Es probable que una mezcla embriagadora de tendencias convergentes haga que el volumen de vulnerabilidades y exposiciones comunes reveladas (CVE) alcance al menos 45,000, y posiblemente incluso tan alto como 50,000, durante 2025, estableciendo un nuevo récord mundial.
Esto es de acuerdo con el Foro de Equipos de Respuesta a Incidentes y Seguridad (primero), una organización sin fines de lucro de seguridad con sede en Carolina del Norte en los Estados Unidos, que dijo que esta cifra fue aproximadamente un 11% más alta que en 2024, y casi seis veces mayor en 2023. Dijo que esto subraya la creciente complejidad del paisaje de seguridad, y las organizaciones de los medios deben comenzar a pensar más sobre su prioridad de riesgo y estrategias de mitigación.
“El número de vulnerabilidades reportadas no solo crece, se está acelerando”, dijo Eireann Leverett, primer enlace y miembro principal de su equipo de pronóstico de vulnerabilidades. “Los equipos de seguridad ya no pueden permitirse ser reactivos; Deben anticipar y priorizar las amenazas antes de que se intensifiquen “.
Los analistas de First atribuyeron este aumento a una serie de factores: costumbres tecnológicas cambiantes, cambios en la política de divulgación y el caos geopolítico mundial entre ellos.
“Una combinación de nuevos jugadores en el ecosistema CVE, las prácticas de divulgación en evolución, la nueva legislación de divulgación en Europa y una superficie de ataque en rápida expansión está alimentando este aumento”, dijo Leverett.
Lo más importante, en el lado tecnológico, la rápida adopción del software de código abierto (OSS) y el uso de herramientas de inteligencia artificial (IA) para ayudar en el descubrimiento de vulnerabilidades estaban surgiendo más defectos y facilitarlas detectarlas.
Agregado a esto, los nuevos contribuyentes al ecosistema CVE, como Linux y Patchstack, también tienen un efecto en los volúmenes de descubrimiento, y las actualizaciones de cómo se asignan e informan vulnerabilidades, junto con algunos desafíos de financiación, están alterando los patrones de divulgación.
Y una cantidad creciente de actividad cibernética patrocinada por el estado por parte de los actores administrados por el gobierno, a menudo, pero no necesariamente, los chinos, iraníes o rusos, está conduciendo a más debilidades que se descubren y explotan.
En términos de los tipos de CVE que se observan, señaló por primera vez que los volnerabilidades de vulnerabilidad de seguridad de la memoria actualmente están disminuyendo, mientras que, por el contrario, las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) parecen estar en alza.
Mirando hacia el futuro, Leverett dijo que anticipó un mayor crecimiento en 2026, con un volumen mínimo estimado de poco menos de 51,300 CVE que se espera que surgiera.
Gestión de vulnerabilidad Un gran desafío para los ciber profesionales
Dijo que esto enfatizó los desafíos a largo plazo en torno a las mejores prácticas de gestión de vulnerabilidad, y aconsejó a los defensores que traten de pensar en esas cosas más estratégicamente, en lugar de simplemente reaccionar a las revelaciones.
Lo que esto significa en la práctica es que los profesionales de seguridad deberían priorizar las vulnerabilidades que representan el mayor riesgo de explotación, utilizando la amenaza Intel y las ideas predictivas, en lugar de tratar de parchear todo de una vez. Al mismo tiempo, los equipos y los recursos pueden y deben escalarse adecuadamente para optimizar el despliegue y atacar la gestión de la superficie. La planificación aquí es clave, dijo Leverett, y los líderes deberían tratar de encontrar formas de predecir el “esfuerzo” del parche de antemano, incluido el tiempo de inactividad necesario.
También puede ser una buena idea prepararse para cambiar las tendencias de divulgación, tratar de anticipar los aumento en los informes, esto se puede hacer fácilmente alrededor del parche de Microsoft el martes, aunque puede resultar más desafiante en general, y asignar recursos basados en esto.
Es mucho más importante, dijo Leverett, para comprender cómo una secuencia de vulnerabilidades podría afectar a la organización e impactar el trabajo del equipo de seguridad, en lugar de estar constantemente atento a la próxima vulnerabilidad de Black Swan, como Citrix Bleed o Log4shell.
“Comprender los números es una cosa, actuar sobre ellos es lo que realmente importa”, dijo. “Las organizaciones que usan estos datos para guiar su planificación de seguridad pueden reducir la exposición, mitigar el riesgo y mantenerse por delante de los atacantes”.