El panorama de la ciberseguridad ha cambiado de forma irreversible. Ya no basta con escanear sistemas una vez al mes o al trimestre. Los atacantes explotan fallos en cuestión de horas, y las organizaciones que siguen ancladas en modelos periódicos de gestión de vulnerabilidades están expuestas a un riesgo creciente. Según datos de CrowdStrike, 2025 se perfila como un año récord en número de vulnerabilidades reportadas: más de 21.000 CVE (Common Vulnerabilities and Exposures) se divulgaron solo en el primer semestre, lo que equivale a 133 nuevos fallos cada día. Cada uno de esos fallos representa un coste potencial para las empresas, ya sea en forma de brechas, multas regulatorias o pérdida de reputación.

La pregunta clave ya no es cuántas vulnerabilidades somos capaces de identificar, sino cómo contextualizarlas y actuar con la velocidad que exige el negocio. La inteligencia, la automatización y una visibilidad integral de la superficie de ataque se convierten en los pilares de una estrategia moderna. Como señala Iratxe Vázquez, responsable senior de Marketing de producto en ciberseguridad de WatchGuard Technologies, “un escaneo periódico ofrece una fotografía estática de un entorno que cambia constantemente”. Entre dos evaluaciones pueden desplegarse nuevos servicios cloud, incorporarse dispositivos, modificarse privilegios o aparecer activos no gestionados. Por tanto, un análisis realizado hace una semana puede no representar la exposición real en el momento presente.

El fin de los escaneos periódicos como modelo único

Los modelos tradicionales de escaneo periódico ya no son suficientes. Los atacantes han automatizado gran parte de sus tareas de reconocimiento, identificación de debilidades y explotación, lo que reduce drásticamente el tiempo disponible para reaccionar. Vázquez insiste en que los escaneos periódicos siguen siendo útiles como línea de base, para auditorías o para verificar el cumplimiento, pero deben complementarse con descubrimiento continuo de activos, monitorización de cambios, inteligencia de amenazas y procesos de mitigación acelerados. El indicador relevante ya no es cuántas vulnerabilidades se han identificado, sino cuánto tiempo permanece una exposición crítica sin corregir o sin controles compensatorios.

El papel de la IA y los deepfakes en la nueva era de ataques

La inteligencia artificial y los deepfakes son dos de los grandes responsables del aumento de ataques. Álvaro del Hoyo, estratega tecnológico para el sur de Europa en CrowdStrike, diferencia entre los usos de la IA fuera de las redes (reconocimiento de infraestructura, identificación de vulnerabilidades) y los ataques de ingeniería social. Por ejemplo, el Business Email Compromise (BEC) ha evolucionado hacia ataques que utilizan deepfakes de audio o vídeo para suplantar a directivos, partners o clientes. Cuando estos ataques tienen éxito, su impacto es muy relevante. La IA generativa también se emplea para crear malware más sofisticado y difícil de detectar, como se analiza en nuestro artículo sobre Implementación de IA Generativa en flujos de trabajo.

Priorización: más allá del CVSS

El gran desafío para los líderes de seguridad no es la falta de alertas, sino la saturación de datos sin procesar. Doris Seedorf, CEO de Sofftek para España, afirma que “la conversación en el C-level ya no gira en torno a métricas técnicas abstractas, sino en torno a la responsabilidad económica y la estabilidad estructural”. Para priorizar de manera efectiva, el enfoque debe cambiar desde la severidad técnica aislada hacia el impacto financiero y operativo.

Iratxe Vázquez coincide en que la priorización no puede apoyarse únicamente en una puntuación CVSS. Es necesario combinar, como mínimo, cuatro ejes: severidad, probabilidad de explotación, nivel de exposición e impacto en el negocio. Fuentes como el catálogo de vulnerabilidades explotadas de CISA o modelos como EPSS (que estima la probabilidad de explotación en los próximos 30 días) aportan señales valiosas, pero deben integrarse con el contexto interno. La misma vulnerabilidad puede ser crítica en un servidor de autenticación expuesto y tener una urgencia muy inferior en un equipo aislado.

Automatización: el equilibrio entre velocidad y gobernanza

¿Hasta qué punto la automatización puede asumir la gestión en tiempo real sin comprometer la gobernanza? Para Seedorf, la madurez operativa se alcanza cuando la organización se convierte en un ecosistema autoajustable donde la automatización y la IA operan de forma natural, pero bajo un marco estricto de trazabilidad. Vázquez añade que la automatización puede asumir gran parte del trabajo operativo (triaje, despliegue de parches) siempre que actúe dentro de un marco de control claro. No todos los escenarios requieren la misma velocidad; hay situaciones que justifican procesos acelerados y otras en las que la estabilidad del servicio exige revisión humana. Cuando no existe parche disponible, la automatización puede activar medidas temporales como aislamiento o restricciones de acceso.

Visibilidad: el requisito fundamental

La visibilidad sigue siendo un requisito fundamental: no se puede proteger lo que no se ve. Vázquez señala que la falta de visibilidad no siempre se debe a la ausencia de datos, sino a que la información está dispersa en herramientas que no se comunican entre sí. El desafío es conectar las piezas, entender quién es responsable de cada activo y transformar los datos en decisiones operativas rápidas. Además, la visibilidad ya no debe limitarse a saber qué activos existen, sino a comprender cómo se comportan. En muchos incidentes, el problema no es un activo desconocido, sino una comunicación inesperada o un movimiento lateral que pasa desapercibido. Por eso cobran importancia las tecnologías que analizan comportamientos y relaciones entre activos, identidades y comunicaciones.

La transición hacia modelos CTEM

Estamos asistiendo a un cambio definitivo desde la gestión de vulnerabilidades hacia modelos como CTEM (Continuous Threat Exposure Management), centrados en la exposición real y las rutas de ataque. Seedorf considera esta transición “irreversible en la estrategia empresarial”. El modelo tradicional se limitaba a una función de soporte técnico reactiva; los modelos modernos entienden la seguridad y la resiliencia como componentes fundamentales del diseño del negocio.

Vázquez explica que durante años el foco estuvo en detectar y parchear fallos técnicos, lo que funcionaba en entornos estáticos. Hoy, los adversarios combinan identidades comprometidas, configuraciones débiles y movimientos laterales que no siempre aparecen en un escaneo tradicional. Modelos como CTEM ponen el énfasis en la exposición real, en las rutas de ataque posibles y en la validación continua. No sustituyen la gestión de vulnerabilidades, pero la amplían con una visión más operativa y dinámica. El valor está en entender qué activos son accesibles, qué identidades pueden abrir puertas inesperadas y qué controles fallan cuando un atacante empieza a moverse.

Para las empresas que buscan fortalecer su postura de seguridad, es esencial adoptar un enfoque continuo y basado en datos. La configuración de VPNs seguras y firewalls sigue siendo una pieza clave, pero debe integrarse en una estrategia más amplia de gestión de exposición. La productividad empresarial también se ve afectada: un entorno seguro permite a los equipos centrarse en sus tareas sin interrupciones, como se aborda en nuestra guía sobre Productividad empresarial con Microsoft 365.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.