Informe revela que la mayoría las empresas poseen fallas de seguridad explotables
El panorama actual de la ciberseguridad no ha sufrido de falta de información, sino de un exceso de ruido ensordecedor que puede paralizar a los equipos de ciberdefensa. Según informes recientes de expertos, han puesto sobre la mesa una realidad incómoda: más del 85% de las empresas operan con una vulnerabilidad explotable al menos, en sus entornos de producción.
No se trata de un fallo secundario, se está hablando de una debilidad estructural que afecta directamente a más del 45% de todos los servicios activos en todo el planeta.
Los estudios, basados en la telemetría de decenas de miles de aplicaciones, revela una jerarquía de riesgo clara, según el ecosistema tecnológico. Los servicios basados en Java encabezan la lista de peligros con un 60% de vulnerabilidades detectadas, seguidos por .NET con un 48% y, sorprendentemente, Rust con un 40%, un lenguaje de programación a menudo elogiado por su seguridad de memoria, pero que no es inmune a las dependencias críticas.
Sin embargo, aquí es donde la mayoría de los CISO y desarrolladores pierden el rumbo. Los informes arrojan un dato revelador que debería cambiar la forma en la que se gestionan las CVE o Vulnerabilidades y Exposiciones Comunes. Solo el 20% de las vulnerabilidades calificadas como críticas mantienen su estatus una vez que se ajusta su puntuación según el contexto de ejecución.
Este fenómeno es particularmente extremo en entornos .NET, donde un asombroso 98% de las vulnerabilidades en dependencias son degradadas de “críticas” a menores cuando se analiza el contexto real. ¿A qué se refiere el contexto? A la diferencia entre la teoría y la práctica.
Para poder determinar el riesgo real, se debe establecer las preguntas como: ¿está el código afectado realmente en producción? ¿El servicio se encuentra bajo un ataque activo? ¿Existe un exploit público y estable? Si las respuestas son negativas, la urgencia es artificial.
TIC Defense es una empresa que se enfoca en la prevención, respuesta rápida y en la adopción de tecnologías innovadoras para aumentar las defensas cibernéticas de las organizaciones. Por ello, contamos con un conjunto de herramientas y servicios que se adaptan a las necesidades de las organizaciones.
Como señalan los expertos y directores de defensa de seguridad, cuando absolutamente todo lleva la etiqueta de “crítico”, nada lo es. Esta inflación de la gravedad genera una fatiga de alertas que permite que las amenazas auténticas se filtren entre el ruido, provocando burnout en los equipos y tiempos de respuesta mediocres.
Los informes identifican también una peligrosa dualidad en la gestación de actualizaciones. Por un lado, la inercia; la dependencia de software promedio tiene hoy más de 270 días de retraso respecto a su versión más reciente, lo que supone un incremento de 63 dúas en comparación con el año pasado.
En Java, la situación es preocupante, con una media de casi 500 días de obsolescencia. Es una relación matemática sencilla: a mayor antigüedad, mayor acumulación de vulnerabilidades. Una librería de 2023 promedia 3.8 vulnerabilidades, mientras que una de 2025 apenas registra 1.3 vulnerabilidades.
Por otro lado, se encuentra la “trampa de la velocidad”. Más del 55% de las empresas adoptan nuevas versiones de librerías apenas 24 horas después de su lanzamiento. Esta prisa ciega es un regalo para los ciberdelincuentes de la cadena de suministro.
