El impacto económico de las filtraciones de datos sigue disparado. Según el último Cost of a Data Breach Report, el coste medio de un incidente de este tipo alcanzó los 4,88 millones de dólares en 2024, el valor más alto hasta la fecha. Ante este panorama, desde ESET queremos compartir contigo un consejo muy valioso: La gestión eficaz de vulnerabilidades es clave para prevenir la mayoría de las brechas de seguridad, muchas de las cuales se producen por fallos ya documentados y con solución disponible, pero no corregidos a tiempo.
“En España y en otros países, observamos cómo gran parte de las filtraciones no se producen por ataques sofisticados de día cero, sino por fallos que ya contaban con solución disponible”, explica Josep Albors, director de investigación y concienciación de ESET España. “El verdadero reto no está solamente en detectar nuevas amenazas, sino en asegurar que los parches se aplican con rapidez y eficacia, reduciendo al mínimo la ventana de exposición”.
El desafío de las vulnerabilidades conocidas
Aunque la atención pública suele centrarse en nuevos tipos de malware o exploits desconocidos, la realidad es que la gran mayoría de ataques se apoyan en vulnerabilidades ya documentadas. A finales de 2024 la base de datos Common Vulnerabilities and Exposures (CVE) registraba un récord de más de 40.000 entradas. Sin embargo, muchas empresas continúan sin establecer protocolos de parcheo eficaces, lo que abre la puerta a ataques como ransomware, robo de datos o intrusiones silenciosas que permanecen ocultas durante meses.
“En muchos incidentes pasados, los análisis posteriores revelaron que el punto inicial de entrada fue un CVE que ya había sido divulgado públicamente y contaba con un parche disponible. Esto debería servir de advertencia, ya que las organizaciones no necesitan anticipar todas las amenazas futuras para protegerse de forma eficaz, sino abordar de forma eficaz las que ya se conocen”, explica Albors.
Escanear más no siempre significa estar más protegido
Cada vez más organizaciones realizan evaluaciones de seguridad periódicas:
en 2024, el 24 % de ellas efectuó más de cuatro escaneos de vulnerabilidades,
frente al 15 % en 2023. No obstante, es importante tener en cuenta que un mayor número de
escaneos no garantiza mejores resultados si no se acompañan de una estrategia
de priorización basada en riesgos.
“Los equipos de seguridad suelen verse desbordados por informes que enumeran
cientos o incluso miles de posibles vulnerabilidades, con poca orientación
sobre cuáles representan el mayor riesgo para la organización”, comenta el
experto. Por ello, ESET defiende que aspectos como la facilidad de explotación,
la importancia del activo afectado o la existencia de campañas activas que
exploten la vulnerabilidad deben marcar la pauta a la hora de decidir qué
parches aplicar primero.
Una inversión crítica para la continuidad del negocio
Confiar solo en soluciones tradicionales de seguridad para endpoints ya no es suficiente puesto que muchos incidentes comienzan en software sin actualizar. Herramientas de gestión de vulnerabilidades y parches, como ESET Vulnerability & Patch Management, permiten automatizar actualizaciones y reducir de forma significativa la superficie de ataque.
“Con un coste medio cercano a los cinco millones de dólares por brecha, la gestión de vulnerabilidades es ya una pieza esencial de la continuidad del negocio. En España, donde las pymes representan más del 95 % del tejido empresarial, este paso es crítico para anticiparse a los ciberdelincuentes y proteger datos y reputación”, concluye Josep Albors.