Ciberseguridad · 27 de mayo de 2026 · 3 min de lectura

El último informe de GRIT cifra en pocas horas el tiempo medio entre publicación de una CVE crítica y su explotación masiva en estado salvaje. La cifra ha caído de forma sostenida en los últimos tres años y, según los datos de mayo, los operadores de ransomware han alcanzado niveles de respuesta antes reservados a actores estatales.

La explicación combina automatización y madurez operativa. Los grupos profesionalizados disponen ya de pipelines internos que monitorizan publicaciones de CVE, identifican el subconjunto explotable a corta distancia y despliegan herramientas automáticas a través de redes de afiliados. El proceso, antes manual, hoy se mide en sprints.

Para los equipos defensivos, la ventana de parcheo se ha reducido a una fracción de lo que era hace dieciocho meses. Las recomendaciones genéricas de "parchear pronto" han quedado superadas: las organizaciones críticas necesitan procedimientos automatizados que conviertan el parcheo en una operación reactiva y no en una decisión administrativa.

La implicación regulatoria empieza a percibirse. Reguladores en Estados Unidos y la UE están explorando obligaciones de tiempo máximo entre publicación de CVE crítica y aplicación de parche, con sanciones equivalentes a las de incidentes confirmados. Es una conversación que estaba latente; el ritmo actual la ha vuelto urgente.