IRCNF

Verizon 2026 DBIR: Por primera vez, el software sin parchear supera a las contraseñas robadas como el principal vector de brecha

Verizon
Compartir:
Verizon 2026 DBIR: Por primera vez, el software sin parchear supera a las contraseñas robadas como el principal vector de brecha

Verizon publicó esta semana su DBIR 2026, y el hallazgo principal es uno que debería detener a cualquier equipo de seguridad: por primera vez en los 19 años de historia del informe, la explotación de vulnerabilidades ha superado a las credenciales robadas como el vector principal de acceso inicial para las violaciones de datos confirmadas. El software sin parchear es ahora la vía de entrada más común para los atacantes. Y la brecha entre la capacidad de los atacantes para explotar vulnerabilidades conocidas y la capacidad de las organizaciones para parchearlas se está ampliando, no reduciendo.

Los números que definen el cambio

La explotación de vulnerabilidades representó el 31% de todas las brechas confirmadas analizadas en el DBIR 2026, frente al 20% del año anterior. Las credenciales robadas, que habían encabezado la lista de manera consistente durante más de una década, ahora quedan detrás. Esto no es una fluctuación estadística: un salto de 11 puntos porcentuales interanual en un conjunto de datos de esta escala refleja un cambio genuino y estructural en el comportamiento de los atacantes.

Los datos de parcheo aclaran la causa. El tiempo medio para parchear vulnerabilidades aumentó de 32 a 43 días: las organizaciones están tardando más, no menos, en abordar fallos conocidos. Aún más preocupante: solo el 26% de las vulnerabilidades críticas en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA fueron completamente remediadas en 2025, frente al 38% del año anterior. El catálogo KEV existe específicamente para señalar a las organizaciones qué vulnerabilidades están siendo activamente armadas. Una tasa de no remediación del 74% para ese catálogo no es un problema de parcheo. Es una crisis.

La IA está comprimiendo la ventana de explotación

El DBIR documenta el papel de la IA en este cambio en términos específicos. Los actores de amenazas están utilizando IA para acelerar la explotación de vulnerabilidades conocidas, reduciendo la ventana entre la divulgación pública y la explotación activa de meses a horas. Las herramientas impulsadas por IA están identificando vulnerabilidades en software de producción que antes pasaban desapercibidas para los investigadores humanos. El actor de amenazas mediano en el conjunto de datos del DBIR utilizó asistencia de IA en 15 técnicas de ataque distintas; algunos lo hicieron en 40 a 50 técnicas.

Esta compresión del cronograma de explotación hace que los números de retraso en el parcheo sean aún más consecuentes. Cuando la ventana entre la divulgación y la explotación activa era de semanas o meses, los tiempos medios de parcheo de 43 días eran dolorosos pero potencialmente sobrevivibles para muchas organizaciones. Cuando esa ventana se mide en horas, 43 días representa una exposición casi segura para cualquier vulnerabilidad conocida y sin parchear en infraestructura expuesta a internet.

El triplicado del Shadow AI

Uno de los hallazgos más alarmantes del DBIR 2026 no tiene nada que ver con atacantes externos. El uso por parte de empleados de "shadow AI" no aprobado en dispositivos corporativos se ha triplicado en un solo año, pasando del 15% al 45% de los empleados. ¿El tipo de dato más comúnmente enviado a estas plataformas de IA no autorizadas? Código fuente: ingresado a través de cuentas personales sin gobierno empresarial, sin controles de clasificación de datos y sin registro.

El DBIR es directo sobre la implicación: desde el punto de vista de la exposición de datos, los empleados que envían código fuente propietario a una cuenta personal de ChatGPT o Gemini a través de una extensión de navegador no autorizada produce un efecto funcionalmente idéntico a la exfiltración de datos. El código ha salido del control de la organización. Si la intención era maliciosa es irrelevante para la exposición. Más del 15% de los usuarios corporativos tienen extensiones de navegador de IA no autorizadas instaladas: complementos de navegador diseñados específicamente para capturar el contexto de navegación como entrada del modelo, incluidos sistemas internos y datos no públicos.

El riesgo de terceros se ha convertido en riesgo de brecha

El DBIR también documenta un aumento significativo de las brechas originadas a través de proveedores externos y compromisos en la cadena de suministro. Los atacantes han reconocido que atacar objetivos empresariales directos bien defendidos suele ser más difícil que atacar a los proveedores, contratistas y proveedores de software en los que esas empresas confían. Los datos de 2026 muestran que esta estrategia está dando frutos a un ritmo creciente, con brechas iniciadas por terceros convirtiéndose en una parte estadísticamente significativa del conjunto de datos de brechas confirmadas, en lugar de una preocupación marginal.

El lado de la defensa

La evaluación del DBIR sobre la IA en la defensa es más mesurada. Si bien se están implementando herramientas de IA para la detección de amenazas, el triaje automatizado y el escaneo de vulnerabilidades, el informe señala que "la IA está cambiando la economía del ataque, pero aún no se puede decir lo mismo de la defensa". La automatización del ataque está por delante de la automatización de la defensa. Las herramientas que ayudan a los defensores a procesar alertas más rápido también están ayudando a los atacantes a generar más alertas. El efecto neto en esta etapa de adopción parece favorecer al ataque.

Lo que los equipos de seguridad deben aprender de esto

El cambio de robo de credenciales a explotación de vulnerabilidades como vector principal tiene implicaciones directas para la priorización defensiva. Las organizaciones que se han centrado intensamente en la gestión de identidades y accesos (autenticación multifactor, políticas de contraseñas, monitoreo de credenciales) no han desperdiciado su inversión, pero pueden haber subinvertido en la gestión de vulnerabilidades en relación con el entorno de amenazas actual. Reducir el tiempo medio de parcheo, mejorar la cobertura de las remediaciones del catálogo KEV de CISA y establecer controles sobre el uso de herramientas de IA por parte de los empleados son las tres áreas donde los datos del DBIR 2026 apuntan más claramente a brechas accionables.

El hallazgo del shadow AI merece una urgencia particular. El triplicado del uso no autorizado de IA en un solo año no es una tendencia que responda solo a declaraciones de políticas. Las organizaciones que aún no han implementado controles técnicos (lista blanca de extensiones de navegador, reglas de prevención de pérdida de datos para dominios de plataformas de IA, monitoreo de uso de IA empresarial) probablemente ya están experimentando la exposición de datos que describe el DBIR, lo sepan o no.

cybersecurityVerizon DBIRdata breachesvulnerability managementshadow AIunpatched softwareCISA KEV

Originally reported by Verizon. Read the original article for additional details.

View original source
Compartir: