Synack, líder en validación continua de la seguridad, ha publicado hoy su Informe sobre el estado de las vulnerabilidades de 2026, un análisis de más de 11.000 vulnerabilidades explotables identificadas en los entornos de los clientes en 2025. Synack va más allá de las capacidades de los simuladores de brechas y ataques y de los escáneres automatizados para detectar vulnerabilidades que los atacantes pueden convertir en armas. El informe revela cómo está cambiando la superficie de ataque, por qué están aumentando las vulnerabilidades de alto impacto y cómo las organizaciones líderes están reduciendo el tiempo de corrección.

A medida que los adversarios que utilizan IA aceleran el reconocimiento y la explotación, las organizaciones que dependen de modelos de pruebas periódicas operan cada vez más con una visibilidad incompleta de su exposición actual al riesgo. Los resultados sugieren que el sector está empezando a responder.

En 2025, los clientes de Synack redujeron el tiempo medio de corrección (MTTR) de las vulnerabilidades de alta gravedad en 42 días de media, en comparación con 2024. En todos los niveles de gravedad, el tiempo medio de corrección se redujo en un 47%, lo que indica un cambio operativo más amplio hacia la validación continua de la seguridad.

Al mismo tiempo, el panorama general de amenazas se intensificó. Las CVE (Common Vulnerabilities and Exposures) publicadas aumentaron un 20% interanual hasta alcanzar las 48.244 en 2025, según cve.org, mientras que las misiones de seguridad de IA y LLM en la plataforma de Synack aumentaron un 120%, lo que refleja la creciente preocupación en torno a la infraestructura de IA como una superficie de ataque en rápida expansión.

«Las reglas cambiaron en 2025, y ahora el tiempo es la mayor vulnerabilidad», afirma el Dr. Mark Kuhr, director técnico y cofundador de Synack. «La cuestión ya no es cuántas vulnerabilidades existen, sino la rapidez con la que los adversarios pueden encontrarlas y explotarlas. Las organizaciones que validan continuamente la seguridad en todo su entorno están respondiendo más rápido y cerrando antes las ventanas de exposición críticas».

Aunque el volumen total de vulnerabilidades se mantuvo relativamente estable respecto al año anterior, las vulnerabilidades con puntuaciones CVSS altas aumentaron significativamente. Los hallazgos de alta gravedad aumentaron un 10%, con incrementos en la ejecución remota de código (+39%), los ataques de fuerza bruta (+17,4%) y la inyección de contenido (+8%). Los hallazgos apuntan a un creciente interés de los atacantes por los sistemas de identidad, los límites de autenticación y el encadenamiento de exploits, áreas cada vez más atacadas por adversarios que utilizan IA y operan a la velocidad de una máquina.

«Un volumen estable de vulnerabilidades no es señal de que el riesgo sea estable», subraya Angela Heindl-Schober, directora de marketing de Synack. «La realidad es la creciente brecha de cobertura entre las superficies de ataque en expansión y lo que las organizaciones están probando realmente. Las pruebas de penetración puntuales tradicionales no pueden seguir el ritmo de las amenazas impulsadas por la IA. La validación continua de la seguridad se está imponiendo como el nuevo modelo operativo para la seguridad empresarial».

El informe también destaca un reto crítico del sector: las organizaciones siguen probando solo una fracción de sus entornos. La investigación de Synack con Omdia reveló que las empresas prueban, de media, solo alrededor del 32% de su superficie de ataque, dejando miles de activos fuera de los programas habituales de validación de seguridad.

Las conclusiones clave del Informe sobre el estado de las vulnerabilidades de 2026 incluyen:
· Una corrección de media 42 días más rápida para las vulnerabilidades de alta gravedad en 2025
· Una corrección 25 días más rápida de media para las vulnerabilidades de gravedad crítica en 2025
· Una reducción media del 47% en el MTTR entre los clientes de Synack
· El 37% de las vulnerabilidades identificadas en 2025 eran de gravedad crítica o alta
· Los sectores de la fabricación (43,1%) y la tecnología (40,0%) registraron la mayor concentración de vulnerabilidades de gravedad crítica y alta
· Aumento del 120% en las misiones de seguridad de IA y LLM respecto al año anterior
· Las vulnerabilidades de inyección representaron el 40,6% de los hallazgos, mientras que los fallos en el control de acceso representaron el 32,8%

El reto operativo descrito a lo largo del informe —la reducción de las ventanas de explotación en superficies de ataque más amplias y dinámicas— es precisamente la razón por la que Synack desarrolló Sara AI Pentesting.

Sara, la herramienta de pruebas de penetración impulsada por IA de Synack, combina IA autónoma con la experiencia del Synack Red Team para validar continuamente las superficies de ataque de las empresas a gran escala. Sara automatiza el reconocimiento, el mapeo de la superficie de ataque y la exploración de vulnerabilidades, mientras que los investigadores humanos de élite de Synack validan la explotabilidad en el mundo real y las rutas de ataque de alto impacto que la automatización por sí sola suele pasar por alto. Juntos, Sara AI Pentesting y el Synack Red Team ofrecen una validación de seguridad continua al combinar la escala impulsada por la IA con la validación de vulnerabilidades dirigida por humanos.

Dónde conseguir el informe

El informe «2026 State of Vulnerabilities» de Synack está disponible para su descarga en: go.synack.com/2026-state-of-vulnerabilities-report