El coste económico de las filtraciones de datos sigue en aumento, tal y como hemos leído en Open Security. Según el informe más reciente Cost of a Data Breach Report, el impacto medio por cada incidente alcanzó en 2024 los 4,88 millones de dólares, marcando un nuevo máximo histórico. En este contexto, la compañía de ciberseguridad ESET insiste en la importancia de una gestión proactiva de vulnerabilidades como medida fundamental para prevenir este tipo de incidentes, que en muchos casos podrían haberse evitado.

“Lo que vemos tanto en España como en otros países es que muchas brechas no se deben a ataques altamente sofisticados o desconocidos, sino a fallos ya identificados y con soluciones disponibles, pero que no se corrigen a tiempo”, advierte Josep Albors, director de investigación y concienciación de ESET España. Según el experto, el verdadero desafío no solo está en detectar amenazas emergentes, sino en aplicar los parches existentes con la rapidez necesaria para cerrar cuanto antes cualquier posible puerta de entrada.

El desafío de las vulnerabilidades conocidas

Aunque la atención pública suele centrarse en nuevos tipos de malware o exploits desconocidos, la realidad es que la gran mayoría de ataques se apoyan en vulnerabilidades ya documentadas. Según ESET, a finales de 2024 la base de datos Common Vulnerabilities and Exposures (CVE) registraba un récord de más de 40.000 entradas. Sin embargo, muchas empresas continúan sin establecer protocolos de parcheo eficaces, lo que abre la puerta a ataques como ransomware, robo de datos o intrusiones silenciosas que permanecen ocultas durante meses.

“En muchos incidentes pasados, los análisis posteriores revelaron que el punto inicial de entrada fue un CVE que ya había sido divulgado públicamente y contaba con un parche disponible. Esto debería servir de advertencia, ya que las organizaciones no necesitan anticipar todas las amenazas futuras para protegerse de forma eficaz, sino abordar de forma eficaz las que ya se conocen”, explica Albors.

Escanear más no siempre significa estar más protegido

Cada vez más organizaciones realizan evaluaciones de seguridad periódicas: en 2024, el 24 % de ellas efectuó más de cuatro escaneos de vulnerabilidades, frente al 15 % en 2023. No obstante, ESET advierte de que un mayor número de escaneos no garantiza mejores resultados si no se acompañan de una estrategia de priorización basada en riesgos.

“Los equipos de seguridad suelen verse desbordados por informes que enumeran cientos o incluso miles de posibles vulnerabilidades, con poca orientación sobre cuáles representan el mayor riesgo para la organización”, comenta el experto. Por ello, ESET defiende que aspectos como la facilidad de explotación, la importancia del activo afectado o la existencia de campañas activas que exploten la vulnerabilidad deben marcar la pauta a la hora de decidir qué parches aplicar primero.

Una inversión crítica para la continuidad del negocio

Confiar solo en soluciones tradicionales de seguridad para endpoints ya no es suficiente. Según ESET, muchos incidentes comienzan en software sin actualizar. Herramientas de gestión de vulnerabilidades y parches, como ESET Vulnerability & Patch Management, permiten automatizar actualizaciones y reducir de forma significativa la superficie de ataque. “Con un coste medio cercano a los cinco millones de dólares por brecha, la gestión de vulnerabilidades es ya una pieza esencial de la continuidad del negocio. En España, donde las pymes representan más del 95 % del tejido empresarial, este paso es crítico para anticiparse a los ciberdelincuentes y proteger datos y reputación”, concluye Josep Albors.