Barracuda full logo

Mes de Concienciación sobre Ciberseguridad: Es momento de recordar su acumulación de vulnerabilidades

Temas:
30 sept 2025
|
Andrew Sanders

¡Es esa época del año otra vez! Mientras repasa el anuncio de servicio público del Mes de la Concienciación sobre la Ciberseguridad del año pasado sobre la fortaleza de las contraseñas, quizá sea el momento de revisar sus propias prácticas recomendadas. Aunque sabemos que cada Patch Tuesday puede suponer un nuevo quebradero de cabeza para su organización, sigue siendo importante comprender su postura de seguridad con respecto a la gestión de vulnerabilidades.

¿Por qué sigue creciendo su acumulación de vulnerabilidades?

Cada aplicación tiene varias dependencias: por ejemplo, los controladores de tu tarjeta de vídeo podrían depender de elementos del sistema operativo Windows para mostrar imágenes. Si una actualización de seguridad del sistema operativo rompe esas dependencias, entonces sus usuarios se encontrarán con un hardware que no funciona correctamente.

Puede revertir sus controladores o la versión del sistema operativo para solucionar el problema inicial, pero luego debe esperar a que alguien publique un parche actualizado que sea compatible con su hardware. Si su organización es una escuela o una pequeña empresa que utiliza hardware que ha llegado al final de su vida útil, puede que no tenga suerte. Incluso las grandes empresas pueden encontrar que sus programas de gestión de parches se retrasan indefinidamente debido a preocupaciones que parecen más importantes.

Mientras tanto, sus vulnerabilidades aún son explotables.

Las vulnerabilidades son cada vez mayores

Los actores maliciosos están tomando nota del tiempo que tardan las organizaciones en parchear eficazmente su infraestructura. Antes les llevaba a los atacantes alrededor de 63 días después del descubrimiento comenzar a explotar una vulnerabilidad de día cero. Ese plazo ha disminuido a un promedio de 32 días. Mientras tanto, las vulnerabilidades sin parchear son la fuente de más del 60% de las violaciones de datos.

Sumadas a las preocupaciones de los administradores de seguridad, las vulnerabilidades están siendo descubiertas a un ritmo creciente. En 2024, los investigadores descubrieron un 61% más de vulnerabilidades que en años anteriores, y el número de vulnerabilidades explotadas aumentó un 96%. Esto podría tener algo que ver con el aumento del “software codificado por vibraciones”, que es generado parcial o totalmente por IA.

Si bien el código escrito por IA contiene errores aproximadamente en la misma proporción que el código escrito por humanos, la IA facilita la escritura de más código más rápido, y más código significa más vulnerabilidades en total. Además, los desarrolladores pueden tener una fe poco realista en la capacidad de la IA para escribir código seguro. Esto significa que pueden olvidar verificar las vulnerabilidades, que luego llegan al software de producción.

¿Cómo encuentra vulnerabilidades y exposiciones comunes (CVE) no parcheadas?

Ahora que es consciente de que las vulnerabilidades sin parchear pueden afectar incluso a las organizaciones más maduras con las aplicaciones más nuevas, ¿cómo hacer las cosas de manera diferente?

Comencemos diciendo que es completamente posible que una organización olvide que tiene una aplicación sin parchear. Si todavía está utilizando hojas de cálculo para llevar el control de los parches y alguien no actualiza una fila, esa información podría perderse.

Debido a esto, comenzar o renovar su estrategia de gestión de parches generalmente comenzará con gestión de activos. Necesitará una lista de todo el software que está utilizando actualmente, y luego deberá comparar los números de versión entre lo que está ejecutando en su infraestructura y la versión más actualizada del fabricante.

Por último, no todas las aplicaciones sin parchear contienen una vulnerabilidad crítica. Por esa razón, es útil cruzar las referencias de su software desactualizado con la base de datos de CVE, un archivo respaldado por la comunidad de vulnerabilidades conocidas.

¿Qué sucede después de identificar aplicaciones sin parches?

Es posible que tengas docenas de aplicaciones sin parchear. Para algunas de ellas, la solución puede ser tan simple como descargar e instalar el parche, pero incluso si es así de sencillo, es posible que aún necesite probar el parche antes de implementarlo en producción. Y esto conlleva tiempo valioso.

Es posible que otras aplicaciones no parchadas sigan sin parchear, ya sea porque el fabricante nunca lanzó un parche o porque la versión más actualizada sigue siendo incompatible con su hardware. Aquí, necesitará improvisar protecciones, como colocar la aplicación en una subred segura.

Será muy importante que priorices tus esfuerzos, ya que casi con total certeza no tendrás tiempo suficiente para parchear todas las aplicaciones.

Priorización de sus vulnerabilidades no corregidas

Los investigadores de seguridad a menudo combinan dos rúbricas para ayudar a priorizar la gestión de parches. El Common Vulnerability Scoring System (CVSS) es desarrollado por el National Infrastructure Advisory Council con el objetivo de caracterizar la gravedad de las vulnerabilidades de software en una escala de cero a diez. Sin embargo, el CVSS no está diseñado para ser la única base para priorizar la gestión de vulnerabilidades.

El Exploit Prediction Scoring System (EPSS) clasifica los CVE según la probabilidad de que sean explotados. EPSS utiliza un modelo matemático que calcula la relación entre la actividad de explotación y la gravedad de un exploit. Con esta información, puede prever si un gran número de actores maliciosos intentará explotar una vulnerabilidad en los próximos 30 días.

Sorprendentemente, no hay una gran superposición entre las puntuaciones de EPSS y CVSS. La investigación muestra que los atacantes a menudo no priorizan las vulnerabilidades más graves ni siquiera las que son más fáciles de explotar.

Dicho esto, los directores de seguridad deberían abarcar un amplio espectro para obtener inteligencia de seguridad y usar su propio criterio al priorizar la gestión de vulnerabilidades. Si una vulnerabilidad obtiene una puntuación alta tanto en EPSS como en CVSS, entonces definitivamente debería gestionarse primero. Pero a veces puede encontrar que una vulnerabilidad con alta puntuación afecta a una aplicación relativamente trivial, o a una que ya está ubicada en una subred filtrada y monitorizada. Si ese es el caso, es posible que desee abordar otras debilidades primero.

Mantenerse al día con la gestión de vulnerabilidades: ¿Qué es lo siguiente?

La gestión de vulnerabilidades no es un proyecto que se haga una sola vez. Idealmente, se realiza de manera continua, y probablemente deberías utilizar algo más avanzado que una hoja de cálculo.

En un mundo ideal, emplearía una solución que realice un escaneo proactivo de vulnerabilidades. Las soluciones de seguridad en esta categoría escanean regularmente su red y auditan sus aplicaciones activas, reduciendo los días de trabajo necesarios para realizar una auditoría de software manual. Además, las nuevas vulnerabilidades serán automáticamente señaladas y clasificadas por severidad, eliminando gran parte de la incertidumbre en la priorización.

Los sistemas de prevención de intrusiones heurísticos —también conocidos como basados en el comportamiento— son un complemento útil para la gestión de vulnerabilidades. Estas herramientas reconocen los síntomas de un ciberataque, como la creación, el cifrado o la eliminación de un gran número de archivos. Luego intervienen para bloquear actividades sospechosas. En el caso de que aún no haya remediado una vulnerabilidad (o si no sabe que existe una, como en una amenaza de día cero), estas herramientas proporcionarán una segunda línea de defensa.

Acabe con el cansancio de los parches con Barracuda

Managed Vulnerability Security es una nueva oferta de Barracuda que alivia la carga de defensa frente a exploits severos. Este servicio combina escaneos regulares de vulnerabilidades con la intervención oportuna de nuestro experto Centro de Operaciones de Seguridad (SOC). Nuestro servicio totalmente gestionado le permite beneficiarse de la supervisión experta sin aulmentar su carga de trabajo actual, mientras elimina su acumulación de vulnerabilidades. Concierte una cita y descubra cómo Barracuda puede ayudarle a desbloquear su ciberresiliencia.

Detenga las amenazas con ciberseguridad 24 horas al día, 7 días a la semana
Andrew Sanders

Andrew Sanders es un redactor experimentado en temas de tecnología y seguridad de la información. Anteriormente ha trabajado con Gradient Cyber, Privitar (ahora Informatica) y SentinelOne.

Publicaciones relacionadas:
Your guide to new Barracuda features and capabilities
Your guide to new Barracuda features and capabilities
 IA y automatización en ciberseguridad: expertos de Databricks y Barracuda comparten lo que está por venir
IA y automatización en ciberseguridad: expertos de Databricks y Barracuda comparten lo que está por venir
 Próximamente: Tu oportunidad de asumir el papel del hacker
Próximamente: Tu oportunidad de asumir el papel del hacker
 Mes de Concienciación en Ciberseguridad: Manteniéndose al día frente a las amenazas de phishing en evolución
Mes de Concienciación en Ciberseguridad: Manteniéndose al día frente a las amenazas de phishing en evolución
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.