Verizon acaba de publicar la 19a edició del Data Breach Investigations Report (DBIR), l’informe de bretxes de dades més citat i referenciat de la indústria de ciberseguretat a nivell global. La conclusió principal d’enguany trenca amb gairebé dues dècades d’història: per primera vegada en 19 anys de publicació del DBIR, l’explotació de vulnerabilitats ha superat el robatori de credencials com el vector d’accés inicial més freqent en bretxes de dades. L’informe, basat en l’anàlisi de més de 31.000 incidents de seguretat i més de 22.000 bretxes confirmades ocorregudes entre novembre de 2024 i octubre de 2025, envia un missatge directe a tots els responsables de seguretat: pedaçar ja no és una tasca de manteniment. És la primera línia de defensa.

Què revela el DBIR 2026? Les conclusions clau

  • 31% de les bretxes per explotació de vulnerabilitats. Prop d’un terç de totes les bretxes confirmades el 2025 van començar amb una vulnerabilitat sense pedaçar. És la primera vegada en 19 anys que aquest vector supera l’abús de credencials robades, que va caure al 13%.
  • Més de 22.000 bretxes confirmades analitzades. El volum gairebé dobla l’informe anterior (12.195 bretxes al DBIR 2025).
  • Només el 26% dels CVEs crítics del KEV de la CISA van ser pedaçats el 2025. L’any anterior la xifra era del 38%. La tendència és descendent.
  • El temps mitjà de pedaçament va pujar a 43 dies. Al DBIR 2025 era de 32 dies. El temps per pedaçar creix just quan la finestra d’explotació es comprimeix.
  • El volum de vulnerabilitats crítiques a pedaçar va créixer un 50%. Les organitzacions no gestionen millor el pedaçament: simplement han de pedaçar més.
  • La finestra d’explotació s’ha comprimit a hores. La IA està sent desplegada per actors d’amenaça en totes les fases del cicle d’atac.
  • La IA accelera l’atac, no només la defensa. De mitjana, els actors d’amenaça apliquen assistència d’IA en 15 tècniques d’atac diferents. Alguns adversaris en fins a 50.
  • El Shadow IT va entrar al top 3 de fonts de bretxes. Els actius i serveis no gestionats s’han convertit en un dels tres vectors més freqents de bretxes.
  • El ransomware segueix sent prevalent però els pagaments baixen.

Per què l’explotació de vulnerabilitats ha superat les credencials per primera vegada en 19 anys

  1. Les organitzacions no aconsegueixen pedaçar a la velocitat que apareixen noves vulnerabilitats. Un 50% més de CVEs crítics que l’any anterior amb els mateixos equips. El resultat és una acumulació de deute tècnic de seguretat que es converteix en superfície d’atac.
  2. La IA ha comprimit el temps d’explotació a hores. El marge per pedaçar abans que arribi l’atac s’ha reduït dràsticament.
  3. Les defenses contra el robatori de credencials han millorat. El MFA ha endurit prou el vector de credencials perquè els atacants trobin més rendible buscar vulnerabilitats sense pedaçar en sistemes exposats a internet.
  4. La superfície d’atac de vulnerabilitats és sistemàticament més gran. Cada nova aplicació SaaS, cada dispositiu IoT, cada servidor exposat a internet és una superfície d’atac potencial.

La crisi del pedaçament: per què les organitzacions no aconsegueixen remediar a temps

  • El volum supera la capacitat operativa. El 74% dels CVEs crítics del KEV no són pedaçats — no perquè les organitzacions no ho sàpiguen, sinó perquè no donen l’abast.
  • La dependència de tercers allarga els cicles. Com vam veure aquesta setmana amb cPanel (CVE-2026-41940) o Exchange OWA (CVE-2026-42897), la cadena entre “pedaç disponible” i “pedaç aplicat” pot trigar setmanes.
  • El Shadow IT crea punts cecs sistemàtics. Si l’equip de seguretat no sap que existeix un actiu, no el pot pedaçar.

El que el DBIR 2026 confirma sobre els atacs que hem cobert aquesta setmana

  • Exchange OWA CVE-2026-42897 (dilluns): zero-day sota explotació activa sense pedaç permanent. Exactament el patró del DBIR: finestra de divulgació-explotació comprimida a hores, temps mitjà de pedaçament de 43 dies.
  • The Gentlemen ransomware (dimarts): ransomware com a segon vector més impactant del DBIR. El DBIR confirma que el ransomware segueix sent prevalent malgrat que els pagaments baixen.
  • EvilTokens / OAuth Device Code Phishing (dimecres): el DBIR documenta l’auge del phishing com a vector d’entrada i la creixent sofisticació de les tècniques que evadeixen les defenses estàndard de MFA.
  • DDoS a la CNMC (dijous): el DBIR confirma el creixement d’atacs a infraestructures públiques i de disponibilitat.
  • TeamPCP / GitHub via Nx Console (dilluns): el DBIR documenta explícitament l’auge d’atacs a entorns de desenvolupament, pipelines CI/CD i cadenes de subministrament de programari. TeamPCP és el cas d’estudi de 2026.

Lliçons clau per a CISOs i equips SOC a Espanya

  • Prioritzar el pedaçament com a activitat crítica, no com a manteniment. Els CVEs al catàleg KEV de la CISA han de tractar-se com a incidents actius: terminis de 72 hores, no setmanes.
  • Inventariar activament tots els actius exposats. No pots pedaçar el que no saps que existeix.
  • Revisar el cicle de pedaçament de proveïdors crítics. La diligència sobre els SLAs de pedaçament d’aquests proveïdors és part de la gestió del risc.
  • No delegar la priorització de vulnerabilitats als escors CVSS. La priorització ha de basar-se en context: és que s’està explotant activament? Està exposat a la nostra infraestructura?
  • Actualitzar els models de risc per contemplar la IA com a amplificador d’amenaces. Els models de risc que assumeixen finestres d’explotació de setmanes ja no són vàlids.

La ciberseguretat com a prioritat estratègica

El Verizon DBIR 2026 arriba en un moment en què el blog d’Apolo Cybersecurity porta tres setmanes documentant exactament els patrons que l’informe confirma com a dominants. El DBIR no revela tendències futures: valida el que ja està passant. I el que està passant a Espanya — Ahorramas, CNMC, Exchange OWA, cPanel, GitHub via VS Code — és el mateix patró que Verizon documenta a escala global.

Per a qualsevol directiu o CISO espanyol, la pregunta que planteja el DBIR 2026 és directa: quants CVEs crítics del catàleg KEV té la teva organització sense pedaçar ara mateix?

Apolo Cybersecurity: gestió de vulnerabilitats i reducció del temps de remediació

A Apolo Cybersecurity ajudem organitzacions espanyoles a reduïr la seva exposició davant els vectors que el DBIR 2026 identifica com a dominants: avaluació de la postura de vulnerabilitats davant el catàleg KEV de la CISA, implementació de processos de priorització i pedaçament accelerat per a CVEs crítics, inventari d’actius exposats (incloent Shadow IT), auditoria dels SLAs de pedaçament de proveïdors crítics, i detecció d’explotació activa en entorns que encara no han aplicat els pedaços disponibles.

Si la teva organització no té visibilitat sobre quants CVEs crítics del KEV de la CISA té sense pedaçar, el DBIR 2026 acaba de donar-te l’argument per prioritzar-ho.

Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity