Gestión de vulnerabilidades: cómo funciona y cómo los equipos de seguridad reducen los riesgos de explotación

Las organizaciones se enfrentan a una carga de vulnerabilidades cada vez mayor. Con 40 289 CVE publicadas en 2024, lo que supone un aumento del 39 % con respecto a 2023 (Informe sobre el panorama global de amenazas de Fortinet 2025), y con un coste medio por violación de datos que asciende ahora a 4,88 millones de dólares (Informe sobre el coste de una violación de datos de IBM 2024), las vulnerabilidades en la cadena de suministro, las cargas de trabajo cloud y las infraestructuras al final de su vida útil han cambiado radicalmente el cálculo de riesgos, y los ciclos periódicos de aplicación de parches ya no constituyen una respuesta estructuralmente adecuada.

Esta guía explica cómo funciona la gestión de vulnerabilidades, cómo crear y evaluar un programa consolidado, y cómo las capacidades de detección modernas permiten determinar qué vulnerabilidades despiertan el interés activo de los atacantes. Está dirigida a equipos de SOC, ingenieros de seguridad y CISO que estén creando o consolidando un programa de gestión de vulnerabilidades en entornos empresariales híbridos.

¿Qué es la gestión de vulnerabilidades?

La gestión de vulnerabilidades es un proceso continuo y estratégico destinado a identificar, evaluar, priorizar y corregir las deficiencias de seguridad en toda la infraestructura tecnológica de una organización. A diferencia de las evaluaciones puntuales o del alcance más limitado de la gestión de parches, la gestión de vulnerabilidades abarca todo el ciclo de vida de la exposición, desde el descubrimiento de activos hasta la verificación de la corrección, lo que permite reducir de forma sistemática los riesgos de explotación.

¿En qué se diferencia la gestión de vulnerabilidades de la evaluación de vulnerabilidades y la gestión de parches?

Aunque estos términos suelen utilizarse indistintamente, describen actividades diferentes con alcances distintos. La gestión de vulnerabilidades es un programa continuo: mantiene una supervisión constante de todo el panorama de riesgos, establece prioridades y realiza un seguimiento del progreso de las medidas correctivas a lo largo del tiempo. La evaluación de vulnerabilidades ofrece una instantánea puntual, útil para auditorías y evaluaciones de alcance limitado, pero no sustituye a la supervisión continua. La gestión de parches se ocupa únicamente de las actualizaciones de software, lo que representa un subconjunto de las actividades de corrección dentro de un programa maduro de gestión de vulnerabilidades. 

El CVE (Common Vulnerabilities and Exposures) proporciona identificadores estandarizados para las fallas de seguridad conocidas. El CVSS (Sistema Común de Puntuación de Vulnerabilidades) califica la gravedad de 0 a 10, aunque este enfoque se enfrenta a críticas bien documentadas por crear una falsa sensación de urgencia: solo el 3 % de las vulnerabilidades dan lugar con mayor frecuencia a una exposición con repercusiones, lo que significa que la gran mayoría de los hallazgos señalados por el CVSS no suponen una amenaza operativa en la práctica (Tenable Research 2024). El Sistema de Puntuación de Predicción de Explotación (EPSS) predice la probabilidad de explotación en un plazo de 30 días mediante el aprendizaje automático, lo que ofrece una priorización más precisa desde el punto de vista operativo. El catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la CISA realiza un seguimiento de las fallas confirmadas como explotadas activamente, lo que representa los objetivos de corrección de mayor prioridad en cualquier programa (Catálogo KEV de la CISA).

¿Cuál es la diferencia entre una vulnerabilidad, un riesgo y una amenaza?

Una vulnerabilidad es un punto débil en un sistema, una aplicación o una configuración que puede ser explotado. Una amenaza es un actor o una circunstancia con la capacidad y la intención de explotar ese punto débil. Un riesgo es el impacto potencial en el negocio si la amenaza aprovecha con éxito la vulnerabilidad, teniendo en cuenta tanto la probabilidad como las consecuencias. Los programas de gestión de vulnerabilidades abordan las vulnerabilidades directamente, pero una priorización eficaz requiere estos tres factores: una CVE de alta gravedad en un sistema aislado y desconectado de la red puede suponer un riesgo operativo menor que un fallo de gravedad media que sea objeto de ataques activos en un entorno de producción con servicios expuestos a Internet.

¿Cómo funciona la gestión de vulnerabilidades?

La gestión de vulnerabilidades funciona como un ciclo continuo de seis fases. Cada fase da paso a la siguiente, y el programa nunca se detiene por completo: los activos cambian, cada día se revelan nuevas vulnerabilidades y el panorama de amenazas evoluciona constantemente. El ciclo continuo de seis fases funciona de la siguiente manera:

‍

1. Detección e inventario de activos: identifica todos los activos, incluyendo hardware, software, cloud , contenedores e identidades. Las organizaciones no pueden proteger los activos que desconocen. Los entornos modernos requieren una detección continua integrada con bases de datos de gestión de configuraciones (CMDB) y plataformas cloud para obtener visibilidad en tiempo real de toda la infraestructura híbrida.
   
2. Priorización de activos: clasifique los activos en función de su importancia crítica, la sensibilidad de los datos, la función empresarial y el nivel de exposición. Los activos conectados a Internet y los sistemas que alojan datos confidenciales se someten a la mayor frecuencia de análisis y cuentan con los acuerdos de nivel de servicio (SLA) de corrección más breves. Las técnicas de gestión de la superficie de ataque identifican los activos que requieren atención inmediata.
   
3. Evaluación y análisis: detecta vulnerabilidades mediante análisis con y sin autenticación, supervisión basada en agentes, SAST y DAST para aplicaciones, y CSPM para cloud . Los análisis con autenticación ofrecen una visibilidad más detallada que las evaluaciones externas. El análisis basado en agentes permite la supervisión continua de cargas de trabajo dinámicas.
   
4. Informes y análisis: transforma los resultados brutos de los análisis en información útil y priorizada. Los informes eficaces ponen de relieve los hallazgos críticos, los sitúan en el contexto empresarial y realizan un seguimiento del progreso de las medidas correctivas a lo largo del tiempo. Los paneles de control ejecutivos comunican las tendencias de riesgo a la dirección. Los informes técnicos proporcionan a los equipos de ingeniería instrucciones precisas para la aplicación de medidas correctivas.
   
5. Corrección y mitigación: aplicar parches de los proveedores, implementar parches virtuales mediante reglas de WAF o IPS, aislar los sistemas vulnerables o implementar controles compensatorios para los sistemas que no se pueden parchear. Las organizaciones que logran una tasa de corrección del 89 % en un plazo de 30 días utilizan la automatización y la orquestación para eliminar los retrasos debidos a los traspasos manuales entre la identificación y la acción.
   
6. Verificación y supervisión: confirme la corrección mediante nuevos análisis y pruebas. La supervisión continua detecta nuevas vulnerabilidades y desviaciones en la configuración entre los ciclos de análisis programados. La información obtenida de la verificación sirve de base para establecer prioridades futuras y ajustar los acuerdos de nivel de servicio (SLA) a lo largo de todo el ciclo de vida.
   

Vulnerabilidades comunes que gestionan los equipos de seguridad

Las vulnerabilidades no constituyen una categoría homogénea, por lo que es fundamental aplicar métodos de análisis personalizados para lograr una cobertura exhaustiva en una infraestructura híbrida moderna. 

‍

En la siguiente tabla se relaciona cada tipo de vulnerabilidad con su vector de ataque, ejemplos comunes y los principales indicadores de priorización

Vulnerabilidades de red

Las vulnerabilidades de red exponen superficies de ataque en toda la organización que los atacantes pueden sondear sin necesidad de interacción por parte del usuario. Los protocolos sin cifrar, las credenciales predeterminadas en los dispositivos de red y los servicios de red sin parches se encuentran entre las categorías más explotadas. Los escáneres basados en red identifican estos elementos desde la perspectiva de un atacante externo, mientras que los análisis autenticados ofrecen una visibilidad más profunda de las configuraciones erróneas internas que pasan desapercibidas en las evaluaciones que se limitan al perímetro.

Vulnerabilidades de las aplicaciones

Las vulnerabilidades de las aplicaciones requieren métodos de prueba especializados que van más allá del escaneo estándar de redes. El SAST identifica fallos a nivel de código durante el desarrollo. El DAST analiza las aplicaciones en ejecución en busca de puntos débiles que puedan ser explotados, como fallos de inyección, eludir la autenticación y referencias directas a objetos inseguras. El análisis de la composición del software (SCA) identifica bibliotecas de terceros vulnerables, una capacidad fundamental, ya que las aplicaciones modernas suelen incluir cientos de dependencias de código abierto con ciclos de vida de vulnerabilidad independientes.

Vulnerabilidades Cloud en los contenedores

Las cargas de trabajo Cloud introducen categorías de vulnerabilidades que las herramientas de análisis tradicionales no detectan. Los buckets de almacenamiento mal configurados, los roles de IAM con privilegios excesivos y las imágenes base de contenedores sin parches requieren herramientas específicas: plataformas CSPM para la evaluación de la configuración, CWPP para la protección de cargas de trabajo y análisis de imágenes de contenedores integrado en los procesos de CI/CD antes de la implementación. Según Gartner, el 35 % de las aplicaciones estarán contenedorizadas para 2029, lo que convierte la cobertura de vulnerabilidades cloud en una prioridad cada vez mayor para los programas.

Vulnerabilidades relacionadas con la identidad y el acceso

Las vulnerabilidades de identidad se utilizan cada vez más como vectores de acceso inicial. Las configuraciones deficientes de la autenticación multifactorial (MFA), las cuentas de servicio con privilegios excesivos y las cuentas vulnerables a Kerberoast en Active Directory son objeto de explotación habitual en los ataques a empresas. La gestión de las vulnerabilidades de identidad requiere la integración entre los escáneres tradicionales y las herramientas de seguridad de identidad, una carencia que deja a muchos programas con puntos ciegos en su superficie de ataque de mayor riesgo.

La gestión de vulnerabilidades en cifras: estadísticas de 2024-2025

Los datos que se muestran a continuación reflejan la magnitud actual del problema de la vulnerabilidad en los entornos empresariales. Estas métricas deben servir de base para las decisiones de inversión en programas, el ajuste de los acuerdos de nivel de servicio (SLA) y la presentación de informes sobre el estado de la seguridad ante la junta directiva. Se indican las fuentes y los años de publicación para garantizar la verificabilidad y facilitar las citas.

Casos prácticos reales sobre la gestión de vulnerabilidades en empresas

Los siguientes casos ilustran cómo los fallos en la gestión de vulnerabilidades se traducen en un impacto operativo cuantificable. Cada uno de ellos representa un modo de fallo distinto —el momento de la divulgación, la exposición de terceros y zero-day — y ofrece una lección directa para el diseño de programas y el ajuste de los acuerdos de nivel de servicio (SLA).

Log4Shell: explotación a escala mundial a las pocas horas de su divulgación pública

El 9 de diciembre de 2021 se hizo pública una vulnerabilidad crítica de ejecución remota de código (CVE-2021-44228, CVSS 10.0) en la biblioteca de registro Apache Log4j. En menos de 72 horas, Checkpoint Research identificó más de 100 grupos distintos de actores maliciosos que explotaban activamente la vulnerabilidad en objetivos conectados a Internet. La CISA emitió la Directiva de Emergencia 22-02, en la que exigía a todas las agencias civiles federales que aplicaran el parche de inmediato. La vulnerabilidad afectó a cientos de millones de dispositivos en cloud , aplicaciones empresariales y sistemas integrados de todo el mundo.

La biblioteca Log4j se integró en productos de software de cientos de proveedores, muchos de los cuales carecían de visibilidad de la lista de materiales de software (SBOM) en sus cadenas de dependencias. Las organizaciones que realizaban ciclos de análisis trimestrales quedaron expuestas durante semanas mientras se evaluaban y probaban los parches de los proveedores antes de su implementación.

Lección aprendida: en el caso de las vulnerabilidades de alta gravedad, la explotación comienza a las pocas horas de su divulgación pública; los programas que no cuentan con análisis continuos ni alertas automatizadas de KEV no pueden responder con la rapidez que exige el entorno de amenazas.

MOVEit Transfer: una filtración en cadena de un proveedor externo que afecta a más de 2.700 organizaciones

En mayo de 2023, el grupo de ransomware Cl0p aprovechó una vulnerabilidad de inyección SQL (CVE-2023-34362) en la plataforma de transferencia de archivos MOVEit Transfer de Progress Software antes de que el proveedor hiciera pública la falla. La filtración afectó a más de 2.700 organizaciones —entre ellas organismos gubernamentales, instituciones financieras y sistemas sanitarios— y dejó al descubierto los datos de más de 93 millones de personas. Los costes totales estimados superaron los 12 000 millones de dólares (Emsisoft 2024).

El ataque puso de manifiesto las limitaciones de los programas de análisis centrados en el perímetro. Las organizaciones que no incluyeron las plataformas SaaS de terceros y los servicios de transferencia gestionada de archivos en su ámbito de gestión de vulnerabilidades no tuvieron conocimiento de la falla hasta que los datos ya habían sido sustraídos.

Lección aprendida: el software de terceros y el de la cadena de suministro debe someterse al mismo rigor de análisis que los sistemas gestionados internamente; las plataformas SaaS y los servicios de transferencia gestionada de archivos no son activos excluidos del alcance.

Ivanti Connect Secure: zero-day atribuibles a Estados-nación en más de 1.700 dispositivos VPN empresariales

En enero de 2024, actores maliciosos vinculados a Estados-nación combinaron dos zero-day en los dispositivos Ivanti Connect Secure VPN (CVE-2023-46805 y CVE-2024-21887) para lograr la ejecución remota de código antes de la autenticación. La CISA publicó la Directiva de Emergencia 24-01 pocos días después de que se diera a conocer el incidente. Más de 1700 dispositivos se vieron comprometidos en todo el mundo antes de que estuvieran disponibles los parches. El ataque se atribuyó a UNC5221, un grupo de amenazas vinculado a China que tiene como objetivo organizaciones gubernamentales y de infraestructuras críticas.

La concatenación de vulnerabilidades —una que permitía eludir la autenticación y otra que permitía la inyección de comandos— dio lugar a un resultado considerablemente más grave que el de cualquiera de las dos fallas por separado. La puntuación CVSS estándar de las vulnerabilidades individuales no habría detectado el riesgo de explotación combinado antes de que la actividad del atacante lo revelara.

Lección aprendida: Zero-day requiere controles compensatorios —segmentación de la red, supervisión reforzada y parches virtuales del IPS— que deben activarse de inmediato tras la divulgación, y no después de que se haya programado un periodo de aplicación de parches.

Gestión de vulnerabilidades frente a pruebas de penetración

La gestión de vulnerabilidades y las pruebas de penetración tienen fines distintos y no deben sustituirse entre sí, sino que son disciplinas complementarias dentro de un programa de seguridad bien consolidado.

La gestión de vulnerabilidades es un proceso continuo: identifica y realiza un seguimiento de las debilidades conocidas en todos los activos, prioriza las medidas correctivas en función de la posibilidad de explotación y del contexto empresarial, y mide el rendimiento del programa a lo largo del tiempo. Las pruebas de penetración son periódicas y de alcance limitado: se trata de una simulación estructurada del comportamiento de un atacante diseñada para validar si las vulnerabilidades identificadas son explotables, descubrir fallos lógicos que los escáneres automatizados pasan por alto y comprobar la eficacia de los controles existentes.

Un programa consolidado utiliza ambas cosas. La gestión de vulnerabilidades identifica el área de exposición. Las pruebas de penetración comprueban si las defensas resisten ante un atacante que actúe activamente dentro de ella.

Por qué la gestión de vulnerabilidades es más difícil que nunca

El panorama de amenazas ha cambiado de tal manera que los programas tradicionales de análisis periódico resultan estructuralmente insuficientes. Hay tres factores que definen el reto actual.

La velocidad de explotación ha superado a los ciclos de corrección.

El catálogo KEV de la CISA revela que el 23,6 % de las vulnerabilidades explotadas conocidas se aprovechan para lanzar ataques en el momento de su divulgación pública o antes (CISA KEV 2024), lo que no deja a los defensores un margen de tiempo significativo. Los ataques modernos encadenan cada vez más múltiples puntos débiles; una configuración errónea de baja gravedad, combinada con una vulnerabilidad de escalada de privilegios, puede tener las mismas consecuencias críticas para la empresa que un único fallo calificado como crítico.

Las superficies de ataque se han ampliado más allá de los análisis basados en el perímetro. Las brechas en la cadena de suministro introducen vulnerabilidades que escapan al control directo de la organización. Las cargas de trabajo Cloud, los contenedores y los recursos informáticos efímeros añaden activos que los escáneres tradicionales basados en agentes suelen pasar por alto. Cloud ha convertido el inventario exhaustivo de activos en un requisito operativo continuo, y no en un ejercicio trimestral.

Las infraestructuras heredadas crean ventanas de exposición permanentes. El fin del ciclo de vida de Windows 10 en octubre de 2025 dejó a los sistemas sin actualizaciones de seguridad, lo que expone de forma permanente las vulnerabilidades conocidas para aquellas organizaciones que no pueden migrar. Los sistemas que no pueden actualizarse con parches requieren controles compensatorios, segmentación de la red, una supervisión reforzada y control de las aplicaciones para limitar el riesgo de explotación. Se trata de medidas provisionales, no de soluciones, y exigen una gestión activa y continua.

¿Cuáles son los principales retos de la gestión de vulnerabilidades?

Incluso los equipos que cuentan con buenos recursos se enfrentan a obstáculos estructurales que se agravan con el tiempo. Estos retos son de carácter sistémico, no casos aislados, y no se resuelven simplemente añadiendo más escáneres.

El volumen de alertas y la falsa sensación de urgencia generada por el CVSS. Solo alrededor del 16 % de las vulnerabilidades clasificadas como «críticas» según el CVSS son objeto de explotación en la práctica. Considerar urgente cada puntuación «crítica» del CVSS genera atrasos en la corrección que ocultan las exposiciones de riesgo realmente elevado y agotan la capacidad de los analistas en amenazas teóricas.

Lagunas de cobertura en las infraestructuras modernas. Las cargas de trabajo Cloud, las aplicaciones en contenedores y los activos efímeros suelen pasar desapercibidos para los escáneres diseñados para entornos estáticos. Las infraestructuras híbridas requieren estrategias de análisis híbridas: basadas en agentes para las cargas de trabajo dinámicas, sin agentes para los activos estáticos e integradas mediante API para cloud .

Coordinación de la corrección a gran escala. La gestión de vulnerabilidades traspasa los límites de los equipos: el equipo de seguridad identifica los problemas, el de TI aplica los parches y el de ingeniería corrige los fallos a nivel de código. Sin acuerdos de nivel de servicio (SLA) definidos ni una integración de los flujos de trabajo, se acumulan los retrasos, independientemente de lo bien que se prioricen las vulnerabilidades en las fases iniciales.

Carga de trabajo derivada de los procesos manuales. La clasificación manual, la creación de tickets y la elaboración de informes absorben recursos de los analistas, que deberían centrarse en la investigación y la corrección. Los programas que dependen de procesos manuales a gran escala no pueden cerrar las ventanas de exposición antes de que se abran las ventanas de explotación.

¿Cómo funciona la automatización de la gestión de vulnerabilidades?

La automatización de la gestión de vulnerabilidades reduce el trabajo manual a lo largo de todo el ciclo, desde la detección hasta la corrección. Los análisis automatizados identifican continuamente nuevas vulnerabilidades a medida que cambian los activos, sin necesidad de programar ventanas de análisis. Los procesos de enriquecimiento de datos correlacionan los resultados de los análisis con las puntuaciones del sistema de protección de puntos finales (EPSS), las fuentes de inteligencia sobre amenazas y los datos de criticidad de los activos para generar colas de correcciones priorizadas sin intervención de los analistas.

Las integraciones de SOAR convierten los hallazgos priorizados en tickets que se envían al equipo adecuado en función de la responsabilidad sobre los activos y los umbrales del SLA. Los nuevos análisis automatizados verifican la corrección sin necesidad de programarlos manualmente. Los procesos de generación de informes crean la documentación de cumplimiento con una periodicidad definida.

El objetivo no es excluir a los analistas del proceso, sino centrar su criterio en las decisiones que requieren experiencia humana: evaluar los controles compensatorios de los sistemas que no pueden parchearse, investigar las señales de detección que sugieren una explotación activa y escalar los hallazgos que superan los umbrales de riesgo de la organización.

Requisitos reglamentarios y de cumplimiento

La gestión de vulnerabilidades facilita el cumplimiento de los principales marcos normativos, cada uno de los cuales tiene requisitos específicos y obligaciones de documentación. Las organizaciones deben comprender estos requisitos para evitar sanciones y mantener sus certificaciones.

La norma ISO 27001 (A.12.6) exige procesos de gestión de vulnerabilidades técnicas con funciones definidas, evaluaciones periódicas y medidas correctivas oportunas. Las organizaciones deben documentar los procedimientos de gestión de vulnerabilidades, mantener plazos para la aplicación de medidas correctivas y demostrar una mejora continua mediante enfoques basados en el riesgo alineados con los objetivos empresariales.

Las medidas de seguridad técnicas de la HIPAA exigen la gestión de vulnerabilidades para proteger la información médica protegida en formato electrónico (ePHI). Las entidades afectadas deben realizar evaluaciones periódicas de vulnerabilidades, aplicar los parches sin demora y documentar todas las medidas correctivas. La Norma de Seguridad exige una evaluación continua de la eficacia de los controles técnicos.

El requisito 6 de la norma PCI DSS aborda explícitamente la gestión de vulnerabilidades para las organizaciones que manejan datos de tarjetas de pago. Es obligatorio realizar análisis de vulnerabilidades trimestrales, tanto internos como externos, a cargo de proveedores de análisis autorizados (ASV). Las vulnerabilidades de alto riesgo deben corregirse en el plazo de un mes, y debe realizarse un nuevo análisis para verificar que las correcciones se han aplicado correctamente.

LCR DEL NIST integrates vulnerability management across multiple functions. The Identify function (ID.RA) requires vulnerability identification, while Protect (PR.IP) encompasses remediation activities. Organizations adopting NIST guidelines typically implement automated scanning, continuous monitoring, and metrics-based improvement programs.

Detección y prevención de vulnerabilidades

Para que la detección sea eficaz, es necesario combinar el análisis continuo con la supervisión del comportamiento: los escáneres identifican las vulnerabilidades conocidas, mientras que las señales de detección activa revelan qué vulnerabilidades están siendo objeto de ataques en ese momento. El marco de siete pasos que se presenta a continuación abarca ambas dimensiones de un programa completo de detección y prevención.

1. Garantice una visibilidad continua de los activos: mantenga un inventario de activos en tiempo real que incluya la infraestructura cloud, híbrida y efímera. Integre el sistema con bases de datos de cloud de configuraciones (CMDB), API cloud y sistemas de identidades. Un escáner no puede evaluar lo que no ve. Los activos no detectados constituyen puntos ciegos sistemáticos, no lagunas aceptables en el programa.
   
2. Implemente análisis autenticados en todas las clases de activos: los análisis autenticados ofrecen una cobertura de vulnerabilidades considerablemente más exhaustiva que los análisis no autenticados desde la perspectiva de la red. Configure las credenciales de análisis para servidores, estaciones de trabajo, dispositivos de red y cloud . Complemente esta estrategia con análisis basados en agentes para los activos a los que los escáneres de red no pueden acceder entre ciclos programados.
   
3. Integra la información sobre amenazas y las fuentes KEV de la CISA: automatiza la incorporación de las actualizaciones KEV de la CISA y las fuentes de información sobre amenazas en tu proceso de priorización. Cuando se publique una entrada KEV sobre una vulnerabilidad presente en tu entorno, ese hallazgo debe escalarse automáticamente al nivel más alto del SLA, independientemente de la puntuación CVSS. Una explotación de «cero clics» requiere una escalación sin demora.
   
4. Aplicar la priorización de riesgos basada en el EPSS: sustituir o complementar la clasificación basada únicamente en el CVSS por puntuaciones EPSS filtradas según la importancia de los activos y el contexto del entorno. Una vulnerabilidad con un CVSS 7,0 y un EPSS de 0,85 requiere una actuación más urgente que una con un CVSS 9,5 y un EPSS de 0,001. Muchos programas establecen 0,10 como umbral mínimo para una respuesta de nivel elevado, ajustado al perfil de exposición de los activos.
   
5. Automatice los flujos de trabajo de corrección y el cumplimiento de los SLA: conecte los hallazgos de vulnerabilidades priorizadas a los sistemas de gestión de incidencias a través de SOAR o de una integración directa mediante API. Desvíe las incidencias en función de la titularidad de los activos, en lugar de mediante una clasificación manual. Defina y aplique los SLA por niveles: vulnerabilidades críticas y explotadas activamente en un plazo de 24 a 72 horas; de gravedad alta en 7 días; y de gravedad media en 30 días. Realice un seguimiento del cumplimiento de los SLA como métrica principal del programa.
   
6. Implemente controles compensatorios para los sistemas que no se pueden parchear: en el caso de los sistemas que no se pueden parchear de inmediato, aplique la segmentación de la red, reglas WAF y parches virtuales IPS. Documente formalmente cada decisión relativa a los controles compensatorios a efectos de cumplimiento normativo. Considérelas medidas temporales con ciclos de revisión definidos, no soluciones permanentes.
   
7. Supervise las señales de comportamiento que indican una explotación activa: integre los datos de gestión de vulnerabilidades con las herramientas de detección y respuesta para identificar qué vulnerabilidades están siendo explotadas activamente en su entorno. Las conexiones de red inusuales a servicios vulnerables, los intentos de escalada de privilegios tras una fase de reconocimiento y el movimiento lateral desde sistemas afectados por CVE son indicios de un interés activo por parte de los atacantes, y deben servir para reordenar las prioridades de las colas de corrección en tiempo real.
   

MITRE ATT&CK para el aprovechamiento de vulnerabilidades

La explotación de vulnerabilidades se corresponde directamente con múltiples MITRE ATT&CK . Comprender qué técnicas utilizan los atacantes para explotar categorías específicas de vulnerabilidades ayuda a los equipos a configurar la cobertura de detección y a verificar que los programas de análisis abordan las superficies de ataque de mayor riesgo. La tabla siguiente relaciona las técnicas comunes de explotación de vulnerabilidades con sus identificadores ATT&CK y los métodos de detección recomendados.

Cómo comprueban los equipos de seguridad qué vulnerabilidades están siendo objeto de explotación activa

La gestión tradicional de vulnerabilidades identifica lo que podría ser objeto de un ataque. La detección basada en el comportamiento revela lo que los atacantes están atacando activamente en tu entorno en este mismo momento, y esa distinción determina dónde deben centrarse los esfuerzos de corrección.

La tecnología Attack Signal Intelligence™Vectra AI detecta en tiempo real los patrones de explotación en entornos de red, cloud, identidades y SaaS, correlacionando las señales de toda la superficie de ataque para revelar qué vulnerabilidades de su entorno específico están siendo objeto de ataques activos. Según IDC, las organizaciones que utilizan Vectra AI un 52 % más de amenazas potenciales y reducen en un 50 % el tiempo dedicado a la investigación de alertas.

Descubre cómo la detección de comportamientos complementa tu programa de gestión de vulnerabilidades → Echa un vistazo a la Vectra AI

Priorización basada en el riesgo y EPSS

La priorización tradicional basada en el CVSS suele provocar una abrumadora fatiga por alertas. Muchas vulnerabilidades clasificadas como críticas nunca llegan a ser explotadas en la práctica, lo que hace que los equipos de seguridad dediquen recursos de corrección a riesgos que suponen un riesgo operativo limitado. La gestión de vulnerabilidades basada en el riesgo incorpora inteligencia sobre amenazas, el contexto empresarial y la probabilidad de explotación para priorizar las vulnerabilidades que más importan.

La metodología EPSS predice la probabilidad de explotación mediante modelos de aprendizaje automático que analizan la disponibilidad de exploits, las características de las vulnerabilidades y la información de los proveedores. El EPSS se actualiza a diario y ofrece predicciones de explotación actualizadas con una probabilidad que oscila entre el 0 % y el 100 %. A diferencia del CVSS, las puntuaciones del EPSS reflejan el comportamiento observado de los atacantes y los patrones de explotación previstos, en lugar de evaluaciones teóricas de la gravedad.

Los factores del contexto ambiental influyen de manera significativa en el riesgo real. Una vulnerabilidad en un sistema de desarrollo aislado supone un menor riesgo operativo que el mismo fallo en un servidor de producción conectado a Internet. La importancia de los activos, la sensibilidad de los datos y los controles compensatorios influyen en las decisiones de priorización. El MITRE ATT&CK ayuda a relacionar las vulnerabilidades con las técnicas de los adversarios para establecer prioridades basadas en las amenazas.

‍

Zero-day requiere un flujo de trabajo independiente. Al no haber ningún parche disponible, las organizaciones deben implementar medidas de protección alternativas: la segmentación de la red limita el impacto potencial, la supervisión reforzada detecta los intentos de explotación y los parches virtuales a través de reglas IPS o WAF bloquean los patrones de ataque conocidos.

La tabla siguiente muestra la mejora de la precisión en cada etapa de madurez de la priorización. Estas cifras de precisión reflejan promedios calculados a partir de grandes conjuntos de vulnerabilidades y pueden variar en función del entorno, la combinación de activos y el perfil de amenazas. Utilícelas como puntos de referencia para la calibración, no como umbrales fijos.

Implantación del EPSS en su programa de MV

La implementación de EPSS comienza con la integración de datos. Conecte los escáneres de vulnerabilidades a los puntos finales de la API de EPSS para obtener una puntuación automatizada. Asigne las vulnerabilidades existentes a identificadores CVE para su consulta en EPSS. Establezca umbrales basados en la tolerancia al riesgo de la organización; muchos programas dan prioridad a las vulnerabilidades con puntuaciones EPSS superiores al 10 %, aunque la calibración de los umbrales debe reflejar la criticidad de los activos y el perfil de exposición del sector.

Configure las herramientas de análisis para que incluyan las puntuaciones EPSS junto con las CVSS en los informes. Modifique los flujos de trabajo de corrección para tener en cuenta la probabilidad EPSS a la hora de establecer los SLA. Los analistas deben comprender que una puntuación EPSS de 0,85 implica una probabilidad del 85 % de que se produzca un ataque en un plazo de 30 días, lo que difiere radicalmente de una calificación CVSS de 9,0 en una vulnerabilidad para la que no existe ningún exploit público. Documente la metodología de priorización a efectos de cumplimiento normativo y auditoría.

Supervise la eficacia del EPSS mediante el seguimiento de métricas. Compare las tasas de falsos positivos y el tiempo medio de resolución antes y después de la implantación del EPSS. Ajuste los umbrales en función de la precisión observada en su entorno específico.

Herramientas y tecnologías de gestión de vulnerabilidades

Las plataformas modernas de gestión de vulnerabilidades combinan múltiples funciones para ofrecer una cobertura integral. La evaluación de las diferentes categorías de herramientas ayuda a las organizaciones a elegir soluciones que se adapten a su entorno y al grado de madurez de su programa.

La arquitectura de los escáneres influye considerablemente en su implementación y eficacia. Los escáneres basados en agentes ofrecen una visibilidad continua y funcionan bien en entornos dinámicos. Las soluciones sin agentes reducen la complejidad de la implementación, pero pueden pasar por alto activos transitorios. La mayoría de las organizaciones adoptan enfoques híbridos que combinan ambos métodos. Los escáneres basados en red identifican las vulnerabilidades visibles desde la perspectiva de un atacante externo.

La seguridad de las aplicaciones requiere métodos de prueba especializados. El SAST analiza el código fuente en busca de vulnerabilidades durante la fase de desarrollo. El DAST comprueba si las aplicaciones en ejecución presentan fallos de seguridad. El IAST combina ambos enfoques para lograr una cobertura exhaustiva. El SCA identifica componentes vulnerables en bibliotecas de terceros, una capacidad fundamental dado que las cadenas de dependencias de código abierto han crecido considerablemente en las pilas de aplicaciones modernas.

La seguridadCloud y de los contenedores constituye un ámbito de cobertura específico. Las plataformas CNAPP unifican las capacidades cloud , incluida la gestión de vulnerabilidades. El CSPM supervisa continuamente cloud en busca de riesgos de seguridad. El CWPP protege las cargas de trabajo en entornos híbridos. El análisis de contenedores identifica vulnerabilidades en las imágenes y los registros de contenedores antes de su implementación.

La integración de ecosistemas multiplica la eficacia de los programas. Las plataformas SIEM combinan los datos sobre vulnerabilidades con otros incidentes de seguridad para establecer correlaciones. Las plataformas SOAR automatizan los flujos de trabajo de corrección basándose en los resultados de las evaluaciones de vulnerabilidades. Las herramientas ITSM coordinan la aplicación de parches con los procesos de gestión de cambios entre los distintos equipos.

Seleccionar la plataforma de máquinas virtuales adecuada

Los criterios de decisión varían en función del tamaño de la organización, la complejidad de la infraestructura y el nivel de madurez en materia de seguridad. Las organizaciones pequeñas suelen empezar con una gestión integrada de vulnerabilidades dentro de las plataformas de protección de terminales. Las empresas medianas suelen necesitar plataformas de gestión de vulnerabilidades específicas con capacidades de automatización. Las grandes empresas necesitan plataformas completas que admitan entornos diversos y cumplan los requisitos de cumplimiento normativo.

En la siguiente tabla se comparan las arquitecturas de escáner más habituales según el caso de uso. La mayoría de los programas consolidados utilizan implementaciones híbridas en lugar de optar por un único método de escaneo.

Métricas y KPI de gestión de vulnerabilidades

Una medición eficaz impulsa la mejora continua. Los cuatro indicadores clave que se indican a continuación permiten evaluar la eficacia del programa y sirven de referencia para demostrar los avances a la dirección y a los auditores.

El tiempo medio de detección (MTTD) mide el tiempo medio que transcurre entre la divulgación de una vulnerabilidad y su detección en su entorno. Los programas más avanzados logran un MTTD inferior a 24 horas para los activos críticos mediante análisis continuos y la integración de inteligencia sobre amenazas. El MTTD se calcula dividiendo la suma de los tiempos de detección entre el número de vulnerabilidades detectadas.

El tiempo medio de corrección (MTTR) mide el tiempo medio que transcurre desde la detección de una vulnerabilidad hasta su corrección satisfactoria. Los valores de referencia del sector varían considerablemente: el Índice de Gestión de la Exposición de Tenable (2025) indicaba un MTTR de 14 días para las pequeñas empresas que utilizan la automatización, mientras que en las grandes empresas la media es de 30 días. El MTTR se calcula dividiendo el tiempo total de corrección entre el número de vulnerabilidades corregidas.

La tasa de cobertura garantiza una protección integral de toda la infraestructura. Los programas líderes mantienen una cobertura de activos superior al 95 % mediante la detección automática y el análisis continuo.

La reducción de la puntuación de riesgo pone de manifiesto el impacto del programa en el nivel general de seguridad. Realice un seguimiento de las puntuaciones de riesgo agregadas a lo largo del tiempo, midiendo la reducción porcentual cada trimestre. Los programas eficaces logran una reducción trimestral del riesgo del 20 % o más con respecto a su nivel de referencia inicial.

Evaluación de la madurez de su programa de movilidad virtual

Los modelos de madurez en la gestión de vulnerabilidades ayudan a las organizaciones a evaluar sus capacidades actuales y a elaborar planes de mejora. El modelo de cinco niveles que se muestra a continuación ofrece vías de progresión claras, desde programas reactivos hasta programas optimizados, utilizando el MTTR como principal métrica de referencia.

Nivel 1 — Inicial: Los programas funcionan de forma reactiva, con procesos manuales y una cobertura irregular. Los análisis se realizan de forma esporádica, a menudo solo con fines de cumplimiento normativo. No existe un proceso formal de gestión de vulnerabilidades. El tiempo medio de resolución (MTTR) supera los 90 días para la mayoría de las vulnerabilidades.

Nivel 2 — En desarrollo: Se han establecido una automatización básica y programas de análisis periódicos. Existe un inventario de activos, aunque puede estar incompleto. La priorización se basa en las puntuaciones CVSS. El MTTR oscila entre 60 y 90 días. Se dispone de cierta documentación y procedimientos.

Nivel 3 — Definido: Se han establecido procesos exhaustivos y una ejecución coherente. Se dispone de un inventario completo de activos con su correspondiente clasificación. La priorización tiene en cuenta el contexto empresarial. El tiempo medio de resolución (MTTR) es de 30 a 60 días. Se ha implementado la integración con los procesos de gestión del cambio.

Nivel 4 — Gestionado: Las métricas y la automatización impulsan la optimización en todo el programa. Análisis continuo de todos los activos. Priorización avanzada mediante EPSS e inteligencia sobre amenazas. Tiempo medio de resolución (MTTR) inferior a 30 días para vulnerabilidades críticas. El análisis predictivo identifica las tendencias emergentes.

Nivel 5 — Optimizado: programas totalmente automatizados y con capacidad de mejora autónoma, con detección de vulnerabilidades en tiempo real y corrección automática. Priorización y respuesta basadas en la inteligencia artificial. Tiempo medio de resolución (MTTR) inferior a 14 días de forma sistemática. Mejora continua basada en métricas y en los cambios en el panorama de amenazas.

Puntos de referencia del sector para programas de movilidad virtual

Los puntos de referencia específicos del sector proporcionan un contexto para evaluar el rendimiento de los programas. Las entidades de servicios financieros suelen alcanzar un MTTR de 15 días debido a la presión normativa y a la disponibilidad de recursos. El sector sanitario registra una media de 25 días, buscando un equilibrio entre la seguridad y los requisitos de disponibilidad del sistema. Las empresas minoristas registran una media de entre 30 y 35 días, con variaciones estacionales que afectan a los calendarios de resolución de incidencias.

Las variaciones geográficas también influyen en los valores de referencia. Las organizaciones europeas suelen mostrar una corrección más rápida debido a los requisitos del RGPD. Las organizaciones norteamericanas lideran la adopción de EPSS, pero presentan grandes diferencias en cuanto a la rapidez de la corrección, lo que refleja las diferencias en la madurez de los programas y la inversión en herramientas.

Enfoques modernos de la gestión de la vulnerabilidad

La gestión tradicional de vulnerabilidades está evolucionando hacia una reducción integral de la exposición mediante marcos de gestión continua de la exposición a amenazas (CTEM). El estudio de Gartner sobre CTEM prevé una reducción significativa de las brechas de seguridad en las organizaciones que implementen programas integrales de CTEM para 2026.

El CTEM va más allá del análisis tradicional de vulnerabilidades para abarcar todos los tipos de exposición: gestión de la superficie de ataque externa, protección frente a riesgos digitales y simulación de brechas y ataques. Este marco hace hincapié en la validación continua mediante ejercicios de simulación de brechas y equipos «purple». Las organizaciones que implementan el CTEM registran tasas de corrección del 89 % en un plazo de 30 días, lo que supone un rendimiento significativamente superior al de los enfoques periódicos tradicionales.

La gestión de vulnerabilidades como servicio (VMaaS) resuelve las limitaciones de recursos mediante servicios de seguridad gestionados. Los proveedores de VMaaS ofrecen supervisión ininterrumpida, análisis por parte de expertos y coordinación gestionada de las medidas correctivas. Las pequeñas y medianas empresas se benefician de capacidades de nivel empresarial sin necesidad de crear equipos internos. Los modelos de costes van desde la tarificación por activo hasta servicios gestionados integrales.

La inteligencia artificial y el aprendizaje automático mejoran la precisión en el establecimiento de prioridades mediante el análisis de patrones históricos de explotación. El procesamiento del lenguaje natural extrae información útil de las descripciones de vulnerabilidades y los informes de amenazas. La coordinación automatizada de las medidas correctivas reduce el tiempo medio de resolución (MTTR) y minimiza los errores humanos en el flujo de trabajo que va de la clasificación a la creación de tickets.

Las arquitecturas Cloud requieren estrategias de gestión de vulnerabilidades que vayan más allá de la aplicación de parches tradicionales al sistema operativo. El análisis de imágenes de contenedores identifica las vulnerabilidades antes de la implementación. La protección en tiempo de ejecución supervisa el comportamiento de los contenedores para detectar posibles intentos de explotación. Los controladores de admisión de Kubernetes aplican las políticas de seguridad durante la implementación. La gestión del estado Cloud evalúa continuamente cloud encloud .

Cómo Vectra AI la gestión de vulnerabilidades

La gestión tradicional de vulnerabilidades identifica lo que podría ser objeto de un ataque. Vectra AI lo que está siendo objeto de un ataque, una diferencia que cambia el enfoque de las medidas correctivas.

Vectra AI la gestión de vulnerabilidades mediante Attack Signal Intelligence™, una tecnología que detecta en tiempo real los comportamientos de explotación en entornos de red, cloud, identidades y SaaS. Cuando los atacantes intentan obtener acceso, escalar privilegios o desplazarse lateralmente, esos comportamientos generan señales detectables. Vectra AI esas señales en toda la red moderna para revelar qué vulnerabilidades están siendo objeto de ataques activos.

La integración con las herramientas de gestión de vulnerabilidades existentes amplía aún más estas capacidades. Al correlacionar los resultados de los análisis con los comportamientos detectados de los atacantes, los equipos de seguridad centran sus esfuerzos de corrección en las vulnerabilidades que están siendo explotadas en tiempo real, lo que se traduce en menos parches desperdiciados, una contención más rápida y un tiempo medio de corrección más corto para las vulnerabilidades que realmente importan.

Vectra AI la posición más alta en cuanto a «Capacidad de ejecución» y la más alejada en cuanto a «Integridad de la visión», y es el único proveedor del informe que ha sido nombrado líder en el Cuadrante Mágico de Gartner de 2025 para la detección y respuesta de redes (NDR), con 35 patentes en inteligencia artificial aplicada a la ciberseguridad. Según IDC, las organizaciones que utilizan Vectra AI un 52 % más de amenazas potenciales y reducen el tiempo de investigación de las alertas en un 50 %.

Para descubrir cómo la detección de comportamientos complementa su programa de gestión de vulnerabilidades, explore la Vectra AI o solicite una demostración.

Conclusión

La gestión de vulnerabilidades ha pasado de ser una función de cumplimiento normativo a convertirse en una necesidad operativa. Con 40 289 CVE publicadas en 2024 y unos plazos de explotación que, en los casos más graves, se reducen a cuestión de horas, los programas basados en análisis periódicos y en una priorización basada únicamente en el CVSS son estructuralmente incapaces de seguir el ritmo del panorama de amenazas.

Los programas maduros comparten tres características: visibilidad continua en todas las clases de activos, incluyendo cloud, la identidad y el software de terceros; una priorización basada en el riesgo que da mayor peso a la probabilidad de explotación y al contexto empresarial que a las puntuaciones teóricas de gravedad; y una disciplina de medición que realiza un seguimiento de los tiempos de detección y respuesta (MTTD), los tiempos de resolución (MTTR), la cobertura y la reducción del riesgo en comparación con los puntos de referencia del sector. Los casos reales que se recogen en esta guía —Log4Shell, MOVEit, Ivanti— fallaron en al menos una de estas dimensiones.

La evolución hacia el CTEM y la detección potenciada por IA ofrece mejoras significativas en las capacidades, pero los fundamentos siguen siendo los mismos: no se puede proteger lo que no se ve, no se pueden establecer prioridades sin contexto y no se puede mejorar sin medir. Para crear un programa de gestión de vulnerabilidades resiliente es necesario un compromiso simultáneo en estas tres dimensiones.

Los equipos de seguridad que integran los datos de análisis de vulnerabilidades con las señales de detección de comportamientos —es decir, que no solo identifican qué vulnerabilidades existen, sino también cuáles están siendo objeto de ataques activos— toman decisiones de corrección mucho más acertadas. Esa integración es el punto de encuentro entre la gestión tradicional de vulnerabilidades y la detección moderna de amenazas.

Fuentes y metodología

Las estadísticas y los ejemplos a los que se hace referencia en esta guía proceden de informes de investigación del sector, investigaciones sobre violaciones de seguridad y conjuntos de datos públicos sobre ciberseguridad.

• Catálogo VulnCheck KEV (2024)
• Informe de Fortinet sobre el panorama global de amenazas (2025)
• Informe de IBM sobre el coste de una filtración de datos (2024)
• Catálogo de vulnerabilidades explotadas conocidas (KEV) de la CISA
• NVD — Base de datos nacional de vulnerabilidades (2024)
• Tenable Research (2024)
• Informe M-Trends de Mandiant (2024)
• Informe sobre amenazas de Emsisoft (2024)
• Directiva de emergencia 22-02 de la CISA
• Directiva de emergencia 24-01 de la CISA
• Informe técnico de IDC sobre el valor empresarial, patrocinado por Vectra AI 2024)
• Cuadrante Mágico de Gartner para la detección y respuesta en redes (2025)