner predice que el 50% de las organizaciones adoptarán la gobernanza de datos de confianza cero para 2028; los hallazgos de Synack son el argumento para acelerar ese cronograma.

Recursos adicionales

  • Artículo del Blog Cómo proteger los datos de ensayos clínicos en la investigación internacional
  • Artículo del Blog La CLOUD Act y la protección de datos en el Reino Unido: por qué la jurisdicción importa
  • Artículo del Blog Protección de datos de confianza cero: estrategias de implementación para una seguridad mejorada
  • Artículo del Blog Protección de datos desde el diseño: cómo incorporar controles GDPR en tu programa MFT
  • Artículo del Blog Cómo prevenir brechas de datos con uso compartido seguro de archivos entre fronteras

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks