Reporte anual
Reporte de ataques
2025
SECCIÓN 01
Introducción
En Fluid Attacks, como compañía de seguridad de aplicaciones (AppSec), nos dedicamos a ayudar a nuestros clientes a identificar, priorizar y remediar las vulnerabilidades de seguridad en sus productos de software mediante la integración de diversas herramientas automatizadas, modelos de inteligencia artificial y un equipo de pentesters altamente certificado.
En 2024, evaluamos y contribuimos a la seguridad de los sistemas de nuestros clientes a través de nuestra solución integral Hacking Continuo durante todo el ciclo de vida de desarrollo de software (SDLC). Cuando nos referimos a un sistema, este puede incluir los tres, dos o solo uno de los siguientes objetivos de evaluación: código fuente de la aplicación, aplicación en ejecución e infraestructura.*
El Reporte de ataques 2025, al igual que los de años anteriores, puede ayudarte a evaluar de forma comparativa y mejorar la postura de ciberseguridad de tu empresa. Muchas de las conclusiones a las que llegamos tras revisar los datos de todo un año de pruebas y gestión de seguridad pueden servirte de guía para establecer objetivos más eficaces, centrándote en prácticas de desarrollo seguras y en la rápida remediación de vulnerabilidades para proteger tus sistemas, datos, operaciones y usuarios.
Periodo de recolección de datos: Ene 1 - Dic 31, 2024
*De aquí en adelante, "código fuente", "aplicación" e "infraestructura", respectivamente.
Enfoque en la exposición al riesgo en lugar de la cantidad de vulnerabilidades
Antes de profundizar en los resultados para 2024 en su conjunto, es importante señalar que en Fluid Attacks reconocemos que el hecho de que un sistema tenga pocas vulnerabilidades no es sinónimo de un alto nivel de seguridad. La clave está en mantener la exposición al riesgo al mínimo. En otras palabras, por ejemplo, tener diez vulnerabilidades con una puntuación CVSS de 1,0 en un sistema no representa el mismo grado de exposición al riesgo que tener una vulnerabilidad con una puntuación de 10,0. Basándonos en este razonamiento, hemos desarrollado la métrica CVSSF, una modificación de la puntuación CVSS que permite a las organizaciones priorizar sus esfuerzos de remediación de vulnerabilidades de forma más eficaz.
El CVSSF supera muchas de las deficiencias del CVSS, como la agregación y la comparación, y ofrece una visibilidad más clara de la magnitud de la exposición al riesgo. Así, siguiendo el ejemplo del párrafo anterior y la ecuación del CVSSF*, como podemos ver en la ilustración, esas diez vulnerabilidades del lado izquierdo de la balanza solo alcanzan un CVSSF de 0,2. Por el contrario, la vulnerabilidad de la derecha tiene un valor enorme de 4.096,0, una comparación de valores más cercana a la realidad de los riesgos.
*CVSSF = 4^(CVSS-4)
SECCIÓN 02
Resumen ejecutivo
Revisa los resultados más relevantes
[1]
La cantidad de sistemas cuya seguridad evaluamos a través de Hacking Continuo en 2024 creció un 27,6% en comparación con 2023.
[2]
Aunque reportamos un 59,3% más de vulnerabilidades que el año anterior, la exposición al riesgo total identificada (unidades CVSSF) disminuyó un 3,8%.
[3]
Este año, en promedio, las organizaciones tardaron un 18,5% menos en remediar sus vulnerabilidades de seguridad. Además, el tiempo medio para remediar problemas de severidad crítica decreció en un considerable 65%.
[4]
La remediación de vulnerabilidades en los sistemas que rompieron el build fue, en promedio, de un 50% menos de tiempo en comparación con los que no.
[5]
La tasa de remediación en los sistemas que rompieron el build fue de un 62,4%, mientras que la de los que no lo hicieron fue de un 31,5%.
[6]
Nuestros pentesters, en comparación con nuestras herramientas automatizadas, reportaron más del 71% de la exposición al riesgo total.
