El 35% de las vulnerabilidades sigue abierta al mes de su detección

El problema que suponen las vulnerabilidades críticas no parece tener fin. Pese a que cada vez se hace un mejor trabajo de corrección, su volumen crece a tal velocidad que es complicado seguirles el ritmo. Así, la cifra de vulnerabilidades que se corrigen a tiempo ha crecido enormemente, pero mucho más lo ha hecho el número total de vulnerabilidades existentes.

Así lo reflejan tanto los datos del informe de Verizon 2026 Data Breach Investigations Report, como los del estudio The broken Phisics of Remediation que se utilizó en la elaboración del primero. El volumen de amenazas se ha multiplicado por 8 en cuatro años, un volumen tan abrumador que es difícil hacerle frente sin sistemas de automatización e inteligencia artificial.

El catálogo de vulnerabilidades que explotadas activamente (KEV) que elabora CISA señala que hasta un 35% de las vulnerabilidades ya conocidas siguen abiertas 28 días después de que hayan aparecido en él. Pero hay un 9% que sigue sin resolverse a largo plazo. Porcentajes sobre un total de 1.000 millones de registros anónimos vinculados a KEV.

Antes de llegar a este catálogo, en 2025 se corrigieron de forma proactiva nada menos que 63,7 millones de vulnerabilidades, un 30% más que en 2024. Pese a esta mejoría, la tasa de remediación proactiva bajo del 16,6% al 12,1%. La razón el enorme aumento de la carga total de trabajo, que subió un 78%. Para Sergio Pedroche, country manager de Qualys Iberia, “estos datos reflejan la urgente necesidad de un cambio arquitectónico profundo basado en la automatización y la remediación autónoma”.