La carrera por cada nuevo CVE
Según varios informes de la industria de 2025: aproximadamente entre el 50 y el 61 por ciento de las vulnerabilidades recientemente reveladas vieron cómo el código de explotación se convertía en armamento en 48 horas. Utilizando el catálogo de vulnerabilidades explotadas conocidas de CISA como remisión, ahora se confirma que cientos de fallas de software son atacadas activamente a los pocos días de su divulgación pública. Cada nuevo anuncio desencadena ahora una carrera entero entre atacantes y defensores. Entreambos lados monitorean las mismas transmisiones, pero uno se mueve a la velocidad de una máquina mientras que el otro se mueve a la velocidad humana.
Los principales actores de amenazas han industrializado completamente su respuesta. En el momento en que aparece una nueva vulnerabilidad en las bases de datos públicas, los scripts automatizados la rastrean, analizan y evalúan su potencial de explotación, y ahora estos esfuerzos se están simplificando cada vez más mediante el uso de la IA. Mientras tanto, los equipos de TI y seguridad suelen entrar en modo de clasificación, leyendo avisos, clasificando la pesantez y poniendo en culo las actualizaciones para el próximo ciclo de parches. Ese retraso es precisamente la brecha que aprovechan los adversarios.
La cadencia tradicional de parches trimestrales o incluso mensuales ya no es sostenible. Los atacantes ahora utilizan como armamento las vulnerabilidades críticas a las pocas horas de su divulgación, mucho antiguamente de que las organizaciones las hayan analizado o validado y, por lo normal, mucho antiguamente de que hayan implementado la opción.
La hacienda de explotación de la velocidad
El ecosistema de amenazas presente se zócalo en la automatización y el tamaño. Los corredores de exploits y los grupos afiliados operan como cadenas de suministro, cada uno de los cuales se especializa en una parte del proceso de ataque. Utilizan fuentes de vulnerabilidades, escáneres de código despejado y herramientas de toma de huellas digitales para comparar nuevos CVE con objetivos de software expuestos. Muchos de estos objetivos ya han sido identificados y estos sistemas saben de antemano qué objetivos tienen más probabilidades de ser susceptibles al ataque inminente. Este es un encaje de desenfundar rápido, anhelo el armamento más rápida.
La investigación de Mandiant muestra que la explotación a menudo comienza internamente de las 48 horas posteriores a la divulgación pública; en muchas organizaciones, TI opera 8 horas al día, dejando las 32 horas a cortesía de los atacantes. Esta eficiencia en las operaciones ilustra cómo los atacantes han eliminado casi todos los pasos manuales de su flujo de trabajo. Una vez que se confirma que un exploit funciona, se empaqueta y comparte en cuestión de horas en foros de la web oscura, canales internos y kits de malware.
El fracaso a escalera es aceptable
Los atacantes igualmente disfrutan de un fasto que los defensores no pueden permitirse: error. Si bloquean mil sistemas en el camino a comprometer cien, el esfuerzo sigue siendo un éxito. Sus métricas se basan en el rendimiento, no en el tiempo de actividad. Los defensores, por otra parte, deben ganar una estabilidad casi perfecta. Una sola modernización fallida o interrupción del servicio puede tener un impacto generalizado y provocar la pérdida de la confianza del cliente. Este desequilibrio permite a los adversarios contraer riesgos imprudentes mientras los defensores permanecen limitados, y eso igualmente ayuda a amparar la brecha operativa lo suficientemente amplia como para una explotación constante.
De la defensa a la velocidad humana a la resiliencia a la velocidad de las máquinas
La conciencia no es el problema. El desafío es la velocidad de ejecución. Los equipos de seguridad saben cuándo se publican las vulnerabilidades, pero no pueden llevar a cabo lo suficientemente rápido sin la automatización. La transición de parches manuales o basados en tickets a una remediación orquestada e impulsada por políticas ya no es opcional si desea seguir siendo competitivo en esta lucha.
Los sistemas automatizados de endurecimiento y respuesta pueden acortar drásticamente los períodos de exposición. Al aplicar continuamente parches críticos, hacer cumplir las líneas pulvínulo de configuración y utilizar la reversión condicional cuando sea necesario, las organizaciones pueden amparar la seguridad operativa mientras eliminan los retrasos. Y una dura aleccionamiento que muchos tendrán que exceder es el daño que tú Es casi seguro que el daño que pueda causar será pequeño y más casquivana de recuperar que un ataque. Es un aventura calculado y que se puede tramitar. La aleccionamiento es simple: ¿preferiría revertir una modernización del navegador para 1000 sistemas o recuperarlos por completo desde la copia de seguridad? No estoy sugiriendo que seas arrogante al respecto, sino que compares el valencia de tu fluctuación con el valencia de tu influencia, y cuando la influencia gane, audición tu instinto. Los líderes de TI deben comenzar a comprender esto y los líderes empresariales deben darse cuenta de que ésta es la mejor organización de TI. Absolutamente realizar pruebas y tener en cuenta la criticidad del negocio al nominar la velocidad a la que proceder en los sistemas críticos, pero inclinar todo el proceso con destino a una automatización simplificada y a cortesía de una influencia rápida.
Aplanar la curva del agotamiento
La automatización igualmente reduce la molestia y los errores. En espacio de perseguir alertas, los equipos de seguridad definen reglas una vez, lo que permite que los sistemas las apliquen continuamente. Este cambio convierte la ciberseguridad en un proceso adaptativo y autosostenible en espacio de un ciclo de clasificación y suturas manuales. En casi todos los casos se necesita menos tiempo para auditar y revisar los procesos que para implementarlos.
Esta nueva clase de sistemas de automatización de ataques no duermen, no se cansan y no les importan las consecuencias de sus acciones. Están singularmente enfocados en un objetivo: obtener acercamiento a tantos sistemas como puedan. No importa cuántas personas arrojes a este problema, el problema se agrava entre departamentos, políticas, personalidades y egos. Si tu objetivo es contender contra una máquina incansable, necesitas una máquina incansable en tu vértice del ring.
Cambiar lo que no se puede automatizar
Ni siquiera las herramientas más avanzadas pueden automatizarlo todo. Algunas cargas de trabajo son demasiado delicadas o están sujetas a marcos de cumplimiento estrictos. Pero esas excepciones aún deben examinarse a través de una única cristal: ¿Cómo pueden hacerse más automatizables, si no, al menos más eficientes?
Eso puede significar estandarizar configuraciones, segmentar sistemas heredados o optimizar las dependencias que ralentizan los flujos de trabajo de parches. Cada paso manual que se deja en marcha representa tiempo perdido, y el tiempo es el apelación que los atacantes explotan con anciano competencia.
Tenemos que analizar en profundidad las estrategias de defensa para determinar qué decisiones, políticas o procesos de aprobación están generando resistor. Si la prisión de mando o la mandato del cambio están frenando la remediación, puede que sea el momento de cambios radicales de política diseñado para eliminar esos cuellos de botella. La automatización de la defensa debe funcionar a un ritmo concorde con el comportamiento del atacante, no por conveniencia administrativa.
Defensa acelerada en la actos
Muchas empresas con visión de futuro ya han recogido el principio de defensa acelerada, combinando automatización, orquestación y reversión controlada para amparar la agilidad sin introducir caos.
Plataformas como Acción1 Facilite este enfoque al permitir que los equipos de seguridad identifiquen, implementen y verifiquen parches automáticamente en entornos empresariales completos. Esto elimina los pasos manuales que ralentizan la implementación de parches y cierra la brecha entre el conocimiento y la influencia. SI sus políticas son sólidas, su automatización es sólida y sus decisiones son sólidas en la actos porque todas están acordadas de antemano.
Al automatizar la corrección y la fuerza, Action1 y soluciones similares ejemplifican cómo es la seguridad a la velocidad de una máquina: rápida, gobernada y resistente. El objetivo no es simplemente la automatización, sino automatización impulsada por políticasdonde el discernimiento humano define límites y la tecnología se ejecuta al instante.
El futuro es la defensa automatizada
Tanto los atacantes como los defensores se basan en los mismos datos públicos, pero es la automatización construida sobre esos datos la que decide quién anhelo la carrera. Cada hora entre la divulgación y la remediación representa un compromiso potencial. Los defensores no pueden frenar el ritmo del descubrimiento, pero pueden cerrar la brecha mediante el fortalecimiento, la orquestación y la automatización sistémica. El futuro de la ciberseguridad pertenece a aquellos que hacen de la influencia instantánea e informada su modo activo unificado, porque en esta carrera, el respondedor más flemático ya está comprometido.
Conclusiones secreto:
- Ningún equipo humano podrá exceder la velocidad y eficiencia de los sistemas de ataque automatizados que se están construyendo. Más personas generan más decisiones, retrasos, confusión y márgenes de error. Esto es un tiroteo: debes usar la misma fuerza, automatizar o perder.
- Los actores de amenazas están creando canales de ataque totalmente automatizados en los que el nuevo código de explotación simplemente se introduce en el sistema (o incluso se desarrolla por él) utilizando IA. Trabajan 24 horas al día, 7 días a la semana, 365 días al año, no se fatigan, no toman descansos, buscan y destruyen como razón de existencia hasta que se les apaga o se les indica lo contrario.
- La mayoría de los actores de amenazas masivas operan con el recuento de cadáveres, no con disparos de precisión. No buscan “a ti” tanto como buscan a “cualquiera”. Su escalera y valencia no significan ausencia en la escalón de compromiso original, que se evalúa DESPUÉS de obtener el acercamiento.
- Los actores de amenazas no piensan en utilizar grandes volúmenes de sus ganancias mal habidas en nueva tecnología para mejorar sus capacidades ofensivas; para ellos, es una inversión. Al mismo tiempo, la industria lo ve como una pérdida de beneficios. El sistema que te atacaba involucró a muchos desarrolladores talentosos en su construcción y mantenimiento, y presupuestos que superaban el sueño más descabellado de cualquier defensor. No se tráfico de delincuentes aficionados, sino de empresas enormemente organizadas, tan capaces y más dispuestas a trastornar en los medios que el sector empresarial.
Llega el año 2026. ¿Está su red preparada para ello?
Nota: Este artículo fue escrito y contribuido por Gene Moody, director de tecnología de campo de Action1.
