Vulnerabilidades y políticas de seguridad insuficientes dejan expuestas a infinidad de empresas
Un estudio reciente de diversas firmas digitales ha puesto en evidencia una preocupante realidad en el ámbito de las empresas, ya que más del 70% de las compañías no implementan actualizaciones regulares en sus sistemas expuestos a Internet. Esto las convierte en objetivos vulnerables para ciberataques de gran envergadura.
El análisis del estudio, el cual ha sido realizado en colaboración con una firma especializada en evaluación de riesgos informáticos, ha enfatizado una tendencia que resulta alarmante; los equipos de seguridad cibernética se ven cada vez más abrumados ante el flujo incesante de nuevas vulnerabilidades que se hacen públicas.
Esta sobrecarga, también conocida como fatiga de vulnerabilidades, impide que muchas empresas logren mantener al día la protección de sus infraestructuras digitales. algunos expertos en riesgos cibernéticos de las firmas que realizaron la investigación señalan que el problema no solo es frecuente, también representa un peligro crítico para las organizaciones.
El estudio sugiere que algunas de las compañías analizadas muestran retrasos significativos en la reparación de vulnerabilidades específicas, lo que incrementa el riesgo de que los sistemas sean comprometidos.
Para este informe se examinaron más de 7 mil empresas de los sectores financiero y corporativo durante el año 2023, con especial atención en aquellas que operan conectadas a la red, lo que en términos de ciberseguridad se conoce como la superficie de ataque.
Uno de los hallazgos más preocupantes del informe es laineficiencia de muchas organizaciones en la aplicación de parches de seguridad. Los datos revelan que más del 35% de las empresas implementa estos parches de manera esporádica, mientras que más del 40% lo hace con menor frecuencia o rara vez.
En otras palabras, 7 de cada 10 compañías carecen de una estrategia eficaz para corregir fallos críticos en sus sistemas, lo que las deja expuestas a incidentes de seguridad que podrían prevenirse con la gestión adecuada.
El estudio señala también que una de las causas de este problema radica en la abrumadora cantidad de vulnerabilidades descubiertas cada año, lo que está dificultando el establecimiento de prioridades clares acerca de cuáles deben abordarse con urgencia.
De manera tradicional, el Common Vulnerability Scoring System (CVSS) ha sido el estándar utilizado para clasificar la severidad de estas fallas, basándose en criterios como la facilidad de exploración o el daño potencial. No obstante, este sistema presenta limitaciones, ya que no siempre toma en cuenta el contexto real de las amenazas.
Como alternativa, el informe sugiere la adopción del Exploit Prediction Security Score o EPSS, a diferencia del CVSS, este incorpora un análisis contextual más preciso, al considerar factores como la existencia de códigos de explotación en circulación, menciones en foros y redes sociales, así como el uso de estas vulnerabilidades en herramientas ofensivas de seguridad.
Otro aspecto crítico que resalta este informe es la prevalencia de vulnerabilidades antiguas en los sistemas empresariales. Se estima que más del 30% de las fallas identificadas se originaron en el año 2026, mientras que casi 3 cuartas partes de ellas han sido divulgadas hace más de 7 años.
De hecho, algunas de estas vulnerabilidades han estado presentes en sistemas informáticos por más de 20 años, lo que indica una falta de actualización que podría tener consecuencias devastadoras para todo tipo de empresas.
