El 35% de las vulnerabilidades críticas siguen abiertas un mes después de ser detectadas. Así lo refleja el último estudio de investigación sobre brechas de datos (DBIR) de Verizon, tomando a su vez como base de referencia un reciente informe de Qualys titulado “The broken Phisics of Remediation”.

El análisis, basado en más de 1.000 millones de registros anónimos vinculados al catálogo de vulnerabilidades explotadas activamente de CISA (KEV), muestra que el 35% de las vulnerabilidades conocidas seguían abiertas 28 días después de su inclusión en el catálogo oficial, mientras que un 9% permanece sin resolver a largo plazo, lo que equivale a cerca de 47 millones de instancias sin una vía clara de cierre bajo los modelos actuales de operación. La conclusión es que las organizaciones están corrigiendo más vulnerabilidades que nunca, pero aun así siguen perdiendo terreno frente al crecimiento exponencial de las amenazas.

El estudio de Qualys revela, asimismo, que el volumen de amenazas se ha multiplicado casi por 8 en cuatro años, y que los modelos tradicionales de remediación ya no logran seguir el ritmo de los atacantes. Tras analizar cuatro años consecutivos de datos, el DBIR concluye que existe un límite operativo difícil de superar para cualquier modelo dependiente de validaciones humanas, ventanas de mantenimiento y controles de aprobación.

El informe de Verizon describe este fenómeno como “una cinta de correr que no para de acelerar”: los equipos de seguridad trabajan más rápido y con mayor intensidad, pero el volumen de exposición crece a un ritmo todavía mayor. Así, el número total de vulnerabilidades vinculadas a KEV se multiplicó por 7,7 en apenas cuatro años, pasando de 68,7 millones de instancias a 527,3 millones. En paralelo, el volumen de vulnerabilidades pendientes tras 28 días aumentó de 31 millones a 184 millones.

Otro de los aspectos relevantes del análisis de Qualys es que el deterioro de los resultados no se debe a un menor rendimiento operativo. Según los datos, el tiempo medio entre la detección y el cierre de una vulnerabilidad se mantuvo estable en 9 días, y el número de vulnerabilidades corregidas, en términos absolutos, fue mayor que en cualquier ejercicio anterior. El problema, a la luz de los datos, es puramente estructural: la capacidad humana y operativa ya no escala al mismo ritmo que la economía de las amenazas.

El informe DBIR también identifica a una serie de organizaciones que están logrando mejores resultados gracias a estrategias de remediación proactiva mediante modelos basados en priorización de riesgos, inteligencia contextual y análisis del comportamiento para anticiparse a la explotación. Pero incluso estos enfoques muestran signos de agotamiento, como refleja que, durante 2025, se corrigieron de forma proactiva 63,7 millones de vulnerabilidades antes de su incorporación a KEV -un 30% más que el año anterior- y, aun así, la tasa de remediación proactiva descendió del 16,6% al 12,1% debido al incremento de la carga total de trabajo, que se incrementó en un 78%.

“Estos datos reflejan la urgente necesidad de un cambio arquitectónico profundo basado en la automatización y la remediación autónoma”, ha asegurado Sergio Pedroche, Country Manager de Qualys Iberia. “Es lo que nosotros denominamos Risk Operations Center (ROC), un modelo diseñado para dirigir automáticamente las exposiciones validadas hacia procesos de corrección sin intervención manual constante”.