[7]
Casi el 99% de las vulnerabilidades de severidad crítica fueron detectadas por nuestros pentesters (nuestra herramienta ya había encontrado el resto).
[8]
La debilidad de seguridad más persistente entre los sistemas evaluados fue "Archivos no verificables".
[9]
La debilidad que representó la mayor exposición al riesgo total durante el año fue "Control de autorización inadecuado para los servicios web".
[10]
Las vulnerabilidades de severidades alta y crítica mostraron las mejores tasas de remediación acumuladas al final del año, con un 57,4% y un 73,2%, respectivamente.
SECCIÓN 03
Cambios destacados
Identifica las diferencias clave en comparación con el reporte anterior
Sistemas evaluados
La cantidad de sistemas que evaluamos con Hacking Continuo aumentó un 27,6% en comparación con el año anterior.* Además, el 57,6% de los sistemas evaluados con nuestra solución en 2023 continuaron siendo evaluados en 2024, un año en el que casi el 55% de los sistemas eran nuevos.
27,6%
/ Hacking Continuo
*Destacamos que esta comparación se limita a la solución Hacking Continuo. En 2023, todavía había algunos sistemas que se probaban con nuestra solución Hacking Puntual, la cual ya no se ofrece.
Exposición al riesgo
En 2024, desde Hacking Continuo, reportamos una exposición al riesgo total un 3,8% inferior a la de 2023. Esta se redujo de unas 32,5 a unas 31,3 millones de unidades (según nuestra métrica CVSSF). De este modo, la media y la mediana de la exposición al riesgo por sistema disminuyeron un 24,6% y un 33,2%, respectivamente.
3,8%
24,6%
33,2%
Vulnerabilidades de severidades alta y crítica
62,3% de todos los sistemas evaluados mostraron al menos una vulnerabilidad de severidad alta o crítica, lo que representa una reducción respecto al año anterior, cuando esa cifra se situó en el 66,6%.
66,6%
62,3%
Clasificación
Puntaje CVSSv4.0
Crítica
9,0 - 10,0
Alta
7,0 - 8,9
Media
4,0 - 6,9
Baja
0,1 - 3,9
Métodos de detección manual
Si bien mejoramos constantemente nuestras herramientas en cuanto a su alcance y capacidad de detección de vulnerabilidades, nuestro equipo de pentesters sigue obteniendo resultados mucho mejores en términos de exposición al riesgo y vulnerabilidades críticas identificadas. Los porcentajes obtenidos con sus pruebas manuales variaron poco en los periodos comparados.
71,4%
71,1%
97,1%
98,9%
Remediación de vulnerabilidades
El tiempo medio de remediación (MTTR) de vulnerabilidades fue de alrededor de 55 días. Esto supone una reducción de casi un 19% en comparación con los 68 días del año anterior. Adicionalmente, cabe señalar que el MTTR para las vulnerabilidades de severidad crítica se redujo en un significativo 65%.
18,5%
/ MTTR
65,0%
/ MTTR para vulnerabilidades críticas
En línea con los reportes de años anteriores, los tiempos de remediación de los problemas de seguridad en los sistemas en los que las empresas optaron por romper el build fueron más cortos que en aquellos en los que las empresas decidieron no hacerlo. Sin embargo, el tiempo medio para remediar las vulnerabilidades para quienes rompieron el build pasó de 19 a 28 días con respecto al reporte anterior.
Tiempo de remediación: Tiempo transcurrido entre la notificación de una vulnerabilidad y su remediación.
Romper el build: Control de seguridad para los pipelines de CI/CD en los que nuestro CI Gate interrumpe el despliegue de software siempre que haya vulnerabilidades no aceptadas en el producto.
SECCIÓN 04
Hallazgos generales
Explora el panorama de vulnerabilidades y exposición al riesgo del año
Exposición al riesgo por severidad
Casi toda la exposición al riesgo en los sistemas evaluados, es decir, el 91,6%, se debía a vulnerabilidades de severidades alta y crítica. Esto significa que una pequeña fracción, solo el 5,1%, de los problemas de seguridad identificados era responsable de una exposición al riesgo casi 11 veces superior al valor sumado de todas las vulnerabilidades de severidades media y baja.
Severidad
Total de vulnerabilidades
Exposición al riesgo total
Crítica
10.802
17.456.578,79
Alta
34.009
11.197.833,43
Media
126.110
2.620.324,37
Baja
701.691
20.798,08
Vulnerabilidades y exposición al riesgo por severidad
Por cada objetivo de evaluación
En las aplicaciones y el código fuente se mantuvo el mismo patrón de disminución del número de vulnerabilidades a medida que aumentaba su severidad. En el caso de las infraestructuras, las vulnerabilidades de alta severidad rompieron este patrón. Sin embargo, hay que tener en cuenta que muy pocas organizaciones solicitaron una evaluación de la infraestructura, lo que dio lugar a un número limitado de vulnerabilidades detectadas para este tipo de objetivo.
Ahora, centrándonos en los dos objetivos más frecuentes, podemos decir que las vulnerabilidades de severidades baja y media representaron más del noventa por ciento de todos los problemas de seguridad detectados (es decir, el 96,5% en el caso de las aplicaciones y el 94,7% en el caso del código fuente). No obstante, fueron las vulnerabilidades de severidades alta y crítica las que, en conjunto, superaron el noventa por ciento en lo que respecta a la exposición al riesgo total en todos los objetivos, incluida la infraestructura.
Objetivo de evaluación
Total de vulnerabilidades
Exposición al riesgo total
Código fuente
799.072
28.202.146,76
Aplicación
73.475
3.068.326,34
Infraestructura
65
25.061,57
Exposición al riesgo por método de detección
28,9%
71,1%
22.246.515,93
9.049.018,73
Si analizamos todas las vulnerabilidades detectadas en 2024 y su exposición al riesgo asociada, las descubiertas por nuestras herramientas automatizadas representaron, en promedio, 12,7 unidades CVSSF. Por el contrario, las encontradas por nuestros pentesters alcanzaron un promedio de once veces ese valor: 139,7 unidades CVSSF.
Como se mencionó en reportes anteriores, las pruebas de seguridad realizadas por nuestros pentesters siguen revelando una mayor exposición al riesgo que nuestras herramientas automatizadas.
Además, las cifras que se muestran aquí podrían haber sido aún más favorables para nuestros expertos si todos los sistemas se hubieran evaluado dentro de nuestro plan Advanced, que incluye pruebas de seguridad automatizadas y manuales. Sin embargo, algunos de ellos solo estaban suscritos a nuestro plan Essential, el cual solo incluye pruebas automatizadas.
Independientemente del número de herramientas que utilice tu compañía o de su adhesión a las últimas tendencias en IA, las evaluaciones exhaustivas de la postura de ciberseguridad siguen dependiendo de la inclusión del factor humano. Una solución integral de AppSec debe aprovechar las ventajas de los expertos en seguridad, la IA y los escáneres.
Como respaldo adicional a la última afirmación, recomendamos leer nuestro informe de investigación "Aumentar la precisión de AST mediante pentesting".
Vulnerabilidades por método de detección
Más del ochenta por ciento del total de vulnerabilidades fueron identificadas por nuestras herramientas automatizadas. Además, si consideramos las 44.811 vulnerabilidades de severidades alta y crítica encontradas durante el año, podemos ver que estas herramientas detectaron el 55,2% de ellas.
81,8%
18,2%
Sin embargo, si tomamos solo las vulnerabilidades de severidad crítica, un sorprendente 98,9% se identificó mediante análisis manuales. Esto pone de relieve, como se ha visto en años anteriores, la mayor eficacia de PTaaS y otros tipos de pruebas manuales a la hora de descubrir las fallas de seguridad más graves en comparación con el escaneo de vulnerabilidades.
