Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La explotación de vulnerabilidades ya supera el robo de credenciales. El modelo de parches está fallando silenciosamente.

La explotación de vulnerabilidades ya supera el robo de credenciales. El modelo de parches está fallando silenciosamente.

by Patrick Spencer updated mayo 29, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

Durante diecinueve años, el informe DBIR de Verizon documentó la misma verdad incómoda: la mayoría de los atacantes acceden robando credenciales. El DBIR 2026 ha publicado la primera inversión año tras año de ese patrón. La explotación de vulnerabilidades es ahora el vector de acceso inicial número uno, representando el 31% de las filtraciones. El abuso de credenciales ha caído al 13%.

En los datos de acciones, la misma tendencia aparece a nivel de variedad de acción: la explotación ahora está presente en el 32% de las filtraciones como acción, frente al 18% del año anterior, prácticamente duplicándose en un solo ciclo anual. El informe Mandiant M-Trends 2026 refuerza esto con datos de respuesta a incidentes: las explotaciones representaron el 32% de las intrusiones, mientras que el phishing por correo electrónico solo el 6%. La defensa centrada en credenciales en la que las empresas han invertido sigue siendo necesaria. Ya no está calibrada frente a la amenaza dominante.

5 conclusiones clave

1. La explotación de vulnerabilidades es ahora el vector de acceso inicial número uno.

El DBIR de Verizon 2026 encontró explotación en el 31% de las filtraciones, con el abuso de credenciales cayendo al 13%. Es la primera vez en 19 años de informes DBIR que la explotación ocupa el primer lugar. La calibración defensiva que la mayoría de las empresas construyó en los últimos cinco años — MFA, autenticación resistente al phishing, monitoreo de credenciales — era la adecuada para la era anterior y ahora está ajustada a una amenaza primaria equivocada.

2. Las tasas de remediación de KEV están retrocediendo.

Solo el 26% de las vulnerabilidades críticas listadas por CISA KEV fueron completamente remediadas por las organizaciones en 2025, frente al 38% del año anterior. El tiempo medio para la resolución completa subió de 32 a 43 días. Las organizaciones enfrentaron un 50% más de vulnerabilidades críticas en el caso medio que el año anterior. El denominador crece más rápido que la capacidad de remediación. Es un problema estructural, no de ejecución. Una postura de respuesta a incidentes basada en el parcheo como control principal opera sobre una base equivocada.

3. La IA reduce la ventana de ataque a horas.

La investigación de Synack encontró que el tiempo promedio de remediación mejoró de 63 a 38 días — una mejora real que aún ha sido superada por la velocidad de explotación. La ventana de explotación se ha reducido a horas. CrowdStrike documenta un aumento del 89% año tras año en la actividad de adversarios habilitados por IA y un incremento del 42% en zero-days. La brecha entre la divulgación y la explotación se está cerrando más rápido de lo que mejora la velocidad de respuesta de los defensores.

4. El enriquecimiento de NVD colapsa bajo la carga.

El informe Dragos 2026 OT/ICS encontró que el 15% de los CVE de CISA y NVD tenían puntuaciones CVSS incorrectas en 2025 — de las cuales el 64% estaban subreportadas. El 25% de los avisos públicos no tenía parche ni mitigación disponible. Cuando la infraestructura de puntuación subyacente falla el 15% del tiempo y una cuarta parte de las divulgaciones no tiene solución, la gobernanza de datos no puede depender de conocer el CVE para proteger la información.

5. La respuesta arquitectónica es la gobernanza a nivel de datos.

Cuando el parche no puede llegar a tiempo — o llega sin una puntuación CVSS correcta, o llega sin solución — los datos igual deben protegerse. El acceso de confianza cero, el cifrado FIPS 140-3 y el registro de auditoría a prueba de manipulación no dependen de conocer el CVE. Log4Shell con CVSS 10 se resolvió a un CVSS 4 efectivo dentro de entornos Kiteworks precisamente porque las defensas a nivel de datos se mantuvieron cuando la capa de aplicación era vulnerable.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Leer ahora

El problema de la remediación: el 26% va hacia atrás

Solo el 26% de las vulnerabilidades críticas listadas por CISA KEV fueron completamente remediadas en 2025 — frente al 38% del año anterior. El tiempo medio para la resolución completa subió de 32 a 43 días. Las organizaciones enfrentaron un 50% más de vulnerabilidades críticas en el caso medio que el año anterior, lo que explica parte del problema pero no todo. El informe Synack 2026 State of Vulnerabilities analizó más de 11.000 vulnerabilidades explotables: los CVE publicados llegaron a 48.244 (un aumento del 20% año tras año), el tiempo promedio de remediación bajó de 63 a 38 días — una mejora superada por la velocidad a la que se descubren y explotan nuevas vulnerabilidades.

El informe CrowdStrike 2026 Global Threat añade la aceleración del lado del adversario: un aumento del 42% en exploits de zero-day, un incremento del 89% año tras año en la actividad de adversarios habilitados por IA y documentación de grupos de eCrime que sistemáticamente explotan zero-days en sistemas empresariales expuestos a internet — MFT, ITSM, ERP — las categorías que contienen los datos más buscados por los atacantes. El patrón es consistente: los atacantes se aceleran, los defensores mejoran pero no al ritmo necesario para cerrar la brecha.

El colapso de NVD: cuando las puntuaciones CVSS son incorrectas o faltan

El modelo de defensa basado en parches se apoya en una suposición silenciosa: que las vulnerabilidades se puntúan rápidamente, que las puntuaciones CVSS son precisas y que las mitigaciones se publican junto con la divulgación. El informe Dragos 2026 OT/ICS Cybersecurity Year in Review documenta cómo esa suposición ya no se sostiene. El 15% de los CVE de CISA y NVD tenían puntuaciones CVSS incorrectas en 2025 — de las cuales el 64% estaban subreportadas, lo que significa que la puntuación subestima sistemáticamente la gravedad. El 25% de los avisos públicos no tenía parche ni mitigación disponible. El enriquecimiento de NVD por sí solo puede tardar hasta dos años.

Las implicaciones estructurales: las herramientas de gestión de vulnerabilidades que priorizan por CVSS lo hacen con datos erróneos el 15% del tiempo, con las correcciones tendiendo a subestimar el riesgo. El parcheo no es una opción en uno de cada cuatro problemas divulgados. La priorización basada en datos de NVD opera con un retraso permanente. Por eso la clasificación de datos y la gobernanza a nivel de datos no pueden depender del conocimiento del CVE para aplicar protección — la protección debe preceder a la divulgación.

Implicación arquitectónica: el parcheo es necesario pero ya no suficiente

La conclusión combinada de los datos de DBIR 2026, Synack, Mandiant, CrowdStrike y Dragos no es que la gestión de parches haya fallado. Es que la gestión de parches no puede por sí sola soportar la carga defensiva para la que fue diseñada. La ventana de respuesta del defensor ahora se mide en horas; el ciclo típico de parches en días o semanas; los datos de vulnerabilidades subyacentes son cada vez menos fiables; y una fracción significativa de los problemas divulgados no tiene solución.

La conclusión arquitectónica es que la defensa debe mantenerse incluso cuando el parche llega tarde, llega sin una puntuación CVSS correcta o nunca llega. El ejemplo de Kiteworks: Log4Shell con CVSS 10 en diciembre de 2021 se resolvió a un CVSS 4 efectivo dentro de entornos Kiteworks — no porque los clientes parchearan más rápido, sino porque el dispositivo virtual reforzado, el WAF integrado, el aislamiento de tenencia única, el cifrado FIPS 140-3 y el registro de auditoría a prueba de manipulación limitaron la exposición a nivel de datos a una fracción de la exposición a nivel de aplicación. El parche llegó en su momento. Los datos no tuvieron que esperar por él.

Cinco propiedades arquitectónicas marcan la diferencia. Un dispositivo virtual reforzado con firewall integrado, WAF y detección de intrusiones — así las defensas circundantes proporcionan contención mientras se aplica el parche. Cifrado doble validado FIPS 140-3 (a nivel de archivo y de disco, con claves separadas) en tránsito y en reposo — así una explotación a nivel de aplicación no se convierte en exfiltración a nivel de datos. Aislamiento de tenencia única que elimina el radio de impacto cruzado entre clientes. Registro de auditoría a prueba de manipulación hacia SIEM en tiempo real sin limitaciones ni pérdida de registros. Y aplicación de acceso de confianza cero a nivel de datos con controles de acceso basados en atributos en cada solicitud — así una brecha perimetral no se propaga a la capa de datos subyacente.

La base de cumplimiento: FedRAMP, FIPS 140-3, CMMC y el listón de refuerzo

La documentación del DBIR 2026 sobre la explotación sistemática de sistemas empresariales expuestos a internet respalda la necesidad de certificaciones de refuerzo más allá de los estándares comerciales. El 75% de los encuestados del sector público exige FedRAMP para servicios en la nube y el 69% requiere criptografía validada FIPS 140-3 según el informe Kiteworks 2025 Data Forms. Estos requisitos existen porque las agencias que los redactan tienen experiencia operativa contra los mismos adversarios que ahora atacan sistemas comerciales a los ritmos que documenta el DBIR.

Solo el 46% de las organizaciones de la base industrial de defensa se consideran preparadas para CMMC Nivel 2 según el informe de preparación DIB de Kiteworks, con un 57% que no ha completado un análisis de distancia NIST 800-171 y un 62% sin controles de gobernanza adecuados. El entorno de amenazas posterior al DBIR hace que el refuerzo de nivel CMMC sea relevante mucho más allá del contexto DIB — control de acceso, auditoría, identificación y autenticación, y controles de protección del sistema son precisamente los controles que se mantienen cuando el modelo de parches falla.

Qué deben hacer los líderes de seguridad este trimestre

Primero, acepta que la defensa basada solo en parches ya no es suficiente. Seguir invirtiendo en la velocidad de parcheo es necesario. No es la respuesta arquitectónica para un entorno donde las ventanas de explotación son de horas y las tasas de remediación disminuyen.

Segundo, audita la postura de gobernanza a nivel de datos de cada sistema que almacene datos regulados o confidenciales. La pregunta de prueba: si mañana aparece una vulnerabilidad crítica en este sistema sin parche disponible, ¿qué protege los datos ahí almacenados? Si la respuesta se reduce a «parchearíamos rápido», eso no es una respuesta arquitectónica.

Tercero, prioriza certificaciones de refuerzo al seleccionar plataformas para el intercambio de datos confidenciales. El DBIR documenta la explotación sistemática de vulnerabilidades en MFT, ITSM y ERP. Las plataformas evaluadas de forma independiente según los estándares FedRAMP High, FIPS 140-3 y CMMC Nivel 2 cuentan con un refuerzo demostrablemente más riguroso que aquellas que no lo tienen.

Cuarto, construye el registro forense antes de la filtración. El DBIR documenta 73 días como la mediana entre la filtración y la divulgación. Los registros de auditoría completos, en tiempo real y a prueba de manipulación de cada actividad de intercambio de datos son la base del registro forense. Los registros fragmentados o limitados no pasarán la prueba forense.

Quinto, consolida el intercambio de datos fragmentado bajo un único plano de control. Cada solución puntual tiene su propia superficie de parcheo y potencial radio de impacto. La Red de Contenido Privado de Kiteworks — que consolida correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web e integraciones de IA bajo una arquitectura reforzada — reduce la cantidad de plataformas empresariales expuestas a internet que almacenan datos confidenciales en vez de aumentarla.

Para saber más sobre cómo proteger datos sensibles frente a la explotación de vulnerabilidades, solicita una demo personalizada hoy mismo.

Preguntas frecuentes

La explotación de vulnerabilidades es ahora el vector de acceso inicial número uno, presente en el 31% de las filtraciones, superando el abuso de credenciales (13%) por primera vez en la historia del DBIR. Junto con la caída de la remediación de KEV al 26% y la explotación acelerada por IA, la implicación es clara: la velocidad de parcheo por sí sola ya no es suficiente. La gobernanza a nivel de datos con trazabilidad de auditoría y acceso de confianza cero debe mantenerse cuando los parches llegan tarde.

Es necesaria pero ya no suficiente. El tiempo medio de remediación de KEV subió a 43 días mientras que la ventana de explotación se redujo a horas. La aritmética no se equilibra solo con parches. La gobernanza a nivel de datos — arquitectura reforzada, cifrado FIPS 140-3, registros de auditoría a prueba de manipulación — debe proteger los datos durante la ventana de parcheo, no solo después de que se cierre.

El DBIR documenta la explotación sistemática de vulnerabilidades en MFT, ITSM y ERP. La respuesta arquitectónica es infraestructura reforzada, de tenencia única y defensa en profundidad — WAF/IDS integrados, cifrado doble FIPS 140-3 y registro a prueba de manipulación — para que los datos permanezcan protegidos mientras el parche está pendiente. Kiteworks cuenta con Autorización FedRAMP de impacto moderado y está en proceso de FedRAMP High precisamente para este perfil.

Los auditores esperan cada vez más defensa en profundidad documentada a nivel de datos, no solo seguimiento de inventario de CVE. El 26% de remediación KEV documentado por el DBIR redefine las expectativas de auditoría hacia: «¿qué protege los datos cuando el parche llega tarde?» El aislamiento de tenencia única, el cifrado FIPS 140-3, los registros de auditoría a prueba de manipulación y la aplicación de ABAC son la respuesta arquitectónica documentada.

Exige al menos Autorización FedRAMP de impacto moderado (FedRAMP High en proceso para cargas de máxima sensibilidad), módulos de cifrado validados FIPS 140-3, SOC 2 Tipo II, ISO 27001/27017/27018 y pruebas de penetración continuas por terceros. El DBIR documenta las plataformas empresariales expuestas a internet como objetivo principal de explotación — las certificaciones de refuerzo son el estándar práctico para cualquier plataforma que gestione contenido regulado.

Recursos adicionales

  • Artículo del Blog Cómo proteger los datos de ensayos clínicos en investigaciones internacionales
  • Artículo del Blog El CLOUD Act y la protección de datos en el Reino Unido: por qué la jurisdicción importa
  • Artículo del Blog Protección de datos de confianza cero: estrategias de implementación para una seguridad mejorada
  • Artículo del Blog Protección de datos desde el diseño: cómo incorporar controles GDPR en tu programa MFT
  • Artículo del Blog Cómo prevenir filtraciones de datos con uso compartido seguro de archivos entre fronteras

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks