Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Tu lista de tareas de seguridad ahora es tu mejor arma: Lo que revela el Informe de Gestión de Exposición 2025 sobre el contenido confidencial

Tu lista de tareas de seguridad ahora es tu mejor arma: Lo que revela el Informe de Gestión de Exposición 2025 sobre el contenido confidencial

by Patrick Spencer updated octubre 28, 2025 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

Aquí tienes algo que debería incomodar a cualquier CISO

¿Esa vulnerabilidad de hace tres años que llevas tiempo queriendo corregir? Los atacantes acaban de descubrir cómo explotarla en menos de una hora, gracias a herramientas de codificación asistidas por IA que convierten tu lista de pendientes en su lista de compras.

El Índice de Gestión de Exposición 2025 de Intruder analizó más de 3.000 organizaciones pequeñas y medianas, y los resultados muestran un panorama a la vez alentador y preocupante. Sí, los equipos están corrigiendo vulnerabilidades críticas más rápido: ahora se remedia el 89% en menos de 30 días, frente al 75% en 2024. Pero aquí viene el golpe: las vulnerabilidades de alta gravedad aumentan un 19% año tras año, y los atacantes han descubierto que tu «catálogo antiguo» de CVE es más fácil de explotar que nunca.

Para las organizaciones que gestionan contenido confidencial—documentos financieros, historiales médicos, datos de clientes, propiedad intelectual—este cambio representa un riesgo existencial. Cuando los atacantes apuntan a sistemas expuestos a internet que resguardan tus datos más valiosos, una sola vulnerabilidad «alta» sin corregir puede ser la diferencia entre operar con normalidad y tener que enviar una carta de notificación de brecha.

Veamos qué significan estos datos para tu programa de seguridad, tus obligaciones de cumplimiento y tu capacidad para proteger el contenido que más importa.

Puntos clave

  1. Las vulnerabilidades de alta gravedad son el nuevo campo de batalla

    Mientras que las vulnerabilidades críticas se han estabilizado, los problemas de alta gravedad aumentaron un 19% año tras año (de 281 a 334 en promedio por organización). Una vulnerabilidad «alta» en un sistema de transferencia de archivos o proveedor de identidades expuesto a internet puede ser tan devastadora como una crítica: céntrate en la exposición y las consecuencias, no solo en las etiquetas de gravedad.

  2. Tus vulnerabilidades de hace tres años se están armando ahora mismo

    La codificación asistida por IA ha reducido el tiempo necesario para crear exploits funcionales de semanas a horas. Los atacantes están explotando el «catálogo antiguo» de CVE porque es más fácil que descubrir vulnerabilidades nuevas. Ese atraso no es deuda técnica: es una amenaza activa.

  3. Remediar en menos de 30 días es el nuevo estándar—y es alcanzable

    Ahora las organizaciones corrigen el 89% de las vulnerabilidades críticas en menos de 30 días (frente al 75% en 2024). Norteamérica redujo el tiempo promedio de corrección de 37 a 16 días. Esto no es aspiracional: es el punto de referencia que tus auditores esperan que cumplas.

  4. La «brecha entre detección y corrección» es tu mayor vulnerabilidad

    Los equipos de seguridad pueden detectar problemas rápidamente, pero solo los equipos de infraestructura y DevOps pueden corregirlos. Las organizaciones con menos transferencias, aprobaciones y burocracia avanzan el doble de rápido. Las empresas pequeñas (14 días) superan a las medianas (17 días) no por recursos, sino por eficiencia de procesos.

  5. La infraestructura expuesta a internet es la vía rápida para los atacantes

    Las mayores vulnerabilidades del año—ToolShell (SharePoint), Palo Alto PAN-OS, Apache mod_rewrite—apuntaron a sistemas perimetrales e infraestructura de identidades. Si está expuesto a internet y maneja datos confidenciales, debe ser necesario, autenticado, monitorizado y corregido de inmediato.

El cambio de gravedad: por qué «alta» es la nueva crítica

El titular del informe 2025 es claro: las vulnerabilidades críticas se han estabilizado, pero los problemas de alta gravedad están en aumento. Las organizaciones vieron su promedio de vulnerabilidades de alta gravedad subir de 281 a 334—un incremento del 19% que se relaciona directamente con un aumento del 34% en CVE de alta gravedad en todo el ecosistema.

¿Por qué deberías preocuparte por las de alta gravedad?

Porque las calificaciones de gravedad son solo un punto de partida. Una vulnerabilidad «alta» en un sistema de transferencia de archivos expuesto a internet, un portal de clientes o un proveedor de identidades no es solo un hallazgo: es un arma cargada apuntando a tus datos más sensibles. El sistema de clasificación te dice cuán grave podría ser algo; la exposición y las consecuencias te dicen cuán grave será si se explota.

Piensa en la anatomía de las brechas modernas: rara vez comienzan con sofisticados ataques de día cero. En cambio, explotan vulnerabilidades conocidas en lugares previsibles: la puerta de enlace VPN que protege tu repositorio de documentos, el firewall que resguarda tu plataforma de colaboración, el proveedor de identidades que controla el acceso a archivos de clientes. Estos sistemas están expuestos deliberadamente porque necesitan ser accesibles. Cuando son vulnerables, la explotación se vuelve generalizada y devastadora.

Para las organizaciones que usan plataformas de uso compartido seguro de archivos y comunicación, esto genera un punto de presión particular. Tus dispositivos de seguridad e infraestructura perimetral no solo protegen tu red: resguardan las joyas de la corona de tu negocio. Cada vulnerabilidad de alta gravedad sin corregir en estos sistemas es una invitación abierta.

Fábrica de exploits impulsada por IA: tus viejos problemas, de nuevo

Aquí es donde la situación se vuelve realmente inquietante: los atacantes están explotando cada vez más vulnerabilidades de uno, dos e incluso tres años de antigüedad. ¿La razón? La codificación asistida por IA ha reducido drásticamente la barrera para crear código de explotación confiable. Lo que antes tomaba semanas a investigadores expertos, ahora les lleva horas a actores de amenazas con capacidades moderadas.

Los datos lo confirman. Las «vulnerabilidades del año» 2025 parecen un recopilatorio de éxitos de infraestructura perimetral y ubicua:

ToolShell: la pesadilla del sábado por la mañana

Microsoft SharePoint CVE-2025-53770 mostró la anatomía de una «tormenta perfecta» moderna. Ejecución remota de código sin autenticación en sistemas frecuentemente vinculados a Active Directory, con detalles publicados en sábado, cuando muchos equipos no cuentan con cobertura fuera de horario. El parche tardó en llegar tras la divulgación, creando una ventana explotable de días, no de horas.

Si tu organización usa SharePoint para colaboración y gestión documental, esto debería preocuparte. Los primeros equipos en responder tuvieron una oportunidad. Quienes se retrasaron unos días, posiblemente se enfrentaron a escenarios de post-explotación activos, con atacantes ya dentro de sus repositorios de documentos.

Palo Alto PAN-OS: cuando «corregido» no es corregido

La vulnerabilidad de omisión de autenticación (CVE-2025-0108) recuerda brutalmente que la seguridad nunca está «resuelta». Las protecciones previas añadidas tras una omisión anterior resultaron incompletas. Los atacantes encadenaron variaciones en cómo Apache, Nginx y PHP procesan solicitudes para eludir la autenticación en los planos de gestión.

Cuando la autenticación falla en una interfaz de gestión de firewall, el radio de impacto es instantáneo y catastrófico. Para organizaciones que protegen transferencias de archivos y comunicaciones confidenciales detrás de dispositivos de seguridad, esto es el peor escenario: los sistemas diseñados para proteger tus datos se convierten en la puerta de entrada.

Apache mod_rewrite: la ubicuidad genera oportunidades

CVE-2024-38475 demuestra que los componentes ampliamente implementados siguen siendo la vía más rápida para causar impacto. La gran cantidad de instalaciones de Apache significa que los errores a nivel de aplicación siguen apareciendo en kits de explotación porque la base instalada es enorme y lenta para actualizarse.

El hilo conductor de estos tres casos es claro: la infraestructura expuesta a internet, cercana a la identidad y ampliamente implementada sigue siendo la vía rápida para atacantes que buscan datos confidenciales.

La paradoja de la velocidad: avanzar más rápido, pero quedarse atrás

Ahora las buenas noticias—y sí, las hay. Las organizaciones están mejorando drásticamente sus tiempos de remediación. Norteamérica redujo el tiempo promedio de corrección crítica de 37 a 16 días. Europa promedia unas 100 vulnerabilidades críticas menos por organización que sus pares norteamericanos, aunque soporta una mayor carga de problemas de alta gravedad (423 vs. 248).

El 89% de las vulnerabilidades críticas corregidas en menos de 30 días es un logro real. Demuestra que cuando las organizaciones agilizan procesos, empoderan equipos y eliminan fricción burocrática, pueden moverse a la velocidad que exigen las amenazas actuales.

Pero aquí está la paradoja: aunque los tiempos de remediación mejoran, el volumen y la velocidad de las vulnerabilidades explotables siguen aumentando. Corres más rápido, pero la meta sigue alejándose. Para las organizaciones que gestionan contenido confidencial, esto crea un estado perpetuo de caos controlado: mejoras, pero nunca logras ponerte al día del todo.

Oro en cumplimiento oculto en tus métricas

Para quienes lideran privacidad y cumplimiento, el estándar de remediación en 30 días representa algo más valioso que una métrica de seguridad: es evidencia auditable de la efectividad de los controles.

Los reguladores y clientes empresariales exigen cada vez más pruebas, no promesas. Quieren:

  • Inventarios de activos con propiedad claramente definida
  • Justificación de gravedad que explique las decisiones de priorización
  • Aprobaciones de cambios con justificación comercial documentada
  • Marcas de tiempo de remediación que demuestren rapidez de respuesta
  • Gestión de excepciones que evidencie madurez en administración de riesgos

El cambio hacia la remediación en menos de 30 días para vulnerabilidades críticas crea un objetivo práctico y medible que los auditores pueden verificar. No es aspiracional: los datos demuestran que es alcanzable a gran escala.

Para organizaciones sujetas a regulaciones como GDPR, HIPAA, DORA o la directiva NIS 2, la gestión de exposición ofrece un puente clave entre operaciones de seguridad y evidencia de cumplimiento. Cada vulnerabilidad detectada, priorizada y corregida genera artefactos que respaldan directamente los requisitos regulatorios sobre seguridad del procesamiento, resiliencia operativa y capacidad de respuesta a incidentes.

Piensa en las implicaciones específicas para el riesgo de notificación de brechas. Las RCE sin autenticación y las omisiones de autenticación en sistemas expuestos a internet—especialmente proveedores de identidades, plataformas de transferencia de archivos y planos de gestión—aumentan considerablemente la probabilidad de exposición de datos personales. La gestión de exposición no solo reduce el riesgo técnico; disminuye la probabilidad de activar umbrales de notificación de brechas y los costes regulatorios, financieros y reputacionales asociados.

La brecha entre detección y corrección: donde mueren las buenas intenciones

El informe revela una verdad incómoda sobre el tamaño organizacional y la velocidad de remediación. En 2024, las empresas con menos de 50 empleados corrigieron vulnerabilidades críticas casi el doble de rápido que las de 51 a 2.000 empleados (20 días vs. 38 días). Para 2025, esa brecha se redujo a 14 vs. 17 días: hay progreso, pero sigue siendo revelador.

¿Por qué los equipos pequeños avanzan más rápido? La respuesta es sencilla: menos transferencias, menos aprobaciones, menos lastres heredados.

Los equipos de seguridad pueden detectar y clasificar vulnerabilidades con gran eficiencia. Las herramientas modernas de escaneo, los feeds de inteligencia de amenazas y el descubrimiento automatizado de activos facilitan la detección. Pero los equipos de seguridad no pueden corregir vulnerabilidades: solo los ingenieros de infraestructura, equipos DevOps y desarrolladores de producto pueden hacerlo. Cada transferencia entre detección y remediación añade fricción, retraso y la posibilidad de que el problema quede estancado en la lista de pendientes de alguien.

Los datos sectoriales ilustran esta dinámica claramente:

  • Empresas de software son las que más destacan, reduciendo el tiempo promedio de corrección crítica de 24 a 13 días. Flujos de trabajo centrados en la nube, pipelines de implementación automatizados y capacidad de reversión rápida les dan ventajas naturales.
  • Servicios financieros retrocedieron: de un promedio impresionante de 14 días en 2024 a 22 días en 2025. La complejidad del entorno, los estrictos requisitos de control de cambios y una cultura adversa al riesgo probablemente explican la desaceleración. Cuando gestionas datos financieros de clientes y enfrentas escrutinio regulatorio, la presión por evitar cualquier interrupción operativa puede, paradójicamente, ralentizar las correcciones críticas.
  • Servicios de salud se mantienen en la veintena baja en tiempos de remediación, enfrentando desafíos únicos con sistemas clínicos expuestos a internet y plataformas de colaboración que no pueden estar fuera de línea por largos periodos.
  • Servicios profesionales mostraron una mejora saludable (de 29 a 21 días), aunque mantener ese ritmo cuando aumenta la carga de trabajo de clientes sigue siendo un reto.

Para las organizaciones que gestionan contenido confidencial en cualquiera de estos sectores, la lección es clara: la distancia entre tu equipo de seguridad y el de ingeniería se mide en días de exposición. Minimiza las transferencias, elimina la fricción burocrática y empodera a quienes pueden aplicar correcciones.

Seis acciones que realmente marcan la diferencia

Basta de diagnóstico: hablemos de lo que realmente funciona. Las organizaciones que logran remediación en menos de 30 días y gestionan su exposición de manera eficaz comparten prácticas comunes:

  1. Reduce tu huella en internet sin piedad
    Cada sistema expuesto a internet es un posible punto de entrada. Audita lo que está expuesto, cuestiona si realmente debe estarlo y elimina todo lo que no supere la prueba de «necesario y defendido». Para quienes gestionan uso compartido seguro de archivos, esto significa asegurar que solo los sistemas correctamente autenticados, monitorizados y defendidos estén expuestos a internet pública.
  2. Reequilibra tu proceso de clasificación
    Las vulnerabilidades críticas siguen requiriendo atención urgente, pero el aumento de problemas de alta gravedad significa que no puedes ignorarlos hasta vaciar la cola de críticas. Prioriza según:

    • Explotabilidad (¿existe código de explotación funcional?)
    • Exposición (¿este sistema está expuesto a internet?)
    • Radio de impacto (¿cuál es el daño si se compromete?)
    • Sensibilidad de los datos (¿protege contenido regulado o de alto valor?)

    Una vulnerabilidad de alta gravedad en la capa de autenticación de tu sistema de gestión documental merece más atención que una crítica en un servidor de pruebas interno.

  3. Formaliza SLAs de menos de 30 días con visibilidad a nivel directivo
    Haz que los objetivos de remediación 30/60/90 días sean política formal. Inclúyelos en un dashboard que revise tu junta directiva cada trimestre. Si hoy no puedes medir y reportar estas métricas, arreglar el sistema de medición es tu prioridad. Los datos demuestran que estos plazos son alcanzables: ahora hazlos obligatorios.
  4. Cierra la brecha entre detección y corrección
    Lleva la responsabilidad de remediación lo más cerca posible de los equipos que pueden actuar. Para infraestructura crítica y dispositivos de seguridad, establece ventanas de cambio de emergencia preaprobadas para avisos perimetrales. Documenta el proceso de aprobación, pero hazlo ágil. La diferencia entre un promedio de 16 y 37 días suele depender de cuántas puertas de aprobación deben atravesar los equipos.
  5. Trata tu ecosistema de proveedores como tu propia infraestructura
    La administración de riesgos de terceros y el shadow IT amplían tu superficie de ataque, a veces de forma invisible. El descubrimiento de activos debe incluir entornos de proveedores y servicios «no aprobados pero en uso». Los SLAs contractuales con proveedores deben reflejar las mismas expectativas de 30/60/90 días que aplicas internamente. Si un proveedor gestiona sistemas que tocan tus datos confidenciales, su velocidad de remediación es la tuya.
  6. Integra el cumplimiento desde el principio
    Recopila artefactos mientras trabajas: listas de activos, decisiones de gravedad, marcas de tiempo, aprobaciones, justificaciones de excepciones. Mapea todo a marcos regulatorios y requisitos de clientes desde el primer día. Cuando tu programa de gestión de exposición también es tu repositorio de evidencia para auditorías, tu próxima evaluación deja de ser una emergencia y se convierte en una simple extracción de datos.

Efecto regulatorio regional

Los datos sugieren algo interesante sobre el impacto de la presión regulatoria. Las organizaciones europeas están en camino de tener aproximadamente 100 vulnerabilidades críticas menos por empresa que sus pares norteamericanas. Quienes apoyan DORA, NIS 2 y la Ley de Ciberresiliencia verán esto como una validación temprana de que los marcos regulatorios impulsan cambios de comportamiento.

El informe es cauteloso: aún es pronto para declarar victoria, y las organizaciones europeas siguen soportando más problemas de alta gravedad. Pero la tendencia sugiere que la presión externa, ya sea de reguladores o de clientes empresariales exigentes, acelera las mejoras de seguridad.

No necesitas un mandato para adoptar estas prácticas, pero si enfrentas requisitos regulatorios o contractuales de seguridad, úsalos como palanca para asegurar presupuesto, personal y apoyo ejecutivo para tu programa.

La carta salvaje de la IA: código rápido, vulnerabilidades rápidas

Aquí va una realidad incómoda: las mismas herramientas de desarrollo asistido por IA que aceleran la entrega de software también pueden acelerar la entrega de código vulnerable. Si la IA ayuda a tus desarrolladores a entregar más rápido, también puede ayudarlos a entregar vulnerabilidades más rápido.

La solución no es prohibir el desarrollo asistido por IA: ese tren ya partió. En cambio, trata el código generado por IA como cualquier otro componente de la cadena de suministro. Aplica los mismos controles de revisión, escaneo de seguridad automatizado y requisitos de pruebas a los resultados asistidos por IA antes de que lleguen a producción. Tu programa de gestión de vulnerabilidades debe tener en cuenta la aceleración tanto del desarrollo legítimo como de los posibles problemas de seguridad.

Tres acciones para este trimestre

Los datos de más de 3.000 organizaciones ofrecen una hoja de ruta. Aquí es donde debes enfocar tu energía para lograr el mayor impacto:

  1. Audita tu infraestructura expuesta a internet, especialmente los sistemas que protegen o dan acceso a contenido confidencial. Si está expuesto, debe ser necesario, correctamente autenticado, monitorizado de forma continua y defendido con controles de seguridad actuales. Todo lo demás debe moverse detrás de capas adicionales de protección o eliminarse por completo.
  2. Reequilibra tu clasificación hacia vulnerabilidades de alta gravedad con código de explotación real, especialmente en CVE antiguos. El «catálogo antiguo está activo» y los atacantes reciclan vulnerabilidades de hace tres años más rápido de lo que tú las corriges. Crea playbooks específicos para las clases de vulnerabilidades destacadas en el informe: RCE sin autenticación, omisiones de autenticación y vulnerabilidades en infraestructura ubicua. Y practica realmente la ejecución de esos playbooks.
  3. Institucionaliza el estándar de remediación en menos de 30 días para vulnerabilidades críticas. Hazlo política, practícalo en operaciones y demuéstralo en auditorías. Haz que sea un KPI visible en dashboards de dirección y revisiones ejecutivas. Los datos demuestran que este plazo es alcanzable en organizaciones de todos los tamaños y sectores: no hay excusa para un desempeño más lento.

En resumen: la velocidad importa, pero el enfoque importa más

El Índice de Gestión de Exposición 2025 transmite un mensaje contundente, y esa claridad es valiosa. Las organizaciones que gestionan el riesgo de manera más efectiva no intentan corregir todas las vulnerabilidades: reducen la exposición a internet, priorizan las vulnerabilidades que cambian resultados y hacen que sus correcciones sean visibles y verificables.

Para quienes gestionan contenido confidencial, los riesgos son especialmente altos. Cada sistema expuesto a internet que protege documentos, comunicaciones o datos es un posible punto de entrada. Cada omisión de autenticación, cada RCE sin corregir, cada CVE antiguo con código de explotación reciente representa una amenaza directa al contenido que te han confiado proteger.

¿La buena noticia? Los tiempos de remediación están mejorando. Las herramientas existen. Los puntos de referencia son alcanzables. Lo que separa a las organizaciones que tienen éxito de las que luchan no es el presupuesto ni el personal: es el enfoque, la disciplina de procesos y la voluntad de medir y reportar lo que realmente importa.

Tu lista de pendientes de seguridad ya no es solo un problema de deuda técnica. Es un arma que los adversarios pueden explotar más rápido de lo que tú puedes corregirla. La pregunta no es si mejorarás tu programa de gestión de exposición: la pregunta es si lo harás antes de que un atacante convierta tu lista de pendientes en su gran oportunidad.

Preguntas frecuentes

La gestión de exposición es una práctica de seguridad continua centrada en descubrir todos los activos expuestos a internet, priorizar vulnerabilidades según su explotabilidad y posible impacto, y demostrar que la remediación se realizó. Cierra la brecha entre el escaneo de seguridad y la evidencia de cumplimiento, haciendo que tu programa de vulnerabilidades sea más efectivo y auditable.

Ambas cosas a la vez. Las vulnerabilidades de alta gravedad aumentan un 19%, pero los tiempos de remediación están mejorando drásticamente: ahora se corrige el 89% de las vulnerabilidades críticas en menos de 30 días. La presión está cambiando, no desapareciendo. Las organizaciones que adaptan sus procesos de clasificación y agilizan los flujos de remediación se mantienen a la cabeza; quienes se aferran a enfoques tradicionales se quedan atrás.

La infraestructura expuesta a internet y los dispositivos cercanos a la identidad son los objetivos de mayor valor. Dispositivos de seguridad (VPN, firewalls), proveedores de identidades, sistemas de transferencia de archivos y planos de gestión de infraestructura crítica. Cuando la autenticación falla o es posible la ejecución remota de código en estos sistemas, los atacantes obtienen acceso inmediato a datos confidenciales y controles críticos.

Los primeros datos sugieren que las organizaciones europeas experimentan aproximadamente 100 vulnerabilidades críticas menos por empresa que sus pares norteamericanas, lo que podría indicar que marcos regulatorios como DORA, NIS 2 y la Ley de Ciberresiliencia están influyendo en el comportamiento. Sin embargo, las organizaciones europeas siguen soportando más problemas de alta gravedad, así que el impacto es mixto y evoluciona.

Métricas clave incluyen el porcentaje de vulnerabilidades críticas corregidas en menos de 30 días, la antigüedad promedio de vulnerabilidades abiertas de alta y crítica gravedad, el tiempo de corrección por clase de activo, la integridad de la evidencia de auditoría (tickets, marcas de tiempo, aprobaciones), el cumplimiento de SLA de proveedores y los resultados de simulacros de respuesta a avisos. Estas métricas conectan operaciones de seguridad y requisitos de cumplimiento, brindando visibilidad útil para ambas funciones.

Las herramientas de codificación asistida por IA han reducido drásticamente la barrera para crear código de explotación funcional. Las vulnerabilidades de uno, dos o tres años pueden ahora armarse en horas en vez de semanas, haciendo que las listas de pendientes de seguridad de las organizaciones sean cada vez más atractivas para los atacantes. El «catálogo antiguo» de vulnerabilidades conocidas se explota activamente porque es más fácil atacar eso que descubrir vulnerabilidades nuevas.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks