Verizon acaba de publicar la 19ª edición del Data Breach Investigations Report (DBIR), el informe de brechas de datos más citado y referenciado de la industria de ciberseguridad a nivel global. El hallazgo principal de este año rompe con casi dos décadas de historia: por primera vez en 19 años de publicación del DBIR, la explotación de vulnerabilidades ha superado al robo de credenciales como el vector de acceso inicial más frecuente en brechas de datos. El informe, basado en el análisis de más de 31.000 incidentes de seguridad y más de 22.000 brechas confirmadas ocurridas entre noviembre de 2024 y octubre de 2025, envía un mensaje directo a todos los responsables de seguridad: parchear ya no es una tarea de mantenimiento. Es la primera línea de defensa.

¿Qué revela el DBIR 2026? Los hallazgos clave

El informe de Verizon 2026 confirma varias tendencias críticas que los profesionales de seguridad deben integrar inmediatamente en su gestión del riesgo:

  • 31% de las brechas por explotación de vulnerabilidades. Cerca de un tercio de todas las brechas confirmadas en 2025 comenzaron con una vulnerabilidad sin parchear. Es la primera vez en 19 años que este vector supera al abuso de credenciales robadas, que cayó al 13%.
  • Más de 22.000 brechas confirmadas analizadas. El volumen de brechas analizadas en la edición 2026 casi dobla el del informe anterior (12.195 brechas en el DBIR 2025). No es que haya más incidentes: es que hay más capacidad de detección y reporte. O ambas cosas.
  • Solo el 26% de los CVEs críticos del KEV de CISA fueron parcheados en 2025. El catálogo KEV de CISA lista las vulnerabilidades bajo explotación activa confirmada. Solo una de cada cuatro fue completamente remediada durante 2025. El año anterior la cifra era del 38%. La tendencia es descendente.
  • El tiempo medio de parcheo subió a 43 días. En el DBIR 2025 era de 32 días. En 2026 sube a 43. El tiempo para parchear crece justo cuando la ventana de explotación se comprime.
  • El volumen de vulnerabilidades críticas a parchear creció un 50%. Las organizaciones no gestionan mejor el parcheo: simplemente tienen que parchear más. Un 50% más de CVEs críticos que el año anterior con los mismos equipos y procesos.
  • La ventana de explotación se ha comprimido a horas. Verizon documenta cómo la IA está siendo desplegada por actores de amenaza en todas las fases del ciclo de ataque. La ventana entre la divulgación de una vulnerabilidad y su explotación activa ha pasado de meses a horas en los casos más críticos.
  • La IA acelera el ataque, no solo la defensa. En media, los actores de amenaza aplican asistencia de IA en 15 técnicas de ataque distintas. Algunos adversarios en hasta 50. Reconocimiento, targeting, acceso inicial y desarrollo de malware: todo el ciclo está siendo acelerado por IA.
  • El Shadow IT entró en el top 3 de fuentes de brechas. Los activos y servicios no gestionados — aplicaciones SaaS personales, instancias cloud no autorizadas, APIs y herramientas no aprobadas — se han convertido en uno de los tres vectores más frecuentes de brechas.
  • Ransomware sigue siendo prevalente pero los pagos bajan. La prevalencia del ransomware se mantiene alta, pero el porcentaje de organizaciones que pagan el rescate ha bajado respecto a ediciones anteriores.

