La avalancha de vulnerabilidades ya está aquí. Qué es y cómo prepararse

La semana pasada, Thomas Ptacek publicó un artículo en el que argumentaba que la investigación de vulnerabilidades está acabada. Su tesis: los agentes de IA están a punto de ahogarnos en un flujo constante de vulnerabilidades validadas, explotables y de alta gravedad, más rápido de lo que nadie puede parchearlas. Pero desde mi punto de vista, la pregunta más urgente no es si la avalancha está llegando, sino si la infraestructura de la que dependemos puede absorberla.

Claude Mythos Preview, de Anthropic, ya ha descubierto miles de vulnerabilidades día cero en todos los principales sistemas operativos y navegadores web, con una tasa de éxito en el desarrollo de exploits del 72,4 %. Algunas de estas fallas llevaban décadas ocultas a plena vista. Esto cambia radicalmente la economía de la explotación de vulnerabilidades.

Hace poco soltamos a OpenClaw en una de nuestras propias redes internas heredadas como ejercicio de equipo rojo. Utilizando modelos de vanguardia anteriores a Mythos con habilidades personalizadas que nuestro equipo desarrolló internamente, el agente redujo nuestra fase de reconocimiento de Active Directory de tres días a tres horas y generó 23 hallazgos procesables —incluidas rutas de escalado críticas hasta el administrador de dominio— todo ello desde una sola cuenta sin privilegios. El registro de auditoría detallado y estructurado que generó permitió a nuestros equipos de detección comenzar a validar la cobertura casi de inmediato, reduciendo un proceso de traspaso que normalmente lleva semanas.

Si eso es lo que pueden hacer los modelos actuales, con una orquestación cuidadosa, imagínate lo que pasaría si alguien que no está de tu lado apuntara la próxima generación de IA hacia tu perímetro.

Ya lo hemos visto antes

En Sophos sabemos lo que puede pasar cuando adversarios motivados consiguen un suministro fiable de vulnerabilidades día cero en dispositivos periféricos, porque lo hemos vivido.

Nuestra investigación Pacific Rim documentó una campaña de cinco años que múltiples grupos de amenazas chinos interconectados y respaldados por el Estado, incluidos grupos que se solapaban con Volt Typhoon, APT31 y APT41, llevaron a cabo y en la que atacaron sistemáticamente los dispositivos perimetrales. Aprovecharon vulnerabilidades en firewalls, concentradores VPN y otra infraestructura periférica para comprometer objetivos críticos: proveedores de energía nuclear, hospitales militares, ministerios gubernamentales.

Lo que hizo que Pacific Rim fuera tan revelador no fue solo la sofisticación de los ataques. Fue lo que los hizo posibles. Como lo describió nuestro CEO, Joe Levy, los residuos digitales impulsaron toda la campaña: una masa inmensa, pero casi invisible, de dispositivos de red al final de su vida útil, sin parches y olvidados, situados en el perímetro de miles de organizaciones. Estos dispositivos actuaron como puntos de apoyo permanentes, porque nadie los actualizaba.

Ahora imagina esa superficie de ataque, pero con adversarios armados con IA capaz de generar exploits funcionales en horas en lugar de semanas.

Las cifras son alarmantes

Nuestro Informe sobre adversarios activos de 2026 destaca esta tendencia. La explotación de vulnerabilidades representó el 16 % de los accesos iniciales en los 661 casos que investigamos, y los ataques de fuerza bruta se están acercando con un 15,6 %. Los atacantes permanecen ahora solo tres días de media. El margen de tiempo entre la divulgación de una vulnerabilidad y su explotación activa se ha ido reduciendo durante años.

El desarrollo de exploits generados por IA no solo reduce aún más ese margen, sino que amenaza con eliminarlo por completo. Cuando un modelo puede leer un diff de parches y producir un exploit que funciona antes de que la mayoría de las organizaciones hayan iniciado su proceso de control de cambios, los ciclos de parches tradicionales se convierten en un lastre, no en una defensa.

Ptacek lo resume muy bien: hemos ganado tiempo con el sandboxing y la restricción de la superficie de ataque, pero los sistemas en capas de sandboxes, kernels, hipervisores y esquemas de IPC son, en esencia, versiones iteradas del mismo problema. Cada capa es otro objetivo para una IA que no se cansa ni se aburre.

Lo que realmente funciona

No escribo esto para dar la voz de alarma y pasar página. La experiencia de Pacific Rim nos enseñó lecciones concretas sobre lo que resiste ante la presión sostenida de adversarios bien equipados, y esas lecciones son directamente aplicables a esta nueva era.

