Los atacantes aceleran la explotación de vulnerabilidades con IA
- Seguridad
Las organizaciones han logrado reducir un 47% sus tiempos medios de corrección y acortar en 42 días la resolución de vulnerabilidades graves. Sin embargo, las empresas solo están evaluando el 32% de su superficie de ataque, dejando miles de activos sin validar.
Synack ha publicado su Informe de Vulnerabilidades 2026, un análisis de más de 11.000 vulnerabilidades explotables detectadas en los entornos de sus clientes durante 2025, que dibuja un panorama de amenazas marcado por la aceleración de los adversarios impulsados por inteligencia artificial y por un esfuerzo creciente de las organizaciones para reducir sus ventanas de exposición.
El estudio muestra que, aunque el volumen total de vulnerabilidades se mantuvo estable, las de mayor impacto aumentaron y los atacantes están aprovechando debilidades críticas en identidad, autenticación y encadenamiento de exploits. En paralelo, las organizaciones que adoptan modelos de validación continua están logrando reducir significativamente sus tiempos de corrección.
Las vulnerabilidades críticas crecen mientras la IA acelera la explotación
El informe confirma que las vulnerabilidades con puntuaciones CVSS altas aumentaron un 10% interanual, con incrementos especialmente pronunciados en ejecución remota de código (39%), ataques de fuerza bruta (17,4%) e inyección de contenido (8%).
En conjunto, el 37% de las vulnerabilidades identificadas en 2025 fueron de gravedad crítica o alta, con una concentración especialmente elevada en los sectores de fabricación (43,1%) y tecnología (40%). A ello se suma un incremento del 20% en las CVE publicadas, que alcanzaron las 48.244 según cve.org, y un aumento del 120% en las misiones de seguridad de IA y LLM en la plataforma de Synack, reflejo de la creciente preocupación por la infraestructura de IA como superficie de ataque.
En este contexto, Mark Kuhr, director técnico y cofundador de Synack, advierte de que “el tiempo es la mayor vulnerabilidad”, ya que los adversarios pueden encontrar y explotar fallos con una rapidez inédita gracias a la IA.
Pese al aumento de la presión, el informe muestra señales de respuesta por parte de las organizaciones. En 2025, los clientes de Synack redujeron el tiempo medio de corrección de vulnerabilidades de alta gravedad en 42 días respecto a 2024, y el MTTR global cayó un 47%. Las vulnerabilidades críticas se corrigieron 25 días más rápido de media.
Sin embargo, el estudio también revela que las empresas solo prueban alrededor del 32% de su superficie de ataque, dejando miles de activos fuera de los programas habituales de validación.
Para Angela Heindl-Schober, directora de marketing de Synack, esta brecha demuestra que “las pruebas de penetración puntuales tradicionales no pueden seguir el ritmo de las amenazas impulsadas por la IA”, y que la validación continua se está imponiendo como nuevo estándar operativo.