Por qué la explotación de vulnerabilidades ha superado a las credenciales por primera vez en 19 años

El cambio en el vector #1 no es fortuito. El DBIR 2026 apunta a dos causas estructurales que se han acumulado durante años hasta cruzar este umbral histórico:

  1. Las organizaciones no consiguen parchear a la velocidad que aparecen nuevas vulnerabilidades. El número de CVEs críticos publicados anualment sigue creciendo. Los equipos de seguridad, con los mismos recursos, tienen que priorizar y ejecutar en un volumen 50% mayor que el año anterior. El resultado es una acumulación de deuda técnica de seguridad que se convierte en superficie de ataque.
  2. La IA ha comprimido el tiempo de explotación a horas. Cuando antes una vulnerabilidad tardá semanas o meses en ser weaponizada, hoy los actores de amenaza que usan herramientas de IA pueden desarrollar y desplegar exploits en horas. El margen para parchear antes de que llegue el ataque se ha reducido drásticamente.
  3. Las defensas contra el robo de credenciales han mejorado. El MFA, aunque imperfecto como demostró esta semana el caso EvilTokens, ha endurecido suficientemente el vector de credenciales como para que los atacantes encuentren más rentable buscar vulnerabilidades sin parchear en sistemas expuestos a internet.
  4. La superficie de ataque de vulnerabilidades es sistemáticamente mayor. Cada nueva aplicación SaaS, cada dispositivo IoT, cada servidor expuesto a internet, cada extensión de desarrollo instalada sin auditar es una superficie de ataque potencial. La digitalización acelerada crea vulnerabilidades más rápido de lo que los equipos pueden gestionarlas.

La crisis del parcheo: por qué las organizaciones no consiguen remediar a tiempo

El DBIR 2026 pone números a algo que los profesionales de seguridad llevan años observando: el modelo de gestión de vulnerabilidades que funciona con ciclos de 30-90 días ya no es suficiente para el panorama de amenazas actual. Tres factores explican la crisis:

  • El volumen supera la capacidad operativa. Un 50% más de CVEs críticos que el año anterior con los mismos equipos significa que las organizaciones tienen que priorizar bajo presión constante. El 74% de los CVEs críticos del KEV no son parcheados — no porque las organizaciones no lo sepan, sino porque no dan abasto.
  • La dependencia de terceros alarga los ciclos. Muchas organizaciones no gestionan directamente la infraestructura que aloja sus vulnerabilidades: dependen de proveedores de cloud, de hosting, de software on-premise con ciclos de actualización propios. Como vimos esta semana con cPanel (CVE-2026-41940) o con Exchange OWA (CVE-2026-42897), la cadena entre “parche disponible” y “parche aplicado” puede tardar semanas.
  • El Shadow IT crea puntos ciegos sistemáticos. Si el equipo de seguridad no sabe que existe un activo, no puede parchearlo. El crecimiento del Shadow IT al top 3 de fuentes de brechas confirma que el inventario de activos sigue siendo un problema no resuelto en la mayoría de organizaciones.

Lo que el DBIR 2026 confirma sobre los ataques que hemos cubierto esta semana

El valor del DBIR como marco de referencia es que convierte la inteligencia táctica en contexto estratégico. Los cinco ataques que Apolo Cybersecurity ha documentado esta semana son ejemplos directos de los patrones que el DBIR 2026 identifica como dominantes:

  • Exchange OWA CVE-2026-42897 (lunes): zero-day bajo explotación activa sin parche permanente, con tiempo de remediación que depende de que cada organización aplique una mitigación manual. Exactamente el patrón que el DBIR identifica: ventana entre divulgación y explotación comprimida a horas, tiempo medio de parcheo de 43 días.
  • The Gentlemen ransomware (martes): ransomware como segundo vector más impactante del DBIR, con afiliados que usan IA para calibrar rescates y maximizar presión. El DBIR confirma que ransomware sigue siendo prevalente a pesar de que los pagos bajan.
  • EvilTokens / OAuth Device Code Phishing (miércoles): el DBIR documenta el auge del phishing como vector de entrada y la creciente sofisticación de las técnicas que evaden las defensas estándar de MFA. EvilTokens es la materialización comercial de esa tendencia.
  • DDoS a la CNMC (jueves): el DBIR confirma el crecimiento de ataques a infraestructuras públicas y de disponibilidad, especialmente en el contexto de tensiones geopolíticas.
  • TeamPCP / GitHub via Nx Console (lunes): el DBIR documenta explícitamente el auge de ataques a entornos de desarrollo, pipelines CI/CD y cadenas de suministro de software como vector emergente de primer orden. TeamPCP es el caso de estudio de 2026.

Lecciones clave para CISOs y equipos SOC en España

El DBIR 2026 no es un informe de tendencias globales abstractas. Es un mapa de riesgo operativo con implicaciones directas para cualquier organización española:

  • Priorizar el parcheo como actividad crítica, no como mantenimiento. Si el 31% de las brechas comienzan con una vulnerabilidad sin parchear y el tiempo medio de parcheo es de 43 días, el parcheo no puede gestionarse con ciclos mensuales. Los CVEs en el catálogo KEV de CISA deben tratarse como incidentes activos: plazos de 72 horas, no de semanas.
  • Inventariar activamente todos los activos expuestos. El Shadow IT en el top 3 de fuentes de brechas implica que el inventario de activos es una tarea de seguridad, no solo de operaciones. No puedes parchear lo que no sabes que existe.
  • Revisar el ciclo de parcheo de proveedores críticos. Muchas vulnerabilidades en entornos españoles viven en sistemas gestionados por terceros: hosting providers, proveedores de software on-premise, proveedores de SaaS. La diligencia sobre los SLAs de parcheo de estos proveedores es parte de la gestión del riesgo.
  • No delegar la priorización de vulnerabilidades a los escores CVSS. El CVSS es un indicador de severidad, no de urgencia. Un CVE con CVSS 7.0 en el catálogo KEV exige más atención inmediata que un CVE con CVSS 9.5 que solo existe en entornos muy específicos. La priorización debe basarse en contexto: ¿está siendo explotado activamente? ¿está expuesto en nuestra infraestructura?
  • Actualizar los modelos de riesgo para contemplar la IA como amplificador de amenazas. Si los atacantes usan IA en 15 técnicas de ataque de media, el tiempo de respuesta disponible para los defensores se ha comprimido sistemáticamente. Los modelos de riesgo que asumen ventanas de explotación de semanas ya no son válidos.

La ciberseguridad como prioridad estratégica

El Verizon DBIR 2026 llega en un momento en que el blog de Apolo Cybersecurity lleva tres semanas documentando exactamente los patrones que el informe confirma como dominantes: vulnerabilidades sin parchear explotadas en horas, ataques a cadenas de suministro de software, ransomware como servicio cada vez más sofisticado, y técnicas que evaden las defensas estándar de autenticación. El DBIR no revela tendencias futuras: valida lo que ya está ocurriendo. Y lo que está ocurriendo en España — Ahorramas, CNMC, Exchange OWA, cPanel, GitHub via VS Code — es el mismo patrón que Verizon documenta a escala global.

Para cualquier directivo o CISO español, la pregunta que plantea el DBIR 2026 es directa: ¿cuántos CVEs críticos del catálogo KEV tiene tu organización sin parchear ahora mismo? Si la respuesta no es “zero” o no sabes la respuesta, el 31% del DBIR te da el contexto de por qué es urgente saberlo.

Apolo Cybersecurity: gestión de vulnerabilidades y reducción del tiempo de remediación

En Apolo Cybersecurity ayudamos a organizaciones españolas a reducir su exposición ante los vectores que el DBIR 2026 identifica como dominantes: evaluación de la postura de vulnerabilidades frente al catálogo KEV de CISA, implementación de procesos de priorización y parcheo acelerado para CVEs críticos, inventario de activos expuestos (incluyendo Shadow IT), auditoría de SLAs de parcheo de proveedores críticos, y detección de explotación activa en entornos que aún no han aplicado los parches disponibles.

Si tu organización no tiene visibilidad sobre cuántos CVEs críticos del KEV de CISA tiene sin parchear, el DBIR 2026 acaba de darte el argumento para priorizarlo.

Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity