La explotación de fallas de software superó al robo de credenciales como principal puerta de entrada para los ciberataques a empresas.
Ciberataques: las vulnerabilidades son la principal puerta de entrada a las empresas
La explotación de fallas de seguridad en programas y sistemas informáticos se consolidó como el principal mecanismo utilizado por los ciberdelincuentes para ingresar a las redes de las empresas. Por primera vez, este vector de ataque superó al robo de credenciales, una modalidad que durante años ocupó el primer lugar.
Según un análisis difundido por ESET Latinoamérica a partir del Data Breach Investigations Report 2026 de Verizon, el 31% de las brechas de seguridad estudiadas comenzó con el aprovechamiento de vulnerabilidades de software.
El dato marca un cambio relevante en el panorama de la ciberseguridad. Los atacantes ya no dependen únicamente de engañar a los usuarios mediante correos falsos o de obtener contraseñas: cada vez con mayor frecuencia buscan sistemas desactualizados, servicios expuestos y fallas conocidas que todavía no fueron corregidas.
Las empresas demoran más en corregir las fallas
El informe indica que las organizaciones siguen teniendo dificultades para responder al ritmo en que aparecen nuevas vulnerabilidades críticas.
De acuerdo con el análisis presentado por ESET, solo el 26% de las vulnerabilidades incluidas en el catálogo de fallas conocidas y explotadas de la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) fue corregido completamente durante 2025.
A su vez, el tiempo promedio necesario para alcanzar una resolución completa después de detectar una falla ascendió a 43 días, casi dos semanas más que el año anterior.
Para Mario Micucci, investigador de Ciberseguridad de ESET Latinoamérica, esta situación muestra que las empresas encuentran dificultades para sostener el ritmo de actualización frente al crecimiento del número de amenazas.
Una tendencia que se profundizó en los últimos años
El crecimiento de este tipo de ataques no es reciente. En su informe de 2024, Verizon ya había advertido sobre una fuerte expansión de la explotación de vulnerabilidades como vía de acceso inicial.
Durante los años siguientes, el problema dejó de ser una tendencia emergente para convertirse en uno de los principales desafíos para las organizaciones públicas y privadas.
La demora en aplicar actualizaciones y parches de seguridad genera una ventana de oportunidad para los atacantes. Incluso cuando una falla ya fue identificada y existe una corrección disponible, muchas organizaciones continúan expuestas durante varias semanas.
El impacto de la inteligencia artificial
La inteligencia artificial también comenzó a modificar la velocidad de los ataques.
Estas herramientas pueden utilizarse para analizar posibles objetivos, adaptar fragmentos de código, automatizar tareas y acelerar la búsqueda de errores en aplicaciones y sistemas informáticos.
El informe de Verizon advierte que el uso de IA está reduciendo el margen de reacción de las organizaciones. En algunos casos, el tiempo disponible para responder a una vulnerabilidad conocida pasó de meses a horas.
Sin embargo, el problema no se limita a la aparición de nuevas tecnologías. La falta de actualizaciones, el uso de software obsoleto y la escasa visibilidad sobre los sistemas conectados siguen siendo factores determinantes.
Medidas para reducir los riesgos
ESET recomienda priorizar la instalación de actualizaciones y parches de seguridad, mantener un inventario de los sistemas operativos y aplicaciones utilizados y monitorear activamente la aparición de nuevas amenazas.
También resulta importante limitar los permisos de administrador, capacitar al personal para reconocer correos maliciosos y archivos sospechosos e implementar herramientas de seguridad capaces de detectar vulnerabilidades en los equipos conectados a una red.
En un escenario donde los atacantes operan con mayor velocidad, la gestión de parches dejó de ser una tarea secundaria. Para las empresas, conocer qué sistemas están expuestos y corregir las fallas con rapidez se convirtió en una parte central de cualquier estrategia de ciberseguridad.
Fuente: ESET Latinoamérica, con base en el Data Breach Investigations Report 2026 de Verizon.
