Un reciente estudio pronostica que la cantidad de vulnerabilidades reportadas alcanzará niveles históricos en el año 2025, siguiendo la tendencia de incremento en los riesgos de seguridad informática y en la divulgación de vulnerabilidades.
Examinando por vez inicial
El reporte, publicado por el Forum of Incident Response and Security Teams (FIRST), una organización global que coopera en las respuestas a amenazas de ciberseguridad, predice cerca de 50,000 vulnerabilidades para el año 2025, representando un incremento del 11% respecto al 2024 y un aumento del 470% desde el 2023. Se recomienda en el informe que las empresas cambien su enfoque de seguridad reactiva a uno más estratégico, que priorice las vulnerabilidades basadas en el riesgo. Esto implica planificar con anticipación los esfuerzos de corrección de vulnerabilidades y estar preparados para un aumento en las revelaciones, en lugar de tratar de ponerse al día una vez que se han producido.
¿Cuál es la razón detrás del incremento de las vulnerabilidades?
Existen tres corrientes que están contribuyendo al incremento de vulnerabilidades.
El avance de la inteligencia artificial y el crecimiento del software de código abierto están acelerando la identificación de vulnerabilidades de seguridad.
La inteligencia artificial, con su capacidad de detectar vulnerabilidades en el software mediante el aprendizaje automático y herramientas automatizadas, está contribuyendo a aumentar la identificación de fallos en los sistemas informáticos, lo que resulta en un incremento en los informes de CVE. Gracias a la IA, los expertos en seguridad pueden analizar extensas cantidades de código de manera eficiente para identificar rápidamente posibles fallos que de otra forma podrían haber pasado desapercibidos con métodos convencionales.
El comunicado de prensa resalta la función de Inteligencia Artificial.
“El aumento en la cantidad de software ha incrementado la presencia de vulnerabilidades, ya que la rápida adopción de software de código abierto y el uso de inteligencia artificial para descubrir fallos han facilitado la identificación y reporte de defectos.”
2. Ciberataques de naturaleza bélica y auspiciados por el gobierno.
Los ciberataques respaldados por gobiernos están en aumento, lo que resulta en la revelación de un mayor número de vulnerabilidades de este tipo.
El comunicado de prensa proporciona información detallada sobre…
Actividad de ciberespionaje respaldada por los Estados: Los gobiernos y sus representantes están cada vez más involucrados en acciones cibernéticas, lo que resulta en la revelación de más vulnerabilidades en términos de seguridad.
Modificaciones en el entorno natural de CVE.
Patchstack, una empresa especializada en seguridad para WordPress, descubre y soluciona fallos de seguridad, lo que contribuye al aumento anual de vulnerabilidades detectadas. A través de su servicio de detección y parcheo de vulnerabilidades, Patchstack está ayudando a identificar más fallos, en particular aquellos que afectan a WordPress.
La información proporcionada al Search Engine Journal en el comunicado de prensa dice:
“Recientes participantes en el ámbito de las vulnerabilidades CVE, como Linux y Patchstack, están influyendo en las prácticas de divulgación y contribuyendo a un aumento en la cantidad de vulnerabilidades reportadas. Patchstack, especializado en la seguridad de WordPress, está teniendo un impacto en la identificación de vulnerabilidades que podrían haber pasado desapercibidas previamente. A medida que el alcance del ecosistema CVE se amplía, las empresas deben ajustar sus estrategias de evaluación de riesgos para adaptarse a este panorama en constante evolución.”
Eireann Leverett, quien es parte del FIRST como enlace y lidera el equipo de predicción de vulnerabilidades, resaltó el aumento en la rapidez con la que se reportan vulnerabilidades y la importancia de adoptar una estrategia proactiva de gestión de riesgos.
Para un sitio de comercio en línea de tamaño moderado, las vulnerabilidades que requieren parches suelen implicar la contratación de socios externos con un acuerdo de nivel de servicio para manejar los parches y reducir al mínimo el tiempo de inactividad. Estas empresas no suelen examinar cada Vulnerabilidad y Exposición Común (CVE) de forma individual, pero deben asegurarse de que sus proveedores de tecnologías de la información de terceros estén preparados para el mantenimiento programado y no programado. Aunque es posible que no realicen evaluaciones exhaustivas de los riesgos internamente, es importante que se informen sobre los procesos de gestión de riesgos establecidos por sus equipos de TI o colaboradores externos. En los casos en que terceros, como Centros de Operaciones de Seguridad (SOC) o Proveedores de Servicios de Seguridad Gestionados (MSSP), estén involucrados, la revisión de los acuerdos de nivel de servicio en los contratos se vuelve crucial.
Las empresas suelen contar con equipos internos especializados que realizan evaluaciones de riesgos detalladas y cuantitativas en una amplia variedad de activos, aunque a veces estos registros pueden estar incompletos. Estos equipos deben ser capaces de identificar y abordar rápidamente vulnerabilidades específicas, priorizando sistemas críticos sobre los no críticos. Herramientas como el SSVC y el EPSS pueden utilizarse para ayudar en la priorización de parches, considerando factores como el ancho de banda, el almacenamiento de archivos y el factor humano en los riesgos de mantenimiento y tiempo de inactividad.
Nuestros pronósticos están diseñados para ayudar a las organizaciones a planificar sus recursos estratégicamente con un año o más de anticipación, mientras que SSVC y EPSS proporcionan una visión táctica de lo que es crítico en el presente. En comparación, la predicción de vulnerabilidades se asemeja a un almanaque que le permite planificar su jardín con meses de antelación, a diferencia de un informe meteorológico (a través de EPSS y SSVC) que orienta sus decisiones diarias de vestimenta. En definitiva, todo depende de cuánto desee planificar su estrategia de gestión de vulnerabilidades.
Hemos observado que los consejos de dirección valoran la importancia de reconocer que la cantidad de vulnerabilidades está en aumento. Es crucial establecer una tolerancia al riesgo bien definida para evitar que los costos se vuelvan difíciles de manejar. Estas proyecciones ayudan a mostrar la carga de trabajo y las implicaciones de establecer diferentes niveles de riesgo para la empresa.
Consulte además: La guía de protección de WordPress para garantizar la seguridad de su página web.
Observando en dirección al año 2026 y el futuro.
Según la previsión de FIRST, se espera que se revelen más de 51.000 vulnerabilidades en el año 2026, lo que sugiere que los riesgos en ciberseguridad continuarán incrementándose. Esto destaca la importancia creciente de gestionar los riesgos de forma proactiva en lugar de depender de medidas reactivas de seguridad.
Para las personas que utilizan software como WordPress, existen diversas formas de reducir los riesgos de seguridad cibernética. Patchstack, Wordfence y Sucuri presentan distintas formas de mejorar la seguridad mediante tácticas defensivas proactivas.
Las personas más destacadas involucradas son:
- Las debilidades en la seguridad están en aumento, con una predicción de hasta 50.000 CVEs para el año 2025, lo que representa un incremento del 11% con respecto al año anterior y un aumento del 470% en comparación con el año 2023.
- La combinación de inteligencia artificial y la adopción de código abierto está promoviendo la revelación de una mayor cantidad de vulnerabilidades.
- La ciberactividad respaldada por el Estado está revelando más vulnerabilidades de seguridad.
- Es fundamental pasar de un enfoque de seguridad que responde a eventos a uno que anticipa y previene riesgos para una gestión efectiva de la seguridad.
Revisar la Previsión de Vulnerabilidad para el año 2025.
Proyección de fragilidad para el año 2025.
La imagen principal es proporcionada por Shutterstock/Gorodenkoff.
