Una reciente evaluación apunta a que en 2025 se alcanzarán cifras récord en cuanto a la notificación de vulnerabilidades, lo que sigue la tendencia de incremento de los riesgos en ciberseguridad y la divulgación de fallos de seguridad.
Examinando por vez inicial
El informe publicado por FIRST, una organización mundial que coordina respuestas a la ciberseguridad, proyecta cerca de 50.000 vulnerabilidades para el año 2025. Esto representa un aumento del 11% con respecto a 2024 y un aumento del 470% en comparación con 2023. Según el informe, se recomienda que las organizaciones cambien de enfoque de seguridad reactivo a uno más estratégico, priorizando las vulnerabilidades basadas en el riesgo, planificando eficazmente las actualizaciones y anticipando los crecientes descubrimientos en lugar de intentar ponerse al día una vez que ocurren.
¿Cuál es la razón detrás del incremento de las vulnerabilidades?
Existen tres corrientes que están contribuyendo al incremento de vulnerabilidades.
El avance de la inteligencia artificial y el crecimiento del software de código abierto están acelerando la aparición de vulnerabilidades de seguridad conocidas como CVE.
La inteligencia artificial está ayudando a detectar vulnerabilidades en el software de forma más eficiente, lo que resulta en un aumento en los informes de CVE. Los investigadores de seguridad pueden utilizar el aprendizaje automático y herramientas automatizadas para analizar grandes cantidades de código y encontrar rápidamente fallos que de otra manera podrían haber pasado desapercibidos con métodos convencionales.
El comunicado de prensa resalta la importancia de la inteligencia artificial.
El uso creciente de software de código abierto y el avance de la inteligencia artificial han facilitado la detección y reporte de vulnerabilidades al identificar defectos con mayor rapidez.
2. Incursiones digitales de carácter bélico y patrocinadas por entidades gubernamentales.
Los ciberataques respaldados por el Estado están en aumento, lo que resulta en una mayor identificación de este tipo de debilidades.
El comunicado de prensa proporciona información detallada acerca de…
“La participación creciente de gobiernos y entidades estatales en operaciones cibernéticas está aumentando la vulnerabilidad de la seguridad informática.”
Cambios en la comunidad de seres vivos del ecosistema.
Patchstack, una empresa especializada en seguridad para WordPress, se encarga de identificar y corregir fallas de seguridad. Su labor contribuye al incremento anual de vulnerabilidades detectadas. Patchstack brinda servicios de detección de vulnerabilidades y aplicación de parches virtuales. La presencia de Patchstack en este entorno está contribuyendo a revelar más vulnerabilidades, en particular aquellas que afectan a WordPress.
La información proporcionada al periódico Search Engine Journal en el comunicado de prensa afirma:
“Nuevos participantes en la comunidad CVE, como Linux y Patchstack, están impactando en la forma en que se divulgan las vulnerabilidades y aumentando la cantidad de vulnerabilidades reportadas. Patchstack, especializado en la seguridad de WordPress, está contribuyendo a descubrir vulnerabilidades que podrían haber pasado desapercibidas antes. Con la expansión del ecosistema CVE, es necesario que las organizaciones ajusten sus estrategias de evaluación de riesgos para adaptarse a este entorno en constante cambio.”
Eireann Leverett, quien es miembro de enlace de FIRST y miembro principal del equipo de predicción de vulnerabilidad de FIRST, resaltó la rápida expansión de las vulnerabilidades informadas y la importancia de adoptar una gestión de riesgos proactiva.
En un sitio de comercio electrónico de tamaño pequeño a mediano, las vulnerabilidades del software que requieren ser actualizadas suelen implicar la contratación de socios externos bajo un acuerdo de nivel de servicio (SLA) para administrar las actualizaciones y reducir el tiempo de inactividad. Estas empresas no suelen examinar cada vulnerabilidad individual, pero deben estar preparadas para solicitar un mayor soporte a sus proveedores de tecnología de terceros para el mantenimiento programado y no planificado. Aunque es posible que no realicen evaluaciones detalladas de riesgos internamente, pueden tener dudas sobre los procesos de gestión de riesgos que sus equipos de tecnología o socios externos han implementado. En situaciones en las que intervengan terceros, como centros de operaciones de seguridad (SOC) o proveedores de servicios de seguridad gestionada (MSSP), la revisión de los acuerdos de nivel de servicio en los contratos se vuelve especialmente relevante.
Las empresas suelen contar con equipos internos que llevan a cabo evaluaciones de riesgos detalladas y cuantitativas de sus activos, aunque a veces estos registros pueden ser incompletos. Estos equipos deben estar preparados para evaluar emergencias y corregir vulnerabilidades, distinguiendo entre sistemas críticos y no críticos. Herramientas como el SSVC y el EPSS pueden utilizarse para priorizar la aplicación de parches según factores como el ancho de banda, almacenamiento de archivos y el factor humano en los riesgos de mantenimiento y tiempo de inactividad.
Nuestras proyecciones están diseñadas para ayudar a las organizaciones a planificar estratégicamente sus recursos con al menos un año de anticipación, mientras que SSVC y EPSS ofrecen una visión táctica de las necesidades críticas actuales. En comparación, la predicción de la vulnerabilidad se asemeja a un almanaque que le permite planificar su jardín con meses de antelación, mientras que un reporte meteorológico (a través de EPSS y SSVC) le guía en sus decisiones diarias. En resumen, todo se reduce a cuánto tiempo desea planificar su estrategia de gestión de la vulnerabilidad.
Hemos observado que los consejos de dirección valoran la comprensión de que la cantidad de vulnerabilidades está en aumento. Es crucial contar con una tolerancia al riesgo bien establecida para evitar que los costos se vuelvan inmanejables. Estas previsiones ayudan a mostrar la carga de trabajo y las implicaciones de los costos al establecer diferentes niveles de riesgo para la empresa.
Observando hacia el futuro en 2026 y en adelante.
La estimación de FIRST señala que se esperan más de 51.000 vulnerabilidades para el año 2026, lo que sugiere un aumento continuo en los riesgos de ciberseguridad. Esto subraya la importancia cada vez mayor de gestionar proactivamente los riesgos en lugar de confiar en medidas de seguridad reactivas.
Para aquellos que utilizan software como WordPress, existen diversas formas de reducir los riesgos de seguridad cibernética. Patchstack, Wordfence y Sucuri presentan distintas maneras de reforzar la protección a través de estrategias defensivas anticipadas.
Las personas más importantes involucradas son:
- Las debilidades están en aumento, se espera que haya hasta 50,000 CVEs en 2025, lo que representa un incremento del 11% con respecto a 2024 y un aumento del 470% con respecto a 2023, según la predicción de FIRST.
- La combinación de inteligencia artificial y el uso de software de código abierto está contribuyendo a aumentar la exposición de vulnerabilidades en la seguridad.
- La ciberactividad respaldada por el Estado está revelando más vulnerabilidades de seguridad.
- Es fundamental pasar de la seguridad que responde a problemas a la que anticipa y previene riesgos para poder gestionarlos adecuadamente.
Revisar la Previsión de Vulnerabilidad para el año 2025.
Predicción de riesgos para el año 2025.
Imagen principal proporcionada por Shutterstock del autor Gorodenkoff.