SECCIÓN 05
Principales debilidades
Conoce las vulnerabilidades principales por riesgo y persistencia
Top 10 de debilidades
Por exposición al riesgo
A partir de la segunda mitad de 2024, decidimos eliminar las categorías de debilidad "011. Uso de software con vulnerabilidades conocidas", "393. Uso de software con vulnerabilidades conocidas en desarrollo" y "435. Uso de software con vulnerabilidades conocidas en entornos".* Estas categorías asociadas a dependencias o componentes de software de terceros eran muy generales, lo que significa que no especificaban los tipos de vulnerabilidades presentes en los paquetes utilizados. Esto, precisamente, junto con el enorme uso que todos hacemos de componentes de código abierto de terceros en nuestros productos, era lo que provocaba que estas categorías encabezaran las listas en nuestros informes anteriores.
*La eliminación fue gradual y se completó a principios de 2025. Por eso, en este reporte se pueden encontrar casos residuales de esas categorías.
Así, en esta ocasión, la debilidad que encabezó la clasificación fue "Control de autorización inadecuado para servicios web". Este problema persistente, que, una vez explotado, podría permitir a los atacantes obtener información confidencial, representó más del 27% de la exposición al riesgo total reportada en 2024. Además, las debilidades incluidas en esta lista de las 10 principales contribuyeron al 77,2% de la exposición al riesgo general.
Debilidad
Sistemas
Persistencia
Exposición
MEx
039. Control de autorización inadecuado para servicios web
263
10.356
8.490.025,9
819,8
006. Ausencia o evasión del mecanismo de autenticación
161
7,463
7.690.775,4
1.030,5
096. Deserialización insegura
173
13.262
1.947.603,2
146,9
100. Falsificación de solicitudes del lado del servidor (SSRF)
304
7,053
1.724.486,6
244,5
359. Información sensible en el código fuente - Credenciales
331
13.415
893.774,0
66,6
011. Uso de software con vulnerabilidades conocidas
390
19.390
871.626,9
45,0
390. Contaminación de prototipos
234
11.236
800.728,7
71,3
076. Gestión insegura de sesiones
76
721
770.025,0
1068,0
211. Denegación de servicio asimétrica - ReDoS
354
21.587
555.517,4
25,7
422. Inyección de plantillas del lado del servidor
178
2.845
419.534,5
147,5
Debilidad: La categoría, mientras que la vulnerabilidad es el caso particular con una ubicación específica que pertenece a la categoría.
Persistencia: Cantidad de vulnerabilidades identificadas que pertenecen a la categoría.
MEx: Exposición al riesgo promedio.
Top 10 de debilidades
Por cantidad de sistemas
La debilidad que detectamos en más de la mitad de los sistemas evaluados está relacionada con la imposibilidad de verificar los archivos en los repositorios porque su contenido no es compatible con su extensión: "Archivos no verificables". Este problema, junto con los demás que figuran en la tabla, constituyó el 35,6% del total de vulnerabilidades detectadas. Aun así, sus puntuaciones CVSS temporales medias y medianas no superaron el rango de severidad medio.
Al observar otros datos de la tabla siguiente, podemos destacar que la debilidad "Información sensible en el código fuente" apareció en alrededor del 40% de los sistemas evaluados, pero su MTS y MdTS fueron bastante bajas, lo que explica por qué no apareció en la tabla anterior. Sin embargo, cuando nos centramos en una debilidad similar, pero más específica y riesgosa, como "Información sensible en el código fuente - Credenciales", notamos que ocupó el quinto lugar entre los problemas de seguridad que representaron la mayor exposición al riesgo en 2024.
Debilidad
Sistemas
Persistencia
MTS
MdTS
117. Archivos no verificables
540
183.708
0,6
0,6
431. Ataque a la cadena de suministro - Archivo de bloqueo
473
18.041
0,6
0,6
052. Algoritmo de cifrado inseguro
430
6.270
2,0
0,6
009. Información sensible en el código fuente
425
10.202
2,2
1,3
380. Ataque a la cadena de suministro - Docker
394
10.788
0,6
0,6
011. Uso de software con vulnerabilidades conocidas
390
19.390
4,4
4,6
097. Tabnabbing inverso
383
22.550
1,1
1,1
266. Privilegios excesivos - Docker
371
7.395
1,3
1,1
211. Denegación de servicio asimétrica - ReDoS
354
21.587
5,4
6,6
002. Denegación de servicio asimétrica
351
10.655
5,7
6,6
MTS: Media de la puntuación temporal CVSS.
MdTS: Mediana de la puntuación temporal CVSS.
Top 5 de debilidades
Objetivo de evaluación: código fuente
Por exposición al riesgo
Este top 5 es exactamente el mismo que el que se encuentra en el top 10 general para exposición al riesgo. Casi todas las vulnerabilidades pertenecientes a estas cinco categorías se localizaron en el código fuente evaluado. Aunque su persistencia combinada representó poco más del 6% del total de vulnerabilidades identificadas en este tipo de objetivo, su exposición al riesgo combinada representó casi el 70% del total detectado en el código fuente.
La "Ausencia o evasión de mecanismos de autenticación" fue la menos reportada de todas las debilidades listadas aquí. Sin embargo, ocupó el segundo lugar entre todas las debilidades detectadas durante el año en cuanto a exposición al riesgo, constituyendo el 22,6% del total.
Debilidad
Sistemas
Persistencia
Exposición
MEx
039. Control de autorización inadecuado para servicios web*
238
9.680
8.009.170,8
827,4
006. Ausencia o evasión del mecanismo de autenticación
127
6.730
7.078.979,2
1.051,9
096. Deserialización insegura
173
13.262
1.947.603,2
146,9
100. Falsificación de solicitudes del lado del servidor (SSRF)
301
7.017
1.713.775,2
244,2
359. Información sensible en el código fuente - Credenciales
329
13.403
893.760,1
66,7
*Recomendación: Validar mediante cookies de sesión o tokens que los usuarios que intentan acceder a cierta información estén autenticados.
Top 5 de debilidades
Objetivo de evaluación: aplicación
Por exposición al riesgo
Aunque están en el orden inverso, las dos debilidades que encabezaron el siguiente top 5 fueron las mismas que lideraron el top 10 de exposición al riesgo. Si bien todas las vulnerabilidades encontradas en estas categorías solo representaron alrededor del 3,0% del total identificado en las aplicaciones, su exposición al riesgo acumulada constituyó el 54,9% del total en este objetivo de evaluación.
En tercer lugar, tenemos la debilidad "Apropiación de cuentas", que, con el MEx más alto de esta lista, representa el riesgo de que un atacante aproveche una o más vulnerabilidades de la aplicación para tomar el control de una cuenta de usuario y realizar acciones en su nombre.
Debilidad
Sistemas
Persistencia
Exposición
MEx
006. Ausencia o evasión del mecanismo de autenticación*
81
732
611.790,1
835,8
039. Control de autorización inadecuado para servicios web
77
674
480.686,1
713,2
417. Apropiación de cuentas
57
214
266.332,3
1.244,5
005. Escalada de privilegios
47
281
193.690,4
689,3
146. Inyección SQL
35
291
132.905,7
456,7
*Recomendación: Todos los recursos funcionales críticos para la organización deben contar con un proceso de autenticación sólido, y es necesario garantizar que todos los usuarios que intenten acceder a ellos tengan una sesión inicializada.
SECCIÓN 06
Remediación de vulnerabilidades
Descubre los tiempos y tasas de remediación basados en varios factores
Todas las vulnerabilidades
41,0%
1,3%
7,2%
50,5%
Menos de la mitad de las vulnerabilidades identificadas se remediaron. Los sistemas que rompieron el build tuvieron una tasa de remediación del 62,4% al final del año, significativamente superior a la de los que no lo hicieron, que fue del 31,5%.
Al examinar los rangos de severidad en todos los sistemas, las tasas de remediación acumuladas para las vulnerabilidades de severidades baja, media, alta y crítica fueron de 38,3%, 49,1%, 57,4% y 73,2%, respectivamente. Cabe destacar que solo un 0,34% de las vulnerabilidades de severidad alta y un 0,05% de las vulnerabilidades de severidad crítica se aceptaron de forma permanente, aunque lo ideal sería que estos valores fueran cero.
