Principales hallazgos del informe DBIR 2026 de Verizon: una corrección más lenta de las vulnerabilidades se une a una explotación más rápida

El 2026 Verizon Data Breach Investigations Report (Informe de investigaciones de filtraciones de datos de Verizon para 2026, DBIR) revela una tendencia preocupante: la explotación de vulnerabilidades ha aumentado hasta convertirse en el principal vector de acceso inicial, mientras que los índices de corrección han empeorado.

Puntos importantes

1. La explotación de vulnerabilidades ha aumentado hasta convertirse en el principal vector de acceso inicial para las vulneraciones, representando el 31% de las filtraciones de datos durante el periodo de estudio.
2. Los esfuerzos de los equipos de seguridad por colocar parches van a la zaga, con un tiempo promedio de colocación de parches que ha aumentado en 11 días en el último año.
3. A medida que las herramientas impulsadas por IA aumentan la velocidad y el volumen de la detección y la explotación de vulnerabilidades, la gestión de exposición ayuda a las organizaciones a mantenerse al día evaluando continuamente sus superficies de ataque, priorizando los riesgos y orquestando la corrección automatizada de las debilidades de seguridad.

Qué es el informe DBIR de Verizon

El Data Breach Investigations Report (Informe de investigaciones de filtraciones de datos, DBIR) de Verizon ha ayudado a las organizaciones a comprender las amenazas cibernéticas en constante evolución desde su primer lanzamiento en 2008.Para la edición de 2026, Tenable Research volvió a aportar datos enriquecidos sobre las tendencias de explotación y corrección de vulnerabilidades. Los hallazgos de este año ofrecen un panorama desolador: En comparación con el año pasado, las organizaciones se enfrentan a un aumento significativo del volumen de vulnerabilidades en las que deben colocar parches del catálogo Vulnerabilidades conocidas explotadas (KEV) de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA).

La creciente brecha entre la divulgación de vulnerabilidades y su corrección representa uno de los desafíos más apremiantes de la ciberseguridad actualmente. Los equipos de seguridad ya están desbordados, tanto por el creciente número de vulnerabilidades como por la falta de tiempo para la gestión de parches. Esta realidad pone de relieve la necesidad crítica de una solución de gestión de exposición integral, se trata de un abordaje estratégico, impulsado por la IA, para la seguridad preventiva, diseñado para ayudar a las organizaciones a reducir el riesgo cibernético mediante la evaluación continua de sus superficies de ataque, la priorización de los riesgos y la orquestación de la corrección automatizada de las debilidades de seguridad.

Visión general y análisis del DBIR 2026 de Verizon

El DBIR 2026 de Verizon descubrió que la explotación de vulnerabilidades es el principal vector de acceso inicial, responsable del 31% de las filtraciones de datos durante el periodo de estudio. Más preocupante aún es que la mediana del tiempo transcurrido hasta colocar el parche haya pasado de 32 a 43 días, un incremento del 34%. Los hallazgos de este año ofrecen un panorama desolador: El número de vulnerabilidades sigue creciendo como una bola de nieve, mientras que el ritmo de colocación de parches por parte de las organizaciones continúa retrasándose.

La explosión de CVE continúa, y la IA la acelerará

El panorama de la vulnerabilidades sigue experimentando un crecimiento explosivo, ya que el programa CVE informa actualmente de más de 351 000 CVE registradas, con más de 21 500 ya reservadas en 2026. Como vamos encaminándonos a otro récord de CVE, esta avalancha de vulnerabilidades crea una situación extremadamente difícil para unos equipos de seguridad que ya están al límite de su capacidad. Con el aumento del tiempo promedio para colocar parches y la reducción de los plazos de explotación, los atacantes están ganando la carrera entre la divulgación y la corrección.

La situación puede estar a punto de empeorar drásticamente. La comunidad de la ciberseguridad está cada vez más preocupada por las herramientas de detección de vulnerabilidades impulsadas por IA como Mythos de Anthropic, que pueden identificar automáticamente fallos de seguridad en bases de código a una velocidad y escala sin precedentes. Aunque estas herramientas son prometedoras para los equipos de seguridad defensiva, también representan un posible punto de inflexión: si la IA puede detectar vulnerabilidades más rápido de lo que las organizaciones pueden colocarles parches, la carga de parches, ya de por sí inmensa, podría volverse realmente inabarcable.

Esta aceleración impulsada por la IA llega en el peor momento posible. Las organizaciones ya están luchando para corregir las vulnerabilidades, y el informe sobre investigaciones de filtración de datos de Verizon revela que las organizaciones sólo corrigen con éxito el 26% de las vulnerabilidades KEV. Para aumentar esta preocupación, el DBIR señala que se ha producido un aumento de casi el 50% en el número de vulnerabilidades KEV de la CISA a las que hay que colocar parches en 2025, lo que supone una presión aún mayor para los equipos de seguridad. 

Si los modelos de IA empiezan a inundar la base de datos CVE con vulnerabilidades recién descubiertas, o peor aún, si los atacantes aprovechan estos modelos para encontrar y explotar los días cero antes de que los defensores puedan responder, es probable que la actual crisis de corrección se convierta en un fracaso sistémico del modelo de defensa tradicional basado en parches.

El imperativo de la gestión de exposición

Aunque la explotación de vulnerabilidades domina los titulares como vector de acceso inicial número uno, sólo representa una parte del problema de la exposición. El DBIR destaca especialmente el abuso de credenciales como otro importante vector de amenazas, subrayando que las vulnerabilidades no existen de forma aislada. El robo de credenciales puede transformar una vulnerabilidad de gravedad moderada en una ruta de ataque crítica, mientras que las configuraciones expuestas pueden proporcionar a los atacantes el acceso necesario para explotar sistemas sin parches.

Esta naturaleza interconectada de las exposiciones pone de relieve por qué cada vez más organizaciones están adoptando una gestión de exposición integral. Comprender y abordar toda la superficie de ataque, incluidos los riesgos de identidad, los errores de configuración, los permisos excesivos y los activos vulnerables, es esencial para reducir el riesgo de vulneraciones en el escenario de las amenazas actual.

La aparición de la detección de vulnerabilidades impulsada por la IA hace que la gestión de exposición sea absolutamente esencial. A medida que las herramientas de IA aceleran la identificación de vulnerabilidades, las organizaciones no pueden limitarse a intentar colocar parches para más vulnerabilidades con mayor rapidez. En su lugar, deben centrarse en comprender y corregir las vulnerabilidades que más importan en el contexto de su entorno específico. Una vulnerabilidad recién descubierta en un sistema aislado sin credenciales expuestas y con fuertes controles de acceso plantea mucho menos riesgo que una CVE antigua en un activo accesible desde Internet con autenticación débil. La plataforma de gestión de la exposición Tenable One proporciona tanto el marco contextual necesario para tomar estas decisiones críticas de priorización como el motor de orquestación agéntica necesarios para acelerar la corrección en una era de detección de vulnerabilidades acelerada por IA.

Datos más destacados del periodo del informe DBIR

Cuando Tenable Research examinó las tendencias de los datos, nuestro equipo decidió desglosar las CVE en categorías de productos y comparar en qué categorías había un mayor porcentaje de activos sin corregir. Para nuestro análisis, nos hemos centrado en las CVE de KEV, ya que se trata de vulnerabilidades que se sabe que han sido explotadas y que están en el punto de mira de los atacantes. 

Como puede verse en el gráfico siguiente, las vulnerabilidades que afectan a las herramientas de desarrollo registraron el mayor índice de activos sin corregir, seguidas de los fallos de virtualización/hipervisor y los fallos de monitoreo y gestión remotos (RMM). Aunque el proceso de corrección de estas categorías de productos puede variar, la tendencia general de casi todas las categorías de productos con una tasa de no corrección superior al 50% demuestra que las organizaciones siguen teniendo problemas con la corrección de vulnerabilidades. 

Del mismo modo, examinamos el número promedio de días que los activos permanecieron sin corregir y lo comparamos con el número de CVE que afectaron a esa categoría durante el periodo de notificación del informe DBIR.

El análisis de los datos realizado por Tenable refuerza la cruda realidad puesta de manifiesto en el informe DBIR de Verizon: Las organizaciones tardan más en colocar parches para las vulnerabilidades conocidas y explotadas, al mismo tiempo que se enfrentan a un rápido aumento del número de vulnerabilidades que requieren atención inmediata.

Hallazgos del informe DBIR

Los hallazgos del informe DBIR 2026 dan que pensar, pero no sorprenden a quienes están en primera línea de la ciberseguridad. Los datos confirman lo que muchos equipos de seguridad experimentan a diario: la carga de colocar parches crece más rápido que la capacidad de respuesta de las organizaciones. Dado que la explotación de vulnerabilidades es ahora el principal vector de acceso inicial y que el tiempo medio de colocación de parches sigue aumentando, la brecha entre la velocidad de los atacantes y la respuesta de los defensores sigue ampliándose.

Las organizaciones deben adoptar un abordaje centrado en la exposición que tenga en cuenta no sólo la presencia de vulnerabilidades, sino todo el contexto de riesgo de su entorno:

• ¿Qué activos están expuestos?
• ¿Quién tiene acceso?
• ¿Qué credenciales están en peligro?
• ¿Qué combinaciones de exposición crean las rutas de ataque más peligrosas? 

En una era en la que la IA está detectando vulnerabilidades más rápido de lo que los humanos pueden colocarles parches, comprender qué exposiciones son realmente importantes representa el único camino sostenible hacia el futuro.

El informe DBIR de 2026, enriquecido con los datos de Tenable Research, proporciona información valiosa sobre el panorama actual de amenazas. Tenable anima a los profesionales de la seguridad a leer el documento completo DBIR de Verizon para comprender las tendencias actuales de los ataques y utilizar estos hallazgos para fundamentar sus estrategias de gestión de exposición. La crisis documentada en este informe pone de manifiesto que el modelo tradicional centrado en las vulnerabilidades necesita una evolución fundamental hacia una gestión de exposición integral impulsada por IA.

Identificación de los sistemas afectados

Tenable proporciona una cobertura de detección integral para el catálogo KEV de CISA, con capacidades de detección implementadas rápidamente tras la divulgación de las vulnerabilidades. Esta cobertura abarca múltiples categorías de activos, brindándoles una visibilidad total de las vulnerabilidades activamente explotadas en sus entornos. Las CVE en el catálogo KEV tendrán una etiqueta en las páginas CVE individuales y usted puede consultar nuestros próximos plug-ins en nuestra página de Pipeline de plug-ins.

Obtenga más información

• Verizon 2026 Data Breach Investigations Report (DBIR)

Únase al Equipo de Operaciones Especiales (RSO) de Tenable Research en Tenable Connect para seguir debatiendo sobre las últimas ciberamenazas.

Obtenga más información sobre Tenable One, la plataforma de gestión de exposición para la superficie de ataque moderna.