Un nuevo análisis predice que el número de vulnerabilidades reportadas alcanzará los máximos récord en 2025, continuando la tendencia de los riesgos crecientes de ciberseguridad y mayores divulgaciones de vulnerabilidad.

Análisis por primero

El análisis fue publicado por el Foro de Respuesta a Incidentes y Equipos de Seguridad (primero), una organización global que ayuda a coordinar las respuestas de seguridad cibernética. Pronocina casi 50,000 vulnerabilidades en 2025, un aumento del 11% más de 2024 y un aumento del 470% de 2023. El informe sugiere que las organizaciones deben cambiar de las medidas de seguridad reactivas a un enfoque más estratégico que es un enfoque más estratégico que es que las vulnerabilidades basadas en el riesgo, planificando los esfuerzos de manera eficiente y la preparación de las surgencias en las desclosuros en lugar de luchar a mantener la prioridad después del hecho.

¿Por qué aumentan las vulnerabilidades?

Hay tres tendencias que impulsan el aumento de las vulnerabilidades.

1. El descubrimiento impulsado por la IA y la expansión de código abierto están acelerando las divulgaciones de CVE.

La IA es el descubrimiento de vulnerabilidad, incluido el aprendizaje automático y las herramientas automatizadas están facilitando la detección de vulnerabilidades en el software que a su vez conduce a más informes de CVE (vulnerabilidades y exposiciones comunes). La IA permite a los investigadores de seguridad escanear mayores cantidades de código para identificar rápidamente fallas que habrían pasado desapercibidas utilizando métodos tradicionales.

El comunicado de prensa destaca el papel de AI:

“Más software, más vulnerabilidades: la rápida adopción del software de código abierto y el descubrimiento de vulnerabilidad impulsado por la IA han facilitado la identificación e informar fallas”.

2. Guerra cibernética y ataques patrocinados por el estado

Los ataques patrocinados por el estado están aumentando, lo que a su vez conduce a que se descubran más de este tipo de vulnerabilidades.

El comunicado de prensa explica:

“Actividad cibernética patrocinada por el estado: los gobiernos y los actores de estado-nación se involucran cada vez más en las operaciones cibernéticas, lo que lleva a que se expusen más debilidades de seguridad”.

3. Cambios en el ecosistema CVE

PatchStack, una compañía de seguridad de WordPress, identifica y parche las vulnerabilidades. Su trabajo se suma al número de vulnerabilidades descubiertas cada año. PatchStack ofrece detección de vulnerabilidad y parches virtuales. La participación de Patchstack en este ecosistema está ayudando a exponer más vulnerabilidades, particularmente aquellas que afectan a WordPress.

El comunicado de prensa proporcionado a la revista de búsqueda de motores de búsqueda establece:

“Los nuevos contribuyentes al ecosistema CVE, incluidos Linux y Patchstack, están influyendo en los patrones de divulgación y aumentando el número de vulnerabilidades informadas. PatchStack, que se centra en la seguridad de WordPress, está jugando un papel en la superficie de las vulnerabilidades que podrían haber pasado desapercibidas. A medida que el ecosistema CVE se expande, las organizaciones deben adaptar sus estrategias de evaluación de riesgos para dar cuenta de este panorama en evolución “.

Eireann Leverett, primer enlace y miembro principal del equipo de pronóstico de vulnerabilidad de First, destacó el crecimiento acelerado de las vulnerabilidades reportadas y la necesidad de gestión de riesgos proactivos, declarando:

“Para un sitio de comercio electrónico pequeño a mediano, parchear vulnerabilidades generalmente significa contratar socios externos bajo un SLA para administrar parches y minimizar el tiempo de inactividad. Estas compañías generalmente no analizan cada CVE individualmente, pero deben anticipar mayores demandas de sus proveedores de TI de terceros para el mantenimiento planificado y no planificado. Si bien es posible que no realicen evaluaciones detalladas de riesgos internamente, pueden consultar sobre los procesos de gestión de riesgos que sus equipos de TI o socios externos tienen en su lugar. En los casos en que los terceros, como SOC o MSSP, están involucrados, revisar las SLA en los contratos se vuelve especialmente importante.

Para las empresas empresariales, la situación es similar, aunque muchos tienen equipos internos que realizan evaluaciones de riesgos cuantitativas más rigurosas en un registro de activos amplio (y a veces incompleto). Estos equipos deben estar equipados para llevar a cabo evaluaciones de emergencia y vulnerabilidades individuales de triaje, a menudo diferenciando entre los sistemas de misión crítica y no crítica. Herramientas como SSVC (https://www.cisa.gov/ssvc-calculator) y EPSS (https://www.first.org/epss/) se pueden usar para informar la priorización de parches mediante el factorización en el nivel de banda, el almacenamiento de archivos y el elemento humano en el mantenimiento y los riesgos de tiempo de inactividad.

Nuestros pronósticos están diseñados para ayudar a las organizaciones estratégicamente a planificar recursos con un año o más de anticipación, mientras que SSVC y EPSS proporcionan una visión táctica de lo que es crítico hoy en día. En este sentido, el pronóstico de vulnerabilidad es como un almanaque que lo ayuda a planificar su jardín con meses de anticipación, mientras que un informe meteorológico (a través de EPSS y SSVC) guía sus opciones diarias de atuendo. En última instancia, todo se reduce a qué tan lejos desea planificar su estrategia de gestión de vulnerabilidad.

Hemos descubierto que las juntas directivas, en particular, aprecian la comprensión de que la marea de vulnerabilidades está aumentando. Una tolerancia al riesgo claramente definida es esencial para evitar que los costos se vuelvan inmanejables, y estos pronósticos ayudan a ilustrar la carga de trabajo y las implicaciones de costos de establecer varios umbrales de riesgo para el negocio “.

Mirando hacia el futuro hasta 2026 y más allá

El primer pronóstico predice que más de 51,000 vulnerabilidades se revelarán en 2026, lo que indica que los riesgos de ciberseguridad continuarán aumentando. Esto subraya la creciente necesidad de gestión de riesgos proactivos en lugar de depender de medidas de seguridad reactivas.

Para los usuarios de software como WordPress, hay múltiples formas de mitigar las amenazas de ciberseguridad. Patchstack, Wordfence y Sucuri ofrecen cada uno diferente enfoques para fortalecer la seguridad a través de estrategias de defensa proactivas.

Las principales conclusiones son:

• Las vulnerabilidades están aumentando: primero predice hasta 50,000 CVE en 2025, un aumento del 11% de 2024 y un aumento del 470% de 2023.
• La IA y la adopción de código abierto están impulsando más revelaciones de vulnerabilidad.
• La actividad cibernética patrocinada por el estado está exponiendo más debilidades de seguridad.
• Cambiar de seguridad reactiva a proactiva es esencial para gestionar los riesgos.

Lea el pronóstico de vulnerabilidad 2025:

Previsión de vulnerabilidad para 2025

Imagen destacada de Shutterstock/Gorodenkoff