Nueva: La organización aún no ha definido el tratamiento de la vulnerabilidad.
En curso: La organización ya tiene planes para remediar la vulnerabilidad.
Cerrada: La organización ya ha remediado la vulnerabilidad.
Aceptada temporalmente: La organización ha decidido no remediar la vulnerabilidad por el momento.
Aceptada permanentemente: La organización ha decidido no remediar la vulnerabilidad.
Tiempo de remediación
Mediana de días para la remediación de vulnerabilidades
28
56
Al comparar las medianas, descubrimos que las compañías tardaron un 50% menos en remediar las vulnerabilidades en los sistemas en los que rompieron el build que en aquellos en los que no lo hicieron.
Al diferenciar los tiempos de remediación según los rangos de severidad, fue el rango medio el que constituyó la excepción o rompió el patrón esperado, según el cual cuanto mayor es la severidad, menos días deberían dedicarse a la remediación. Si comparamos los MTTR y MdTTR de los rangos extremos, vemos un rendimiento adecuado: Los equipos dedicaron un 27,1% y un 22,2% menos de tiempo, respectivamente, a remediar vulnerabilidades de severidad crítica que a las de severidad baja.
De hecho, en el 63,3% de todos los sistemas en los que se remediaron vulnerabilidades críticas, los MTTR fueron inferiores al MTTR general para este rango (43 días). Sin embargo, un 12,2% tuvo MTTRs entre 80 y 143 días, y un 2,0% tuvo MTTRs superiores a 239 días, lo que merece una reflexión, dado el riesgo que plantean estos problemas de seguridad. También cabe señalar que más de la mitad de todas las vulnerabilidades de severidad crítica remediadas se resolvieron en menos de 34 días.
Severidad
MTTR
MdTTR
Vulnerabilidades remediadas
Baja
59
36
268.710
Media
43
24
61.886
Alta
49
51
19.506
Crítica
43
28
7.907
MTTR: Tiempo medio de remediación.
MdTTR: Mediana de tiempo de remediación.
Tasa de remediación en el tiempo
Todas vs severidades alta y crítica
Normalmente, cada mes se descubrían más vulnerabilidades de las que se solucionaban.* Sin embargo, la tasa de remediación acumulada de todas las vulnerabilidades identificadas aumentó con el tiempo, pasando de un 13,5% inicial a un 41,0% al final del año (la tasa de remediación promedio fue del 27,6%).
Mientras tanto, la tasa de remediación acumulada para vulnerabilidades de severidades alta y crítica superó consistentemente la tasa general y, a diferencia del año anterior, mostró una tendencia al alza. De hecho, su valor mínimo fue del 8,8% a finales de enero y su valor máximo del 61,2% a finales de diciembre. Así, su tasa media de remediación fue del 40,4%, más cercana a la obtenida para las vulnerabilidades de severidad alta que a la de las críticas (puedes comparar las dos gráficas siguientes para apreciarlo).
*Para este análisis y el siguiente, hemos tomado el número acumulado de vulnerabilidades notificadas y remediadas al final de cada mes a lo largo del año. Cabe señalar que, para finales de enero, solo registramos como vulnerabilidades remediadas aquellas que se identificaron y cerraron durante ese mes. Sin embargo, para los meses siguientes, registramos como remediadas aquellas que se cerraron durante el mes en cuestión, independientemente del mes en que se detectaron en 2024.
Tasa de remediación en el tiempo
Por severidad
Durante aproximadamente la mitad del año, las tasas de remediación acumuladas siguieron un patrón habitual, siendo más altas a medida que aumentaba el nivel de severidad. Los cambios más pronunciados entre los cuatro niveles de severidad se produjeron en las tasas de remediación de las vulnerabilidades de severidad crítica. La tasa media de remediación más baja correspondió a las vulnerabilidades de severidad baja, con un 25,5%, y la más alta a las vulnerabilidades de severidad crítica, con un 45,2%.
Esta última tasa media de remediación fue superada por las tasas acumuladas de siete meses, las cuales alcanzaron una media del 64,3%. Fueron las tres primeras tasas de remediación del año las que más influyeron en el descenso de esta media (por ejemplo, ninguna de las vulnerabilidades críticas identificadas en enero se remedió al final de ese mes). Por último, los rangos de severidad media y alta alcanzaron tasas medias del 36,7% y del 38,9%, respectivamente.
Tasa de remediación en el tiempo
Por exposición al riesgo
Si bien solo el 41,0% de todas las vulnerabilidades se remediaron, la reducción general de la exposición al riesgo alcanzó el 65,3% al final del año. La exposición al riesgo restante se ve significativamente influenciada por aquellas vulnerabilidades de alto riesgo (con valores CVSSF elevados) que no se remediaron en el momento de cerrar la recopilación de datos para este informe (algunas de las cuales pueden haber sido identificadas en los últimos meses). Las vulnerabilidades de severidades crítica y alta representaron el 42,3% y el 44,3% de la exposición al riesgo final (es decir, a finales de 2024), cada uno de estos rangos de severidad con más de 4,5 millones de unidades CVSSF.
Distribución de tasas de remediación
Por objetivo de evaluación
Ordenamos las vulnerabilidades detectadas a lo largo del año según su tiempo de remediación, comenzando por las que se corrigieron más rápidamente y terminando por las que tardaron más en corregirse. Después de estas últimas, añadimos las que no se remediaron y, a continuación, dividimos todo el conjunto de datos en diez grupos iguales (es decir, en deciles).
Cabe destacar que las aplicaciones fueron el objetivo con el tercer decil más bajo. En otras palabras, el 30% de las vulnerabilidades en las aplicaciones en ejecución se corrigieron en un plazo de 27 días, mientras que el mismo porcentaje en el código fuente se logró justo antes de los 81 días. Además, las aplicaciones fueron el único objetivo en el que se remedió al menos el 50% de las vulnerabilidades, lo cual se logró en menos de 90 días.
Como se mencionó anteriormente, se reportaron muy pocas vulnerabilidades en las infraestructuras evaluadas, por lo que este objetivo de evaluación no se incluyó en este análisis y no aparece en la siguiente gráfica.
Distribución de tasas de remediación
Por severidad
Las vulnerabilidades de severidades alta y crítica fueron las únicas para las que las tasas de remediación superaron el 50%. Aun así, este quinto decil se completó con mayor rapidez para las vulnerabilidades de severidad crítica, con correcciones en menos de 50 días. Además, este fue el único rango de severidad que alcanzó el séptimo decil. Por otro lado, las vulnerabilidades de severidad baja se situaron en el tercer decil más alto y fueron el único rango que no alcanzó una tasa de remediación del 40% a finales de 2024.
SECCIÓN 07
Ayuda en la remediación de vulnerabilidades
Descubre qué tanto recurrieron las empresas a la ayuda de nuestros expertos
34,7%
En Fluid Attacks, ofrecemos diferentes canales de soporte para la remediación de vulnerabilidades. Los principales son Autofix, Custom Fix y Talk to a Pentester. Los dos primeros se basan en modelos de IA generativa y, dentro de nuestras extensiones IDE y nuestra plataforma, ofrecen automáticamente guías paso a paso y alternativas de remediación completas, respectivamente. El último canal, disponible solo para el plan Advanced, ofrece la oportunidad de programar reuniones virtuales de 30 minutos con algunos de nuestros pentesters para facilitar la comprensión de vulnerabilidades complejas.
Numerosas organizaciones con software en evaluación dentro del plan Advanced de Continuous Hacking recurrieron al canal Talk to a Pentester. Concretamente, las empresas asociadas al 34,7% de los sistemas (o grupos) evaluados por nuestro equipo de expertos solicitaron sesiones de asistencia con ellos.
Te invitamos a aprovechar al máximo este y los demás canales de asistencia que ofrecemos, que sin duda pueden ayudarte a mejorar tus índices y tiempos de remediación, beneficiando así la postura de seguridad de tu organización.