Los proveedores deben hacerse cargo del problema de los parches. Durante Pacific Rim, observamos que los adversarios explotaban con mayor facilidad los dispositivos cuyos proveedores no contaban con un mecanismo para actualizaciones rápidas y transparentes. En Sophos, desarrollamos una función de hotfixes que envía parches críticos de forma inalámbrica sin necesidad de actualizar el firmware ni reiniciar el sistema. Hoy en día, el 99,41 % de los firewalls de nuestros clientes reciben estos hotfixes automáticamente. Con Sophos Firewall v22, introdujimos la programación automática de actualizaciones de firmware y un rediseño exhaustivo de la arquitectura, contenedorizando el plano de control para reducir tanto la probabilidad como el alcance de las vulnerabilidades de RCE.

No necesitamos un «Secure by Design» teórico, necesitamos hechos.

La transparencia genera la confianza que permite la rapidez. Nuestro informe Cybersecurity Trust Reality 2026 reveló que solo el 5 % de las organizaciones confía plenamente en sus proveedores de ciberseguridad. Eso debería preocupar a todo CISO, porque la confianza es lo que te permite aceptar el hotfix automático de un proveedor a las 2 de la madrugada sin tener que convocar un CAB de emergencia. Los factores más cruciales para generar confianza son los elementos verificables de madurez en seguridad: programas de recompensa por errores, avisos transparentes, certificaciones de terceros. El segundo es cómo se comunican los proveedores durante los incidentes. Estos son requisitos operativos previos.

La defensa activa es un deporte de equipo. El análisis de Lawfare sobre Pacific Rim lo describió como emprendimiento de normas corporativas, y ese enfoque es acertado. Implementamos telemetría a nivel del kernel en dispositivos controlados por los atacantes. Colaboramos con las fuerzas del orden para incautar la infraestructura C2. La cronología de Pacific Rim demuestra lo que es posible cuando un proveedor trata su infraestructura desplegada como algo que tiene el deber de proteger, no solo como un producto que ha vendido.

Consejos para hoy

Esto no es un problema del futuro; la economía de las vulnerabilidades ya ha cambiado, y la mayoría de las organizaciones no actúan con la suficiente rapidez. Esto es en lo que me centraría ahora mismo:

Acelera el proceso de aplicación de parches. Si sigues ejecutando ciclos de parches mensuales para la infraestructura conectada a Internet, estás viviendo de prestado. Trata la aplicación de parches en los dispositivos perimetrales como si fuera una respuesta a incidentes: mide el tiempo de aplicación de parches en horas, no en semanas. Para los dispositivos que admiten la aplicación automática de parches, asegúrate de que esté habilitada. Para los que no, necesitas un proceso de vía rápida que eluda tu ventana de cambios habitual cuando surja una vulnerabilidad crítica.

Enfréntate al problema de fin de vida útil. Esta es la lección sobre residuos digitales de Pacific Rim. Los dispositivos al final de su vida útil que ya no reciben actualizaciones de seguridad —como los firewalls Sophos XG heredados anteriores a nuestra arquitectura de parches— suponen una exposición permanente. Ningún control compensatorio podrá igualar la velocidad a la que la IA puede ahora generar exploits para vulnerabilidades conocidas y sin parchear. Si tienes dispositivos al final de su vida útil en tu perímetro, sustituirlos ya no es una cuestión de presupuesto. Es una decisión de aceptación de riesgos que la junta directiva debe tomar.

Exige más a los proveedores. Pregúntales directamente: ¿podéis aplicar un parche de emergencia a mi dispositivo sin que tenga que programar un tiempo de inactividad? ¿Cuál es vuestro tiempo medio desde la divulgación de la vulnerabilidad hasta la implementación del hotfix? ¿Tenéis un programa activo de recompensas por errores? Si no pueden responder a esas preguntas con claridad, tenlo en cuenta en tu cálculo de riesgos. Nuestro informe Trust Reality muestra que no eres el único al que le pasa, pero nunca ha sido tan importante.

Asume que el perímetro será puesto a prueba. Dado que la IA reduce las barreras para el desarrollo de exploits, la cuestión no es si tus dispositivos periféricos se enfrentarán a intentos de explotación día cero. La cuestión es cuándo. Asegúrate de contar con una cobertura de detección y respuesta que se extienda hasta el perímetro de tu red, no solo a tus endpoints. Y asegúrate de que tu plan de respuesta a incidentes tenga en cuenta la infraestructura periférica comprometida como un escenario realista.

El panorama general

El momento Mythos no se trata de que la IA sustituya a los investigadores de seguridad humanos, aunque bien podría redefinir esa profesión. El riesgo real es la creciente discrepancia entre la velocidad de descubrimiento de vulnerabilidades y la de implementación de parches. Nuestro experimento OpenClaw demostró lo que un modelo de última generación bien orquestado puede lograr en el ámbito ofensivo. Mythos lleva eso varios órdenes de magnitud más allá.

No podemos controlar el ritmo del descubrimiento de vulnerabilidades impulsado por la IA, pero sí podemos controlar la rapidez con la que respondemos: cómo creamos productos, con qué transparencia operamos y si consideramos los parches como una característica o como algo secundario.

La avalancha se acerca. La pregunta es ¿estás preparado?